| Src |
Date (GMT) |
Titre |
Description |
Tags |
Stories |
Notes |
 |
2024-06-24 00:48:56 |
Analyse des attaques Coinmingler ciblant les serveurs Web coréens
Analysis of CoinMiner Attacks Targeting Korean Web Servers (lien direct) |
Étant donné que les serveurs Web sont exposés à l'extérieur pour fournir des services Web à tous les utilisateurs disponibles, ils ont été des objectifs majeurs pourMenace les acteurs depuis le passé.Ahnlab Security Intelligence Center (ASEC) surveille les attaques contre des serveurs Web vulnérables qui ont des vulnérabilités non corrigées ou qui sont mal gérés, et partage les cas d'attaque qui ont été confirmés par le biais de son blog ASEC.L'ASEC a récemment identifié des cas d'attaque où une institution médicale coréenne a été ciblée, entraînant l'installation de co -miners.Le ciblé ...
Since web servers are externally exposed to provide web services to all available users, they have been major targets for threat actors since the past. AhnLab SEcurity Intelligence Center (ASEC) is monitoring attacks against vulnerable web servers that have unpatched vulnerabilities or are being poorly managed, and is sharing the attack cases that have been confirmed through its ASEC Blog. ASEC recently identified attack cases where a Korean medical institution was targeted, resulting in the installation of CoinMiners. The targeted...
|
Vulnerability
Threat
Medical
|
|
|
|
2024-06-17 00:43:16 |
Analyse du cas d'attaque Installation de VPN douce sur le serveur ERP coréen
Analysis of Attack Case Installing SoftEther VPN on Korean ERP Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert un cas d'attaque où un acteur de menace a attaqué le serveur ERPd'une société coréenne et installé un serveur VPN.Dans le processus de compromis initial, l'acteur de menace a attaqué le service MS-SQL et a ensuite installé un shell Web pour maintenir la persistance et contrôler le système infecté.Ils ont ensuite finalement installé Softether VPN pour utiliser le système infecté en tant que serveur VPN.1. Les services proxy et VPN proxy et VPN sont des technologies qui ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered an attack case where a threat actor attacked the ERP server of a Korean corporation and installed a VPN server. In the initial compromise process, the threat actor attacked the MS-SQL service and later installed a web shell to maintain persistence and control the infected system. They then ultimately installed SoftEther VPN to utilize the infected system as a VPN server. 1. Proxy and VPN Services Proxy and VPN are technologies that...
|
Threat
|
|
★★
|
|
2024-06-14 07:57:42 |
Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (1)
Linux Defense Evasion Techniques Detected by AhnLab EDR (1) (lien direct) |
Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisations distinctes responsables de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.En tant que tels, les acteurs de la menace utilisent des techniques d'évasion de défense à la suite du compromis initial pour contourner la détection des produits de sécurité.La forme la plus simple consiste à contourner le ...
Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions but also firewalls, APT defense solutions, and products such as EDR. Even in general user environments without separate organizations responsible for security, most of them have basic security products installed. As such, threat actors use defense evasion techniques following the initial compromise to bypass the detection of security products. The simplest form is bypassing the...
|
Threat
|
|
★★
|
|
2024-06-13 07:44:20 |
Botnet installant des logiciels malveillants à benerat
Botnet Installing NiceRAT Malware (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) a confirmé que la tendance des botnets depuis 2019 a été continuellement utilisée pour installer des logiciels malveillants Ninerat.Un botnet est un groupe d'appareils infectés par des logiciels malveillants et contrôlés par un acteur de menace.Parce que les acteurs de la menace ont principalement lancé des attaques DDOS à l'aide de botnets dans le passé, Nitol et d'autres souches de logiciels malveillants utilisées dans les attaques DDOS ont été perçues comme les souches clés qui forment des botnets.Récemment, cependant, des souches de logiciels malveillants tels que Nanocore et Emotet qui effectuent des comportements malveillants ...
1. Overview AhnLab Security intelligence Center (ASEC) confirmed that botnets trending since 2019 have been continuously used to install NiceRAT malware. A botnet is a group of devices infected by malware and controlled by a threat actor. Because threat actors mainly launched DDoS attacks using botnets in the past, Nitol and other malware strains used in DDoS attacks were perceived as the key strains that form botnets. Recently, however, malware strains such as NanoCore and Emotet that perform malicious behaviors...
|
Malware
Threat
|
|
★★
|
|
2024-06-13 07:06:14 |
KeyLogger installé à l'aide de la vulnérabilité de l'éditeur d'équation de MS Office (Kimsuk)
Keylogger Installed Using MS Office Equation Editor Vulnerability (Kimsuky) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a identifié les détails du groupe de menaces Kimsuky qui exploitait récemment une vulnérabilité (CVE-2017-11882) Dans l'éditeur d'équation inclus dans MS Office (Eqnedt32.exe) pour distribuer un Keylogger.L'acteur de menace a distribué le Keylogger en exploitant la vulnérabilité pour exécuter une page avec un script malveillant intégré avec le processus MSHTA.La page à laquelle Mshta se connecte est http://xxxxxxxxxx.xxxxxx.xxxxxxx.com/images/png/error.php et utilise le nom de fichier error.php.Comme le montre la figure 2, le & # 8220; introuvable & # 8221;Le message le fait ...
AhnLab SEcurity intelligence Center (ASEC) has identified the details of the Kimsuky threat group recently exploiting a vulnerability (CVE-2017-11882) in the equation editor included in MS Office (EQNEDT32.EXE) to distribute a keylogger. The threat actor distributed the keylogger by exploiting the vulnerability to run a page with an embedded malicious script with the mshta process. The page that mshta connects to is http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php and uses the file name error.php. As shown in Figure 2, the “Not Found” message makes it...
|
Vulnerability
Threat
|
|
★★★
|
|
2024-06-12 04:20:20 |
Bondnet utilisant des bots mineurs comme C2
Bondnet Using Miner Bots as C2 (lien direct) |
Bondnet est devenu le public pour la première fois dans un rapport d'analyse publié par GuardiCore en 20171 et Bondnet & # 8217;S Backdoor a été couvert dans un rapport d'analyse sur le mineur XMRIG ciblant les serveurs SQL publiés par le rapport DFIR en 20222. Il n'y a eu aucune information sur les activités de l'actrice de Bondnet Threat, mais il a été confirmé qu'ils avaient poursuivi leurs attaques jusqu'à ce queCes derniers temps.Ahnlab Security Intelligence Center (ASEC) a trouvé à travers l'analyse des systèmes infectés par des mineurs BondNet que le Bondnet menace ...
Bondnet first became known to the public in an analysis report published by GuardiCore in 20171 and Bondnet’s backdoor was covered in an analysis report on XMRig miner targeting SQL servers released by DFIR Report in 20222. There has not been any information on the Bondnet threat actor’s activities thereon, but it was confirmed that they had continued their attacks until recent times. AhnLab SEcurity Intelligence Center (ASEC) found through analyzing systems infected with Bondnet miners that the Bondnet threat...
|
Threat
|
|
★★
|
|
2024-06-11 01:06:56 |
Smalltiger malware utilisés contre les entreprises sud-coréennes (Kimsuky et Andariel)
SmallTiger Malware Used Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) répond à des cas récemment découverts qui utilisent les logiciels malveillants Smalltiger pour attaquerEntreprises sud-coréennes.La méthode d'accès initial n'a pas encore été identifiée, mais l'acteur de menace a distribué Smalltiger dans les entreprises & # 8217;Systèmes pendant la phase de mouvement latérale.Les entrepreneurs de la défense sud-coréens, les constructeurs de pièces automobiles et les fabricants de semi-conducteurs sont quelques-uns des objectifs confirmés.Les attaques ont été trouvées pour la première fois en novembre 2023 et les souches de logiciels malveillants trouvés à l'intérieur des systèmes affectés ...
AhnLab SEcurity intelligence Center (ASEC) is responding to recently discovered cases that are using the SmallTiger malware to attack South Korean businesses. The method of initial access has not yet been identified, but the threat actor distributed SmallTiger into the companies’ systems during the lateral movement phase. South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers are some of the confirmed targets. The attacks were first found in November 2023, and the malware strains found inside the affected systems...
|
Malware
Threat
|
|
★★
|
|
2024-06-11 00:56:03 |
REMCOS RAT Distribué en tant que fichier UUencoding (UUe)
Remcos RAT Distributed as UUEncoding (UUE) File (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que Remcos Rat était distribué via des dossiers Uuencoding (UUE)comprimé à l'aide de Power Archiver.L'image ci-dessous montre un e-mail de phishing distribuant le téléchargeur Remcos Rat.Les destinataires doivent être vigilants car les e-mails de phishing sont déguisés en e-mails concernant l'importation / exportation des expéditions ou des devis.1. Uue L'acteur de menace distribue un script VBS codé à l'aide de la méthode UUe via une pièce jointe.La méthode UUE, abréviation du codage Unix-to-Unix, est une méthode utilisée pour échanger des données ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that Remcos RAT is being distributed via UUEncoding (UUE) files compressed using Power Archiver. The image below shows a phishing email distributing the Remcos RAT downloader. Recipients must be vigilant as phishing emails are disguised as emails about importing/exporting shipments or quotations. 1. UUE The threat actor distributes a VBS script encoded using the UUE method through an attachment. The UUE method, short for Unix-to-Unix Encoding, is a method used to exchange data...
|
Threat
|
|
★★★
|
|
2024-06-11 00:44:51 |
Attaques aptes utilisant le stockage cloud
APT Attacks Using Cloud Storage (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a partagé des cas d'attaques dans lesquels les acteurs de la menace utilisent des services de cloud telsEn tant que Google Drive, OneDrive et Dropbox pour collecter des informations utilisateur ou distribuer des logiciels malveillants.[1] [2] [3] & # 160; Les acteurs de la menace télécharge principalement des scripts malveillants, des souches de logiciels malveillants de rat et des documents de leurre sur les serveurs cloud pour effectuer des attaques.Les fichiers téléchargés fonctionnent systématiquement et effectuent divers comportements malveillants.Le processus du premier fichier de distribution à l'exécution des logiciels malveillants de rat est le suivant: dans tel ...
AhnLab SEcurity intelligence Center (ASEC) has been sharing cases of attacks in which threat actors utilize cloud services such as Google Drive, OneDrive, and Dropbox to collect user information or distribute malware. [1][2][3] The threat actors mainly upload malicious scripts, RAT malware strains, and decoy documents onto the cloud servers to perform attacks. The uploaded files work systematically and perform various malicious behaviors. The process from the first distribution file to the execution of RAT malware is as follows: In such...
|
Malware
Threat
Cloud
|
|
★★
|
|
2024-06-05 04:33:42 |
Les acteurs de la menace \\ 'peuvent également être exposés et utilisés par d'autres acteurs de menace
Threat Actors\\' Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
Les types de cyberattaques incluent non seulement les attaques avancées de menace persistante (APT) ciblant quelques entreprises ou organisations spécifiques, mais maisAnalyse également des attaques ciblant plusieurs serveurs aléatoires connectés à Internet.Cela signifie que les infrastructures des acteurs de la menace peuvent devenir les cibles de la cyberattaque aux côtés des entreprises, des organisations et des utilisateurs personnels.AHNLAB Security Intelligence Center (ASEC) a confirmé un cas dans lequel un serveur proxy de l'attaquant de Coinming, est devenu la cible d'une attaque de numérisation de la menace de menace de ransomware.
Types of cyberattack include not only Advanced Persistent Threat (APT) attacks targeting a few specific companies or organizations but also scan attacks targeting multiple random servers connected to the Internet. This means that the infrastructures of threat actors can become the targets of cyberattack alongside companies, organizations, and personal users. AhnLab SEcurity intelligence Center (ASEC) has confirmed a case in which a CoinMiner attacker’s proxy server became a target of a ransomware threat actor’s Remote Desktop Protocol (RDP) scan attack....
|
Ransomware
Threat
|
|
★★
|
|
2024-06-05 02:17:12 |
Avertissement contre les e-mails de phishing provoquant l'exécution des commandes via la pâte (CTRL + V)
Warning Against Phishing Emails Prompting Execution of Commands via Paste (CTRL+V) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les fichiers de phishing étaient distribués par e-mails.Les fichiers de phishing (HTML) ont joint aux e-mails invitent les utilisateurs à coller directement (Ctrl + V) et à exécuter les commandes.L'acteur de menace a envoyé des e-mails sur le traitement des frais, les révisions d'instructions de fonctionnement, etc. pour inciter les destinataires à ouvrir les pièces jointes.Lorsqu'un utilisateur ouvre le fichier HTML, un arrière-plan et un message déguisé en MS Word apparaissent.Le message indique à l'utilisateur de cliquer sur & # 8220; comment réparer & # 8221; ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that phishing files are being distributed via emails. The phishing files (HTML) attached to the emails prompt users to directly paste (CTRL+V) and run the commands. The threat actor sent emails about fee processing, operation instruction reviews, etc. to prompt recipients to open the attachments. When a user opens the HTML file, a background and a message disguised as MS Word appear. The message tells the user to click the “How to fix”...
|
Threat
|
|
★★
|
|
2024-06-05 02:03:46 |
Attaques ciblant les serveurs MS-SQL détectés par Ahnlab EDR
Attacks Targeting MS-SQL Servers Detected by AhnLab EDR (lien direct) |
Les serveurs MS-SQL sont l'un des principaux vecteurs d'attaque utilisés lors du ciblage des systèmes Windows car ils utilisent des mots de passe simpleset sont ouverts publiquement à Internet externe.Les acteurs de la menace trouvent des serveurs MS-SQL mal gérés et les scanner avant d'effectuer des attaques de force brute ou de dictionnaire pour se connecter avec les privilèges de l'administrateur.Une fois que les acteurs de la menace ont atteint ce point, ils utilisent ensuite divers moyens pour installer des logiciels malveillants et prendre le contrôle des systèmes infectés.Ahnlab Security Intelligence Center (ASEC) moniteurs ...
MS-SQL servers are one of the main attack vectors used when targeting Windows systems because they use simple passwords and are open publicly to the external Internet. Threat actors find poorly managed MS-SQL servers and scan them before carrying out brute force or dictionary attacks to log in with administrator privileges. Once the threat actors have reached this point, they then utilize various means to install malware and gain control over the infected systems. AhnLab SEcurity intelligence Center (ASEC) monitors...
|
Malware
Threat
|
|
★★★
|
|
2024-05-30 05:12:51 |
Analyse des cas d'attaque APT utilisant Dora Rat contre les sociétés coréennes (Andariel Group)
Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert les cas d'attaque Andariel APT contre les sociétés coréennes et les instituts.Les organisations ciblées comprenaient des établissements d'enseignement et des entreprises de fabrication et de construction en Corée.Keylogger, Infostaler et des outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques.L'acteur de menace a probablement utilisé ces souches de logiciels malveillants pour contrôler et voler des données des systèmes infectés.Les attaques avaient des souches de logiciels malveillants identifiées dans les cas passés d'Andariel, dont le plus notable est Nestdoor, un ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered Andariel APT attack cases against Korean corporations and institutes. Targeted organizations included educational institutes and manufacturing and construction businesses in Korea. Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks. The threat actor probably used these malware strains to control and steal data from the infected systems. The attacks had malware strains identified in Andariel group’s past cases, the most notable of which is Nestdoor, a...
|
Malware
Tool
Threat
|
|
★★
|
|
2024-05-30 04:36:51 |
Distribution de logiciels malveillants sous le couvert de versions fissurées de MS Office (XMRIG, Orcusrat, etc.)
Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) (lien direct) |
par le biais d'un article intitulé & # 8220; rat orcus distribué déguisé en hangul processeur de mots crack & # 8221;[1], Ahnlab Security Intelligence Center (ASEC) a précédemment révélé un cas d'attaque dans lequel un acteur de menace distribuait des rats et des co -minoirs aux utilisateurs coréens.Jusqu'à récemment, l'attaquant a créé et distribué diverses souches de logiciels malveillants, tels que les téléchargeurs, Coinmin, Rat, Proxy et Antiav.De nombreux systèmes en Corée du Sud ont tendance à être infectés par des souches de logiciels malveillants qui sont distribuées sous le couvert de versions fissurées de programmes légitimes, tels que le traitement de texte hangul ou les outils d'activation pour Windows ou Microsoft Office.Les acteurs de la menace ont mis à niveau leurs logiciels malveillants en ajoutant une autre couche à ce processus, qui s'inscrit au planificateur de tâches dans le système infecté.Après la tâche ...
Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until recently, the attacker created and distributed various malware strains, such as downloaders, CoinMiner, RAT, Proxy, and AntiAV. Numerous systems in South Korea tend to become infected by malware strains that are distributed under the guise of cracked versions of legitimate programs, such as Hangul Word Processor or activation tools for Windows or Microsoft Office. Threat actors have been upgrading their malware by adding another layer to this process, which is registering to the Task Scheduler in the infected system. After task...
|
Malware
Tool
Threat
|
|
★★
|
|
2024-05-14 01:10:25 |
Accès initial aux serveurs Web IIS détectés par Ahnlab EDR
Initial Access to IIS Web Servers Detected by AhnLab EDR (lien direct) |
dans la société Internet moderne, on peut facilement obtenir des informations sur les appareils du monde entier connectés à InternetUtilisation des moteurs de recherche de réseau et de périphériques tels que Shodan.Les acteurs de la menace peuvent utiliser ces moteurs de recherche pour adopter des comportements malveillants tels que la collecte d'informations sur les cibles d'attaque ou effectuer des attaques de balayage de port contre tous les appareils.L'acteur de menace utilise les informations collectées pour trouver des faiblesses dans le système cible et tenter l'accès initial.En fin de compte, ils sont capables d'atteindre ...
In the modern Internet society, one can easily obtain information on devices all over the world connected to the Internet using network and device search engines such as Shodan. Threat actors can use these search engines to engage in malicious behaviors such as collecting information on attack targets or performing port scanning attacks against any devices. The threat actor utilizes the information collected to find weaknesses in the target system and attempt initial access. Ultimately, they are able to attain...
|
Threat
|
|
★★
|
|
2024-05-13 01:48:46 |
Escroqueries romanes exhortant l'investissement de la pièce
Romance Scams Urging Coin Investment (lien direct) |
L'équipe d'analyse mobile de Ahnlab & # 8217;amis à l'étranger ou partenaires romantiques.Ils exploitent ce lien pour solliciter de l'argent sous couvert d'investissements de crypto-monnaie.Une arnaque romantique est un type de fraude qui implique une manipulation émotionnelle pour solliciter de l'argent par divers moyens.Alors que les escroqueries romanes précédentes impliquaient principalement des demandes directes d'argent après avoir gagné de l'affection, les escroqueries actuelles ont élargi leur portée pour inclure de faux échanges de crypto-monnaie, des banques et des achats en ligne ...
AhnLab’s Mobile Analysis Team has confirmed cases of romance scams where perpetrators establish rapport by posing as overseas friends or romantic partners. They exploit this connection to solicit money under the guise of cryptocurrency investments. A romance scam is a type of fraud that involves emotional manipulation to solicit money through various means. While previous romance scams mostly involved direct requests for money after gaining affection, current scams have expanded their scope to include fake cryptocurrency exchanges, banks, and online shopping...
|
Threat
Mobile
|
|
★★★
|
|
2024-05-08 00:59:58 |
Cas de distribution de logiciels malveillants liant le site Web de jeu illégal ciblant le serveur Web coréen
Case of Malware Distribution Linking to Illegal Gambling Website Targeting Korean Web Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ...
AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as...
|
Malware
Tool
Threat
|
|
★★
|
|
2024-04-24 00:09:33 |
Distribution de l'infostaler à base d'électron
Distribution of Infostealer Made With Electron (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert une souche d'infosteller fabriquée avec un électron.Electron est un cadre qui permet de développer des applications à l'aide de JavaScript, HTML et CSS.Discord et Microsoft Vscode sont des exemples majeurs d'applications faites avec un électron.Les applications faites avec des électrons sont emballées et généralement distribuées au format d'installation du système d'installation scriptable Nullsoft (NSIS).L'acteur de menace de ce cas d'attaque a appliqué ce format d'installation au malware.[1] CAS # 1 Lorsque l'on exécute le malware, l'électron ...
AhnLab SEcurity intelligence Center (ASEC) has discovered an Infostealer strain made with Electron. Electron is a framework that allows one to develop apps using JavaScript, HTML, and CSS. Discord and Microsoft VSCode are major examples of applications made with Electron. Apps made with Electron are packaged and usually distributed in Nullsoft Scriptable Install System (NSIS) installer format. The threat actor in this attack case applied this installer format to the malware. [1] Case #1 When one runs the malware, the Electron...
|
Malware
Threat
|
|
★★
|
|
2024-04-18 07:46:32 |
Analyse du rat nautique utilisé dans les attaques contre les systèmes Linux
Analysis of Pupy RAT Used in Attacks Against Linux Systems (lien direct) |
Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat ....
Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT....
|
Malware
Threat
|
APT 35
|
★★
|
|
2024-04-11 00:36:25 |
Metasploit Meterpreter installé via Redis Server
Metasploit Meterpreter Installed via Redis Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que le Metasploit Meterpreter Backdoor a été installé via le service Redis.Redis est une abréviation du serveur de dictionnaire distant, qui est un stockage de structure de données en mémoire open source qui est également utilisé comme base de données.Il est présumé que les acteurs de la menace ont abusé des paramètres inappropriés ou exécuté des commandes par le biais d'attaques de vulnérabilité.Redis est utilisé à diverses fins, les principaux étant la gestion de session, le courtier de messages et les files d'attente.Autant de systèmes partout ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that the Metasploit Meterpreter backdoor has been installed via the Redis service. Redis is an abbreviation of Remote Dictionary Server, which is an open-source in-memory data structure storage that is also used as a database. It is presumed that the threat actors abused inappropriate settings or ran commands through vulnerability attacks. Redis is used for various purposes with the main ones being session management, message broker, and queues. As many systems all over...
|
Vulnerability
Threat
|
|
★★★
|
|
2024-04-08 05:47:42 |
Les acteurs de la menace piratent les chaînes YouTube pour distribuer des infostelleurs (Vidar et Lummac2)
Threat Actors Hack YouTube Channels to Distribute Infostealers (Vidar and LummaC2) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'il y avait un nombre croissant de cas où les acteurs de la menace utilisentYouTube pour distribuer des logiciels malveillants.Les attaquants ne créent pas simplement des canaux YouTube et distribuent des logiciels malveillants - ils volent des canaux bien connus qui existent déjà pour atteindre leur objectif.Dans l'un des cas, le canal ciblé comptait plus de 800 000 abonnés.Les acteurs de la menace qui abusent de YouTube distribuent principalement des infostelleurs.L'infostaler Redline qui a été distribué via YouTube en 2020 aussi ...
AhnLab SEcurity intelligence Center (ASEC) recently found that there are a growing number of cases where threat actors use YouTube to distribute malware. The attackers do not simply create YouTube channels and distribute malware-they are stealing well-known channels that already exist to achieve their goal. In one of the cases, the targeted channel had more than 800,000 subscribers. The threat actors who abuse YouTube are mainly distributing Infostealers. The RedLine Infostealer that was distributed via YouTube in 2020 as well...
|
Malware
Hack
Threat
|
|
★★★
|
|
2024-04-04 01:13:01 |
Rhadamanthys Malware déguisé en programme d'installation de groupware (détecté par MDS)
Rhadamanthys Malware Disguised as Groupware Installer (Detected by MDS) (lien direct) |
Récemment, Ahnlab Security Intelligence Center (ASEC) a découvert la distribution de Rhadamanthygroupware.L'acteur de menace a créé un faux site Web pour ressembler au site Web d'origine et exposé le site aux utilisateurs en utilisant la fonctionnalité publicitaire dans les moteurs de recherche.Le blog ASEC a précédemment couvert les logiciels malveillants distribués via ces fonctionnalités publicitaires des moteurs de recherche dans l'article intitulé & # 8220; Hé, ce n'est pas le bon site! & # 8221;Distribution des logiciels malveillants exploitant Google ADS Suivi [1].Le malware dans ...
Recently, AhnLab SEcurity intelligence Center (ASEC) discovered the distribution of Rhadamanthys under the guise of an installer for groupware. The threat actor created a fake website to resemble the original website and exposed the site to the users using the ad feature in search engines. ASEC Blog has previously covered malware distributed through such ad features of search engines in the article titled “Hey, This Isn’t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking [1]. The malware in...
|
Malware
Threat
|
|
★★
|
|
2024-03-19 01:50:49 |
Andariel Group exploitant les solutions de gestion des actifs coréens (Meshagent)
Andariel Group Exploiting Korean Asset Management Solutions (MeshAgent) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaques continues d'Andariel Group & # 8217;.Il est à noter que des installations de Meshagent ont été trouvées dans certains cas.Les acteurs de la menace exploitent souvent Meshagent ainsi que d'autres outils de gestion à distance similaires car il offre diverses fonctionnalités de télécommande.Le groupe Andariel a exploité les solutions de gestion des actifs coréens pour installer des logiciels malveillants tels que Andarloader et ModelOader, qui sont les logiciels malveillants utilisés dans les cas précédents.En commençant par l'agent Innix dans le passé, le groupe ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered the Andariel group’s continuous attacks on Korean companies. It is notable that installations of MeshAgent were found in some cases. Threat actors often exploit MeshAgent along with other similar remote management tools because it offers diverse remote control features. The Andariel group exploited Korean asset management solutions to install malware such as AndarLoader and ModeLoader, which are the malware used in the previous cases. Starting with Innorix Agent in the past, the group...
|
Malware
Tool
Threat
|
|
★★
|
|
2024-03-12 00:47:25 |
InfostEaler déguisé en Adobe Reader Installer
Infostealer Disguised as Adobe Reader Installer (lien direct) |
AhnLab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infosteur déguisé en installateur du lecteur Adobe.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Comme le montre la figure 1, le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. As shown in the Figure 1, the fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user...
|
Threat
|
|
★★
|
|
2024-03-06 08:56:56 |
Microsoft Windows Security Update Advisory (CVE-2024-21338) (lien direct) |
aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ...
Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are...
|
Vulnerability
Threat
|
APT 38
|
★★
|
|
2024-03-06 01:26:31 |
Z0miner exploite les serveurs Web coréens pour attaquer le serveur WebLogic
z0Miner Exploits Korean Web Servers to Attack WebLogic Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a trouvé de nombreux cas d'acteurs de menace attaquant les serveurs coréens vulnérables.Ce post présente l'un des cas récents dans lesquels l'acteur de menace \\ 'z0min \' a attaqué des serveurs coréens Weblogic.Z0miner a été présenté pour la première fois par Tencent Security, un fournisseur de services Internet chinois.https://s.tencent.com/research/report/1170.html (ce lien n'est disponible qu'en chinois.) Ces acteurs de menace ont une histoire de distribution de mineurs contre les serveurs vulnérables (Atlassian Confluence, Apache ActiveMq, Log4J, etc.), et ils étaient fréquemment mentionnés dans l'ASEC ...
AhnLab SEcurity intelligence Center (ASEC) has found numerous cases of threat actors attacking vulnerable Korean servers. This post introduces one of the recent case in which the threat actor \'z0Miner\' attacked Korean WebLogic servers. z0Miner was first introduced by Tencent Security, a Chinese Internet service provider. https://s.tencent.com/research/report/1170.html (This link is only available in Chinese.) These threat actors have a history of distributing miners against vulnerable servers (Atlassian Confluence, Apache ActiveMQ, Log4J, etc.), and they were frequently mentioned in the ASEC...
|
Threat
|
|
★★★
|
|
2024-03-05 01:14:24 |
Wograt Malware exploite AnotePad (Windows, Linux)
WogRAT Malware Exploits aNotepad (Windows, Linux) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de secours via Anotepad, un en ligne gratuit en lignePlateforme de blocs-notes.Ledit malware prend en charge à la fois le format PE qui cible le système Windows et le format ELF qui cible le système Linux.Comme l'acteur de menace a utilisé la chaîne & # 8216; wingofgod & # 8217;Pendant le développement des logiciels malveillants, il est classé comme Wograt.& # 160;1. Cas de distribution, il est supposé que le WOGRAT a été continu en continu dans les attaques depuis la fin 2022 jusqu'à ...
AhnLab Security intelligence Center (ASEC) has recently discovered the distribution of backdoor malware via aNotepad, a free online notepad platform. Said malware supports both the PE format that targets the Windows system and the ELF format that targets the Linux system. As the threat actor used the string ‘WingOfGod’ during the development of the malware, it is classified as WogRAT. 1. Distribution Cases It is assumed that the WogRAT has continuously been used in attacks since late 2022 until...
|
Malware
Threat
|
|
★★
|
|
2024-02-14 01:05:56 |
Kimsuky Group \\'s Spear Phishing détecté par Ahnlab EDR (Appleseed, Alphaseed)
Kimsuky Group\\'s Spear Phishing Detected by AhnLab EDR (AppleSeed, AlphaSeed) (lien direct) |
Kimsuky Threat Group, réputé soutenu par la Corée du Nord, est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société énergétique sud-coréenne en 2014 et ont élargi leurs attaques à d'autres pays depuis 2017 [1].Le groupe a principalement attaqué la défense nationale, l'industrie de la défense, les médias, les organisations gouvernementales et les domaines universitaires pour leur voler des données et des technologies internes [2] (ce rapport ne soutient que coréen pour l'instant.) Le ...
Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014, and have expanded their attacks to other countries since 2017 [1]. The group has mainly been attacking the national defense, defense industry, media, government organizations, and academic areas to steal internal data and technologies from them [2] (This report supports Korean only for now.) The...
|
Threat
|
|
★★
|
|
2024-02-13 03:52:20 |
Malware de revanche de vengeance sans fichier
Fileless Revenge RAT Malware (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de Revenge Rat qui avaient été développés en fonction deOutils légitimes.Il semble que les attaquants aient utilisé des outils tels que & # 8216; SMTP-Validator & # 8217;et & # 8216; e-mail à SMS & # 8217;.Au moment de l'exécution, le logiciel malveillant crée et exécute à la fois un outil légitime et un fichier malveillant, ce qui rend difficile pour les utilisateurs de réaliser qu'une activité malveillante s'est produite.Comme indiqué dans le code ci-dessous, l'acteur de menace crée et exécute setup.exe ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of Revenge RAT malware that had been developed based on legitimate tools. It appears that the attackers have used tools such as ‘smtp-validator’ and ‘Email To Sms’. At the time of execution, the malware creates and runs both a legitimate tool and a malicious file, making it difficult for users to realize that a malicious activity has occurred. As shown in the code below, the threat actor creates and runs Setup.exe...
|
Malware
Tool
Threat
|
|
★★
|
|
2024-02-08 08:00:40 |
Blueshell utilisé dans les attaques contre les systèmes Linux en Corée (2)
BlueShell Used in Attacks Against Linux Systems in Korea (2) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment téléchargé l'article «Blueshell utilisé dans les attaques appropriées contre le coréen et le thaïlandaisCibles »[1] sur le blog ASEC qui a introduit des souches de logiciels malveillants Blueshell qui ont été utilisés contre les systèmes Linux en Thaïlande et en Corée.L'acteur de menace a personnalisé le malware BlueShell Backdoor pour leur attaque et a configuré la condition de fonctionnement des logiciels malveillants pour travailler uniquement dans des systèmes spécifiques.Même après la sortie de l'article, les souches de logiciels malveillants Blueshell développées par le même acteur de menace sont collectées en continu ...
AhnLab SEcurity intelligence Center (ASEC) previously uploaded the article “BlueShell Used in APT Attacks Against Korean and Thai Targets” [1] on the ASEC blog which introduced BlueShell malware strains that were used against Linux systems in Thailand and Korea. The threat actor customized the BlueShell backdoor malware for their attack, and configured the malware’s operating condition to only work in specific systems. Even after the article’s release, the BlueShell malware strains developed by the same threat actor are being continuously collected...
|
Malware
Threat
|
|
★★★
|
|
2024-02-07 01:43:06 |
La fuite de données détectée par AHNLAB EDR (vs acteurs de menaces de ransomware)
Data Leak Detected by AhnLab EDR (vs. Ransomware Threat Actors) (lien direct) |
Les acteurs de la menace de ransomware ont extorqué de l'argent après avoir pris le contrôle des organisations & # 8217;Réseaux internes, distribution des ransomwares, chiffrer les systèmes et maintenir la restauration du système pour rançon.Récemment, cependant, les acteurs de la menace cryptent non seulement les systèmes mais divulguent également des données internes et menacent de les exposer publiquement si la rançon n'est pas payée.Habituellement, ces acteurs de menace collectent des données, les compriment et les divulguent publiquement.Dans de tels processus, les acteurs de la menace utilisent de nombreux programmes d'utilité légitimes.Ces programmes permettent déjà un transfert stable de grande taille ...
Ransomware threat actors have been extorting money after taking control over organizations’ internal networks, distributing ransomware, encrypting systems, and holding system restoration for ransom. Recently, however, threat actors not only encrypts the systems but also leaks internal data and threatens to expose them publicly if the ransom is not paid. Usually, these threat actors collect data, compress them, and leak them publicly. In such processes, threat actors utilize many legitimate utility programs. These programs already allow stable transfer of large-sized...
|
Ransomware
Threat
|
|
★★
|
|
2024-02-02 08:27:49 |
Acteurs de la menace Installation des comptes de porte dérobée Linux
Threat Actors Installing Linux Backdoor Accounts (lien direct) |
AhnLab Security Intelligence Center (ASEC) utilise un pot de miel Linux SSH pour surveiller les attaques contre les systèmes Linux non spécifiés.Les acteurs de la menace installent des logiciels malveillants en lançant des attaques de force brute et du dictionnaire contre les systèmes Linux qui sont mal gérés, tels que l'utilisation de paramètres par défaut ou le mot de passe simple.Bien qu'il existe une variété de cas d'attaque, y compris ceux où les vers, les co -miners et les robots DDOS sont installés, ce message couvrira les cas d'attaque où des comptes de porte dérobée sont créés à la place des logiciels malveillants.De telles attaques ...
AhnLab SEcurity intelligence Center (ASEC) is using a Linux SSH honeypot to monitor attacks against unspecified Linux systems. Threat actors install malware by launching brute force and dictionary attacks against Linux systems that are poorly managed, such as using default settings or having a simple password. While there is a variety of attack cases including those where worms, CoinMiners, and DDoS bots are installed, this post will cover attack cases where backdoor accounts are created instead of malware. Such attacks...
|
Malware
Threat
|
|
★★
|
|
2024-02-02 05:00:28 |
Analyse du cas de phishing imitant une célèbre page de connexion du portail coréen
Analysis of Phishing Case Impersonating a Famous Korean Portal Login Page (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment analysé un cas de phishing où une page de phishing a été déguisée en tant quePage de connexion d'un célèbre site Web de portail coréen.L'ASEC a ensuite collecté des informations sur l'acteur de menace.La fausse page de connexion, qui aurait été distribuée sous le format des hyperliens jointe aux e-mails de phishing, s'est révélée très similaire à la page de connexion du célèbre site de portail.En fait, il est difficile de réaliser que ...
AhnLab SEcurity intelligence Center (ASEC) has recently analyzed a phishing case where a phishing page was disguised as a login page of a famous Korean portal website. ASEC has then collected some information on the threat actor. The fake login page, which is believed to have been distributed in the format of hyperlinks attached to phishing emails, was found to be very similar to the login page of the famous portal site. In fact, it is difficult to realize that...
|
Threat
|
|
★★
|
|
2024-02-02 04:20:46 |
Distribution de Zephyr Coinmin en utilisant Autoit
Distribution of Zephyr CoinMiner Using Autoit (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'un Coinmin, ciblant Zephyr est distribué.Le fichier est créé avec AutOIT, et il est réparti sous la forme d'un fichier compressé qui contient le Coinmin.Le fichier compressé est distribué sous le nom de «Windows_Py_M3U_EXPLOIT_2024.7Z», et en décompressant le fichier, plusieurs scripts et exécutables sont créés.Parmi eux, «comboiptvexploit.exe» se trouve un programme d'installation de système d'installation scriptable Nullsoft (NSIS), et deux fichiers JavaScript existent.Lorsque le fichier est exécuté, il ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that a CoinMiner targeting Zephyr is being distributed. The file is created with Autoit, and it is being spread in the form of a compressed file that contains the CoinMiner. The compressed file is being distributed as “WINDOWS_PY_M3U_EXPLOIT_2024.7z,” and upon decompressing the file, several scripts and executables are created. Among them, “ComboIptvExploit.exe” is a Nullsoft Scriptable Install System (NSIS) installer, and two Javascript files exist within it. When the file is run, it...
|
Threat
|
|
★★★
|
|
2024-02-01 02:20:55 |
Les informations d'identification du compte volant les logiciels malveillants détectés par Ahnlab MDS (navigateurs Web, e-mail, FTP)
Account Credentials Stealing Malware Detected by AhnLab MDS (Web Browsers, Email, FTP) (lien direct) |
Les utilisateurs utilisent fréquemment la commodité des fonctionnalités de connexion automatique fournies par des programmes tels que les navigateurs Web, les clients de messagerie, etClients FTP.Cependant, cette commodité a un coût car chacun de ces programmes stocke les informations d'identification du compte utilisateur dans leurs données de paramètres.En dépit d'être une fonctionnalité pratique, il présente également un risque de sécurité parce que les acteurs de menaces malveillants sont en mesure de fuir les utilisateurs & # 8217;Compte les informations d'identification facilement.Si les acteurs de malware ou de menace prennent le contrôle d'un système infecté, ils peuvent utiliser divers ...
Users frequently utilize the convenience of automatic log in features provided by programs like web browsers, email clients, and FTP clients. However, this convenience comes at a cost as each of these programs stores user account credentials within their settings data. Despite being a convenient feature, it also poses a security risk because malicious threat actors are able to leak the users’ account credentials easily. If malware or threat actors gain control of an infected system, they can employ various...
|
Malware
Threat
|
|
★★★
|
|
2024-01-30 05:20:34 |
Trigona Ransomware menace l'acteur utilise Mimic Ransomware
Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment identifié une nouvelle activité de l'acteur de menace de ransomware Trigona Installation de Mimicransomware.Comme les cas passés, l'attaque récemment détectée cible les serveurs MS-SQL et est remarquable pour abuser de l'utilitaire BCP (Bulk Copy Program) dans les serveurs MS-SQL pendant le processus d'installation de logiciels malveillants.L'ASEC a découvert un cas d'attaque pour la première fois en utilisant BCP pour installer Mimic début janvier 2024. À la mi-janvier 2024, des types d'attaques similaires étaient identifiés où Trigona a été installé à la place ...
AhnLab SEcurity intelligence Center (ASEC) has recently identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. Like past cases, the recently detected attack targets MS-SQL servers and is notable for abusing the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. ASEC first discovered a case of attack using BCP to install Mimic in early January 2024. In mid-January 2024, there were similar types of attacks identified where Trigona was installed instead...
|
Ransomware
Malware
Threat
|
|
★★
|
|
2024-01-18 07:10:53 |
MIMO COINMINER ET MIMUS RANSOMWALIES installées via des attaques de vulnérabilité
Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités àinstaller des logiciels malveillants.MIMO, également surnommé HEZB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022. Jusqu'à présent, tous les cas d'attaque impliquaient l'installation de XMRIG Coinmin, appelé MIMO Miner Bot dans l'étape finale.Cependant, il y avait d'autres cas pertinents où le même acteur de menace a installé Mimus Ransomware, Proxyware et Reverse Shell ...
AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. Up until now, all of the attack cases involved the installation of XMRig CoinMiner called Mimo Miner Bot in the final stage. However, there were other pertinent cases where the same threat actor installed Mimus ransomware, proxyware, and reverse shell...
|
Ransomware
Malware
Vulnerability
Threat
|
|
★★★
|
|
2024-01-09 05:14:39 |
Vol de comptes de compte dans les environnements de domaine détectés par EDR
Account Credentials Theft in Domain Environments Detected by EDR (lien direct) |
«Reconnaissance interne dans les environnements de domaine détecté par EDR» [1] Couvrait des cas où l'EDR a été utiliséDétecter le processus d'un acteur de menace qui reprend un système dans un environnement Active Directory avant de mener une reconnaissance interne pour collecter des informations.Si l'infrastructure d'une organisation est un environnement qui utilise Active Directory, l'acteur de menace peut effectuer une reconnaissance interne pour collecter des informations sur l'environnement du domaine, voler des informations d'identification, les utiliser pour un mouvement latéral et, finalement, prendre le contrôle du ...
The “Internal Reconnaissance in Domain Environments Detected by EDR” [1] post covered cases where EDR was used to detect the process of a threat actor taking over a system in an Active Directory environment before conducting internal reconnaissance to collect information. If an organization\'s infrastructure is an environment that uses Active Directory, the threat actor can perform internal reconnaissance to collect information on the domain environment, steal account credentials, use these for lateral movement, and ultimately seize control over the...
|
Threat
|
|
★★
|
|
2024-01-02 23:46:43 |
Détection de la reconnaissance interne dans les environnements de domaine en utilisant EDR
Detection of Internal Reconnaissance in Domain Environments Using EDR (lien direct) |
Alors que les acteurs de la menace peuvent augmenter les bénéfices en installant des co -miners ouUn logiciel malveillant de porte dérobée ou de rat pour prendre le contrôle du système infecté.Les infostelleurs sont utilisés dans le but de voler des informations sur les utilisateurs dans le système, mais parfois, ils sont utilisés pour obtenir des données qui peuvent être utilisées pour prendre le contrôle du système cible afin d'installer finalement des co -miners ou des ransomwares.Cela peut ne pas être important si l'attaque cible ...
While threat actors can raise a profit by installing CoinMiners or ransomware strains after initial access, they often first install a backdoor or RAT malware to seize control over the infected system. Infostealers are used for the purpose of stealing user information in the system, but sometimes, they are used to obtain data that can be utilized in gaining control over the target system to ultimately install CoinMiners or ransomware. This may not be of significance if the attack target...
|
Ransomware
Malware
Threat
|
|
★★★
|
|
2023-12-28 05:17:46 |
Analyse des tendances sur les attaques de Kimsuky Group \\ en utilisant Appleseed
Trend Analysis on Kimsuky Group\\'s Attacks Using AppleSeed (lien direct) |
connu pour être soutenu par la Corée du Nord, le groupe de menaces Kimsuky est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société sud-coréenne de l'énergie en 2014. Depuis 2017, des attaques ciblant des pays autres que la Corée du Sud ont également été observées.[1] Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs universitaires.Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.[2] tandis que ...
Known to be supported by North Korea, the Kimsuky threat group has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Since 2017, attacks targeting countries other than South Korea have also been observed. [1] The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. [2] While...
|
Threat
Prediction
|
|
★★★
|
|
2023-12-26 01:30:39 |
Analyse des attaques qui installent des scanners sur les serveurs Linux SSH
Analysis of Attacks That Install Scanners on Linux SSH Servers (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) analyse les campagnes d'attaque contre les serveurs Linux SSH mal gérés et partage les résultatsSur le blog ASEC.Avant d'installer des logiciels malveillants tels que DDOS Bot et Coinmin, les acteurs de la menace doivent obtenir des informations sur l'objectif d'attaque, à savoir l'adresse IP et les informations d'identification du compte SSH.La numérisation IP est effectuée à cet effet pour rechercher des serveurs avec le service SSH, ou le port 22 activé, après quoi une force brute ou une attaque de dictionnaire est ...
AhnLab Security Emergency response Center (ASEC) analyzes attack campaigns against poorly managed Linux SSH servers and shares the results on the ASEC Blog. Before installing malware such as DDoS bot and CoinMiner, the threat actors need to obtain information on the attack target, that is the IP address and SSH account credentials. IP scanning is performed for this purpose to look for servers with the SSH service, or port 22 activated, after which a brute force or dictionary attack is...
|
Malware
Threat
|
|
★★★
|
|
2023-12-19 01:22:36 |
La vulnérabilité Apache ActiveMQ (CVE-2023-46604) étant en permanence exploitée dans les attaques
Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct) |
En novembre 2023, Ahnlab Security Emergency Response Center (ASEC) a publié un article de blog intitulé & # 8220;Circonstances du groupe Andariel exploitant une vulnérabilité Apache ActiveMQ (CVE-2023-46604) & # 8221;[1] qui a couvert les cas du groupe de menaces Andariel exploitant la vulnérabilité CVE-2023-46604 pour installer des logiciels malveillants.Ce message a non seulement couvert les cas d'attaque du groupe Andariel, mais aussi ceux de Hellokitty Ransomware, de Cobalt Strike et Metasploit Meterpreter.Depuis lors, la vulnérabilité Apache ActiveMQ (CVE-2023-46604) a continué à être exploitée par divers acteurs de menace.Ce ...
In November 2023, AhnLab Security Emergency response Center (ASEC) published a blog post titled “Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)” [1] which covered cases of the Andariel threat group exploiting the CVE-2023-46604 vulnerability to install malware. This post not only covered attack cases of the Andariel group but also those of HelloKitty Ransomware, Cobalt Strike, and Metasploit Meterpreter. Since then, the Apache ActiveMQ vulnerability (CVE-2023-46604) has continued to be exploited by various threat actors. This...
|
Ransomware
Malware
Vulnerability
Threat
|
|
★★★
|
|
2023-12-11 07:35:53 |
Distribution des e-mails de phishing sous couvert de fuite de données personnelles (Konni)
Distribution of Phishing Email Under the Guise of Personal Data Leak (Konni) (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a récemment identifié la distribution d'un fichier exe malveillant déguisé en matière liée au matériel lié au matérielÀ une fuite de données personnelles, ciblant les utilisateurs individuels.Le comportement final de ce logiciel malveillant n'a pas pu être observé car le C2 a été fermé, mais le malware est une porte dérobée qui reçoit des commandes obscurcies de l'acteur de menace et les exécute au format XML.Lorsque le fichier EXE malveillant est exécuté, les fichiers de la section .data sont créés dans le% ProgramData% ...
AhnLab Security Emergency response Center (ASEC) recently identified the distribution of a malicious exe file disguised as material related to a personal data leak, targeting individual users. The final behavior of this malware could not be observed because the C2 was closed, but the malware is a backdoor that receives obfuscated commands from the threat actor and executes them in xml format. When the malicious exe file is executed, the files in the .data section are created into the %Programdata%...
|
Malware
Threat
|
|
★★★
|
|
2023-12-08 05:05:57 |
Kimsuky Group utilise AutOIT pour créer des logiciels malveillants (RFTRAT, AMADEY)
Kimsuky Group Uses AutoIt to Create Malware (RftRAT, Amadey) (lien direct) |
Présentation de l'accès….2.1.Attaque de phishing de lance….2.2.LNK Malwareremote Control MALWWare….3.1.Xrat (chargeur)….3.2.Amadey….3.3.Derniers cas d'attaque …… ..3.3.1.Autoit Amadey …… .. 3.3.2.Rftratpost-infection….4.1.Keylogger….4.2.Infostaler….4.3.Other TypesConclusion 1. Overview The Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Cases ofLes attaques contre des pays autres que la Corée du Sud ont ...
OverviewInitial Access…. 2.1. Spear Phishing Attack…. 2.2. LNK MalwareRemote Control Malware…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. Latest Attack Cases…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRATPost-infection…. 4.1. Keylogger…. 4.2. Infostealer…. 4.3. Other TypesConclusion 1. Overview The Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Cases of attacks against countries other than South Korea have...
|
Malware
Threat
|
|
★★
|
|
2023-12-08 05:00:33 |
2023 octobre & # 8211;Rapport de tendance des menaces sur les groupes APT
2023 Oct – Threat Trend Report on APT Groups (lien direct) |
Dans ce rapport, nous couvrons des groupes de menaces dirigés par la nation présumés de mener du cyber-espionnage ou du sabotage sous le soutien du soutiendes gouvernements de certains pays, appelés groupes de menace persistante avancés (APT) & # 8221;Pour des raisons pratiques.Par conséquent, ce rapport ne contient pas d'informations sur les groupes de cybercrimins visant à obtenir des bénéfices financiers.Nous avons organisé des analyses liées aux groupes APT divulgués par des sociétés de sécurité et des institutions, notamment AHNLAB au cours du mois précédent;Cependant, le contenu de certains groupes APT peut ne pas ...
In this report, we cover nation-led threat groups presumed to conduct cyber espionage or sabotage under the support of the governments of certain countries, referred to as “Advanced Persistent Threat (APT) groups” for the sake of convenience. Therefore, this report does not contain information on cybercriminal groups aiming to gain financial profits. We organized analyses related to APT groups disclosed by security companies and institutions including AhnLab during the previous month; however, the content of some APT groups may not...
|
Threat
Prediction
|
|
★★
|
|
2023-12-08 05:00:12 |
2023 octobre & # 8211;Rapport sur la tendance des menaces du Web Deep et Dark
2023 Oct – Deep Web and Dark Web Threat Trend Report (lien direct) |
Ce rapport de tendance sur le Web Deep et le réseau sombre d'octobre 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.Ransomware & # 8211;Regard de la ruche?Hunters International & # 8211;NOESCAPE Ransomware Gang & # 8211;Ragnarlocker DLS fermé & # 8211;Trigona disparaît Forum & # 38;Marché noir & # 8211;La base de données 23andMe a fui et vendu & # 8211;Violation du système de support d'Okta \\ détecté ...
This trend report on the deep web and dark web of October 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. Ransomware – Rebrand of Hive? Hunters International – NoEscape Ransomware Gang – RagnarLocker DLS Shut Down – Trigona Disappears Forum & Black Market – 23andMe Database Leaked and Being Sold – Breach of Okta\'s Support System Detected...
|
Ransomware
Threat
Prediction
|
|
★★★
|
|
2023-12-08 04:59:47 |
2023 octobre & # 8211;Rapport de tendance des menaces sur le groupe Kimsuky
2023 Oct – Threat Trend Report on Kimsuky Group (lien direct) |
Les activités de Kimsuky en octobre 2023 ont légèrement diminué par rapport à leurs activités globales en septembre en septembre.Un domaine de phishing a été découvert, mais parce qu'il utilise l'infrastructure BabyShark, il a été classé comme type BabyShark.Il y avait aussi un type composé où Flowerpower et RandomQuery étaient distribués simultanément.Enfin, davantage de changements dans le système de fleurs via une fragmentation du script ont été observés.2023_OCT_THREAT TREND RAPPORT SUR KIMSUKY GROUP
The Kimsuky group’s activities in October 2023 decreased slightly in comparison to their overall activities in September. One phishing domain was discovered, but because it uses the BabyShark infrastructure, it was classified as the BabyShark type. There was also a compound type where FlowerPower and RandomQuery were distributed simultaneously. Finally, more changes to the FlowerPower system via script fragmentation were observed. 2023_Oct_Threat Trend Report on Kimsuky Group
|
Threat
Prediction
|
|
★★★
|
|
2023-12-08 04:58:39 |
2023 octobre & # 8211;Rapport de tendance des menaces sur les statistiques des ransomwares et les problèmes majeurs
2023 Oct – Threat Trend Report on Ransomware Statistics and Major Issues (lien direct) |
Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en octobre 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Hellokitty Ransomware & # 8217; s Code source fuite 2) Attaques de ransomware contre le serveur WS_FTP non corrigé 3) BlackCat Ransomware utilise & # 8216; Munchkin & # 8217;Alpine Linux VM 4) Autres 2023_OCT_THERAT RAPPORT DE TENDANCE SUR LES STATISTIQUES RANSOMWAGIES ET LES MAJEURS INSCULTATIONS
This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in October 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) HelloKitty Ransomware’s Source Code Leaked 2) Ransomware Attacks Against Unpatched WS_FTP Server 3) BlackCat Ransomware Uses ‘Munchkin’ Alpine Linux VM 4) Others 2023_Oct_Threat Trend Report on Ransomware Statistics and Major Issues
|
Ransomware
Threat
Prediction
|
|
★★
|
|
2023-11-30 00:03:57 |
Kimsuky cible les instituts de recherche sud-coréens avec une fausse déclaration d'importation
Kimsuky Targets South Korean Research Institutes with Fake Import Declaration (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a récemment identifié que le groupe de menaces Kimsuky distribue un JSE malveillant JSE malveillantDiscuisé en tant que déclaration d'importation aux instituts de recherche en Corée du Sud.L'acteur de menace utilise finalement une porte dérobée pour voler des informations et exécuter des commandes.Le nom de fichier du compte-gouttes déguisé en déclaration d'importation est le suivant.Le fichier contient un script PowerShell obscurcis, un fichier de porte dérobée codé en base64 et un fichier PDF légitime.Un fichier PDF légitime est enregistré ...
AhnLab Security Emergency response Center (ASEC) has recently identified that the Kimsuky threat group is distributing a malicious JSE file disguised as an import declaration to research institutes in South Korea. The threat actor ultimately uses a backdoor to steal information and execute commands. The file name of the dropper disguised as an import declaration is as follows. The file contains an obfuscated PowerShell script, a Base64-encoded backdoor file, and a legitimate PDF file. A legitimate PDF file is saved...
|
Threat
|
|
★★
|
|
2023-11-29 23:36:38 |
Ventes d'informations personnelles utilisées comme appâts pour distribuer des logiciels malveillants
Personal Information Sales Used as Bait to Distribute Malware (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a découvert un cas de distribution de logiciels malveillants en utilisant les ventes d'informations personnelles comme appât.Ce cas d'attaque utilise une technique de piratage d'ingénierie sociale.L'ASEC vous fournit des circonstances récemment découvertes de distribution de logiciels malveillants à l'aide de techniques de piratage d'ingénierie sociale.La figure 1 montre le contenu du site Web utilisé par l'acteur de menace comme site de distribution, avec plusieurs fichiers.La plupart des fichiers contiennent des informations personnelles, et les noms de fichiers incluent des mots clés liés à l'investissement tels que & # 8216; Reading, & # 8217;& # 8216; Unfactted, & # 8217; ...
AhnLab Security Emergency response Center (ASEC) discovered a case of malware distribution using personal information sales as bait. This attack case employs a social engineering hacking technique. ASEC provides you with recently discovered circumstances of malware distribution using social engineering hacking techniques. Figure 1 shows the content of the website used by the threat actor as a distribution site, with multiple files. Most of the files contain personal information, and the file names include investment-related keywords such as ‘reading,’ ‘unlisted,’...
|
Malware
Threat
|
|
★★
|
