What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2020-03-27 14:00:00 | Ingénierie sociale basée sur le projet de loi de relance et les systèmes de rémunération financière Covid-19 qui devraient croître dans les semaines à venir Social Engineering Based on Stimulus Bill and COVID-19 Financial Compensation Schemes Expected to Grow in Coming Weeks (lien direct) |
Compte tenu de l'intérêt communautaire et de la couverture médiatique entourant le projet de loi sur la relance économique actuellement examiné par la Chambre des représentants des États-Unis, nous prévoyons que les attaquants tiendront de plus en plus des leurres adaptés au nouveau projet de loi de relance et aux efforts de rétablissement connexes tels que les chèques de relance, la compensation de chômageet les prêts aux petites entreprises.Bien que les campagnes employant des thèmes pertinentes à ces questions commencent à être adoptées par des acteurs de la menace, nous nous attendons à de futures campagnes prudemment celles perpétrées par des acteurs de menace motivés financièrement pour incorporer ces thèmes dans
Given the community interest and media coverage surrounding the economic stimulus bill currently being considered by the United States House of Representatives, we anticipate attackers will increasingly leverage lures tailored to the new stimulus bill and related recovery efforts such as stimulus checks, unemployment compensation and small business loans. Although campaigns employing themes relevant to these matters are only beginning to be adopted by threat actors, we expect future campaigns-primarily those perpetrated by financially motivated threat actors-to incorporate these themes in |
Threat | ★★★ | |
|
2020-03-23 07:00:00 | Surveillance des outils de cyber-opération ICS et des modules d'exploitation de logiciels pour anticiper les menaces futures Monitoring ICS Cyber Operation Tools and Software Exploit Modules To Anticipate Future Threats (lien direct) |
Il n'y a eu qu'un petit nombre de cyberattaques largement documentées ciblant les technologies opérationnelles (OT) / systèmes de contrôle industriel (ICS) au cours de la dernière décennie.Bien que moins d'attaques soit clairement une bonne chose, l'absence d'une taille d'échantillon adéquate pour déterminer les seuils de risque peut rendre difficile pour les défenseurs de comprendre l'environnement de menace, de hiérarchiser les efforts de sécurité et de justifier l'allocation des ressources.
Pour résoudre ce problème, Fireeye Mandiant Threat Intelligence produit une gamme de rapports pour abonnement Les clients qui se concentrent sur différents indicateurs pour prédire les menaces futures
There has only been a small number of broadly documented cyber attacks targeting operational technologies (OT) / industrial control systems (ICS) over the last decade. While fewer attacks is clearly a good thing, the lack of an adequate sample size to determine risk thresholds can make it difficult for defenders to understand the threat environment, prioritize security efforts, and justify resource allocation. To address this problem, FireEye Mandiant Threat Intelligence produces a range of reports for subscription customers that focus on different indicators to predict future threats |
Tool Threat Industrial Prediction | ★★★★ | |
|
2020-03-16 10:30:00 | Ils viennent dans la nuit: tendances de déploiement des ransomwares They Come in the Night: Ransomware Deployment Trends (lien direct) |
Ransomware est un shakedown numérique éloigné.Il est perturbateur et coûteux, et il affecte toutes sortes d'organisations, à partir de Cutting Edge Technologie spatiale Firms, aux Woolindustrie , à | Ransomware Threat Industrial | ★★★ | |
|
2020-02-19 18:30:00 | LNK manquant - Corrélation des fichiers LNK de recherche d'utilisateurs The Missing LNK - Correlating User Search LNK files (lien direct) |
Les enquêteurs médico-légaux utilisent des fichiers de raccourci LNK pour récupérer les métadonnées sur les fichiers récemment consultés, y compris les fichiers supprimés après l'heure de l'accès.Dans une enquête récente, FireEye Mandiant a rencontré des fichiers LNK qui indiquaient un attaquant accessible aux fichiers inclus dans les résultats de recherche Windows Explorer.D'après notre expérience, il s'agissait d'une nouvelle combinaison d'artefacts médico-légaux.Nous sommes ravis de partager nos résultats car ils aident à peindre une image plus complète des actions et des objectifs d'un attaquant sur les systèmes ciblés.De plus, ces résultats peuvent également être exploités pour les cas de menaces d'initiés afin de déterminer
Forensic investigators use LNK shortcut files to recover metadata about recently accessed files, including files deleted after the time of access. In a recent investigation, FireEye Mandiant encountered LNK files that indicated an attacker accessed files included in Windows Explorer search results. In our experience, this was a new combination of forensic artifacts. We\'re excited to share our findings because they help to paint a more complete picture of an attacker\'s actions and objectives on targeted systems. Further, these findings can also be leveraged for insider threat cases to determine |
Threat | ★★★★ | |
|
2020-02-12 12:30:00 | Opération d'information "éminent l'identité" qui a précédemment imité les politiciens et les journalistes américains sur les réseaux sociaux fabriqués des personnages libéraux américains pour promouvoir les intérêts iraniens "Distinguished Impersonator" Information Operation That Previously Impersonated U.S. Politicians and Journalists on Social Media Leverages Fabricated U.S. Liberal Personas to Promote Iranian Interests (lien direct) |
En mai 2019, FireEye Threat Intelligence a publié un article de blog exposant un réseau de comptes de médias sociaux en anglais qui se sont engagés dans un comportement inauthentique et une fausse déclaration que nous avons évalués avec une faible confiance a été organisé pour soutenir les intérêts politiques iraniens.Les personnages de ce réseau ont usurpé l'identité des candidats aux sièges de la Chambre des représentants des États-Unis en 2018 et ont mis à profit des personnages de journalistes fabriqués pour solliciter diverses personnes, y compris de vrais journalistes et politiciens, pour des interviews destinées à renforcer les récits politiques souhaités.Depuis la sortie de ce billet de blog, nous
In May 2019, FireEye Threat Intelligence published a blog post exposing a network of English-language social media accounts that engaged in inauthentic behavior and misrepresentation that we assessed with low confidence was organized in support of Iranian political interests. Personas in that network impersonated candidates for U.S. House of Representatives seats in 2018 and leveraged fabricated journalist personas to solicit various individuals, including real journalists and politicians, for interviews intended to bolster desired political narratives. Since the release of that blog post, we |
Threat | ★★★ | |
|
2020-01-31 16:45:00 | DLL LEAT-WORKING & RIJACKING - Utilisation de l'intelligence des menaces pour armer la R&D DLL Side-loading & Hijacking - Using Threat Intelligence to Weaponize R&D (lien direct) |
Aperçu des techniques d'abus DLL
Bibliothèque dynamique-link (dll) Side-Choting se produit lorsque Windows Side-Aide (WinsXSS) se manifester programme.En termes de laïc \\, DLL LEAD-LADODING peut permettre à un attaquant de tromper un programme pour charger une DLL malveillante.Si vous êtes intéressé à en savoir plus sur la façon dont DLL à chargement latéral Fonctionne et comment nous voyons les attaquants en utilisant cette technique, lisez notre rapport.
dll hijacking Se produit lorsqu'un attaquant est en mesure de profiter de l'ordre de recherche et de chargement Windows, permettant l'exécution d'une DLL malveillante
DLL Abuse Techniques Overview Dynamic-link library (DLL) side-loading occurs when Windows Side-by-Side (WinSxS) manifests are not explicit about the characteristics of DLLs being loaded by a program. In layman\'s terms, DLL side-loading can allow an attacker to trick a program into loading a malicious DLL. If you are interested in learning more about how DLL side-loading works and how we see attackers using this technique, read through our report. DLL hijacking occurs when an attacker is able to take advantage of the Windows search and load order, allowing the execution of a malicious DLL |
Threat | ★★★ | |
|
2020-01-24 17:00:00 | Beau essai: 501 (ransomware) non implémenté Nice Try: 501 (Ransomware) Not Implemented (lien direct) |
une menace en constante évolution
Depuis le 10 janvier 2020, Fireeye a suivi une vaste exploitation globale de CVE-2019-19781, qui continue d'avoir un impact sur Citrix ADC et Gateway Instances qui sont non corrigées ou n'ont pas Mitigations appliquées .Nous avons précédemment rendu compte des attaquants \\ 'Swift Tuts d'exploiter cette vulnérabilité et le déploiement post-compromis de l'invisible Notrobin Makware Family par un acteur de menace.FireEye continue de suivre activement plusieurs grappes d'activité associées à l'exploitation de cette vulnérabilité, principalement basée sur la façon dont les attaquants interagissent avec vulnérable
An Ever-Evolving Threat Since January 10, 2020, FireEye has tracked extensive global exploitation of CVE-2019-19781, which continues to impact Citrix ADC and Gateway instances that are unpatched or do not have mitigations applied. We previously reported on attackers\' swift attempts to exploit this vulnerability and the post-compromise deployment of the previously unseen NOTROBIN malware family by one threat actor. FireEye continues to actively track multiple clusters of activity associated with exploitation of this vulnerability, primarily based on how attackers interact with vulnerable |
Malware Vulnerability Threat | ★★★★ | |
|
2020-01-15 15:00:00 | Vigilante Déploiement de l'atténuation pour la vulnérabilité Citrix NetScaler tout en maintenant la porte dérobée Vigilante Deploying Mitigation for Citrix NetScaler Vulnerability While Maintaining Backdoor (lien direct) |
comme indiqué dans Patch rust: je le promets que ce sera 200 ok , notre Fireeye mandiant L'équipe de réponse aux incidents a étéLe travail dur en répondant aux intrusions résultant de l'exploitation du CVE-2019-19781.Après avoir analysé des dizaines de tentatives d'exploitation réussies contre Citrix ADC qui n'avaient pas le Étapes d'atténuation Citrix Implémentées, nous avons reconnu plusieurs groupes d'activités post-exploitation.Dans ces derniers, quelque chose a attiré notre attention: un acteur de menace particulier qui a déployé une charge utile auparavant unie pour laquelle nous avons créé la famille de code Notrobin.
en ayant accès à un
As noted in Rough Patch: I Promise It\'ll Be 200 OK, our FireEye Mandiant Incident Response team has been hard at work responding to intrusions stemming from the exploitation of CVE-2019-19781. After analyzing dozens of successful exploitation attempts against Citrix ADCs that did not have the Citrix mitigation steps implemented, we\'ve recognized multiple groups of post-exploitation activity. Within these, something caught our eye: one particular threat actor that\'s been deploying a previously-unseen payload for which we\'ve created the code family NOTROBIN. Upon gaining access to a |
Vulnerability Threat | ★★★ | |
|
2020-01-09 17:30:00 | Saigon, la mystérieuse fourche Ursnif SAIGON, the Mysterious Ursnif Fork (lien direct) |
ursnif (aka Gozi / Gozi-ISFB) est l'une des plus anciennes familles de logiciels malveillants bancaires encore en distribution active.Alors que la première version majeure d'URSNIF a été identifiée en 2006, plusieurs versions ultérieures ont été publiées en grande partie en raison des fuites de code source.Fireeye a rendu compte d'une variante non identifiée auparavant de la famille Ursnif Malware à nos abonnés de l'intelligence des menaces en septembre 2019 après avoir identifié un serveur qui a hébergé une collection d'outils, qui comprenait plusieurs familles de logiciels malveillants de point de vente.Ce malware s'est identifié comme "Saigon version 3.50 Rev 132" et notre analyse
Ursnif (aka Gozi/Gozi-ISFB) is one of the oldest banking malware families still in active distribution. While the first major version of Ursnif was identified in 2006, several subsequent versions have been released in large part due source code leaks. FireEye reported on a previously unidentified variant of the Ursnif malware family to our threat intelligence subscribers in September 2019 after identification of a server that hosted a collection of tools, which included multiple point-of-sale malware families. This malware self-identified as "SaiGon version 3.50 rev 132," and our analysis |
Malware Threat | ★★★ | |
|
2019-10-21 12:00:00 | Encodeur Shikata Ga Nai va toujours fort Shikata Ga Nai Encoder Still Going Strong (lien direct) |
L'un des cadres d'exploitation les plus populaires au monde est Metasploit.Sa vaste bibliothèque d'exploits de poche, son environnement de charge utile enfichable et sa simplicité d'exécution en font la plate-forme de base de facto.Metasploit est utilisé par les Pentesters, les amateurs de sécurité, les enfants de script et même les acteurs malveillants.Il est si répandu que sa base d'utilisateurs comprend même des acteurs de menace appropriés, comme nous le démontrerons plus loin dans le billet de blog.
Malgré l'existence de plus de 15 ans de métasploit, il existe encore des techniques de base qui ne sont pas détectées, permettant aux acteurs malveillants d'échapper à la détection.L'une de ces techniques de base est
One of the most popular exploit frameworks in the world is Metasploit. Its vast library of pocket exploits, pluggable payload environment, and simplicity of execution makes it the de facto base platform. Metasploit is used by pentesters, security enthusiasts, script kiddies, and even malicious actors. It is so prevalent that its user base even includes APT threat actors, as we will demonstrate later in the blog post. Despite Metasploit\'s over 15 year existence, there are still core techniques that go undetected, allowing malicious actors to evade detection. One of these core techniques is |
Threat | ★★★ | |
|
2019-10-15 09:15:00 | Lowkey: Chasse pour l'ID de série de volume manquant LOWKEY: Hunting for the Missing Volume Serial ID (lien direct) |
En août 2019, Fireeye a publié le « Double Dragon » Rapport sur notre nouveau groupe de menaces gradué: APT41.Un groupe à double espionnage en Chine-Nexus et un groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.
Ce billet de blog concerne la porte dérobée passive sophistiquée que nous suivons en tant que Lowkey, mentionnée dans le rapport APT41 et récemment dévoilée au Fireeye Cyber Defense Summit .Nous avons observé le dispositif de ciel utilisé dans des attaques très ciblées, en utilisant des charges utiles qui fonctionnent uniquement sur des systèmes spécifiques.Famille de logiciels malveillants supplémentaires
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group: APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. This blog post is about the sophisticated passive backdoor we track as LOWKEY, mentioned in the APT41 report and recently unveiled at the FireEye Cyber Defense Summit. We observed LOWKEY being used in highly targeted attacks, utilizing payloads that run only on specific systems. Additional malware family |
Malware Threat | APT 41 APT-C-17 | ★★★★ |
|
2019-10-01 05:00:00 | Faux de tête: s'attaquer aux attaques de ransomware perturbatrices Head Fake: Tackling Disruptive Ransomware Attacks (lien direct) |
Au cours des derniers mois, Fireeye a observé des menaces motivées financièrement les acteurs de la menace utilisés par les tactiques qui se concentrent sur la perturbation des processus commerciaux en déploiement des ransomwares en masse dans tout l'environnement d'une victime.Comprenant que les processus commerciaux normaux sont essentiels à la réussite organisationnelle, ces campagnes de ransomwares se sont accompagnées de montants de rançon de plusieurs millions de dollars.Dans cet article, nous fournirons un examen technique d'une campagne récente qui remonte à une technique sur laquelle nous avons initialement signalé dans avril 2018 .
Entre mai et septembre 2019, Fireeye a répondu à
Within the past several months, FireEye has observed financially-motivated threat actors employ tactics that focus on disrupting business processes by deploying ransomware in mass throughout a victim\'s environment. Understanding that normal business processes are critical to organizational success, these ransomware campaigns have been accompanied with multi-million dollar ransom amounts. In this post, we\'ll provide a technical examination of one recent campaign that stems back to a technique that we initially reported on in April 2018. Between May and September 2019, FireEye responded to |
Ransomware Threat | ★★★ | |
|
2019-08-19 12:30:00 | Game Over: détecter et arrêter une opération APT41 GAME OVER: Detecting and Stopping an APT41 Operation (lien direct) |
En août 2019, Fireeye a publié le rapport "Double Dragon" Sur notre nouveau groupe de menaces diplômées, APT41.Espionage à double espionnage China-Nexus et groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.APT41 est connu pour s'adapter rapidement aux changements et aux détections dans les environnements de victimes, recompilant souvent les logiciels malveillants dans les heures suivant l'activité des répondeurs.Dans plusieurs situations, nous avons également identifié APT41 en utilisant des vulnérabilités récemment divulguées, souvent en armement et en exploitant en quelques jours.
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group, APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. APT41 is known to adapt quickly to changes and detections within victim environments, often recompiling malware within hours of incident responder activity. In multiple situations, we also identified APT41 utilizing recently-disclosed vulnerabilities, often weaponzing and exploiting within a matter of days. |
Malware Threat | APT 41 APT 41 | ★★★★ |
|
2019-08-07 07:00:00 | APT41: un double espionnage et une opération de cybercriminalité APT41: A Dual Espionage and Cyber Crime Operation (lien direct) |
Aujourd'hui, FireEye Intelligence publie un rapport complet détaillant APT41, un groupe de cyber-menaces chinois prolifique qui effectue une activité d'espionnage parrainée par l'État parallèlement aux opérations à motivation financière.L'APT41 est unique parmi les acteurs de la Chine suivis en ce qu'il exploite les logiciels malveillants non publiques généralement réservés aux campagnes d'espionnage dans ce qui semble être une activité à des fins personnelles.Le ciblage explicite financièrement motivé est inhabituel parmi les groupes de menaces parrainés par l'État chinois, et les preuves suggèrent que l'APT41 a mené des opérations simultanées de cybercriminalité et de cyber-espionnage
Today, FireEye Intelligence is releasing a comprehensive report detailing APT41, a prolific Chinese cyber threat group that carries out state-sponsored espionage activity in parallel with financially motivated operations. APT41 is unique among tracked China-based actors in that it leverages non-public malware typically reserved for espionage campaigns in what appears to be activity for personal gain. Explicit financially-motivated targeting is unusual among Chinese state-sponsored threat groups, and evidence suggests APT41 has conducted simultaneous cyber crime and cyber espionage operations |
Threat | APT 41 APT 41 | ★★★★ |
|
2019-04-16 02:00:00 | La campagne de phishing de lance cible le gouvernement et les militaires de l'Ukraine;L'infrastructure révèle un lien potentiel avec la République dite de Luhansk \\ Spear Phishing Campaign Targets Ukraine Government and Military; Infrastructure Reveals Potential Link to So-Called Luhansk People\\'s Republic (lien direct) |
Début 2019, FireEye Threat Intelligence a identifié un e-mail de phishing de lance ciblant les entités gouvernementales en Ukraine.L'e-mail de phishing de lance comprenait un fichier LNK malveillant avec le script PowerShell pour télécharger la charge utile de deuxième étape à partir du serveur de commande et de contrôle (C & amp; c).Le courrier électronique a été reçu par les départements militaires en Ukraine et comprenait du contenu de leurre lié à la vente de machines de déminage.
Cette dernière activité est une continuation du phishing de lance qui ciblait le gouvernement ukrainien dès 2014. L'e-mail est lié à l'activité qui ciblait auparavant l'Ukrainien
In early 2019, FireEye Threat Intelligence identified a spear phishing email targeting government entities in Ukraine. The spear phishing email included a malicious LNK file with PowerShell script to download the second-stage payload from the command and control (C&C) server. The email was received by military departments in Ukraine and included lure content related to the sale of demining machines. This latest activity is a continuation of spear phishing that targeted the Ukrainian Government as early as 2014. The email is linked to activity that previously targeted the Ukrainian |
Threat | ★★★★ | |
|
2019-04-09 12:00:00 | Modèles d'apprentissage automatique: Gestion des changements dans les prédictions du modèle Churning Out Machine Learning Models: Handling Changes in Model Predictions (lien direct) |
Introduction
L'apprentissage automatique (ML) joue un rôle de plus en plus important dans la cybersécurité.Ici, à Fireeye, nous employons ML pour une variété de tâches telles que: Antivirus , Détection de PowerShell malveillante , et Corrélant le comportement des acteurs de la menace .Alors que de nombreuses personnes pensent que le travail d'un data scientifique est terminé lorsqu'un modèle est construit, la vérité est que les cyber-menaces changent constamment et nos modèles doivent également nos modèles.La formation initiale n'est que le début du processus et la maintenance du modèle ML crée une grande dette technique.Google fournit une introduction utile à ce sujet dans leur article "Machin
Introduction Machine learning (ML) is playing an increasingly important role in cyber security. Here at FireEye, we employ ML for a variety of tasks such as: antivirus, malicious PowerShell detection, and correlating threat actor behavior. While many people think that a data scientist\'s job is finished when a model is built, the truth is that cyber threats constantly change and so must our models. The initial training is only the start of the process and ML model maintenance creates a large amount of technical debt. Google provides a helpful introduction to this topic in their paper “Machin |
Threat | ★★★ | |
|
2019-04-05 12:00:00 | Pick-six: Intercepter une intrusion FIN6, un acteur récemment lié à Ryuk et Lockergoga Ransomware Pick-Six: Intercepting a FIN6 Intrusion, an Actor Recently Tied to Ryuk and LockerGoga Ransomware (lien direct) |
Résumé
Récemment, FireEye a géré la défense détectée et répondu à une intrusion FIN6 chez un client de l'industrie de l'ingénierie, qui semblait hors de caractère en raison du ciblage historique de FIN6 \\ des données de carte de paiement.L'intention de l'intrusion était initialement claire car le client n'avait pas ou ne traitait pas les données de la carte de paiement.Heureusement, chaque enquête menée par Managed Defence ou Mandiant comprend des analystes de notre équipe Fireeye Advanced Practices qui contribue à une activité corrélée observée dans nos centaines d'enquêtes et à des renseignements sur les menaces volumineuses.Notre équipe
Summary Recently, FireEye Managed Defense detected and responded to a FIN6 intrusion at a customer within the engineering industry, which seemed out of character due to FIN6\'s historical targeting of payment card data. The intent of the intrusion was initially unclear because the customer did not have or process payment card data. Fortunately, every investigation conducted by Managed Defense or Mandiant includes analysts from our FireEye Advanced Practices team who help correlate activity observed in our hundreds of investigations and voluminous threat intelligence holdings. Our team |
Ransomware Threat | ★★★ | |
|
2019-03-13 11:00:00 | Breaking the Bank: faiblesse des demandes d'IA financières Breaking the Bank: Weakness in Financial AI Applications (lien direct) |
Actuellement, les acteurs de la menace ont un accès limité à la technologie requise pour mener des opérations perturbatrices contre les systèmes d'intelligence artificielle financière (IA) et le risque de ce type de ciblage reste faible.Cependant, il existe un risque élevé d'acteurs de la menace tirant parti de l'IA dans le cadre des campagnes de désinformation pour provoquer une panique financière.À mesure que les outils financiers de l'IA deviennent plus courants, les méthodes contradictoires pour exploiter ces outils deviendront également plus disponibles, et les opérations ciblant l'industrie financière seront de plus en plus probables à l'avenir.
composés AI à la fois l'efficacité et le risque
financi
Currently, threat actors possess limited access to the technology required to conduct disruptive operations against financial artificial intelligence (AI) systems and the risk of this targeting type remains low. However, there is a high risk of threat actors leveraging AI as part of disinformation campaigns to cause financial panic. As AI financial tools become more commonplace, adversarial methods to exploit these tools will also become more available, and operations targeting the financial industry will be increasingly likely in the future. AI Compounds Both Efficiency and Risk Financi |
Tool Threat | ★★★ | |
|
2019-01-24 16:00:00 | Contourner les restrictions du réseau via le tunneling RDP Bypassing Network Restrictions Through RDP Tunneling (lien direct) |
Remote Desktop Services est un composant de Microsoft Windows qui est utilisé par diverses entreprises pour la commodité qu'il propose des administrateurs de systèmes, des ingénieurs et des employés distants.D'un autre côté, les services de bureau à distance, et en particulier le protocole de bureau à distance (RDP), offre cette même commodité aux acteurs de la menace distante lors de compromis système ciblés.Lorsque les acteurs de menace sophistiqués établissent une implication et acquièrent de grandes informations d'identification de connexion, ils peuvent passer de la baie à l'utilisation de sessions RDP directes pour un accès à distance.Lorsque les logiciels malveillants sont retirés de l'équation, les intrusions deviennent
Remote Desktop Services is a component of Microsoft Windows that is used by various companies for the convenience it offers systems administrators, engineers and remote employees. On the other hand, Remote Desktop Services, and specifically the Remote Desktop Protocol (RDP), offers this same convenience to remote threat actors during targeted system compromises. When sophisticated threat actors establish a foothold and acquire ample logon credentials, they may switch from backdoors to using direct RDP sessions for remote access. When malware is removed from the equation, intrusions become |
Malware Threat | ★★★★ | |
|
2018-11-29 17:00:00 | Détection de ligne de commande obscurci à l'aide d'apprentissage automatique Obfuscated Command Line Detection Using Machine Learning (lien direct) |
Cet article de blog présente une approche d'apprentissage automatique (ML) pour résoudre un problème de sécurité émergent: détecter les invocations de la ligne de commande de Windows obscurcis sur les points de terminaison.Nous commençons par une introduction à cette capacité de menace relativement nouvelle, puis discutons de la façon dont ces problèmes ont traditionnellement été traités.Nous décrivons ensuite une approche d'apprentissage automatique pour résoudre ce problème et soulignons comment ML simplifie considérablement le développement et le maintien d'un détecteur d'obfuscation robuste.Enfin, nous présentons les résultats obtenus en utilisant deux techniques de ML différentes et comparons les avantages de chacun.
introduc
This blog post presents a machine learning (ML) approach to solving an emerging security problem: detecting obfuscated Windows command line invocations on endpoints. We start out with an introduction to this relatively new threat capability, and then discuss how such problems have traditionally been handled. We then describe a machine learning approach to solving this problem and point out how ML vastly simplifies development and maintenance of a robust obfuscation detector. Finally, we present the results obtained using two different ML techniques and compare the benefits of each. Introduc |
Threat | ★★★★ | |
|
2018-10-03 07:00:00 | APT38: Détails sur le nouveau groupe de menaces soutenu par le régime nord-coréen APT38: Details on New North Korean Regime-Backed Threat Group (lien direct) |
Aujourd'hui, nous publions des détails sur un un groupe avancé de menace persistante qui, selon nous, est responsable de la conduite d'un crime financierAu nom du régime nord-coréen, volant des millions de dollars aux banques dans le monde.Le groupe est particulièrement agressif;Ils utilisent régulièrement des logiciels malveillants destructeurs pour rendre les réseaux de victimes inopérables après le vol.Plus important encore, les efforts diplomatiques, y compris la récente plainte du ministère de la Justice (DOJ) qui ont décrit l'attribution à la Corée du Nord, n'ont jusqu'à présent pas mis fin à leur activité.Nous appelons ce groupe apt38.
nous publions un
Today, we are releasing details on a advanced persistent threat group that we believe is responsible for conducting financial crime on behalf of the North Korean regime, stealing millions of dollars from banks worldwide. The group is particularly aggressive; they regularly use destructive malware to render victim networks inoperable following theft. More importantly, diplomatic efforts, including the recent Department of Justice (DOJ) complaint that outlined attribution to North Korea, have thus far failed to put an end to their activity. We are calling this group APT38. We are releasing a |
Malware Threat | APT 38 APT 38 | ★★★★ |
|
2018-09-20 11:30:00 | Utilisation accrue d'un packer Delphi pour échapper à la classification des logiciels malveillants Increased Use of a Delphi Packer to Evade Malware Classification (lien direct) |
Introduction
Le concept de «emballage» ou de «crypter» un programme malveillant est très populaire parmi les acteurs de la menace qui cherchent à contourner ou à vaincre l'analyse par des outils d'analyse statique et dynamique.L'évasion de la classification et de la détection est une course aux armements dans laquelle les nouvelles techniques sont échangées et utilisées dans la nature.Par exemple, nous observons de nombreux services de rattachement offerts dans les forums souterrains par des acteurs qui prétendent faire des logiciels malveillants "FUD" ou "entièrement indétectables" par des technologies antivirus, des bacs de sable et d'autres solutions de point final.Nous constatons également un effort accru pour modéliser l'activité des utilisateurs normaux et le référence
Introduction The concept of "packing" or "crypting" a malicious program is widely popular among threat actors looking to bypass or defeat analysis by static and dynamic analysis tools. Evasion of classification and detection is an arms race in which new techniques are traded and used in the wild. For example, we observe many crypting services being offered in underground forums by actors who claim to make any malware "FUD" or "Fully Undetectable" by anti-virus technologies, sandboxes and other endpoint solutions. We also see an increased effort to model normal user activity and baseline it |
Malware Threat | ★★★★ | |
|
2018-08-01 12:00:00 | Sur la chasse à FIN7: poursuivre une opération criminelle mondiale énigmatique et évasive On the Hunt for FIN7: Pursuing an Enigmatic and Evasive Global Criminal Operation (lien direct) |
Le 1er août 2018, le Office du procureur des États-Unis pour le district ouest de Washington Les actes d'accusation non scellés et ont annoncé l'arrestation de trois personnes dans les rangs de direction d'une organisation criminelle qui s'aligne sur l'activité que nous avons suivie depuis 2015comme fin7.Ces acteurs malveillants sont membres de l'un des groupes de menaces financières les plus prolifiques de cette décennie, ayant des attaques soigneusement créées ciblées dans plus de 100 organisations.Fin7 est appelé par de nombreux vendeurs comme «groupe Carbanak», bien que nous n'asquivons pas toute utilisation de la porte dérobée de Carbanak à FIN7.Ce
On Aug. 1, 2018, the United States District Attorney\'s Office for the Western District of Washington unsealed indictments and announced the arrests of three individuals within the leadership ranks of a criminal organization that aligns with activity we have tracked since 2015 as FIN7. These malicious actors are members of one of the most prolific financial threat groups of this decade, having carefully crafted attacks targeted at more than 100 organizations. FIN7 is referred to by many vendors as “Carbanak Group,” although we do not equate all usage of the CARBANAK backdoor with FIN7. This |
Threat | ★★★★ | |
|
2018-07-10 11:00:00 | Détection de PowerShell malveillant via l'apprentissage automatique Malicious PowerShell Detection via Machine Learning (lien direct) |
Introduction
Les vendeurs et chercheurs de la cybersécurité ont rapporté depuis des années comment PowerShell est utilisé par les acteurs de cyber-menaces pour installer des déambulations, Exécuter du code malveillant , et atteignent autrement leurs objectifs au sein des entreprises.La sécurité est un jeu de chat et de souris entre les adversaires, les chercheurs et les équipes bleues.La flexibilité et la capacité de PowerShell ont rendu la détection conventionnelle à la fois difficile et critique.Ce billet de blog illustrera comment FireEye tire parti de l'intelligence artificielle et de l'apprentissage automatique pour augmenter la barre des adversaires qui utilisent PowerShell.
dans ce post
Introduction Cyber security vendors and researchers have reported for years how PowerShell is being used by cyber threat actors to install backdoors, execute malicious code, and otherwise achieve their objectives within enterprises. Security is a cat-and-mouse game between adversaries, researchers, and blue teams. The flexibility and capability of PowerShell has made conventional detection both challenging and critical. This blog post will illustrate how FireEye is leveraging artificial intelligence and machine learning to raise the bar for adversaries that use PowerShell. In this post |
Threat Technical | ★★★★ | |
|
2018-06-07 09:00:00 | Un traité totalement tubulaire sur Triton et Tristation A Totally Tubular Treatise on TRITON and TriStation (lien direct) |
Introduction
En décembre 2017, Fireeye \'s mandiant a discuté d'une réponse incidente impliquant le framework .L'attaque de Triton et bon nombre des intrusions de CI sur les ICS impliquaient des techniques de routine où les acteurs de la menace n'utilisaient que ce qui est nécessaire pour réussir dans leur mission.Pour Industryer et Triton, les attaquants sont passés du réseau informatique vers le réseau OT (technologie opérationnelle) à travers des systèmes accessibles aux deux environnements.Bargades de logiciels malveillants traditionnels, distillats Mimikatz, sessions de bureau à distance et autres attaques bien documentées et facilement détectées
Introduction In December 2017, FireEye\'s Mandiant discussed an incident response involving the TRITON framework. The TRITON attack and many of the publicly discussed ICS intrusions involved routine techniques where the threat actors used only what is necessary to succeed in their mission. For both INDUSTROYER and TRITON, the attackers moved from the IT network to the OT (operational technology) network through systems that were accessible to both environments. Traditional malware backdoors, Mimikatz distillates, remote desktop sessions, and other well-documented, easily-detected attack |
Malware Threat Industrial | ★★★★ | |
|
2018-05-29 12:00:00 | Outil d'authentification à distance de géofaisabilité - Geologonalyzer Remote Authentication GeoFeasibility Tool - GeoLogonalyzer (lien direct) |
Les utilisateurs ont longtemps besoin pour accéder aux ressources importantes telles que les réseaux privés virtuels (VPN), les applications Web et les serveurs de courrier de n'importe où dans le monde à tout moment.Bien que la capacité d'accéder à des ressources de n'importe où soit impérative pour les employés, les acteurs de la menace tirent souvent parti des informations d'identification volées pour accéder aux systèmes et aux données.En raison de grands volumes de connexions d'accès à distance, il peut être difficile de faire la distinction entre une connexion légitime et malveillante.
Aujourd'hui, nous sortons Geologonalyzer pour aider les organisations à analyser les journaux pour identifier les connexions malveillantes basées sur la géofasibilité;par exemple
Users have long needed to access important resources such as virtual private networks (VPNs), web applications, and mail servers from anywhere in the world at any time. While the ability to access resources from anywhere is imperative for employees, threat actors often leverage stolen credentials to access systems and data. Due to large volumes of remote access connections, it can be difficult to distinguish between a legitimate and a malicious login. Today, we are releasing GeoLogonalyzer to help organizations analyze logs to identify malicious logins based on GeoFeasibility; for example |
Tool Threat | ★★★★ | |
|
2018-04-26 11:15:00 | Établir une base de référence pour le protocole de bureau à distance Establishing a Baseline for Remote Desktop Protocol (lien direct) |
Pour le personnel informatique et les utilisateurs de Power Windows, Microsoft Terminal Services Remote Desktop Protocol (RDP) est un outil bénéfique qui permet le Interactive Utilisation ou administration d'un système Windows distant.Cependant, les consultants Mandiant ont également observé des acteurs de menace utilisant le RDP, avec des informations d'identification de domaine compromises, pour se déplacer latéralement sur les réseaux avec une segmentation limitée.
Pour comprendre comment les acteurs de la menace profitent du RDP, considérez l'exemple suivant (et figure 1):
Un membre du personnel du département des ressources humaines travaillant sur son bureau inadvertant une porte dérobée malveillante de
For IT staff and Windows power users, Microsoft Terminal Services Remote Desktop Protocol (RDP) is a beneficial tool that allows for the interactive use or administration of a remote Windows system. However, Mandiant consultants have also observed threat actors using RDP, with compromised domain credentials, to move laterally across networks with limited segmentation. To understand how threat actors take advantage of RDP, consider the following example (and Figure 1): A staff member from the HR department working on his or her desktop inadvertently installs a malicious backdoor by |
Tool Threat | ★★★★ | |
|
2018-03-22 10:45:00 | Dosfuscation: Exploration des profondeurs des techniques d'obscuscations et de détection CMD.exe DOSfuscation: Exploring the Depths of Cmd.exe Obfuscation and Detection Techniques (lien direct) |
Les attaquants qualifiés recherchent continuellement de nouveaux vecteurs d'attaque, tout en utilisant des techniques d'évasion pour maintenir l'efficacité des anciens vecteurs, dans un paysage défensif en constante évolution.Beaucoup de ces acteurs de menace utilisent des cadres d'obscurcissement pour les langages de script communs tels que JavaScript et PowerShell pour contrecarrer les détections de commerce offensive communes écrites dans ces langues.
Cependant, à mesure que les défenseurs de la visibilité dans ces langages de script populaires augmentent grâce à une meilleure journalisation et à des outils défensifs, certains attaquants furtifs ont déplacé leur métier vers les langues
Skilled attackers continually seek out new attack vectors, while employing evasion techniques to maintain the effectiveness of old vectors, in an ever-changing defensive landscape. Many of these threat actors employ obfuscation frameworks for common scripting languages such as JavaScript and PowerShell to thwart signature-based detections of common offensive tradecraft written in these languages. However, as defenders\' visibility into these popular scripting languages increases through better logging and defensive tooling, some stealthy attackers have shifted their tradecraft to languages |
Threat Technical | ★★★★ | |
|
2018-03-13 11:15:00 | Le groupe iranien des menaces met à jour les tactiques, les techniques et les procédures dans la campagne de phishing de lance Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign (lien direct) |
Introduction
De janvier 2018 à mars 2018, grâce à l'intelligence dynamique des menaces dynamique de Fireeye, nous avons observé que les attaquants tiraient parti des dernières techniques d'exécution et de persistance de code pour distribuer des documents macro malveillants aux individus en Asie et au Moyen-Orient.>
Nous attribuons cette activité à Temp.zagros (rapportée par Palo Alto Networks et Trend Micro En tant que Muddywater), un acteur Iran-Nexus qui est actif depuis au moins mai 2017. Cet acteur s'est engagé dans le phishing prolifique de la lance des entités gouvernementales et de défense en Asie centrale et du Sud-Ouest.Les e-mails de phishing de lance et
Introduction From January 2018 to March 2018, through FireEye\'s Dynamic Threat Intelligence, we observed attackers leveraging the latest code execution and persistence techniques to distribute malicious macro-based documents to individuals in Asia and the Middle East. We attribute this activity to TEMP.Zagros (reported by Palo Alto Networks and Trend Micro as MuddyWater), an Iran-nexus actor that has been active since at least May 2017. This actor has engaged in prolific spear phishing of government and defense entities in Central and Southwest Asia. The spear phishing emails and |
Threat | ★★★★ | |
|
2018-02-15 16:30:00 | CVE-2017-10271 Utilisé pour livrer des cryptomineurs: un aperçu des techniques utilisées après l'exploitation et la pré-mine CVE-2017-10271 Used to Deliver CryptoMiners: An Overview of Techniques Used Post-Exploitation and Pre-Mining (lien direct) |
Introduction
Les chercheurs de Fireeye ont récemment observé des acteurs de menace abusant CVE-2017-10271 pour livrer divers mineurs de crypto-monnaie.
CVE-2017-10271 est une vulnérabilité de validation d'entrée connue qui existe dans le Service de sécurité WebLogic Server (WLS Security) dans Oracle Weblogic Server Versions 12.2.1.2.0 et avant, et les attaquants peuvent l'exploiter pour exécuter à distance le code arbitraire.Oracle a publié un mise à jour critique du patch qui aurait fixé cette vulnérabilité.Les utilisateurs qui n'ont pas corrigé leurs systèmes peuvent se retrouver à miner la crypto-monnaie pour les acteurs de la menace.
Fireeye a observé un volume élevé
Introduction FireEye researchers recently observed threat actors abusing CVE-2017-10271 to deliver various cryptocurrency miners. CVE-2017-10271 is a known input validation vulnerability that exists in the WebLogic Server Security Service (WLS Security) in Oracle WebLogic Server versions 12.2.1.2.0 and prior, and attackers can exploit it to remotely execute arbitrary code. Oracle released a Critical Patch Update that reportedly fixes this vulnerability. Users who failed to patch their systems may find themselves mining cryptocurrency for threat actors. FireEye observed a high volume |
Vulnerability Threat | ★★★★ | |
|
2018-02-07 16:45:00 | Reelphish: un outil de phishing à deux facteurs en temps réel ReelPhish: A Real-Time Two-Factor Phishing Tool (lien direct) |
Ingénierie sociale et authentification à deux facteurs
Les campagnes d'ingénierie sociale sont une menace constante pour les entreprises car elles ciblent la chaîne la plus faible de la sécurité: les gens.Une attaque typique capturerait le nom d'utilisateur et le mot de passe d'une victime et le stockerait pour qu'un attaquant puisse réutiliser plus tard.L'authentification à deux facteurs (2FA) ou l'authentification multi-facteurs (MFA) est couramment considérée comme une solution à ces menaces.
2FA ajoute une couche supplémentaire d'authentification en plus du nom d'utilisateur et du mot de passe typiques.Deux implémentations 2FA courantes sont des mots de passe unique et des notifications push.Les mots de passe uniques sont
Social Engineering and Two-Factor Authentication Social engineering campaigns are a constant threat to businesses because they target the weakest chain in security: people. A typical attack would capture a victim\'s username and password and store it for an attacker to reuse later. Two-Factor Authentication (2FA) or Multi-Factor Authentication (MFA) is commonly seen as a solution to these threats. 2FA adds an extra layer of authentication on top of the typical username and password. Two common 2FA implementations are one-time passwords and push notifications. One-time passwords are |
Tool Threat Technical | ★★★★ | |
|
2018-02-03 13:01:01 | Attaques tirant parti d'Adobe Zero-Day (CVE-2018-4878) & # 8211;Attribution de la menace, scénario d'attaque et recommandations Attacks Leveraging Adobe Zero-Day (CVE-2018-4878) – Threat Attribution, Attack Scenario and Recommendations (lien direct) |
Le 31 janvier, Kisa (Krcert) a publié un consultatif sur un jour zéro Adobe FlashLa vulnérabilité (CVE-2018-4878) est exploitée dans la nature.Le 1er février, Adobe a publié un avis confirmant le La vulnérabilité existe dans Adobe Flash Player 28.0.0.137et plus tôt , et cette exploitation réussie pourrait potentiellement permettre à un attaquant de prendre le contrôle du système affecté.
Fireeye a commencé à étudier la vulnérabilité après la publication du conseil initial de Kisa.
Attribution de la menace
Nous évaluons que les acteurs employant ce dernier Flash Zero-Day sont un présumé nord-coréen
On Jan. 31, KISA (KrCERT) published an advisory about an Adobe Flash zero-day vulnerability (CVE-2018-4878) being exploited in the wild. On Feb. 1, Adobe issued an advisory confirming the vulnerability exists in Adobe Flash Player 28.0.0.137 and earlier versions, and that successful exploitation could potentially allow an attacker to take control of the affected system. FireEye began investigating the vulnerability following the release of the initial advisory from KISA. Threat Attribution We assess that the actors employing this latest Flash zero-day are a suspected North Korean |
Vulnerability Threat | ★★★ | |
|
2017-12-07 17:00:00 | Nouvelle attaque ciblée au Moyen-Orient par APT34, un groupe de menaces iranien présumé, en utilisant le CVE-2017-11882 Exploiter New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit (lien direct) |
Moins d'une semaine après que Microsoft a publié un correctif pour CVE-2017-11882 Le 14 novembre 2017, Fireeye a observé un attaquant utilisant un exploit pour la vulnérabilité de Microsoft Office pour cibler une organisation gouvernementale au Moyen-Orient.Nous évaluons que cette activité a été réalisée par un groupe de menaces de cyber-espionnage iranien présumé, que nous appelons APT34, en utilisant une porte dérobée PowerShell personnalisée pour atteindre ses objectifs.
Nous pensons que l'APT34 est impliqué dans une opération de cyber-espionnage à long terme largement axé sur les efforts de reconnaissance au profit des intérêts iraniens de l'État-nation et est opérationnel depuis
Less than a week after Microsoft issued a patch for CVE-2017-11882 on Nov. 14, 2017, FireEye observed an attacker using an exploit for the Microsoft Office vulnerability to target a government organization in the Middle East. We assess this activity was carried out by a suspected Iranian cyber espionage threat group, whom we refer to as APT34, using a custom PowerShell backdoor to achieve its objectives. We believe APT34 is involved in a long-term cyber espionage operation largely focused on reconnaissance efforts to benefit Iranian nation-state interests and has been operational since at |
Vulnerability Threat | APT 34 APT 34 | ★★★★ |
|
2017-08-11 08:00:00 | APT28 cible le secteur de l'hôtellerie, présente une menace pour les voyageurs APT28 Targets Hospitality Sector, Presents Threat to Travelers (lien direct) |
Fireeye a une confiance modérée qu'une campagne ciblant le secteur de l'hôtellerie est attribuée à l'acteur russe apt28 .Nous pensons que cette activité, qui remonte au moins en juillet 2017, était destinée à cibler les voyageurs dans des hôtels à travers l'Europe et le Moyen-Orient.L'acteur a utilisé plusieurs techniques notables dans ces incidents tels que renifler les mots de passe du trafic Wi-Fi, empoisonner le service de nom NetBios et se propager latéralement via le eternalblue exploit.
APT28 utilise un document malveillant pour cibler l'industrie hôtelière
Fireeye a découvert un document malveillant envoyé en lance
FireEye has moderate confidence that a campaign targeting the hospitality sector is attributed to Russian actor APT28. We believe this activity, which dates back to at least July 2017, was intended to target travelers to hotels throughout Europe and the Middle East. The actor has used several notable techniques in these incidents such as sniffing passwords from Wi-Fi traffic, poisoning the NetBIOS Name Service, and spreading laterally via the EternalBlue exploit. APT28 Uses Malicious Document to Target Hospitality Industry FireEye has uncovered a malicious document sent in spear |
Threat | Wannacry APT 28 APT 28 | ★★★★ |
|
2017-07-25 12:00:00 | Hawkeye Indenceal Vol Volwware Distribué dans une récente campagne de phishing HawkEye Credential Theft Malware Distributed in Recent Phishing Campaign (lien direct) |
Une grande variété d'acteurs de menaces ont commencé à distribuer des logiciels malveillants à Hawkeye par le biais de campagnes de courrier électronique à haut volume après avoir été disponible à l'achat via un site Web orienté public.Les acteurs derrière les campagnes de phishing utilisaient généralement des thèmes d'e-mails sur la base des événements actuels et des rapports de médias qui piqueraient les intérêts des utilisateurs, la ligne «sujet» contenant généralement quelque chose sur les nouvelles récentes.Bien que Hawkeye Malware ait plusieurs capacités différentes, elle est le plus souvent associée au vol d'identification.
À la mi-juin, nous avons observé une campagne de phishing impliquant la distribution Hawkeye
A wide variety of threat actors began distributing HawkEye malware through high-volume email campaigns after it became available for purchase via a public-facing website. The actors behind the phishing campaigns typically used email themes based on current events and media reports that would pique user interests, with the “Subject” line typically containing something about recent news. Although HawkEye malware has several different capabilities, it is most often associated with credential theft. In the middle of June, we observed a phishing campaign involving the distribution HawkEye |
Malware Threat | ★★★★ | |
|
2017-06-30 18:00:00 | L'obscurcissement dans la nature: les attaquants ciblés ouvrent la voie dans les techniques d'évasion Obfuscation in the Wild: Targeted Attackers Lead the Way in Evasion Techniques (lien direct) |
Tout au long de 2017, nous avons observé une augmentation marquée de l'utilisation de l'évasion de la ligne de commande et de l'obscurcissement par une gamme d'attaquants ciblés.Les groupes de cyber-espionnage et les acteurs de la menace financière continuent d'adopter les dernières techniques de contournement de la liste blanche de l'application de pointe et d'introduire une obscurcissement innovant dans leurs leurres de phishing.Ces techniques contournent souvent les méthodes d'analyse statique et dynamique et mettent en évidence pourquoi la détection basée sur la signature sera toujours au moins un pas en retard des attaquants créatifs.
Début 2017, Fin8 a commencé à utiliser des variables d'environnement associées à la capacité de PowerShell \\
Throughout 2017 we have observed a marked increase in the use of command line evasion and obfuscation by a range of targeted attackers. Cyber espionage groups and financial threat actors continue to adopt the latest cutting-edge application whitelisting bypass techniques and introduce innovative obfuscation into their phishing lures. These techniques often bypass static and dynamic analysis methods and highlight why signature-based detection alone will always be at least one step behind creative attackers. In early 2017, FIN8 began using environment variables paired with PowerShell\'s ability |
Threat Technical | ★★★★ | |
|
2017-06-02 08:00:00 | Les acteurs de la menace tirent parti de l'exploit éternel pour livrer des charges utiles non de la wannacry Threat actors leverage EternalBlue exploit to deliver non-WannaCry payloads (lien direct) |
L'exploit «eternalblue» ( MS017-010 ) a d'abord été utilisépar Wannacry Ransomware et Adylkuzz Cryptocurrency Miner.Maintenant, plus d'acteurs de menaces tirent parti de la vulnérabilité à MicrosoftProtocole de bloc de messages du serveur (SMB) & # 8211;Cette fois pour distribuer Backdoor.Nitol et Trojan Gh0st Rat.
Fireeye Dynamic Threat Intelligence (DTI) a historiquement observé des charges utiles similaires livrées via l'exploitation de la vulnérabilité CVE-2014-6332 ainsi que dans certaines campagnes de spam par e-mail en utilisant Commandes de versions .Plus précisément, Backdoor.Nitol a également été lié à des campagnes impliquant une exécution de code distante
The “EternalBlue” exploit (MS017-010) was initially used by WannaCry ransomware and Adylkuzz cryptocurrency miner. Now more threat actors are leveraging the vulnerability in Microsoft Server Message Block (SMB) protocol – this time to distribute Backdoor.Nitol and Trojan Gh0st RAT. FireEye Dynamic Threat Intelligence (DTI) has historically observed similar payloads delivered via exploitation of CVE-2014-6332 vulnerability as well as in some email spam campaigns using powershell commands. Specifically, Backdoor.Nitol has also been linked to campaigns involving a remote code execution |
Ransomware Spam Vulnerability Threat | Wannacry | ★★★★ |
|
2017-05-15 08:01:01 | Campagne de ransomwares Wannacry: Détails de la menace et gestion des risques WannaCry Ransomware Campaign: Threat Details and Risk Management (lien direct) |
Mise à jour 3 (17 mai & # 8211; 19 h 00 HE)
Nous avons observé l'émergence d'une nouvelle variante de Wannacry avec l'URL de vérification Internet www.iffferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Test.Un bogue dans la logique de code fait que les logiciels malveillants interrogent réellement www.iffefsodp9ifjaposdfjhgosurijfaewrwergwea [.] Test.Le malware ne cryptera vos fichiers que s'il ne peut pas contacter ce domaine (en particulier, s'il ne peut pas faire une demande HTTP réussie à la résolution du domaine).Les chercheurs en sécurité ont pu enregistrer ces domaines «Killswitch» pour les variantes précédentes pour arrêter le chiffrement;Cependant, ce domaine particulier
UPDATE 3 (May 17 – 7:00 p.m. ET) We observed the emergence of a new WannaCry variant with the internet-check URL www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing. A bug in the code logic causes the malware to actually query www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]test. The malware will encrypt your files only if it cannot contact this domain (specifically, if it cannot make a successful HTTP request to the resolution of the domain). Security researchers were able to register these “killswitch” domains for previous variants to stop encryption; however, this particular domain |
Ransomware Malware Threat | Wannacry | ★★★ |
|
2017-05-14 17:00:00 | Le cyber-espionnage est bien vivant: APT32 et la menace pour les sociétés mondiales Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations (lien direct) |
Les acteurs de cyber-espionnage, désormais désignés par Fireeye comme APT32 (Oceanlotus Group), effectuent des intrusions dans des sociétés du secteur privé dans plusieurs industries et ont également ciblé des gouvernements étrangers, des dissidents et des journalistes.FireEye évalue que l'APT32 exploite une suite unique de logiciels malveillants entièrement tracés, en conjonction avec des outils disponibles commercialement, pour mener des opérations ciblées qui sont alignées sur les intérêts de l'État vietnamien.
APT32 et Réponse communautaire de Fireeye \\
Au cours des enquêtes sur les intrusions dans plusieurs sociétés ayant des intérêts commerciaux au Vietnam
Cyber espionage actors, now designated by FireEye as APT32 (OceanLotus Group), are carrying out intrusions into private sector companies across multiple industries and have also targeted foreign governments, dissidents, and journalists. FireEye assesses that APT32 leverages a unique suite of fully-featured malware, in conjunction with commercially-available tools, to conduct targeted operations that are aligned with Vietnamese state interests. APT32 and FireEye\'s Community Response In the course of investigations into intrusions at several corporations with business interests in Vietnam |
Threat | APT 32 APT 32 | ★★★★ |
|
2017-05-09 12:00:00 | EPS Traitement des jours zéro exploités par plusieurs acteurs de menace EPS Processing Zero-Days Exploited by Multiple Threat Actors (lien direct) |
En 2015, FireEye a publié des détails sur deux attaques exploitant les vulnérabilités dans PostScript encapsulé (EPS) de Microsoft Office.L'un était un zéro-day Et l'un était Patched des semaines avant le lancement de l'attaque.
Récemment, Fireeye a identifié trois nouvelles vulnérabilités de zéro-jours dans les produits Microsoft Office qui sont exploités dans la nature.
Fin mars 2017, nous avons détecté un autre document malveillant tirant parti d'une vulnérabilité inconnue dans l'EPS et un récemment Potted Vulnérabilité dans Windows Graphics Device Interface (GDI) pour supprimer les logiciels malveillants.Après le patch d'avril 2017 mardi, dans lequel
In 2015, FireEye published details about two attacks exploiting vulnerabilities in Encapsulated PostScript (EPS) of Microsoft Office. One was a zero-day and one was patched weeks before the attack launched. Recently, FireEye identified three new zero-day vulnerabilities in Microsoft Office products that are being exploited in the wild. At the end of March 2017, we detected another malicious document leveraging an unknown vulnerability in EPS and a recently patched vulnerability in Windows Graphics Device Interface (GDI) to drop malware. Following the April 2017 Patch Tuesday, in which |
Vulnerability Threat Technical | ★★★★ | |
|
2017-05-03 15:30:00 | À SDB, ou à ne pas SDB: FIN7 tirant parti des bases de données de cale pour la persistance To SDB, Or Not To SDB: FIN7 Leveraging Shim Databases for Persistence (lien direct) |
En 2017, Mandiant a répondu à plusieurs incidents que nous attribuons à FIN7, un groupe de menaces à motivation financière associé à des opérations malveillantes remontant à 2015. Dans les différents environnements, FIN7 a tiré parti de la porte arrière de Carbanak, que ce groupe a utilisé dans les opérations précédentes.
Un aspect unique des incidents était de savoir comment le groupe a installé la porte dérobée de Carbanak pour un accès persistant.Mandiant a identifié que le groupe a exploité une base de données de cale d'application pour atteindre la persistance sur les systèmes dans plusieurs environnements.Le cale a injecté un patch en mémoire malveillant dans les services
In 2017, Mandiant responded to multiple incidents we attribute to FIN7, a financially motivated threat group associated with malicious operations dating back to 2015. Throughout the various environments, FIN7 leveraged the CARBANAK backdoor, which this group has used in previous operations. A unique aspect of the incidents was how the group installed the CARBANAK backdoor for persistent access. Mandiant identified that the group leveraged an application shim database to achieve persistence on systems in multiple environments. The shim injected a malicious in-memory patch into the Services |
Threat Technical | ★★★★ | |
|
2017-04-24 09:30:00 | FIN7 Evolution et le phishing LNK FIN7 Evolution and the Phishing LNK (lien direct) |
FIN7 est un groupe de menaces motivé financièrement qui a été associé à des opérations malveillantes datant de fin 2015. FIN7 est appelée de nombreux vendeurs de «groupe Carbanak», bien que nous n'asquivons pas toute utilisation de la porte dérobée de Carbanak à FIN7.Fireeye a récemment observé un Campagne de phishing de lance FIN7 Ciblage du personnel impliqué dans les dossiers de Securities and Exchange Commission (SEC) des États-Unis dans diverses organisations.
Dans une campagne nouvellement identifiée, FIN7 a modifié leurs techniques de phishing pour mettre en œuvre des mécanismes d'infection et de persistance uniques.Fin7 s'est éloigné de l'armement
FIN7 is a financially-motivated threat group that has been associated with malicious operations dating back to late 2015. FIN7 is referred to by many vendors as “Carbanak Group”, although we do not equate all usage of the CARBANAK backdoor with FIN7. FireEye recently observed a FIN7 spear phishing campaign targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. In a newly-identified campaign, FIN7 modified their phishing techniques to implement unique infection and persistence mechanisms. FIN7 has moved away from weaponized |
Threat Technical | ★★★★ | |
|
2017-04-06 14:00:00 | APT10 (Menupass Group): Nouveaux outils, la dernière campagne de la campagne mondiale de la menace de longue date APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat (lien direct) |
APT10 Background
APT10 (Menupass Group) est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009. Ils ont historiquement ciblé la construction et l'ingénierie, l'aérospatiale et les sociétés de télécommunications et les gouvernements aux États-Unis, en Europe et au Japon.Nous pensons que le ciblage de ces industries a soutenu les objectifs de sécurité nationale chinoise, notamment l'acquisition de précieuses informations militaires et de renseignement ainsi que le vol de données commerciales confidentielles pour soutenir les sociétés chinoises.Pwc et Bae ont récemment publié un blog conjoint >
APT10 Background APT10 (MenuPass Group) is a Chinese cyber espionage group that FireEye has tracked since 2009. They have historically targeted construction and engineering, aerospace, and telecom firms, and governments in the United States, Europe, and Japan. We believe that the targeting of these industries has been in support of Chinese national security goals, including acquiring valuable military and intelligence information as well as the theft of confidential business data to support Chinese corporations. PwC and BAE recently issued a joint blog detailing extensive APT10 activity. |
Threat Technical | APT 10 APT 10 | ★★★★ |
|
2017-03-15 08:01:01 | Toujours servir: un aperçu des campagnes de malvertising récentes impliquant des kits d'exploitation Still Getting Served: A Look at Recent Malvertising Campaigns Involving Exploit Kits (lien direct) |
Malvertising se produit lorsqu'un réseau de publicité en ligne sert sciemment ou inconsciemment des publicités malveillantes sur un site Web. MALVERTISEMENTS Sont un type de menace «drive-by» qui a tendance à entraîner l'infecté des utilisateurs par des logiciels malveillants pour avoir simplement visité un site Web.Les victimes de cette menace sont souvent compromises lorsque le malvertisment les dirige vers une page de destination du kit d'exploitation (EK).Selon les applications exécutées sur le système de l'utilisateur \\, l'EK peut charger avec succès des logiciels malveillants dans un système sans consentement de l'utilisateur et sans faire basculer la victime que quelque chose de suspect se produit.
il
Malvertising occurs when an online advertising network knowingly or unknowingly serves up malicious advertisements on a website. Malvertisements are a type of “drive-by” threat that tend to result in users being infected with malware for simply visiting a website. The victims of this threat are often compromised when the malvertisement directs them to an exploit kit (EK) landing page. Depending on the applications running on the user\'s system, the EK can successfully load malware into a system without user consent and without tipping the victim off that something suspicious is happening. It |
Malware Threat | ★★★ | |
|
2017-03-07 14:00:00 | La campagne Fin7 Spear Phishing cible le personnel impliqué dans les dépôts de la SEC FIN7 Spear Phishing Campaign Targets Personnel Involved in SEC Filings (lien direct) |
Fin février 2017, FireEye en tant que service (FAAS) a identifié une campagne de phishing de lance qui semblait cibler le personnel impliqué dans les dossiers des États-Unis en matière de valeurs mobilières et de l'échange (SEC) dans diverses organisations.Sur la base de plusieurs chevauchements identifiés dans les infrastructures et de l'utilisation d'outils, de tactiques et de procédures similaires (TTPS), nous avons une grande confiance que cette campagne est associée au groupe de menaces motivé financièrement suivi par Fireeye en tant que fin7.
Fin7 est un ensemble d'intrusion à motivation financière qui cible sélectivement les victimes et utilise le phishing de lance pour distribuer
In late February 2017, FireEye as a Service (FaaS) identified a spear phishing campaign that appeared to be targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. Based on multiple identified overlaps in infrastructure and the use of similar tools, tactics, and procedures (TTPs), we have high confidence that this campaign is associated with the financially motivated threat group tracked by FireEye as FIN7. FIN7 is a financially motivated intrusion set that selectively targets victims and uses spear phishing to distribute |
Threat Technical | ★★★★ | |
|
2017-02-22 12:20:20 | Techniques de phishing de lance utilisées dans les attaques ciblant le gouvernement mongol Spear Phishing Techniques Used in Attacks Targeting the Mongolian Government (lien direct) |
Introduction
Fireeye a récemment observé une campagne sophistiquée ciblant les individus au sein du gouvernement mongol.Les individus ciblés qui ont activé les macros dans un document Microsoft Word malveillant peuvent avoir été infectés par poison ivy , un outil d'accès à distance populaire (rat) qui est utilisé depuis près d'une décennie pour la journalisation clé, la capture d'écran et de vidéo, les transferts de fichiers, le vol de mot de passe, l'administration du système, le traficrelais, et plus encore.Les acteurs de la menace derrière cette attaque ont démontré des techniques intéressantes, notamment:
Évasion personnalisée basée sur le profil de la victime & # 8211;La campagne a utilisé un
Introduction FireEye recently observed a sophisticated campaign targeting individuals within the Mongolian government. Targeted individuals that enabled macros in a malicious Microsoft Word document may have been infected with Poison Ivy, a popular remote access tool (RAT) that has been used for nearly a decade for key logging, screen and video capture, file transfers, password theft, system administration, traffic relaying, and more. The threat actors behind this attack demonstrated some interesting techniques, including: Customized evasion based on victim profile – The campaign used a |
Tool Threat | ★★★ | |
|
2016-09-23 09:30:00 | Hancitor (alias Chanitor) a observé en utilisant plusieurs approches d'attaque Hancitor (AKA Chanitor) observed using multiple attack approaches (lien direct) |
De nombreux acteurs de menace utilisent plusieurs vecteurs d'attaque pour assurer le succès.Les individus utilisant des logiciels malveillants Hancitor (également connus sous le nom de Chanitor) ne font pas exception et ont adopté trois approches pour livrer le malware afin de voler finalement des données à leurs victimes.Ces techniques incluent des méthodes peu commissaires sur les abus et le powerShell API.
Nous avons récemment observé des attaques de Hancitor contre certains de nos clients de garde d'exploits Fireeye.Le document malveillant utilisé pour livrer l'exécutable Hancitor a été observé distribué comme pièce jointe dans le spam de courrier électronique.Une fois téléchargé et exécuté, il laisse tomber un
Many threat actors use multiple attack vectors to ensure success. The individuals using Hancitor malware (also known by the name Chanitor) are no exception and have taken three approaches to deliver the malware in order to ultimately steal data from their victims. These techniques include uncommon API abuse and PowerShell methods. We recently observed Hancitor attacks against some of our FireEye Exploit Guard customers. The malicious document used to deliver the Hancitor executable was observed being distributed as an attachment in email spam. Once downloaded and executed, it drops an |
Malware Threat Technical | ★★★★ | |
|
2016-05-22 08:01:01 | Attaques ciblées contre les banques au Moyen-Orient Targeted Attacks against Banks in the Middle East (lien direct) |
Mise à jour (8 décembre 2017): Nous attribuons maintenant cette campagne à APT34, un groupe de menace de cyber-espionnage iranien présumé qui, selon nous, est actif depuis au moins 2014. En savoir plus sur apt34 et leur ciblage fin 2017 d'une organisation gouvernementaleau Moyen-Orient.
Introduction
Au cours de la première semaine de mai 2016, DTI de FireEye \\ a identifié une vague de courriels contenant des pièces jointes malveillantes envoyées à plusieurs banques de la région du Moyen-Orient.Les acteurs de la menace semblent effectuer une reconnaissance initiale contre des cibles potentielles, et les attaques ont attiré notre attention car ils utilisaient
UPDATE (Dec. 8, 2017): We now attribute this campaign to APT34, a suspected Iranian cyber espionage threat group that we believe has been active since at least 2014. Learn more about APT34 and their late 2017 targeting of a government organization in the Middle East. Introduction In the first week of May 2016, FireEye\'s DTI identified a wave of emails containing malicious attachments being sent to multiple banks in the Middle East region. The threat actors appear to be performing initial reconnaissance against would-be targets, and the attacks caught our attention since they were using |
Threat | APT 34 | ★★★ |
|
2016-05-11 14:00:00 | MENONAGE L'acteur tire parti de Windows Zero-Day Exploit dans les attaques de données de la carte de paiement Threat Actor Leverages Windows Zero-day Exploit in Payment Card Data Attacks (lien direct) |
En mars 2016, un acteur de menace à motivation financière a lancé plusieurs campagnes de phishing de lance sur mesure ciblant principalement les industries de la vente au détail, du restaurant et de l'hôtellerie.Les e-mails contenaient des variations de Microsoft Word Documents avec | Threat Technical | ★★★★ | |
|
2015-12-01 13:00:00 | Le groupe de cyber-menaces basé en Chine utilise Dropbox pour les communications de logiciels malveillants et cible les médias de Hong Kong China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets (lien direct) |
Fireeye Intelligence Centerfireeye Threat Intelligence Analysts a identifié une campagne de phishing de lance réalisée en août 2015 en ciblant les organisations de médias basées à Hong Kong.Un groupe de cyber-menaces basé en Chine, que Fireeye suit en tant que groupe de menaces persistantes avancé (APT) non classé et d'autres chercheurs appellent «admin @ 338», peut avoir mené l'activité. [1] Les e-mails contenaient des documents malveillants avec une charge utile malveillante appelée lowball.Lowball abuse du service de stockage cloud Dropbox pour la commande et le contrôle (CNC).Nous avons collaboré avec Dropbox pour enquêter sur la menace, et
FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized advanced persistent threat (APT) group and other researchers refer to as “admin@338,” may have conducted the activity.[1] The email messages contained malicious documents with a malware payload called LOWBALL. LOWBALL abuses the Dropbox cloud storage service for command and control (CnC). We collaborated with Dropbox to investigate the threat, and |
Malware Threat Cloud Technical | ★★★★ |
To see everything:
