What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-19 18:51:32 | APT41 Has Arisen From the DUST (lien direct) | #### Géolocations ciblées - Italie - Espagne - Taïwan - Thaïlande - t & uuml; rkiye - Royaume-Uni #### Industries ciblées - Systèmes de transport - Médias numériques, imprimés et diffusés ## Instantané Mandiant, en collaboration avec le groupe d'analyse des menaces de Google (TAG), a publié un rapport sur une campagne par APT41, suivi par Microsof d37c6), ciblant les organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni. ## Description Le groupe cible des secteurs comme les soins de santé, la haute technologie et les télécommunications, en utilisant des techniques sophistiquées telles que les compromis de la chaîne d'approvisionnement et les certificats numériques volés.Dans cette dernière campagne, l'APT41 a compromis diverses organisations sur plusieurs continents, notamment l'Italie, l'Espagne, Taïwan, la Thaïlande, la Turquie et le Royaume-Uni, en se concentrant sur des secteurs comme l'expédition, la logistique et les médias. APT41 a utilisé des shells Web Atsword et BlueBeam sur un serveur Tomcat Apache Manager pour la persistance.Ces shells Web, actifs depuis 2023, ont permis au groupe d'exécuter CerUtil.exe pour télécharger le compte-gouttes à poussière.Dustpan, un compte-gouttes en mémoire écrit en C / C ++, décrypte et exécute des charges utiles furtivement.Au cours de cette campagne, il a chargé Beacon, un outil de communication avec une infrastructure contrôlée par APT41, souvent déguisée en binaires Windows pour échapper à la détection. Au fur et à mesure que l'intrusion progressait, APT41 a déployé le compte-gouttes Dusttrap.Dusttrap est un cadre de plugin à plusieurs étapes qui décrypte et exécute des charges utiles malveillantes en mémoire, minimisant les traces médico-légales.Il établit des canaux de communication avec l'infrastructure APT41 ou des comptes Google Workspace compromis.L'utilisation de comptes Google compromis a aidé à mélanger les activités malveillantes avec un trafic légitime.Google note que ces comptes ont été corrigés. APT41 a également exploité SQLULLDR2, un utilitaire de ligne de commande, pour exporter les données des bases de données Oracle.Cet outil leur a permis d'extraire efficacement de grands volumes de données sensibles.De plus, APT41 a utilisé Pinegrove, un téléchargeur de ligne de commande, pour exfiltrater les données à OneDrive.Pinegrove est un outil accessible au public écrit en Go, capable de collecter et de télécharger des fichiers via l'API OneDrive. ## Analyse Microsoft Microsoft Threat Intelligence suit APT41 comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05aeafc0d4158b0e389b4078112d37c6), ACTIVITÉ CHINAL. Typhoon se concentre sur l'espionnage et estconnu pour effectuer une reconnaissance contre les organisations cibles.Le groupe a principalement ciblé le secteur de la technologie, mais a été observé ciblant les organisations non gouvernementales, les télécommunications, la vente au détail de consommateurs, la fabrication critique, le gouvernement et les institutions financières. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - Backdoor: Win32 / Moonwalk - [Trojan: Win64 / Malgent] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Trojan: Win64 / Malgent! MSR) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/atheats/malware-eNCyclopedia-Description? Name = Trojan: Win32 / Leonem) ## Les références [APT41 est né de la poussière] (https://cloud.google.com/blog/topics/thereat-intelligence/apt41-arisen-from-dust/).Google (consulté en 2024-07-19) [Typhoon en laiton] (https: // security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6).Mic | Malware Tool Threat Medical Cloud | APT 41 | |
|
2024-04-08 15:09:15 | Faits saillants hebdomadaires, 8 avril 2024 Weekly OSINT Highlights, 8 April 2024 (lien direct) |
Last week\'s OSINT reporting reveals several key trends emerge in the realm of cybersecurity threats. Firstly, there is a notable diversification and sophistication in attack techniques employed by threat actors, ranging from traditional malware distribution through phishing emails to advanced methods like DLL hijacking and API unhooking for evading detection. Secondly, the threat landscape is characterized by the presence of various actors, including state-sponsored groups like Earth Freybug (a subset of APT41) engaging in cyberespionage and financially motivated attacks, as well as cybercrime actors orchestrating malware campaigns such as Agent Tesla and Rhadamanthys. Thirdly, the targets of these attacks span across different sectors and regions, with organizations in America, Australia, and European countries facing significant threats. Additionally, the emergence of cross-platform malware like DinodasRAT highlights the adaptability of threat actors to target diverse systems, emphasizing the need for robust cybersecurity measures across all platforms. Overall, these trends underscore the dynamic and evolving nature of cyber threats, necessitating continuous vigilance and proactive defense strategies from organizations and cybersecurity professionals. **1. [Latrodectus Loader Malware Overview](https://sip.security.microsoft.com/intel-explorer/articles/b4fe59bf)** Latrodectus is a new downloader malware, distinct from IcedID, designed to download payloads and execute arbitrary commands. It shares characteristics with IcedID, indicating possible common developers. **2. [Earth Freybug Cyberespionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/327771c8)** Earth Freybug, a subset of APT41, engages in cyberespionage and financially motivated attacks since at least 2012. The attack involved sophisticated techniques like DLL hijacking and API unhooking to deploy UNAPIMON, evading detection and enabling malicious commands execution. **3. [Agent Tesla Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/cbdfe243)** Agent Tesla malware targets American and Australian organizations through phishing campaigns aimed at stealing email credentials. Check Point Research identified two connected cybercrime actors behind the operation. **4. [DinodasRAT Linux Version Analysis](https://sip.security.microsoft.com/intel-explorer/articles/57ab8662)** DinodasRAT, associated with the Chinese threat actor LuoYu, is a cross-platform backdoor primarily targeting Linux servers. The latest version introduces advanced evasion capabilities and is installed to gain additional footholds in networks. **5. [Rhadamanthys Information Stealer Malware](https://sip.security.microsoft.com/intel-explorer/articles/bf8b5bc1)** Rhadamanthys utilizes Google Ads tracking to distribute itself, disguising as popular software installers. After installation, it injects into legitimate Windows files for data theft, exploiting users through deceptive ad redirects. **6. [Sophisticated Phishing Email Malware](https://sip.security.microsoft.com/intel-explorer/articles/abfabfa1)** A phishing email campaign employs ZIP file attachments leading to a series of malicious file downloads, culminating in the deployment of PowerShell scripts to gather system information and download further malware. **7. [AceCryptor Cryptors-as-a-Service (CaaS)](https://sip.security.microsoft.com/intel-explorer/articles/e3595388)** AceCryptor is a prevalent cryptor-as-a-service utilized in Rescoms campaigns, particularly in European countries. Threat actors behind these campaigns abuse compromised accounts to send spam emails, aiming to obtain credentials for further attacks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to ge | Ransomware Spam Malware Tool Threat Cloud | APT 41 | ★★★ |
1
We have: 2 articles.
We have: 2 articles.
To see everything:
Our RSS (filtrered)
