What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
|
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-04-29 20:07:15 | De ransomware icedid à Dagon Locker en 29 jours From IcedID to Dagon Locker Ransomware in 29 Days (lien direct) |
## Instantané
Le rapport DFIR fournit un compte rendu détaillé d'une intrusion sophistiquée qui a commencé avec une campagne de phishing utilisant PromEthEustDS pour distribuer des logiciels malveillants icedid en août 2023.
## Description
Le malware icedid a établi la persistance, communiqué avec les serveurs C2 et a abandonné une balise de frappe de cobalt, qui a été utilisée pour le mouvement latéral, l'exfiltration des données et le déploiement des ransomwares.L'acteur de menace a également utilisé une suite d'outils tels que Rclone, NetScan, NBTScan, Anydesk, Seatt Libt, Sharefinder et Adfinind.L'intrusion a abouti au déploiement de ransomwares Dagon Locker après 29 jours.
Les acteurs de la menace ont utilisé diverses techniques pour obscurcir le fichier JavaScript et le coquille de cobalt grève, échapper à la détection, maintenir la persistance et effectuer des activités d'énumération du réseau.Les activités de l'acteur de menace comprenaient l'abus de fonctionnalités de mouvement latérale telles que le psexec et le protocole de bureau à distance (RDP), l'exfiltration des fichiers, le dumping et l'exfiltration des journaux d'événements de sécurité Windows et l'utilisation des commandes PowerShell exécutées à partir de la grève de Cobaltbalise.
De plus, l'acteur de menace a utilisé plusieurs techniques d'exfiltration, y compris l'utilisation de RClone et AWS CLI pour exfiltrer les données de l'infrastructure compromise.Le déploiement du ransomware Dagon Locker a été facilité par l'utilisation d'un script PowerShell personnalisé, AWScollector et un module Locker, avec une commande PowerShell spécifique exécutée à partir d'un contrôleur de domaine pour déployer le ransomware à différents systèmes.L'impact de cet incident a permis à tous les systèmes d'être affectés par les ransomwares Dagon Locker.
## Les références
[https://thedfirreport.com/2024/04/29/from-iced-to-dagon-locker-ransomware-in-29 days/-IDIDID-to-dagon-locker-ransomware en 29 jours /)
## Snapshot The DFIR report provides a detailed account of a sophisticated intrusion that began with a phishing campaign using PrometheusTDS to distribute IcedID malware in August 2023. ## Description The IcedID malware established persistence, communicated with C2 servers, and dropped a Cobalt Strike beacon, which was used for lateral movement, data exfiltration, and ransomware deployment. The threat actor also utilized a suite of tools such as Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder, and AdFind. The intrusion culminated in the deployment of Dagon Locker ransomware after 29 days. The threat actors employed various techniques to obfuscate the JavaScript file and the Cobalt Strike shellcode, evade detection, maintain persistence, and perform network enumeration activities. The threat actor\'s activities included the abuse of lateral movement functionalities such as PsExec and Remote Desktop Protocol (RDP), exfiltration of files, dumping and exfiltration of Windows Security event logs, and the use of PowerShell commands executed from the Cobalt Strike beacon. Additionally, the threat actor employed multiple exfiltration techniques, including the use of Rclone and AWS CLI to exfiltrate data from the compromised infrastructure. The deployment of the Dagon Locker ransomware was facilitated through the use of a custom PowerShell script, AWScollector, and a locker module, with a specific PowerShell command run from a domain controller to deploy the ransomware to different systems. The impact of this incident resulted in all systems being affected by the Dagon Locker ransomware. ## References [https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/](https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/) |
Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-04-29 16:05:58 | Faits saillants hebdomadaires, 29 avril 2024 Weekly OSINT Highlights, 29 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse range of cyber threats targeting organizations globally. The articles highlight various attack vectors, including phishing emails with malware payloads (SSLoad, [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)), ransomware variants (KageNoHitobito, DoNex), and mobile banking malware (Brokewell) distributed through fake domain schemes and overlay attacks. Threat actors behind these campaigns range from financially motivated ransomware groups to sophisticated state-sponsored actors like Sandworm ([Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)) and UAT4356 ([Storm-1849](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)). Targetted organizations span Europe, Asia, and the Americas and targetted industries include critical infrastructure and IT. ## Description 1. **[Ongoing FROZEN#SHADOW Phishing Campaign](https://security.microsoft.com/intel-explorer/articles/e39d9bb3)**: The FROZEN#SHADOW campaign utilizes phishing emails to distribute SSLoad malware, alongside [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) and ConnectWise ScreenConnect for extensive persistence and remote access. The victim organizations, predominantly in Europe, Asia, and the Americas, are targeted via JavaScript file downloads and MSI installers connecting to attacker-controlled domains. 2. **[Insights on KageNoHitobito and DoNex Ransomware](https://security.microsoft.com/intel-explorer/articles/ff848e92)**: KageNoHitobito and DoNex are ransomware variants with distinct encryption methods and ransom note presentations. While KageNoHitobito prompts victims to negotiate through a TOR site, DoNex terminates specific services and processes, deletes shadow copies, and may be linked to DarkRace ransomware. 3. **[Brokewell Mobile Banking Malware](https://security.microsoft.com/intel-explorer/articles/99a5deee)**: Brokewell poses a significant threat to the banking industry, utilizing overlay attacks, spyware functionalities, and remote control capabilities to steal credentials and device information. The malware\'s active development and promotion on underground channels indicate a growing interest among cybercriminals targeting different regions. 4. **[Malvertising Campaign Targeting IT Teams with MadMxShell](https://security.microsoft.com/intel-explorer/articles/ffa6ca10)**: A sophisticated threat actor distributes the MadMxShell backdoor through fake domains, using Google Ads to push them to the top of search results. MadMxShell employs complex evasion techniques, including multi-stage injection and DNS tunneling for C2 communication, indicating an interest in targeting IT professionals for unauthorized access. 5. **[ArcaneDoor Campaign by UAT4356 (Storm-1849)](https://security.microsoft.com/intel-explorer/articles/a0cf0328)**: UAT4356 (tracked by Microsoft as [Storm-1949](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)) targets perimeter network devices like Cisco Adaptive Security Appliances (ASA) with backdoors "Line Runner" and "Line Dancer" for reconnaissance and malicious actions. The campaign showcases a state-sponsored actor\'s advanced tradecraft, with deliberate efforts to evade forensics and exploit 0-day vulnerabilities. The initial access vector used in this campaign remains unidentified, but two vulnerabilities ([CVE-2024-20353](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20353/description) and[CVE-2024-20359](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20359/description)) were exploited. 6. **[Kapeka Backdoor Linked to Sandworm (Seashell Blizzard)](https://security.microsoft.com/intel-explorer/articles/364efa92)**: Kapeka (tracked by Microsoft as K | Ransomware Malware Tool Vulnerability Threat Mobile Industrial | ★★★ | |
|
2024-04-26 19:12:08 | Todckat APT Group Honne les tactiques d'expiltration des données, exploite les outils légitimes ToddyCat APT Group Hones Data Exfiltration Tactics, Exploits Legitimate Tools (lien direct) |
#### Targeted Geolocations - Oceania - Southeast Asia - South Asia - East Asia - Central Asia #### Targeted Industries - Government Agencies & Services - Defense ## Snapshot Kaspersky reports the APT group ToddyCat has been observed targeting governmental organizations, particularly defense-related ones in the Asia-Pacific region, with the goal of stealing sensitive information on an industrial scale. ## Description They employ various tools and techniques, including traffic tunneling and the creation of reverse SSH tunnels, to maintain constant access to compromised infrastructure. The attackers utilize disguised OpenSSH private key files, execute scripts to modify folder permissions, create SSH tunnels to redirect network traffic, and employ the SoftEther VPN package to potentially facilitate unauthorized access and data exfiltration. Additionally, they use various files and techniques, such as concealing file purposes, copying files through shared resources, and tunneling to legitimate cloud providers, to gain access to victim hosts and evade detection. The threat actors initially gain access to systems by installing servers, modifying server settings, and utilizing tools like Ngrok and Krong to redirect C2 traffic and create tunnels for unauthorized access. They also employ the FRP client, a data collection tool named "cuthead", and a tool called "WAExp" to search for and collect browser local storage files containing data from the web version of WhatsApp. The attackers demonstrate a sophisticated and evolving approach to data collection and exfiltration, utilizing multiple tools and techniques to achieve their objectives. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentic | Ransomware Spam Malware Tool Threat Industrial Cloud | ★★ | |
|
2024-04-26 17:23:14 | Ransomware Roundup - KageNoHitobito and DoNex (lien direct) | #### Géolocations ciblées - Chili - Chine - Cuba - Allemagne - L'Iran - Lituanie - Pérou - Roumanie - Royaume-Uni - États-Unis - Taïwan - Suède - Belgique - Tchéchie - Italie - Pays-Bas ## Instantané La recherche sur les menaces Fortiguard Labs fournit un aperçu des variantes de ransomware Kagenohitobito et Donex.Kagenohitobito a émergé fin mars 2024 et chiffre les fichiers victimes de victimes, tandis que Donex est un groupe de ransomware à motivation financière qui crypte les fichiers sur les lecteurs locaux et les parts de réseau.Les méthodes d'infiltration initiales utilisées par les acteurs de la menace ne sont pas spécifiées. ## Description Kagenohitobito affiche une note de rançon sur le bureau de la victime et demande aux victimes de visiter un site Tor pour les négociations de rançon, tandis que Donex ajoute un identifiant de victime comme extension de fichier aux fichiers affectés, modifie leurs icônes et met fin aux processus et services spécifiques en tant que services en tant que services spécifiques en tant que servicesSelon le fichier de configuration défini par l'acteur de menace.L'article suggère également une connexion possible entre les ransomwares Donex et DarkRace, car ils partagent des similitudes dans les notes de rançon et les fichiers de configuration.DOTYX est configuré pour supprimer des copies d'ombre, ce qui rend la récupération du fichier difficile. ## Recommandations Étant donné que la majorité des ransomwares sont livrés via le phishing, Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (ReCHECK% 20LINKS% 20ON% 20CLICK).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui s'identifie, qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.miqueCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse Endpoint (EDR)] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_LearnDoc) en mode bloc, de sorte que le défenseur MicrosoftPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctio | Ransomware Malware Tool Threat | ★★ | |
|
2024-04-23 16:31:06 | KAPEKA: Un roman de porte dérobée repérée en Europe de l'Est Kapeka: A Novel Backdoor Spotted in Eastern Europe (lien direct) |
#### Géolocations ciblées
- Ukraine
- Estonie
- L'Europe de l'Est
## Instantané
WithSeCure a publié des recherches sur une porte dérobée appelée "Kapeka", suivie par Microsoft comme "Knuckletouch", utilisée dans les attaques en Europe de l'Est depuis la mi-2022.Kapeka fonctionne comme une porte dérobée polyvalente, offrant à la fois des capacités initiales de boîte à outils et un accès à long terme aux victimes.Sa sophistication suggère une implication par un groupe APT.Withsecure relie Kapeka à Sandworm, suivi par Microsoft en tant que Seashell Blizzard, un groupe de menaces russes de l'État-nation russe associé au GRU connu pour ses attaques destructrices en Ukraine.
**Microsoft tracks Sandworm as Seashell Blizzard.** [Read more about Seashell Blizzard here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)
** Microsoft suit Kapeka comme Knuckletouch.** [En savoir plus sur Knuckletouch ici.] (Https: // sip.security.microsoft.com/intel-profiles/cdbe72d9f5f1ee3b3f8cd4e78a4a07f76addafdcc656aa2234a8051e8415d282)
## Description
Kapeka chevauche WIth Greynergy et Prestige Ransomware Attacks, tous attribués à Sandworm.Withsecure évalue qu'il est probable que Kapeka soit un ajout récent à l'arsenal de Sandworm \\.Le compte-gouttes du malware \\ installe la porte dérobée, collectionne la machine et les informations utilisateur pour l'acteur de menace.Cependant, la méthode de la distribution de Kapeka \\ reste inconnue.
L'émergence de Kapeka \\ coïncide avec le conflit de Russie-Ukraine, suggérant des attaques ciblées à travers l'Europe centrale et orientale depuis 2022. Il peut être impliqué dans le déploiement de ransomware de prestige à la fin de 2022. Kapeka est spéculé pour succéder à Greyenergy dans Sandworm \\Toolkit de, en remplacement éventuellement de BlackEnergy.
## Les références
[https://labs.withsecure.com/publications/kapeka
#### Targeted Geolocations - Ukraine - Estonia - Eastern Europe ## Snapshot WithSecure has published research about a backdoor called "Kapeka," tracked by Microsoft as "KnuckleTouch," used in attacks in Eastern Europe since mid-2022. Kapeka functions as a versatile backdoor, providing both initial toolkit capabilities and long-term access to victims. Its sophistication suggests involvement by an APT group. WithSecure links Kapeka to Sandworm, tracked by Microsoft as Seashell Blizzard, a notorious Russian nation-state threat group associated with the GRU known for destructive attacks in Ukraine. **Microsoft tracks Sandworm as Seashell Blizzard.** [Read more about Seashell Blizzard here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) **Microsoft tracks Kapeka as KnuckleTouch. **[Read more about Knuckletouch here.](https://sip.security.microsoft.com/intel-profiles/cdbe72d9f5f1ee3b3f8cd4e78a4a07f76addafdcc656aa2234a8051e8415d282) ## Description Kapeka overlaps with GreyEnergy and Prestige ransomware attacks, all attributed to Sandworm. WithSecure assesses it\'s likely that Kapeka is a recent addition to Sandworm\'s arsenal. The malware\'s dropper installs the backdoor, collecting machine and user information for the threat actor. However, the method of Kapeka\'s distribution remains unknown. Kapeka\'s emergence coincides with the Russia-Ukraine conflict, suggesting targeted attacks across Central and Eastern Europe since 2022. It may have been involved in the deployment of Prestige ransomware in late 2022. Kapeka is speculated to succeed GreyEnergy in Sandworm\'s toolkit, possibly replacing BlackEnergy. ## References [https://labs.withsecure.com/publications/kapeka](https://labs.withsecure.com/publications/kapeka) |
Ransomware Malware Threat | ★★★ | |
|
2024-04-15 15:15:00 | Faits saillants hebdomadaires, 15 avril 2024 Weekly OSINT Highlights, 15 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend was the increasing use of artificial intelligence (AI) by cybercriminals, including AI-powered malvertising on social media platforms and suspected LLM-generated content in a malware campaign targeting German organizations. Additionally, several OSINT articles reported on the trend of exploiting popular platforms like YouTube and GitHub to distribute malware. Threat actors demonstrate a keen understanding of user behavior, leveraging enticing content and fake webpages to lure victims into downloading malicious payloads, highlighting the importance of proactive defense strategies to mitigate evolving threats effectively. ## Description 1. **[German Organizations Targeted with Rhadamanthys Malware](https://security.microsoft.com/intel-explorer/articles/119bde85):** Proofpoint identifies TA547 launching an email campaign targeting German organizations with Rhadamanthys malware, representing a shift in techniques for the threat actor. The campaign involves impersonating a German retail company in emails containing password-protected ZIP files containing LNK files triggering PowerShell scripts to load Rhadamanthys into memory, bypassing disk writing. The incorporation of suspected LLM-generated content into the attack chain provides insight into how threat actors are leveraging LLM-generated content in malware campaigns. 2. **[Russian-Language Cybercrime Operation Leveraging Fake Web3 Gaming Projects](https://security.microsoft.com/intel-explorer/articles/0cdc08b5):** The Insikt Group uncovers a large-scale Russian-language cybercrime operation distributing infostealer malware through fake Web3 gaming projects targeting both macOS and Windows users. Threat actors entice users with the potential for cryptocurrency earnings, distributing malware like Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys, or RisePro upon visiting imitation Web3 gaming projects\' webpages. 3. **[AI-Powered Malvertising Campaigns on Social Media](https://security.microsoft.com/intel-explorer/articles/1e1b0868):** Bitdefender discusses the use of artificial intelligence (AI) by cybercriminals in malvertising campaigns on social media platforms, impersonating popular AI software to distribute stealers like Rilide, Vidar, IceRAT, and Nova Stealer. These campaigns target European users through fake AI software webpages on Facebook, organized by taking over existing accounts and boosting page popularity through engaging content. 4. **[Exploitation of YouTube Channels for Infostealer Distribution](https://security.microsoft.com/intel-explorer/articles/e9f5e219):** AhnLab identifies a trend where threat actors exploit YouTube channels to distribute Infostealers like Vidar and LummaC2, disguising them as cracked versions of legitimate software. Attackers hijack popular channels with hundreds of thousands of subscribers, distributing malicious links through video descriptions and comments, highlighting concerns about the potential reach and impact of distributed malware. 5. **[VenomRAT Distribution via Phishing Email with Malicious SVG Files](https://security.microsoft.com/intel-explorer/articles/98d69c76):** FortiGuard Labs reveals a threat actor distributing VenomRAT and other plugins through phishing emails containing malicious Scalable Vector Graphics (SVG) files. The email attachment downloads a ZIP file containing an obfuscated Batch file, subsequently loading VenomRAT using ScrubCrypt to maintain a connection with a command and control (C2) server and install plugins on victims\' environments. 6. **[Malware Distribution through GitHub Repositories Manipulation](https://security.microsoft.com/intel-explorer/articles/4d0ffb2c):** Checkmarx reports a cybercriminal attack campaign manipulating GitHub\'s search functionality to distribute malware through repositories. Attackers create repositories with popular names and topics, hiding malicious code withi | Ransomware Spam Malware Tool Threat Prediction | ★★ | |
|
2024-04-08 15:09:15 | Faits saillants hebdomadaires, 8 avril 2024 Weekly OSINT Highlights, 8 April 2024 (lien direct) |
Last week\'s OSINT reporting reveals several key trends emerge in the realm of cybersecurity threats. Firstly, there is a notable diversification and sophistication in attack techniques employed by threat actors, ranging from traditional malware distribution through phishing emails to advanced methods like DLL hijacking and API unhooking for evading detection. Secondly, the threat landscape is characterized by the presence of various actors, including state-sponsored groups like Earth Freybug (a subset of APT41) engaging in cyberespionage and financially motivated attacks, as well as cybercrime actors orchestrating malware campaigns such as Agent Tesla and Rhadamanthys. Thirdly, the targets of these attacks span across different sectors and regions, with organizations in America, Australia, and European countries facing significant threats. Additionally, the emergence of cross-platform malware like DinodasRAT highlights the adaptability of threat actors to target diverse systems, emphasizing the need for robust cybersecurity measures across all platforms. Overall, these trends underscore the dynamic and evolving nature of cyber threats, necessitating continuous vigilance and proactive defense strategies from organizations and cybersecurity professionals. **1. [Latrodectus Loader Malware Overview](https://sip.security.microsoft.com/intel-explorer/articles/b4fe59bf)** Latrodectus is a new downloader malware, distinct from IcedID, designed to download payloads and execute arbitrary commands. It shares characteristics with IcedID, indicating possible common developers. **2. [Earth Freybug Cyberespionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/327771c8)** Earth Freybug, a subset of APT41, engages in cyberespionage and financially motivated attacks since at least 2012. The attack involved sophisticated techniques like DLL hijacking and API unhooking to deploy UNAPIMON, evading detection and enabling malicious commands execution. **3. [Agent Tesla Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/cbdfe243)** Agent Tesla malware targets American and Australian organizations through phishing campaigns aimed at stealing email credentials. Check Point Research identified two connected cybercrime actors behind the operation. **4. [DinodasRAT Linux Version Analysis](https://sip.security.microsoft.com/intel-explorer/articles/57ab8662)** DinodasRAT, associated with the Chinese threat actor LuoYu, is a cross-platform backdoor primarily targeting Linux servers. The latest version introduces advanced evasion capabilities and is installed to gain additional footholds in networks. **5. [Rhadamanthys Information Stealer Malware](https://sip.security.microsoft.com/intel-explorer/articles/bf8b5bc1)** Rhadamanthys utilizes Google Ads tracking to distribute itself, disguising as popular software installers. After installation, it injects into legitimate Windows files for data theft, exploiting users through deceptive ad redirects. **6. [Sophisticated Phishing Email Malware](https://sip.security.microsoft.com/intel-explorer/articles/abfabfa1)** A phishing email campaign employs ZIP file attachments leading to a series of malicious file downloads, culminating in the deployment of PowerShell scripts to gather system information and download further malware. **7. [AceCryptor Cryptors-as-a-Service (CaaS)](https://sip.security.microsoft.com/intel-explorer/articles/e3595388)** AceCryptor is a prevalent cryptor-as-a-service utilized in Rescoms campaigns, particularly in European countries. Threat actors behind these campaigns abuse compromised accounts to send spam emails, aiming to obtain credentials for further attacks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to ge | Ransomware Spam Malware Tool Threat Cloud | APT 41 | ★★★ |
|
2024-04-01 13:51:22 | Faits saillants hebdomadaires, 1er avril 2024 Weekly OSINT Highlights, 1 April 2024 (lien direct) |
Last week\'s OSINT reporting reveals an array of cyber threats marked by sophisticated attack tactics and diverse targets. From malvertising campaigns deploying stealers like Rhadamanthys to the first known attack campaign targeting AI workloads, threat actors exhibit a range of attack vectors targeting both individuals and organizations. Notably, the evolution of malware such as Vultur and StrelaStealer highlights a continual arms race between attackers and defenders, with adversaries demonstrating adaptability and persistence in their pursuit of data theft and system compromise. The targeting of specific platforms like WordPress sites and email clients underscores the threat to online ecosystems, while the widespread impact across industries emphasizes the need for robust cybersecurity measures and constant vigilance against evolving threats. 1. [Go Malvertising Campaign with Rhadamanthys Stealer](https://security.microsoft.com/intel-explorer/articles/e6d270fc): A malvertising campaign had utilized a Go language loader to deploy the Rhadamanthys stealer, targeting users through a fake PuTTY homepage ad at the top of Google search results. The loader, closely linked to the malvertising infrastructure, had retrieved the payload, Rhadamanthys, which had been executed by the parent process PuTTY.exe, indicating a coordinated attack by the same threat actor. 2. [Active Attack Campaign Exploiting Ray Framework Vulnerability](https://security.microsoft.com/intel-explorer/articles/e4cd5bc2): An ongoing active attack campaign had exploited a critical vulnerability in the Ray open-source AI framework, known as ShadowRay (CVE-2023-48022), impacting thousands of companies globally. Attackers had exploited this vulnerability to take control of computing resources, steal sensitive data, and conduct cryptocurrency mining operations, demonstrating the severity of the issue and its widespread impact across industries. 3. [Evolution of Android Banking Malware Vultur](https://security.microsoft.com/intel-explorer/articles/3f7c3599): Authors behind the Android banking malware Vultur had enhanced its capabilities, including remote interaction with victim devices and encryption of C2 communication, showcasing continual development to evade detection and carry out malicious actions with greater sophistication. 4. [Agent Tesla Phishing Email Infection Chain](https://security.microsoft.com/intel-explorer/articles/5ffaa8a4): SpiderLabs had identified a phishing email leading to an infection chain deploying Agent Tesla, utilizing obfuscation, packing techniques, and polymorphic behavior to evade detection and ensure stealthy execution, posing challenges for traditional antivirus systems. 5. [Sign1 Malware Campaign Exploiting WordPress Sites](https://security.microsoft.com/intel-explorer/articles/063f7fac): Sucuri and GoDaddy Infosec had discovered the Sign1 malware campaign infecting over 2,500 WordPress sites, injecting malicious code into custom HTML widgets to redirect visitors to scam sites, demonstrating the threat to website integrity and visitor security. 6. [StrelaStealer Email Client Targeting Malware](https://security.microsoft.com/intel-explorer/articles/82785858): StrelaStealer, a malware targeting email clients to steal login data, had launched large-scale email campaigns impacting over 100 organizations, particularly targeting high-tech industries. The malware\'s evolving infection chain and updated payloads had underscored its adaptability and the challenge it had posed to security analysts and products. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summa | Ransomware Spam Malware Tool Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-03-25 13:28:48 | Faits saillants hebdomadaires, 25 mars 2024 Weekly OSINT Highlights, 25 March 2024 (lien direct) |
La semaine dernière, les rapports OSINT de \\ présentent une gamme de cyber-menaces, des campagnes d'espionnage parrainées par l'État russe par Secret Blizzard à l'infosteller malware comme Formbook et le lecteur Adobe Infosaler, démontrant l'adaptabilité et la persistance entre les acteurs de la menace.Des tactiques trompeuses telles que la typosquat et la distribution de faux logiciels sont utilisées pour le camouflage des activités et ciblent des groupes d'utilisateurs spécifiques, comme on le voit dans le cas du ciblage chinois des moteurs de recherche.De plus, le malvertising basé sur la recherche, notamment avec le malware FakeBat, met en évidence l'abus de sites Web légitimes et de certificats numériques pour échapper aux mesures de sécurité.Dans l'ensemble, ces tendances soulignent la nécessité de mesures de cybersécurité robustes et de l'intelligence continue des menaces pour atténuer efficacement les menaces en évolution. 1. ** [Campagne d'espionnage de Turla] (https://security.microsoft.com/intel-explorer/articles/bf6723e9?): ** Le groupe d'espionnage russe Turla, également connu sous le nom de Blizzard secret par Microsoft, orchestraciblant une ONG européenne, employant des tactiques comme le vol d'information et l'infiltration du réseau.Les activités post-compromises de Turla \\ impliquent le déploiement d'implants comme Tinyturla-ng et la reconnaissance de la reconnaissance, la démonstration de persistance et de furtivité dans leurs opérations. 2. ** [Linux Server RCE Attack] (https://security.microsoft.com/intel-explorer/articles/9b8f807f?): ** Cybereason Security Services rapporte un incident impliquant un serveur Linux exploité via une exécution de code distante (RCE) Vulnérabilité dans Apache ActiveMQ, facilitant le déploiement de VADes charges utiles malveillantes comme Mirai Botnet, Hellokitty Ransomware et Coinminers.Attaquer les méthodologiesClude l'automatisation et les séances interactives via les coquilles inversées de Netcat, mettant en évidence le divers arsenal des acteurs de la menace et leurs tactiques adaptables. 3. ** [Formbook InfoSteller Malware] (https://security.microsoft.com/intel-explorer/articles/7b321c6c?): ** Formbook, un logiciel malveillant infoséaler, présente des capacités avancées comme le suivi de la touche et la capture de l'écran, pendant l'évasion de l'évasion, comme le suivi des touches de touche et la capture d'écran, pendant l'évadisation, toutDétection par des techniques d'obscurcissement et de chiffrement.Les cybercriminels distribuent Formbook par courrier électronique, avec des cas d'utilisation notés lors des conflits géopolitiques, soulignant sa flexibilité et sa menace persistante. 4. ** [Ciblage de moteurs de recherche chinois] (https://security.microsoft.com/intel-explorer/articles/5a806c77?): ** Kaspersky découvre une menace ciblant les utilisateurs chinois via des versions modifiées de rédacteurs de texte populaires distribués via le type typosquattinget d'autres techniques trompeuses, soulignant les acteurs de la menace \\ 'efforts pour imiter les ressources légitimes à des fins malveillantes. 5. ** [Phantomblu Malware Campaign] (https://security.microsoft.com/intel-explorer/articles/356f4d44?): ** Perception Point révèle la campagne Phantomblu ciblant les organisations américaines avec le rat Netsupport, l'utilisation de la campagne avancée AdvanceLes tactiques d'évasion comme la manipulation des modèles OLE et l'ingénierie sociale pour compromettre efficacement les systèmes, présentant une évolution des stratégies de livraison de logiciels malveillants mélangeant l'évasion et l'ingénierie sociale. 6. ** [Surge malvertising basé sur la recherche] (https://security.microsoft.com/intel-explorer/articles/7cc81ecb?): ** MalwareBytes rapporte une augmentation des incidents malvertisons basés sur la recherche, impliquant notamment le malware FakeBat malveillant FakeBat.Distribué par le biais des installateurs de MSIX avec le code PowerShell obsc | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-03-21 20:17:15 | Beware of the Messengers, Exploiting ActiveMQ Vulnerability (lien direct) | #### Description
Cybereason Security Services a publié un rapport d'analyse des menaces sur un incident impliquant un serveur Linux qui a vu des exécutions de shell malveillant à partir d'un processus Java exécutant Apache ActiveMQ.Le service ActiveMQ est un courtier de messages open source utilisé pour rejeter les communications à partir de serveurs séparés exécutant différents composants et / ou écrits dans différentes langues.L'activité est fortement évaluée pour avoir mis à profit une vulnérabilité à distance d'exécution de code (RCE) CVE-2023-46604.
Les exécutions de shell observées incluent les tentatives de téléchargement des charges utiles supplémentaires telles que les exécutables de MiraiBotnet, Hellokitty Ransomware, Sparkrat Executables et Coinminers, y compris XMRIG.Les méthodologies de déploiementemployez principalement l'automatisation;Cependant, une étape initiale dépend d'une session interactive via des coquilles inversées NetCAT.
> [Consultez la rédaction de Microsoft \\ sur CVE-2023-46604 - Apache ActiveMQ ici.] (Https://sip.security.microsoft.com/intel-profiles/cve-2023-46604)
#### URL de référence (s)
1. https://www.cybereason.com/blog/beware-of-the-messengers-expoiting-activemq-vulnerabilité
#### Date de publication
13 mars 2024
#### Auteurs)
Équipe de services de sécurité de la cyberéasie
#### Description Cybereason Security Services has issued a Threat Analysis Report on an incident involving a Linux server that saw malicious shell executions from a Java process running Apache ActiveMQ. The ActiveMQ service is an open-source message broker used to bridge communications from separate servers running different components and/or written in different languages. The activity is strongly assessed to have leveraged a Remote Code Execution (RCE) vulnerability CVE-2023-46604. The observed shell executions include attempts to download additional payloads such as executables of Mirai Botnet, HelloKitty Ransomware, SparkRAT executables, and coinminers including XMRig. The deployment methodologies mainly employ automation; however, one initial foothold is dependent on an interactive session via Netcat reverse shells. > [Check out Microsoft\'s write-up on CVE-2023-46604 - Apache ActiveMQ here.](https://sip.security.microsoft.com/intel-profiles/CVE-2023-46604) #### Reference URL(s) 1. https://www.cybereason.com/blog/beware-of-the-messengers-exploiting-activemq-vulnerability #### Publication Date March 13, 2024 #### Author(s) Cybereason Security Services Team |
Ransomware Vulnerability Threat | ★★ | |
|
2024-03-18 13:23:03 | Faits saillants hebdomadaires OSINT, 18 mars 2024 Weekly OSINT Highlights, 18 March 2024 (lien direct) |
## Weekly OSINT Highlights, 18 March 2024 Last week\'s OSINT reporting revealed a common theme: cyberattacks targeting specific user groups are becoming more sophisticated. Take, for instance, the Notion installer malware, which dupes users by posing as a legitimate software installer, showcasing adept social engineering. Similarly, the BIPClip campaign demonstrates a highly targeted approach towards developers involved in cryptocurrency projects, with the threat actors leveraging multiple open-source packages to steal sensitive mnemonic phrases. Despite distinct attack methods, both instances underscore threat actors\' adaptability in tailoring attacks to their targets. Additionally, the analysis highlights a growing trend where attackers focus on specific sectors or user demographics, indicating a shift towards more targeted and stealthy cyber threats rather than indiscriminate attacks. This trend underscores the importance of user vigilance and the necessity for industry-specific cybersecurity measures to mitigate evolving risks. 1. **[Notion Installer Malware](https://security.microsoft.com/intel-explorer/articles/f21ac4ec?):** A new MSIX malware posing as the Notion installer is distributed through a fake website resembling the official Notion homepage. The malware, signed with a valid certificate, infects Windows PCs when users attempt to install Notion, compromising their systems with malware. 2. **[BIPClip Crypto Wallet Theft Campaign](https://security.microsoft.com/intel-explorer/articles/21aa5484?):** ReversingLabs uncovered the BIPClip campaign, which utilizes seven open-source packages across 19 versions from PyPI to steal mnemonic phrases for crypto wallet recovery. The campaign targets developers involved in cryptocurrency wallet projects, particularly those implementing Bitcoin Improvement Proposal 39 (BIP39), and employs sophisticated methods to avoid detection. The BIPClip campaign underscores how crypto assets are one of the most popular targets of cybercriminal groups and other threat actors, such as North Korean APTs. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Tool Profile: [Information stealers](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) - [Financially motivated threat actors misusing App Installer](https://security.microsoft.com/intel-explorer/articles/74368091?) ## Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-sec | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
|
2024-03-11 13:43:18 | Faits saillants hebdomadaires OSINT, 11 mars 2024 Weekly OSINT Highlights, 11 March 2024 (lien direct) |
## Weekly OSINT Highlights, 11 March 2024 The OSINT reporting last week underscores several prevalent trends in cyber threats. Firstly, ransomware continues to be a significant threat, with groups like GhostSec conducting double extortion attacks and offering RaaS programs, while threat actors like SocGholish exploit vulnerabilities in web platforms like WordPress. Additionally, phishing remains a persistent tactic, exemplified by the discovery of the CryptoChameleon kit targeting cryptocurrency platforms and governmental agencies. Furthermore, attackers are targeting misconfigured servers and leveraging 1-day vulnerabilities to conduct various malicious activities, from cryptocurrency mining to unauthorized data collection. These trends emphasize the evolving tactics and motivations of cyber threat actors, highlighting the need for robust cybersecurity measures and vigilance across various sectors and platforms. 1. **[SocGholish Malware Targeting WordPress](https://security.microsoft.com/intel-explorer/articles/0218512b?)**: WordPress websites are targeted by SocGholish malware, initiating with a JavaScript malware framework and leading to potential ransomware infections, often through compromised administrator accounts. 2. **[GhostSec Ransomware Activities Surge](https://security.microsoft.com/intel-explorer/articles/ee5a4e56?)**: GhostSec, a financially motivated hacking group, collaborates with Stormous ransomware in double extortion attacks across various business verticals, offering a ransomware-as-a-service (RaaS) program, with a surge in activities observed recently. 3. **[CryptoChameleon Phishing Kit](https://security.microsoft.com/intel-explorer/articles/9227be0c?)**: Lookout uncovers the CryptoChameleon phishing kit, adept at stealing sensitive data from cryptocurrency platforms and the FCC, utilizing custom single sign-on (SSO) pages and SMS lures, primarily targeting victims in the United States. Notably, the kit includes an administrative console to monitor phishing attempts and offers customized redirections based on victims\' responses, with an emphasis on mimicking authentic MFA processes. 4. **[Malware Campaign Targeting Misconfigured Servers](https://security.microsoft.com/intel-explorer/articles/68797fe5?)**: Cado Security Labs discovers a malware campaign targeting misconfigured servers, leveraging unique payloads and exploiting n-day vulnerabilities for Remote Code Execution (RCE) attacks and cryptocurrency mining. 5. **[Earth Kapre Espionage Group](https://security.microsoft.com/intel-explorer/articles/d2d46a48?)**: Trend Micro exposes the Earth Kapre espionage group, conducting phishing campaigns across multiple countries, with malicious attachments leading to unauthorized data collection and transmission to command-and-control (C&C) servers. 6. **[Magnet Goblin Exploiting 1-Day Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/11616c16?)**: Check Point identifies Magnet Goblin\'s financially motivated attacks, rapidly adopting 1-day vulnerabilities, particularly targeting Ivanti Connect Secure VPN, with a diverse arsenal including a Linux version of NerbianRAT and JavaScript credential stealers. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) - [Cryptojacking: Understanding and defending against cloud compute resource abuse](https://www.microsoft.com/en-us/security/blog/2023/07/25/cryptojacking-understanding-and-defending-against-cloud-compute-resource-abuse/) Microsoft customers can use the following reports in Mi | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★★ | |
|
2024-03-06 01:05:06 | Faits saillants hebdomadaires d'osint, 4 mars 2024 Weekly OSINT Highlights, 4 March 2024 (lien direct) |
## Weekly OSINT Highlights, 4 March 2024 Ransomware loomed large in cyber security research news this week, with our curated OSINT featuring research on Abyss Locker, BlackCat, and Phobos. Phishing attacks, information stealers, and spyware are also in the mix, highlighting the notable diversity in the cyber threat landscape. The OSINT reporting this week showcases the evolving tactics of threat actors, with operators increasingly employing multifaceted strategies across different operating systems. Further, the targets of these attacks span a wide range, from civil society figures targeted by spyware in the Middle East and North Africa to state and local governments victimized by ransomware. The prevalence of attacks on sectors like healthcare underscores the significant impact on critical infrastructure and the potential for substantial financial gain through ransom payments. 1. [**Abyss Locker Ransomware Evolution and Tactics**](https://ti.defender.microsoft.com/articles/fc80abff): Abyss Locker ransomware, derived from HelloKitty, exfiltrates victim data before encryption and targets Windows systems, with a subsequent Linux variant observed. Its capabilities include deleting backups and employing different tactics for virtual machines, indicating a growing sophistication in ransomware attacks. 2. [**ALPHV Blackcat Ransomware-as-a-Service (RaaS)**:](https://ti.defender.microsoft.com/articles/b85e83eb) The FBI and CISA warn of ALPHV Blackcat RaaS, which targets multiple sectors, particularly healthcare. Recent updates to ALPHV Blackcat include improved defense evasion, encryption capabilities for Windows and Linux, reflecting the increasing sophistication in ransomware operations. 3. [**Phobos RaaS Model**](https://ti.defender.microsoft.com/articles/ad1bfcb4): Phobos ransomware, operating as a RaaS model, frequently targets state and local governments. Its use of accessible open-source tools enhances its popularity among threat actors, emphasizing the ease of deployment and customization for various environments. 4. [**TimbreStealer Phishing Campaign**](https://ti.defender.microsoft.com/articles/b61544ba): Talos identifies a phishing campaign distributing TimbreStealer, an information stealer disguised as Mexican tax-related themes. The threat actor was previously associated with banking trojans, underscoring the adaptability and persistence of malicious actors. 5. [**Nood RAT Malware Features and Stealth**](https://ti.defender.microsoft.com/articles/cc509147): ASEC uncovers Nood RAT, a Linux-based variant of Gh0st RAT, equipped with encryption and disguised as legitimate software. The malware\'s flexibility in binary creation and process naming underscores the threat actor\'s intent to evade detection and carry out malicious activities with sophistication. 6. [**Predator Spyware Infrastructure and Targeting**](https://ti.defender.microsoft.com/articles/7287eb1b): The Insikt Group\'s discovery highlights the widespread use of Predator spyware, primarily targeting journalists, politicians, and activists in various countries. Despite its purported use for counterterrorism and law enforcement, Predator is employed by threat actors outside these contexts, posing significant privacy and safety risks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following | Ransomware Spam Malware Tool Threat Legislation Medical | ★★★★ | |
|
2024-03-05 20:46:20 | Le fonctionnement conjoint des ransomwares et l'évolution de leur arsenal GhostSec\\'s Joint Ransomware Operation and Evolution of their Arsenal (lien direct) |
#### Description
Cisco Talos a observé une augmentation de GhostSec, des activités malveillantes d'un groupe de piratage depuis l'année dernière.
GhostSec, un groupe de piratage à motivation financière, a été observé menant des attaques de ransomwares à double extorsion contre diverses verticales commerciales dans plusieurs pays.Le groupe a évolué avec un nouveau Ransomware Ghostlocker 2.0, une variante Golang du Ransomware Ghostlocker.Les groupes GhostSec et Stormous Ransomware mènent conjointement ces attaques et ont lancé un nouveau programme Ransomware-as-a-Service (RAAS) STMX_GHOSTLOCKER, offrant diverses options pour leurs affiliés.Les groupes GhostSec et Stormous Ransomware ont conjointement mené des attaques de ransomware à double extorsion ciblant les victimes dans divers secteurs d'activité dans plusieurs pays.
Talos a également découvert deux nouveaux outils dans l'arsenal de GhostSec \\, le "GhostSec Deep Scan Tool" et "Ghostpresser", tous deux utilisés dans les attaques contre les sites Web GhostSec sont restés actifs depuis l'année dernière et ont mené plusieurs déni de-Service (DOS) attaque et aLes sites Web des victimes ont été retirées.
#### URL de référence (s)
1. https://blog.talosintelligence.com/ghostec-ghostlocker2-ransomware/
#### Date de publication
5 mars 2024
#### Auteurs)
Chetan Raghuprasad
#### Description Cisco Talos observed a surge in GhostSec, a hacking group\'s malicious activities since this past year. GhostSec, a financially motivated hacking group, has been observed conducting double extortion ransomware attacks on various business verticals in multiple countries. The group has evolved with a new GhostLocker 2.0 ransomware, a Golang variant of the GhostLocker ransomware. GhostSec and Stormous ransomware groups are jointly conducting these attacks and have started a new ransomware-as-a-service (RaaS) program STMX_GhostLocker, providing various options for their affiliates. GhostSec and Stormous ransomware groups have jointly conducted double extortion ransomware attacks targeting victims across various business verticals in multiple countries. Talos also discovered two new tools in GhostSec\'s arsenal, the "GhostSec Deep Scan tool" and "GhostPresser," both likely being used in the attacks against websites GhostSec has remained active since last year and has conducted several denial-of-service (DoS) attacks and has taken down victims\' websites. #### Reference URL(s) 1. https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/ #### Publication Date March 5, 2024 #### Author(s) Chetan Raghuprasad |
Ransomware Tool | ★★★ | |
|
2024-03-05 19:03:47 | Rester en avance sur les acteurs de la menace à l'ère de l'IA Staying ahead of threat actors in the age of AI (lien direct) |
## Snapshot Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI\'s blog on the research [here](https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors). Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors\' usage of AI. However, Microsoft and our partners continue to study this landscape closely. The objective of Microsoft\'s partnership with OpenAI, including the release of this research, is to ensure the safe and responsible use of AI technologies like ChatGPT, upholding the highest standards of ethical application to protect the community from potential misuse. As part of this commitment, we have taken measures to disrupt assets and accounts associated with threat actors, improve the protection of OpenAI LLM technology and users from attack or abuse, and shape the guardrails and safety mechanisms around our models. In addition, we are also deeply committed to using generative AI to disrupt threat actors and leverage the power of new tools, including [Microsoft Copilot for Security](https://www.microsoft.com/security/business/ai-machine-learning/microsoft-security-copilot), to elevate defenders everywhere. ## Activity Overview ### **A principled approach to detecting and blocking threat actors** The progress of technology creates a demand for strong cybersecurity and safety measures. For example, the White House\'s Executive Order on AI requires rigorous safety testing and government supervision for AI systems that have major impacts on national and economic security or public health and safety. Our actions enhancing the safeguards of our AI models and partnering with our ecosystem on the safe creation, implementation, and use of these models align with the Executive Order\'s request for comprehensive AI safety and security standards. In line with Microsoft\'s leadership across AI and cybersecurity, today we are announcing principles shaping Microsoft\'s policy and actions mitigating the risks associated with the use of our AI tools and APIs by nation-state advanced persistent threats (APTs), advanced persistent manipulators (APMs), and cybercriminal syndicates we track. These principles include: - **Identification and action against malicious threat actors\' use:** Upon detection of the use of any Microsoft AI application programming interfaces (APIs), services, or systems by an identified malicious threat actor, including nation-state APT or APM, or the cybercrime syndicates we track, Microsoft will take appropriate action to disrupt their activities, such as disabling the accounts used, terminating services, or limiting access to resources. - **Notification to other AI service providers:** When we detect a threat actor\'s use of another service provider\'s AI, AI APIs, services, and/or systems, Microsoft will promptly notify the service provider and share relevant data. This enables the service provider to independently verify our findings and take action in accordance with their own policies. - **Collaboration with other stakeholders:** Microsoft will collaborate with other stakeholders to regularly exchange information a | Ransomware Malware Tool Vulnerability Threat Studies Medical Technical | APT 28 ChatGPT APT 4 | ★★ |
|
2024-03-04 20:21:51 | Une nouvelle vague d'infections de Socgholish imite les plugins WordPress New Wave of SocGholish Infections Impersonates WordPress Plugins (lien direct) |
#### Description
Une nouvelle vague d'infections de logiciels malveillants SocGholish a été identifiée, ciblant les sites Web WordPress.La campagne malveillante tire parti d'un cadre de logiciel malveillant JavaScript qui est utilisé depuis au moins 2017. Le malware tente de inciter les utilisateurs sans méfiance à télécharger ce qui est en fait un Trojan (rat) d'accès à distance sur leurs ordinateurs, qui est souvent la première étape d'un ransomware à distanceinfection.Les sites infectés ont été compromis via des comptes d'administrateur WP-Admin piratés.
#### URL de référence (s)
1. https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html
#### Date de publication
1er mars 2024
#### Auteurs)
Ben Martin
#### Description A new wave of SocGholish malware infections has been identified, targeting WordPress websites. The malware campaign leverages a JavaScript malware framework that has been in use since at least 2017. The malware attempts to trick unsuspecting users into downloading what is actually a Remote Access Trojan (RAT) onto their computers, which is often the first stage in a ransomware infection. The infected sites were compromised through hacked wp-admin administrator accounts. #### Reference URL(s) 1. https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html #### Publication Date March 1, 2024 #### Author(s) Ben Martin |
Ransomware Malware | ★★ | |
|
2024-02-29 20:16:44 | #Hundredprees: Phobos tient #StopRansomware: Phobos Ransomware (lien direct) |
#### Description
Phobos est structuré comme un modèle ransomware en tant que service (RAAS).Depuis mai 2019, des incidents de ransomware de phobos ayant un impact sur les gouvernements de l'État, du local, des tribus et territoriaux (SLTT) ont été régulièrement signalés au MS-ISAC.Phobos Ransomware fonctionne en conjonction avec divers outils open source tels que SmokeLoader, Cobalt Strike et Bloodhound.Ces outils sont tous largement accessibles et faciles à utiliser dans divers environnements d'exploitation, ce qui en fait (et les variantes associées) un choix populaire pour de nombreux acteurs de menace.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a
#### Date de publication
26 février 2024
#### Auteurs)
Cisa
#### Description Phobos is structured as a ransomware-as-a-service (RaaS) model. Since May 2019, Phobos ransomware incidents impacting state, local, tribal, and territorial (SLTT) governments have been regularly reported to the MS-ISAC. Phobos ransomware operates in conjunction with various open source tools such as Smokeloader, Cobalt Strike, and Bloodhound. These tools are all widely accessible and easy to use in various operating environments, making it (and associated variants) a popular choice for many threat actors. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a #### Publication Date February 26, 2024 #### Author(s) CISA |
Ransomware Tool Threat | ★★ | |
|
2024-02-28 18:15:21 | #Stopransomware: alphv Blackcat (lien direct) | #### Description
Le Federal Bureau of Investigation (FBI) et l'Agence de sécurité de la cybersécurité et des infrastructures (CISA) publient cette CSA conjointe pour diffuser les CIO connues et les TTP associés au Ransomware BlackCat AlphV comme service (RAAS) identifié par le biais d'enquêtes du FBI comme récemment en février 2024.
Ce conseil fournit des mises à jour des indicateurs de compromis BlackCat / AlphV du FBI Flash sur le 19 avril 2022, et à cet avis publié le 19 décembre 2023.compromis initial.Depuis la mi-décembre 2023, sur près de 70 victimes divulguées, le secteur des soins de santé a été le plus couramment victime.Ceci est probablement en réponse au poste d'administrateur BlackCat Alphv \\ en encourageant ses affiliés à cibler les hôpitaux après une action opérationnelle contre le groupe et ses infrastructures début décembre 2023.
En février 2023, les administrateurs d'ALPHV BlackCat ont annoncé la mise à jour SPHYNX ALPHV BLACKCAT RANSOMWAYAGE 2.0, qui a été réécrite pour fournir des fonctionnalités supplémentaires aux affiliés, tels qu'une meilleure évasion de défense et des outils supplémentaires.Cette mise à jour BlackCat Alphv a la capacité de crypter les appareils Windows et Linux et les instances VMware.Les affiliés ALPHV Blackcat ont des réseaux et une expérience étendus avec les opérations de ransomware et d'extorsion de données.Selon le FBI, en septembre 2023, les affiliés de Blackcat Alphv ont compromis plus de 1000 entités dont 75% sont aux États-Unis et environ 250 à l'extérieur des États-Unis - ont demandé plus de 500 millions de dollars et ont reçu près de 300 millions de dollars de rançonPaiements.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a
#### Date de publication
19 décembre 2023
#### Auteurs)
Cisa
#### Description The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint CSA to disseminate known IOCs and TTPs associated with the ALPHV Blackcat ransomware as a service (RaaS) identified through FBI investigations as recently as February 2024. This advisory provides updates to the FBI FLASH BlackCat/ALPHV Ransomware Indicators of Compromise released April 19, 2022, and to this advisory released December 19, 2023. ALPHV Blackcat actors have since employed improvised communication methods by creating victim-specific emails to notify of the initial compromise. Since mid-December 2023, of the nearly 70 leaked victims, the healthcare sector has been the most commonly victimized. This is likely in response to the ALPHV Blackcat administrator\'s post encouraging its affiliates to target hospitals after operational action against the group and its infrastructure in early December 2023.. In February 2023, ALPHV Blackcat administrators announced the ALPHV Blackcat Ransomware 2.0 Sphynx update, which was rewritten to provide additional features to affiliates, such as better defense evasion and additional tooling. This ALPHV Blackcat update has the capability to encrypt both Windows and Linux devices, and VMWare instances. ALPHV Blackcat affiliates have extensive networks and experience with ransomware and data extortion operations. According to the FBI, as of September 2023, ALPHV Blackcat affiliates have compromised over 1000 entities-nearly 75 percent of which are in the United States and approximately 250 outside the United States-, demanded over $500 million, and received nearly $300 million in ransom payments. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a #### Publication Date December 19, 2023 #### Author(s) CISA |
Ransomware | ★★★ | |
|
2024-02-27 22:38:36 | Ransomware Roundup – Abyss Locker (lien direct) | #### Description
Bien qu'il ait été soumis pour la première fois à un service de numérisation de fichiers accessible au public en juillet 2023, la première variante du ransomware ABYSS Locker peut avoir été originaire encore plus tôt en raison de sa fondation sur le code source du ransomware Hellokitty.Début janvier 2024, les chercheurs ont découvert une variante de version 1 ciblant les systèmes Windows, suivis d'une version ultérieure de la version 2 plus tard ce mois-ci.
L'acteur Abyss Locker Threat adopte une stratégie d'exfiltration de données sur les victimes avant de déployer le ransomware pour le chiffrement des fichiers, avec des capacités supplémentaires, notamment la suppression de copies fantômes de volume et les sauvegardes du système.De plus, une variante Linux de ABYSS Locker a été observée, qui utilise différentes tactiques telles que le ciblage des machines virtuelles et crypter des fichiers avec une extension ".crypt".
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/ransomware-wounup-abyss-locker
#### Date de publication
26 février 2024
#### Auteurs)
Shunichi imano
Fred Gutierrez
#### Description Despite being first submitted to a publicly available file scanning service in July 2023, the earliest variant of the Abyss Locker ransomware may have originated even earlier due to its foundation on the HelloKitty ransomware source code. In early January 2024, researchers uncovered a version 1 variant targeting Windows systems, followed by a subsequent version 2 release later that month. The Abyss Locker threat actor adopts a strategy of exfiltrating victims\' data before deploying the ransomware for file encryption, with additional capabilities including the deletion of Volume Shadow Copies and system backups. Additionally, a Linux variant of Abyss Locker has been observed, which employs different tactics such as targeting virtual machines and encrypting files with a ".crypt" extension. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker #### Publication Date February 26, 2024 #### Author(s) Shunichi Imano Fred Gutierrez |
Ransomware Threat | ★★ | |
|
2024-02-20 21:35:38 | Alpha Ransomware émerge des cendres Netwalker Alpha Ransomware Emerges from NetWalker Ashes (lien direct) |
#### Description
Alpha, un nouveau ransomware qui est apparu pour la première fois en février 2023 a intensifié ses activités ces dernières semaines et ressemble fortement aux ransomwares de Netwalker désormais disparus qui ont disparu en janvier 2021. L'analyse d'Alpha révèle des parallèles importants avec Netwalker, y compris l'utilisation d'une puissance similaire baséechargeur et code de code.Alors qu'Alpha est initialement resté peu profond après son apparition en février 2023, les attaques récentes indiquent une augmentation des opérations, y compris le déploiement d'un site de fuite de données et l'utilisation d'outils de vie comme TaskKill et Psexec.Les similitudes entre Alpha et Netwalker suggèrent un renouveau potentiel de l'ancienne opération de ransomware par les développeurs originaux ou l'acquisition et la modification de la charge utile Netwalker par les nouveaux attaquants.
#### URL de référence (s)
1. https://symantec-enterprise-blogs.security.com/blogs/thereat-intelligence/alpha-netwalker-ransomware
2. https://gbhackers.com/alpha-ransomware-livingof-fthe-land/
#### Date de publication
16 février 2024
#### Auteurs)
Équipe de chasseurs de menace symantec
#### Description Alpha, a new ransomware that first appeared in February 2023 has intensified its activities in recent weeks and strongly resembles the now defunct NetWalker ransomware that vanished in January 2021. Analysis of Alpha reveals significant parallels with NetWalker, including the use of a similar PowerShell-based loader and code overlap. While Alpha initially remained low-profile after its appearance in February 2023, recent attacks indicate a surge in operations, including the deployment of a data leak site and the utilization of living-off-the-land tools like Taskkill and PsExec. The similarities between Alpha and NetWalker suggest a potential revival of the old ransomware operation by original developers or the acquisition and modification of the NetWalker payload by new attackers. #### Reference URL(s) 1. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware 2. https://gbhackers.com/alpha-ransomware-living-off-the-land/ #### Publication Date February 16, 2024 #### Author(s) Symantec Threat Hunter Team |
Ransomware Tool Threat | ★★★ | |
|
2024-02-15 18:48:58 | Bumblebee bourdonne en noir |Point de preuve nous Bumblebee Buzzes Back in Black | Proofpoint US (lien direct) |
#### Description
Les chercheurs de Proofpoint ont découvert le retour du malware de Bumblebee le 8 février 2024, marquant sa réapparition après quatre mois d'absence de leurs données de menace.
Bumblebee, un téléchargeur sophistiqué utilisé par divers groupes de cybercrimins, a refait surface dans une campagne ciblant les organisations américaines via des e-mails avec des URL OneDrive contenant des fichiers Word se présentant comme des messages vocaux de "info @ Quarlesaa [.] Com".Ces documents de mots, l'identité de la société d'électronique Humane, ont utilisé des macros pour exécuter des scripts et télécharger des charges utiles malveillantes à partir de serveurs distants.La chaîne d'attaque, utilisant notamment des documents macro-compatibles VBA, contraste avec les tendances récentes des cyber-menaces, où ces macros étaient moins couramment utilisées.Malgré l'absence d'attribution à un acteur de menace spécifique, Proofpoint prévient le potentiel de Bumblebee en tant que point d'accès initial pour les attaques de ransomware ultérieures.La résurgence de Bumblebee s'aligne sur une tendance plus large de l'augmentation de l'activité cybercriminale observée en 2024, marquée par le retour de plusieurs acteurs de menace et des souches de logiciels malveillants après des périodes de dormance prolongées, indiquant une augmentation des cybermenaces après une baisse temporaire.
#### URL de référence (s)
1. https://www.proalpoint.com/us/blog/thereat-insight/bumblebee-buzzes-back-black
#### Date de publication
12 février 2024
#### Auteurs)
Axel f
Selena Larson
Équipe de recherche sur les menaces de preuve
#### Description Proofpoint researchers discovered the return of the Bumblebee malware on February 8, 2024, marking its reappearance after four months of absence from their threat data. Bumblebee, a sophisticated downloader utilized by various cybercriminal groups, resurfaced in a campaign targeting US organizations through emails with OneDrive URLs containing Word files posing as voicemail messages from "info@quarlesaa[.]com". These Word documents, impersonating the electronics company Humane, utilized macros to execute scripts and download malicious payloads from remote servers. The attack chain, notably employing VBA macro-enabled documents, contrasts with recent trends in cyber threats, where such macros were less commonly used. Despite the absence of attribution to a specific threat actor, Proofpoint warns of Bumblebee\'s potential as an initial access point for subsequent ransomware attacks. The resurgence of Bumblebee aligns with a broader trend of increased cybercriminal activity observed in 2024, marked by the return of several threat actors and malware strains after prolonged periods of dormancy, indicating a surge in cyber threats following a temporary decline. #### Reference URL(s) 1. https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black #### Publication Date February 12, 2024 #### Author(s) Axel F Selena Larson Proofpoint Threat Research Team |
Ransomware Malware Threat Prediction | ★★ | |
|
2024-02-01 21:40:33 | Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct) | #### Description
AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware.
The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors.
#### Reference URL(s)
1. https://asec.ahnlab.com/en/61000/
#### Publication Date
January 29, 2024
#### Author(s)
Sanseo
#### Description AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors. #### Reference URL(s) 1. https://asec.ahnlab.com/en/61000/ #### Publication Date January 29, 2024 #### Author(s) Sanseo |
Ransomware Malware Threat | ★★★ | |
|
2024-01-25 20:18:28 | Kasseika Ransomware déploie BYOVD ATTAQUES ABUS Psexec et exploite le pilote Martini Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver (lien direct) |
#### Description
L'opération de ransomware nommée \\ 'Kasseika \' a adopté Bring vos propres tactiques de pilote vulnérable (BYOVD) pour désactiver le logiciel antivirus avant de crypter des fichiers.
Kasseika exploite le pilote Martini, qui fait partie du système d'agent Virtt Soft \\ de TG Soft, pour désactiver les produits antivirus protégeant le système ciblé.Trend Micro a découvert Kasseika en décembre 2023, notant ses similitudes avec Blackmatter, suggérant qu'il pourrait avoir été construit par d'anciens membres ou acteurs qui ont acheté le code de Blackmatter \\.L'attaque commence par un e-mail de phishing, volant des informations d'identification pour l'accès initial, suivie de l'outil d'abus de Psexec Windows pour le mouvement latéral.Kasseika utilise des attaques BYOVD pour gagner des privilèges, résilier les processus antivirus et exécuter son ransomware binaire, exigeant une rançon de Bitcoin et offrant aux victimes une option de décryptage dans les 120 heures.
#### URL de référence (s)
1. https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attades-abuses-psexec-and-expl.html
#### Date de publication
25 janvier 2024
#### Auteurs)
Chercheurs Trendmicro
#### Description The ransomware operation named \'Kasseika\' has adopted Bring Your Own Vulnerable Driver (BYOVD) tactics to disable antivirus software before encrypting files. Kasseika exploits the Martini driver, part of TG Soft\'s VirtIT Agent System, to disable antivirus products protecting the targeted system. Trend Micro discovered Kasseika in December 2023, noting its similarities with BlackMatter, suggesting it may have been built by former members or actors who purchased BlackMatter\'s code. The attack begins with a phishing email, stealing credentials for initial access, followed by the abuse of Windows PsExec tool for lateral movement. Kasseika utilizes BYOVD attacks to gain privileges, terminate antivirus processes, and execute its ransomware binary, demanding a Bitcoin ransom and providing victims with a decryption option within 120 hours. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html #### Publication Date January 25, 2024 #### Author(s) TrendMicro Researchers |
Ransomware Tool Prediction | ★★★ | |
|
2024-01-24 20:59:31 | Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct) | #### Description
Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités pour installer des logiciels malveillants.MIMO, également surnommé HezB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022.
L'acteur MIMO Threat a installé divers logiciels malveillants, notamment MIMUS Ransomware, Proxyware et Inverse Shell MALWWare, en plus du mimo de mineur.La majorité des attaques de l'acteur de menace de MIMO ont été des cas qui utilisent XMRIG Coinmin, mais des cas d'attaque par ransomware ont également été observés en 2023.
Le ransomware Mimus a été installé avec le malware par lots et a été fabriqué sur la base du code source révélé sur GitHub par le développeur «Mauri870» qui a développé les codes à des fins de recherche.Le ransomware a été développé en Go, et l'acteur de menace l'a utilisé pour développer des ransomwares et l'a nommé Mimus Ransomware.MIMUS Ransomware n'a pas de différences particulières par rapport au code source de Mauricrypt \\.Seule l'adresse C&C de l'acteur de menace, l'adresse du portefeuille, l'adresse e-mail et d'autres données de configuration ont été modifiées.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60440/
#### Date de publication
17 janvier 2024
#### Auteurs)
Sanseo
#### Description AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. The Mimo threat actor has installed various malware, including Mimus ransomware, proxyware, and reverse shell malware, besides the Mimo miner. The majority of the Mimo threat actor\'s attacks have been cases that use XMRig CoinMiner, but ransomware attack cases were also observed in 2023. The Mimus ransomware was installed with the Batch malware and was made based on the source code revealed on GitHub by the developer “mauri870” who developed the codes for research purposes. The ransomware was developed in Go, and the threat actor used this to develop ransomware and named it Mimus ransomware. Mimus ransomware does not have any particular differences when compared to MauriCrypt\'s source code. Only the threat actor\'s C&C address, wallet address, email address, and other configuration data were changed. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60440/ #### Publication Date January 17, 2024 #### Author(s) Sanseo |
Ransomware Malware Vulnerability Threat | ★★ | |
|
2024-01-18 20:46:31 | LockBit Ransomware Distributed Via Word Files Disguised as Resumes (lien direct) | #### Description
AHNLAB Security Intelligence Center (ASEC) a identifié que Lockbit Ransomware est distribué via des fichiers Word depuis le mois dernier.Le ransomware est téléchargé à partir d'URL externes lorsque le fichier Word est exécuté, et le fichier de document a un code macro malveillant supplémentaire.Le ransomware est finalement exécuté pour télécharger et exécuter les ransomwares de verrouillage.Les noms de fichiers récemment découverts des fichiers Word malveillants sont déguisés en curriculum vitae et les URL externes identifiées sont incluses dans le fichier Word interne.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60633/
#### Date de publication
17 janvier 2024
#### Auteurs)
Yeeun
#### Description AhnLab SEcurity intelligence Center (ASEC) has identified that LockBit ransomware is being distributed via Word files since last month. The ransomware is downloaded from external URLs when the Word file is run, and the document file has additional malicious macro code. The ransomware is ultimately run to download and execute LockBit ransomware. The recently discovered file names of malicious Word files are disguised as resumes, and the identified external URLs are included in the internal Word file. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60633/ #### Publication Date January 17, 2024 #### Author(s) Yeeun |
Ransomware | ★★ | |
|
2024-01-10 21:33:16 | Black Basta-Affiliated Water Curupira\'s Pikabot Spam Campaign (lien direct) | #### Description
L'ensemble d'intrusion Water Curupera, connu pour avoir utilisé le ransomware Black Basta, a utilisé Pikabot, un logiciel malveillant de chargeur similaire à Qakbot, dans des campagnes de spam tout au long de 2023.
Pikabot est un logiciel malveillant en plusieurs étapes avec un chargeur et un module de base dans le même fichier, ainsi qu'un code shellcopted décrypté qui décrypte un autre fichier DLL à partir de ses ressources.Le malware gagne un premier accès à la machine de sa victime via des e-mails de spam contenant une archive ou une pièce jointe PDF.Les e-mails utilisent des filetages, une technique où les acteurs malveillants utilisent des fils de messagerie existants et créent des e-mails qui semblent être censés faire partie du fil pour inciter les destinataires à croire qu'ils sont légitimes.
#### URL de référence (s)
1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html
#### Date de publication
10 janvier 2024
#### Auteurs)
Micro-recherche tendance
#### Description The Water Curupira intrusion set, known for using the Black Basta ransomware, has been using Pikabot, a loader malware similar to Qakbot, in spam campaigns throughout 2023. Pikabot is a multi-stage malware with a loader and core module within the same file, as well as a decrypted shellcode that decrypts another DLL file from its resources. The malware gains initial access to its victim\'s machine through spam emails containing an archive or a PDF attachment. The emails employ thread-hijacking, a technique where malicious actors use existing email threads and create emails that look like they were meant to be part of the thread to trick recipients into believing that they are legitimate. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html #### Publication Date January 10, 2024 #### Author(s) Trend Micro Research |
Ransomware Spam Malware | ★★★ | |
|
2023-12-22 21:21:54 | Nouvelles campagnes de malvertisation métassières New MetaStealer Malvertising Campaigns (lien direct) |
#### Description
Une nouvelle campagne de malvertising a été observée distribuant le malware du métaste.MetaStealer est un malware populaire qui a été vu pour la première fois en 2022 et a depuis été exploité par divers acteurs de menace.Le logiciel malveillant est principalement distribué via le logiciel Malspam et Cracked via des comptes YouTube volés.Cependant, il a également été vu dans une campagne de malvertising début décembre.La récente campagne a été observée en distribution de métastealer via deux annonces différentes pour Notepad ++ et AnyDesk via Google Recherches.La charge utile contenait un raccourci de lancement de PowerShell qui a utilisé un chemin à code dur vers le dossier de téléchargements.
La campagne de décembre s'est débarrassée du PowerShell et la DLL malveillante a été recompilée.Les développeurs de Metastealer améliorent leur produit et nous verrons probablement plus de leurs clients la distribution.Les voleurs peuvent servir plusieurs fins mais ont tendance à tourner autour des articles que les criminels peuvent facilement monétiser.Les portefeuilles cryptographiques sont généralement assez convoités, mais il en va de même pour divers services en ligne.Les voleurs peuvent également être utilisés par les courtiers d'accès initiaux, en ouvrant le chemin des acteurs de ransomwares.Les publicités malveillantes ont été signalées à Google et l'infrastructure derrière ces campagnes a été bloquée.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/new-metastealer-malvertising-campaignes
#### Date de publication
19 décembre 2023
#### Auteurs)
MalwareBytes Mende Intelligence Team
#### Description A new malvertising campaign has been observed distributing the MetaStealer malware. MetaStealer is a popular piece of malware that was first seen in 2022 and has since been leveraged by various threat actors. The malware is primarily distributed via malspam and cracked software via stolen YouTube accounts. However, it was also seen in a malvertising campaign in early December. The recent campaign was observed distributing MetaStealer via two different ads for Notepad++ and AnyDesk via Google searches. The payload contained a shortcut launching PowerShell that used a hardcoded path to the Downloads folder. The December campaign got rid of the PowerShell and the malicious DLL was recompiled. The developers of MetaStealer are improving their product, and we are likely to see more of their customers distributing it. Stealers can serve multiple purposes but tend to revolve around items that criminals can easily monetize. Crypto wallets are usually quite coveted, but so are credentials for various online services. Stealers can also be used by initial access brokers, paving the path for ransomware actors. The malicious ads have been reported to Google, and the infrastructure behind these campaigns has been blocked. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns #### Publication Date December 19, 2023 #### Author(s) Malwarebytes Threat Intelligence Team |
Ransomware Malware Threat | ★★★ | |
|
2023-12-19 20:47:10 | #Hundredprees: Plain #StopRansomware: Play Ransomware (lien direct) |
#### Description
Depuis juin 2022, la pièce (également connue sous le nom de PlayCrypt) Ransomware Group a eu un impact sur un large éventail d'entreprises et d'infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe.En octobre 2023, le FBI était au courant d'environ 300 entités touchées qui auraient été exploitées par les acteurs du ransomware.
En Australie, le premier incident de ransomware de jeu a été observé en avril 2023, et plus récemment en novembre 2023.
Le groupe Ransomware est présumé être un groupe fermé, conçu pour «garantir le secret des offres», selon une déclaration du site Web de fuite de données du groupe \\.Les acteurs de ransomwares de jeu utilisent un modèle à double expression, chiffrant les systèmes après exfiltration de données.Les billets de rançon n'incluent pas une première demande de rançon ou des instructions de paiement, les victimes sont plutôt invitées à contacter les acteurs de la menace par e-mail.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a
#### Date de publication
11 décembre 2023
#### Auteurs)
Cisa
#### Description Since June 2022, the Play (also known as Playcrypt) ransomware group has impacted a wide range of businesses and critical infrastructure in North America, South America, and Europe. As of October 2023, the FBI was aware of approximately 300 affected entities allegedly exploited by the ransomware actors. In Australia, the first Play ransomware incident was observed in April 2023, and most recently in November 2023. The Play ransomware group is presumed to be a closed group, designed to “guarantee the secrecy of deals,” according to a statement on the group\'s data leak website. Play ransomware actors employ a double-extortion model, encrypting systems after exfiltrating data. Ransom notes do not include an initial ransom demand or payment instructions, rather, victims are instructed to contact the threat actors via email. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a #### Publication Date December 11, 2023 #### Author(s) CISA |
Ransomware Threat | ★★ | |
|
2023-11-29 21:32:15 | Variante DJVU livrée par le chargeur se faisant passer pour un logiciel gratuit DJvu Variant Delivered by Loader Masquerading as Freeware (lien direct) |
#### Description
L'équipe des services de sécurité de la cyberéasie enquête sur des incidents qui impliquent des variantes du Ransomware DJVU livré via des charges utiles de chargeur se faisant passer pour un logiciel gratuit ou des logiciels fissurés.
Bien que ce modèle d'attaque ne soit pas nouveau, des incidents impliquant une variante DJVU qui ajoute l'extension .xaro aux fichiers affectés et la rançon exigeante pour un décrypteur ont été observés en infectant des systèmes aux côtés d'une foule de divers chargeurs de produits de base et infosteur.
#### URL de référence (s)
1. https://www.cybereason.com/blog/thereat-lert-djvu-variant-delivered-by-loller-masquerading-as-freewware
#### Date de publication
28 novembre 2023
#### Auteurs)
Équipe de recherche sur la sécurité de la cyberréasie
#### Description The Cybereason Security Services Team is investigating incidents that involve variants of the DJvu ransomware delivered via loader payloads masquerading as freeware or cracked software. While this attack pattern is not new, incidents involving a DJvu variant that appends the .xaro extension to affected files and demanding ransom for a decryptor have been observed infecting systems alongside a host of various commodity loaders and infostealers. #### Reference URL(s) 1. https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware #### Publication Date November 28, 2023 #### Author(s) Cybereason Security Research Team |
Ransomware | ★★ | |
|
2023-11-28 21:56:39 | Spotlight des ransomwares: Trigona Ransomware Spotlight: Trigona (lien direct) |
#### Description
Le ransomware de Trigona, suivi pour la première fois par Trend Micro sous le nom d'eau, a émergé en octobre 2022, mais les binaires du ransomware ont été perçus dès juin de la même année.Le groupe s'est positionné comme gérant un schéma lucratif, lançant des attaques mondiales et des revenus publicitaires jusqu'à 20% à 50% pour chaque attaque réussie.)) Chats internes de Forum \\ et à l'aide des informations d'origine pour obtenir un accès initial aux cibles.
En avril 2023, Trigona a commencé à cibler les serveurs compromis Microsoft SQL (MSSQL) via des attaques par force brute.Un mois plus tard, une version Linux de Trigona a été trouvée qui partageait des similitudes avec son homologue Windows.Le ransomware Trigona est également lié au crylock en raison de leurs similitudes de tactique, de techniques et de procédures (TTP), de nom de fichier de note de rançon et d'adresses e-mail utilisées.
Le ransomware de Trigona a le plus ciblé les organisations gouvernementales, les tentatives d'attaque représentant 21,4% du total des détections, selon les commentaires des clients tendance qui ont détaillé les industries dans lesquelles ils appartiennent.Trigona a également ciblé les entreprises dans la technologie, le commerce de détail, les biens de consommation à évolution rapide et les industries bancaires.Le groupe a opposé les petites et moyennes entreprises, qui représentaient plus de la moitié des victimes totales du groupe d'avril à octobre 2023. Trigona a compromis un total de 33 organisations au cours de la période susmentionnée.
#### URL de référence (s)
1. https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-ttegona
#### Date de publication
28 novembre 2023
#### Auteurs)
Micro-recherche tendance
#### Description The Trigona ransomware, first tracked by Trend Micro as Water Ungaw, emerged in October 2022 but binaries of the ransomware were seen as early as June of the same year. The group positioned itself as running a lucrative scheme, launching global attacks and advertising revenues up to 20% to 50% for each successful attack.The group was also reported as communicating with network access brokers who provide compromised credentials via the Russian Anonymous Marketplace (RAMP) forum\'s internal chats and using the sourced information to obtain initial access to targets. In April 2023, Trigona started targeting compromised Microsoft SQL (MSSQL) Servers via brute-force attacks. A month later, a Linux version of Trigona was found that shared similarities with its Windows counterpart. The Trigona ransomware is also linked to CryLock due to their similarities in tactics, techniques, and procedures (TTPs), ransom note file name, and email addresses used. Trigona ransomware targeted government organizations the most, with attack attempts making up 21.4% of total detections, according to feedback from Trend customers who detailed the industries in which they belong. Trigona also targeted enterprises in the technology, retail, fast-moving consumer goods, and banking industries. The group set its sights on small- and medium-sized businesses, which made up more than half of the group\'s total victims from April to October 2023. Trigona compromised a total of 33 organizations within the aforementioned period. #### Reference URL(s) 1. https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-trigona #### Publication Date November 28, 2023 #### Author(s) Trend Micro Research |
Ransomware Prediction | ★★★ | |
|
2023-11-22 18:21:09 | #Stopransomware: Lockbit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Said Vulnerabilité #StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability (lien direct) |
#### Description
CISA, FBI, MS-ISAC et Australian Signals Direction \'s Australian Cyber Security Center (ASD \'s ACSC) publient ce CSA pour diffuser les IOC, les TTP et les méthodes de détection associées à Lockbit 3.0 Ransomware exploitant CVE-2023 CVE-2010-4966, étiqueté Citrix Said, affectant Citrix NetScaler Web Delivery Control (ADC) et Netscaler Gateway Appliances.
Ce CSA fournit des TTP et des CIO obtenus auprès du FBI, de l'ACSC et partagés volontairement par Boeing.Boeing a observé les affiliés Lockbit 3.0 exploitant CVE-2023-4966, pour obtenir un accès initial à Boeing Distribution Inc., ses parties et ses activités de distribution qui maintient un environnement distinct.D'autres tiers de confiance ont observé une activité similaire sur leur organisation.
Historiquement, les affiliés de Lockbit 3.0 ont mené des attaques contre les organisations de tailles variables dans plusieurs secteurs d'infrastructures critiques, notamment l'éducation, l'énergie, les services financiers, l'alimentation et l'agriculture, les services gouvernementaux et d'urgence, les soins de santé, la fabrication et les transports.Les TTP observés pour les attaques de ransomwares de verrouillage peuvent varier considérablement dans les TTP observés.
Citrix Said, connu pour être exploité par les affiliés de Lockbit 3.0, permet aux acteurs de menace de contourner les exigences de mot de passe et d'authentification multifactorielle (MFA), conduisant à un détournement de session réussi des séances utilisateur légitimes sur les appareils de livraison d'application Web Citrix Netscaler (ADC) et les appareils de passerelle.Grâce à la prise de contrôle des séances d'utilisateurs légitimes, les acteurs malveillants acquièrent des autorisations élevées pour récolter les informations d'identification, se déplacer latéralement et accéder aux données et aux ressources.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
2. https://www.cisa.gov/news-events/analysis-reports/ar23-325a
#### Date de publication
21 novembre 2023
#### Auteurs)
Cisa
#### Description CISA, FBI, MS-ISAC, and Australian Signals Directorate\'s Australian Cyber Security Centre (ASD\'s ACSC) are releasing this CSA to disseminate IOCs, TTPs, and detection methods associated with LockBit 3.0 ransomware exploiting CVE-2023-4966, labeled Citrix Bleed, affecting Citrix NetScaler web application delivery control (ADC) and NetScaler Gateway appliances. This CSA provides TTPs and IOCs obtained from FBI, ACSC, and voluntarily shared by Boeing. Boeing observed LockBit 3.0 affiliates exploiting CVE-2023-4966, to obtain initial access to Boeing Distribution Inc., its parts and distribution business that maintains a separate environment. Other trusted third parties have observed similar activity impacting their organization. Historically, LockBit 3.0 affiliates have conducted attacks against organizations of varying sizes across multiple critical infrastructure sectors, including education, energy, financial services, food and agriculture, government and emergency services, healthcare, manufacturing, and transportation. Observed TTPs for LockBit ransomware attacks can vary significantly in observed TTPs. Citrix Bleed, known to be leveraged by LockBit 3.0 affiliates, allows threat actors to bypass password requirements and multifactor authentication (MFA), leading to successful session hijacking of legitimate user sessions on Citrix NetScaler web application delivery control (ADC) and Gateway appliances. Through the takeover of legitimate user sessions, malicious actors acquire elevated permissions to harvest credentials, move laterally, and access data and resources. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a 2. https://www.cisa.gov/news-events/analysis-reports/ar23-325a #### Publication Date November 21, 2023 #### Auth |
Ransomware Vulnerability Threat | ★★ | |
|
2023-11-20 20:25:28 | Une plongée profonde dans le ransomware de Phobos, récemment déployé par le groupe 8Base A Deep Dive into Phobos Ransomware, Recently Deployed by 8Base Group (lien direct) |
#### Description
Cisco Talos a récemment observé une augmentation de l'activité menée par 8Base, un groupe de ransomwares qui utilise une variante des ransomwares Phobos et d'autres outils accessibles au public pour faciliter leurs opérations.
La plupart des variantes Phobos du groupe \\ sont distribuées par SmokeLoader, un cheval de Troie de porte dérobée.Ce chargeur de marchandises baisse ou télécharge généralement des charges utiles supplémentaires lors du déploiement.Dans les campagnes 8Base, cependant, il a le composant Ransomware intégré à ses charges utiles cryptées, qui est ensuite déchiffrée et chargée dans la mémoire du processus smokeloader \\ '.
####URL de référence (s)
1. https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/
2. https://blog.talosintelligence.com/Understanding-the-phobos-affiliate-structure/
#### Date de publication
17 novembre 2023
#### Auteurs)
Guilherme Veree
#### Description Cisco Talos has recently observed an increase in activity conducted by 8Base, a ransomware group that uses a variant of the Phobos ransomware and other publicly available tools to facilitate their operations. Most of the group\'s Phobos variants are distributed by SmokeLoader, a backdoor trojan. This commodity loader typically drops or downloads additional payloads when deployed. In 8Base campaigns, however, it has the ransomware component embedded in its encrypted payloads, which is then decrypted and loaded into the SmokeLoader process\' memory. #### Reference URL(s) 1. https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/ 2. https://blog.talosintelligence.com/understanding-the-phobos-affiliate-structure/ #### Publication Date November 17, 2023 #### Author(s) Guilherme Venere |
Ransomware Tool | ★★★ | |
|
2023-11-15 21:25:29 | #Stopransomware: ransomware Rhysida #StopRansomware: Rhysida Ransomware (lien direct) |
#### Description
Les variants de ransomwares émergents de Rhysida, ont été principalement déployés contre les secteurs de l'éducation, des soins de santé, de la fabrication, des technologies de l'information et du gouvernement depuis mai 2023. Les acteurs de la menace tirent parti des ransomwares de Rhysida sont connus pour avoir un impact sur les «objectifs d'opportunité», y compris les victimes de l'éducation,Les secteurs de la santé, de la fabrication, des technologies de l'information et du gouvernement.Les rapports open source détaillent les similitudes entre l'activité de la vice Society (Dev-0832) et les acteurs ont observé le déploiement du ransomware de Rhysida.De plus, les rapports open source ont confirmé que les cas observés d'acteurs de Rhysida opérant dans une capacité de ransomware en tant que service (RAAS), où les outils de ransomware et l'infrastructure sont loués dans un modèle de renseignement.Toutes les rançons payées sont ensuite divisées entre le groupe et les affiliés.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a
#### Date de publication
15 novembre 2023
#### Auteurs)
Cisa
#### Description Rhysida-an emerging ransomware variant-has predominately been deployed against the education, healthcare, manufacturing, information technology, and government sectors since May 2023. Threat actors leveraging Rhysida ransomware are known to impact “targets of opportunity,” including victims in the education, healthcare, manufacturing, information technology, and government sectors. Open source reporting details similarities between Vice Society (DEV-0832) activity and the actors observed deploying Rhysida ransomware. Additionally, open source reporting has confirmed observed instances of Rhysida actors operating in a ransomware-as-a-service (RaaS) capacity, where ransomware tools and infrastructure are leased out in a profit-sharing model. Any ransoms paid are then split between the group and the affiliates. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a #### Publication Date November 15, 2023 #### Author(s) CISA |
Ransomware Tool Threat | ★★ | |
|
2023-11-14 20:57:50 | Ne jetez pas une crise de sifflement;Défendre contre Medusa Don\\'t Throw a Hissy Fit; Defend Against Medusa (lien direct) |
#### Description
Le ransomware MEDUSA est une variante qui aurait existe depuis juin 2021 [1].MEDUSA est un exemple de ransomware à double exposition où l'acteur de menace exfiltre et chiffre les données.L'acteur de menace menace de libérer ou de vendre les données de la victime sur le Web sombre si la rançon n'est pas payée.Cela signifie que le groupe derrière les ransomwares de Medusa pourrait être caractérisé comme motivé financièrement.Les victimes des ransomwares de MEDUSA ne proviennent pas d'une industrie particulière suggérant que le groupe derrière cette variante n'a aucun problème à nuire à aucune organisation.
#### URL de référence (s)
1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/
#### Date de publication
13 novembre 2023
#### Auteurs)
Molly Dewis
#### Description Medusa ransomware is a variant that is believed to have been around since June 2021 [1]. Medusa is an example of a double-extortion ransomware where the threat actor exfiltrates and encrypts data. The threat actor threatens to release or sell the victim\'s data on the dark web if the ransom is not paid. This means the group behind Medusa ransomware could be characterized as financially motivated. Victims of Medusa ransomware are from no particular industry suggesting the group behind this variant have no issue with harming any organization. #### Reference URL(s) 1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/ #### Publication Date November 13, 2023 #### Author(s) Molly Dewis |
Ransomware Threat | ★★ | |
|
2023-11-09 19:59:50 | Les adversaires exploitent la vulnérabilité de la confluence au déploiement des ransomwares Adversaries Exploit Confluence Vulnerability to Deploy Ransomware (lien direct) |
#### Description
Red Canary a détecté l'exploitation apparente de la confluence Atlassian CVE-2023-22518 dans une tentative de campagne de ransomware de cercle.
CVE-2023-22518 est une vulnérabilité d'autorisation inappropriée au sein du centre de données Confluence et du serveur Confluence qui permet aux utilisateurs non authentifiés d'effectuer une «restauration à partir de la sauvegarde» en soumettant leur propre fichier .zip arbitraire.Les adversaires peuvent exploiter la vulnérabilité pour détruire les instances de confluence, entraînant une perte de données.Alternativement, les adversaires peuvent également soumettre un fichier .zip contenant un shell Web pour réaliser l'exécution de code distant (RCE) sur des serveurs de confluence vulnérables et sur site.
#### URL de référence (s)
1. https://redcanary.com/blog/confluence-exploit-ransomware/
#### Date de publication
6 novembre 2023
#### Auteurs)
L'équipe Red Canary
#### Description Red Canary has detected apparent exploitation of Atlassian Confluence CVE-2023-22518 in an attempted Cerber ransomware campaign. CVE-2023-22518 is an improper authorization vulnerability within Confluence Data Center and Confluence Server that allows unauthenticated users to perform a “restore from backup” by submitting their own arbitrary .zip file. Adversaries can exploit the vulnerability to destroy Confluence instances, leading to data loss. Alternatively, adversaries may also submit a .zip file containing a web shell to achieve remote code execution (RCE) on vulnerable, on-premise Confluence servers. #### Reference URL(s) 1. https://redcanary.com/blog/confluence-exploit-ransomware/ #### Publication Date November 6, 2023 #### Author(s) The Red Canary Team |
Ransomware Vulnerability Threat | ★★ | |
|
2023-11-06 20:22:17 | Exploitation rapide-observée de la confluence atlasienne CVE-2023-22518 Rapid7-Observed Exploitation of Atlassian Confluence CVE-2023-22518 (lien direct) |
#### Description
Au 5 novembre 2023, la détection et la réponse gérées Rapid7 (MDR) observent l'exploitation de la confluence Atlassian dans plusieurs environnements clients, y compris pour le déploiement des ransomwares.Rapid 7 a confirmé qu'au moins certains des exploits ciblent le CVE-2023-22518, une vulnérabilité d'autorisation incorrecte affectant le centre de données Confluence et le serveur Confluence.Atlassian a publié un avis de vulnérabilité le 31 octobre 2023. MDR a également observé des tentatives d'exploiter le CVE-2023-22515, une vulnérabilité critique de contrôle d'accès brisé dans la confluence qui s'est révélée le 4 octobre. La chaîne d'exécution du processus, pour la plupartLa partie, est cohérente dans plusieurs environnements, indiquant une éventuelle exploitation de masse de serveurs de confluence atlassienne vulnérables orientés Internet.
#### URL de référence (s)
1. https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observded-exploitation-of-atlassian-confluence-cve-2023-22518
#### Date de publication
6 novembre 2023
#### Auteurs)
Daniel Lydon
Conor Quinn
Rapid7
#### Description As of November 5, 2023, Rapid7 Managed Detection and Response (MDR) is observing exploitation of Atlassian Confluence in multiple customer environments, including for ransomware deployment. Rapid 7 confirmed that at least some of the exploits are targeting CVE-2023-22518, an improper authorization vulnerability affecting Confluence Data Center and Confluence Server. Atlassian published an advisory for the vulnerability on October 31, 2023. MDR has also observed attempts to exploit CVE-2023-22515, a critical broken access control vulnerability in Confluence that came to light on October 4. The process execution chain, for the most part, is consistent across multiple environments, indicating possible mass exploitation of vulnerable internet-facing Atlassian Confluence servers. #### Reference URL(s) 1. https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observed-exploitation-of-atlassian-confluence-cve-2023-22518 #### Publication Date November 6, 2023 #### Author(s) Daniel Lydon Conor Quinn Rapid7 |
Ransomware Vulnerability Threat | ★★ | |
|
2023-11-02 20:07:38 | Dévoiler le côté obscur: une plongée profonde dans les familles de ransomwares actifs Unveiling the Dark Side: A Deep Dive into Active Ransomware Families (lien direct) |
#### Description
Dans le paysage en constante évolution de la cybersécurité, une tendance constante observée ces dernières années est l'augmentation troublante des attaques de ransomwares.Le groupe NCC partage TTP \\ déployé par quatre familles de ransomwares récemment observées lors des engagements de réponse aux incidents du NCC Group \\.Les familles de ransomwares qui seront explorées sont:
- Blackcat & # 8211;Il est également connu sous le nom d'ALPHV, observé pour la première fois en 2021, un ransomware en tant que service (RAAS) utilisant souvent la méthode d'extorsion à double extorsion pour le gain monétaire.
- Donut & # 8211; Le groupe d'extorsion D0nut a été signalé pour la première fois en août 2022 pour avoir violé les réseaux et exigeant des rançons en échange de ne pas fuiser des données volées.Quelques mois plus tard, les rapports du groupe utilisant le cryptage ainsi que l'exfiltration de données ont été publiés avec des spéculations selon lesquelles le ransomware déployé par le groupe a été lié à des ransomwares Helloxd.Il existe également des liens soupçonnés entre les affiliés D0nut et les opérations de ransomware de casier Hive et Ragnar.
- Medusa & # 8211;À ne pas confondre avec Medusalocker, Medusa a été observée pour la première fois en 2021, est un ransomware en tant que service (RAAS) utilisant souvent la méthode d'extorsion à double extorsion pour le gain monétaire.En 2023, l'activité des groupes \\ 'a augmenté avec le lancement du blog \' Medusa \\ '.Cette plate-forme sert d'outil pour divulguer des données appartenant aux victimes.
- NoEscape & # 8211;Fin mai 2023, un Ransomware nouvellement émergé en tant que service (RAAS) a été observé sur un forum de cybercriminalité nommé NoeScape.
#### URL de référence (s)
1. https://research.nccgroup.com/2023/10/31/unveiling-the-dark-side-a-plongée profonde-inactive-ransomware-families /
#### Date de publication
31 octobre 2023
#### Auteurs)
Alex Jessop
@Thissisfinechief
Molly Dewis
#### Description In the ever-evolving cybersecurity landscape, one consistent trend witnessed in recent years is the unsettling rise in ransomware attacks. NCC Group shares TTP\'s deployed by four ransomware families recently observed during NCC Group\'s incident response engagements. The ransomware families that will be explored are: - BlackCat – Also known as ALPHV, first observed in 2021, is a Ransomware-as-a-Service (Raas) often using the double extortion method for monetary gain. - Donut –The D0nut extortion group was first reported in August 2022 for breaching networks and demanding ransoms in return for not leaking stolen data. A few months later, reports of the group utilizing encryption as well as data exfiltration were released with speculation that the ransomware deployed by the group was linked to HelloXD ransomware. There is also suspected links between D0nut affiliates and both Hive and Ragnar Locker ransomware operations. - Medusa – Not to be confused with MedusaLocker, Medusa was first observed in 2021, is a Ransomware-as-a-Service (RaaS) often using the double extortion method for monetary gain. In 2023 the groups\' activity increased with the launch of the \'Medusa Blog\'. This platform serves as a tool for leaking data belonging to victims. - NoEscape – At the end of May 2023, a newly emerged Ransomware-as-a-Service (RaaS) was observed on a cybercrime forum named NoEscape. #### Reference URL(s) 1. https://research.nccgroup.com/2023/10/31/unveiling-the-dark-side-a-deep-dive-into-active-ransomware-families/ #### Publication Date October 31, 2023 #### Author(s) Alex Jessop @ThisIsFineChief Molly Dewis |
Ransomware Tool Prediction | ★★ |
1
We have: 40 articles.
We have: 40 articles.
To see everything:
Our RSS (filtrered)
