What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-15 20:58:43 | Opération Celestial Force utilise des logiciels malveillants mobiles et de bureau pour cibler les entités indiennes Operation Celestial Force Employs Mobile and Desktop Malware to Target Indian Entities (lien direct) |
#### Géolocations ciblées
- Inde
#### Industries ciblées
- Base industrielle de la défense
- Informatique
- agences et services gouvernementaux
## Instantané
Les analystes de Cisco Talos ont découvert une campagne de logiciels malveillants en cours nommée "Opération Celestial Force", active depuis 2018.
## Description
Cette campagne utilise le [Gravityrat malware] (https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) pour et un chargeur Windows.Ces infections sont gérées via un outil baptisé "GravityAdmin", qui peut gérer plusieurs campagnes simultanément.Talos attribue cette campagne à un groupe de menaces pakistanais qu'ils appellent «Cosmic Leopard», qui se concentre sur l'espionnage contre les entités indiennes, en particulier dans les secteurs de la défense et du gouvernement.
La campagne utilise deux vecteurs d'infection, l'ingénierie sociale et le phishing de lance pour accéder à ses cibles.Les messages de phishing de lance Spear Phishing se compose de messages envoyés à des cibles avec un langage pertinent et des maldocs qui contiennent des logiciels malveillants tels que GravityRat.
L'autre vecteur d'infection, gagnant en popularité dans cette opération, et maintenant une tactique de base des opérations de Cosmic Leopard \\ consiste à contacter des cibles sur les réseaux sociaux, à établir la confiance avec eux et à leur envoyer un lien malveillant pour télécharger les fenêtres des fenêtres- ou GravityRat basé sur Android ou le chargeur basé sur Windows, Heavylift.
Initialement identifié en 2018, GravityRat a été utilisé pour cibler les systèmes Windows.D'ici 2019, il s'est étendu pour inclure des appareils Android.Heavylift, introduit à peu près au même moment, est un chargeur utilisé pour déployer d'autres logiciels malveillants via l'ingénierie sociale.Talos rapporte une augmentation de l'utilisation des logiciels malveillants mobiles pour l'espionnage ces dernières années.
"GravityAdmin" supervise les appareils infectés à travers divers panneaux spécifiques à la campagne.Ces campagnes, comme «Sierra», «Québec» et «Foxtrot», se caractérisent par l'utilisation de malwares Windows et Android.Cosmic Leopard utilise des tactiques telles que le phishing de lance et l'ingénierie sociale, en contactant souvent des cibles via les médias sociaux pour distribuer des logiciels malveillants.
## Détections / requêtes de chasse
** antivirus **
Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware:
- Trojan: Win32 / Gravityrat
- Trojanspy: Androidos / Grvity.a! Mtb
- Trojanspy: macOS / grvityrat.a! Mtb
- Trojan: MSIL / Gravityrat
## Les références
[Opération Celestial Force utilise un mobileD Desktop malware pour cibler les entités indiennes.] (https://blog.talosintelligence.com/cosmic-leopard/) Cisco Talos (consulté le 2024-06-14)
#### Targeted Geolocations - India #### Targeted Industries - Defense Industrial Base - Information Technology - Government Agencies & Services ## Snapshot Analysts at Cisco Talos have uncovered an ongoing malware campaign named "Operation Celestial Force," active since 2018. ## Description This campaign employs the [GravityRAT malware](https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) for Android and a Windows-based loader called "HeavyLift." These infections are managed through a tool dubbed "GravityAdmin," which can handle multiple campaigns simultaneously. Talos attributes this campaign to a Pakistani threat group they call "Cosmic Leopard," which focuses on espionage against Indian entities, especially in defense and government sectors. The campaign uses two infection vectors, social engineering and spear phishing to gain access to its targets. Spe |
Malware Tool Threat Mobile Industrial | ||
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-06-14 19:48:20 | Kimsuky nord-coréen fabricant d'armes d'attaque en Europe North Korean Kimsuky Attacking Arms Manufacturer In Europe (lien direct) |
#### Géolocations ciblées
- Europe de l'Ouest
#### Industries ciblées
- Fabrication critique
## Instantané
Un chercheur à la menace de Blackberry, Dmitry Melikov, a publié un article sur LinkedIn identifiant que le groupe nord-coréen parrainé par l'État Kimsuky a lancé une campagne de cyber-espionnage ciblant un fabricant d'armes d'Europe occidentale.
## Description
L'attaque a commencé par un e-mail de phisseur de lance contenant un fichier JavaScript malveillant, déguisé en document de description de travail légitime de General Dynamics.Lors de l'ouverture du fichier, le code JavaScript a décodé deux blocs de données Base64, exécutant une charge utile malveillante en arrière-plan.L'outil d'espionnage a fourni à l'attaquant des capacités telles que l'exfiltration d'informations, la capture de captures d'écran et l'établissement de connexions de socket.L'infrastructure C2 a révélé un chevauchement important avec les opérations connues de Kimsuky, conduisant à une évaluation de confiance élevée que Kimsuky est derrière cette campagne.
Cette attaque souligne les risques croissants et les implications géopolitiques potentielles de la cyber-guerre ciblant les industries militaires essentielles, soulignant la nécessité de mesures de cybersécurité accrue dans le secteur de la défense.Le groupe Kimsuky devrait continuer à cibler les entités militaires et aérospatiales dans le monde entier, nécessitant une vigilance et une surveillance continues.
## Les références
[Kimsuky cible un fabricant d'armes en Europe.] (Https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2fgtbajkvumcz%2bfuihobxja%3d%3d) LinkedIn (consulté 2024-06-10)
[Kimsuky nord-coréen Attacking Arms fabricant en Europe.] (Https://gbhackers.com/north-korean-kimsuky-attacking/) gbhackers (consulté en 2024-06-10)
#### Targeted Geolocations - Western Europe #### Targeted Industries - Critical Manufacturing ## Snapshot A threat researcher at BlackBerry, Dmitry Melikov, posted an article on LinkedIn identifying that the North Korean state-sponsored group Kimsuky launched a cyber-espionage campaign targeting a Western European weapons manufacturer. ## Description The attack began with a spear-phishing email containing a malicious JavaScript file, disguised as a legitimate job description document from General Dynamics. Upon opening the file, the JavaScript code decoded two base64 data blocks, executing a malicious payload in the background. The espionage tool provided the attacker with capabilities such as exfiltrating information, capturing screenshots, and establishing socket connections. The C2 infrastructure revealed significant overlap with known Kimsuky operations, leading to a high-confidence assessment that Kimsuky is behind this campaign. This attack underscores the escalating risks and potential geopolitical implications of cyber warfare targeting essential military industries, highlighting the need for heightened cybersecurity measures in the defense sector. The Kimsuky group is expected to continue targeting military and aerospace-related entities worldwide, necessitating ongoing vigilance and monitoring. ## References [Kimsuky is targetting an arms manufacturer in Europe.](https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2FGtBajKvuMCZ%2BFUIHObXjA%3D%3D) LinkedIn (accessed 2024-06-10) [North Korean Kimsuky Attacking Arms Manufacturer In Europe.](https://gbhackers.com/north-korean-kimsuky-attacking/) GBHackers (accessed 2024-06-10) |
Tool Threat | ||
|
2024-06-14 00:51:03 | New Warmcookie Windows Backdoor poussée via de fausses offres d'emploi New Warmcookie Windows backdoor pushed via fake job offers (lien direct) |
## Instantané Elastic Security Labs a identifié un nouveau logiciel malveillant Windows appelé "Warmcookie" distribué via de fausses campagnes de phishing pour compromettre les réseaux d'entreprise. ## Description Les e-mails de phishing contiennent des liens vers des pages de destination trompeuses, ce qui a incité les victimes à télécharger un fichier JavaScript obscurci qui exécute finalement la charge utile de chaleur.Une fois exécuté, Warmcookie établit une communication avec son serveur de commande et de contrôle (C2) et commence à collecter des informations sur les victimes, à capturer des captures d'écran, à exécuter des commandes arbitraires et à supprimer des fichiers sur des répertoires spécifiés.Warmcookie utilise diverses techniques telles que les calculs de somme de contrôle CRC32, le cryptage RC4 et la communication HTTP pour la commande et le contrôle. En juin 2024, la campagne est en cours et les acteurs de la menace créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.Selon Elastic Security Labs, Warmcookie gagne en popularité et est utilisé dans des campagnes ciblant les utilisateurs du monde entier. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win64 / Midie] (HTTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription? name = trojan: win64 / midie.gxz! mtb & menaced = -2147058392) ## Concernantfélicitations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection dans les e-mails entrants dans Microsoft Exchange Online Protection (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), qui identifie et bloque les sites Web malveillants malveillants, y compris les sites de phishing, les sites d'arnaque et les sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/cloud-potection-microsoft-defender-asvirus) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus àCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defe | Malware Tool Threat | ★★★ | |
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-11 19:47:45 | APT Attacks Using Cloud Storage (lien direct) | ## Snapshot AhnLab Security Intelligence Center (ASEC) has identified APT attacks utilizing cloud services like Google Drive, OneDrive, and Dropbox to distribute malware and collect user information. ## Description Threat actors upload malicious scripts, RAT malware strains, and decoy documents to cloud servers to execute various malicious behaviors. The attack process involves distributing EXE and shortcut files disguised as HTML documents, which then decode and execute PowerShell commands to download decoy documents and additional files. The threat actor\'s Dropbox contains various decoy documents, and the malware downloaded from the cloud includes XenoRAT, capable of performing malicious activities and communicating with the C2 server. The threat actor appears to target specific individuals and continuously collect information to distribute tailored malware. The threat actor\'s email addresses and C2 server address were identified during the analysis, and users are advised to be cautious as the malware not only leaks information and downloads additional malware strains but also performs malicious activities such as controlling the affected system. Additionally, users are warned to verify file extensions and formats before running them, as multiple malware strains have been found to utilize shortcut files. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enable | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
|
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-06-10 18:56:54 | Hurlant dans la boîte de réception: les dernières attaques d'aviation malveillantes de Sticky Werewolf \\ Howling at the Inbox: Sticky Werewolf\\'s Latest Malicious Aviation Attacks (lien direct) |
#### Géolocations ciblées - Russie - Biélorussie #### Industries ciblées - Systèmes de transport ## Instantané Morphisec Labs a découvert une nouvelle campagne de phishing ciblant l'industrie de l'aviation associée à un loup-garou collant, un groupe de cyber-menaces ayant des liens géopolitiques et / ou hacktivistes présumés. ## Description Sticky Wasorlf mène une campagne de phishing à l'aide de fichiers LNK malveillants déguisés en documents légitimes, tels qu'un programme de réunion et une liste de diffusion.Une fois que la victime clique sur les fichiers LNK, il déclenche des actions, y compris l'ajout d'une entrée de registre pour la persistance, l'affichage d'un message de leurre et la copie d'une image à partir d'un partage de réseau.Les fichiers LNK exécutent également un chargeur / crypter cypherit, qui est une variante d'un crypter connu utilisé par plusieurs acteurs de menace pour fournir des charges utiles malveillantes.Le Cypherit Loader / Cryter extrait les fichiers dans le répertoire% localappdata% \ Microsoft \ Windows \ InetCache et exécute un script de lot obscurci.Ce script par lots effectue des opérations telles que le retard de l'exécution, la modification des noms de fichiers et la concaténation des fichiers.Il exécute également un exécutable AutOIT avec un script compilé comme argument.Le script AutOIT exécuté a des capacités d'anti-analyse, d'anti-émulation, de persistance et de décrocheur, visant à injecter la charge utile et d'éviter les solutions de sécurité et les tentatives d'analyse. Actif depuis avril 2023, Sticky Werewolf a auparavant ciblé des organisations publiques en Russie et en Biélorussie, une entreprise pharmaceutique et un institut de recherche russe traitant de la microbiologie et du développement de vaccins.Morphisec Labs juge que le groupe a probablement des liens géopolitiques et / ou hacktivistes.Bien que l'origine géographique et la base géographique du groupe restent floues, les techniques d'attaque récentes suggèrent que l'espionnage et l'intention d'exfiltration des données. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [Backdoor: win32 / limerat] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win32/limerat.ya!mtb) - [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan%3Awin32%2fcasdet!rfn) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/winlnk.a) ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection d | Malware Tool Threat | ★★★★ | |
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ★★ | |
|
2024-06-07 21:10:07 | TargetCompany\'s Linux Variant Targets ESXi Environments (lien direct) | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu | Ransomware Malware Tool Threat Mobile Prediction | ★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 17:32:33 | Cloudforce One perturbe la campagne de phishing Flyetyeti alignée en Russie exploitant le stress financier ukrainien Cloudforce One Disrupts Russia-Aligned FlyingYeti Phishing Campaign Exploiting Ukrainian Financial Stress (lien direct) |
#### Géolocations ciblées - Ukraine - Russie - L'Europe de l'Est #### Industries ciblées - Services financiers - Produits de dépôt, de crédit à la consommation et de systèmes de paiement ## Instantané Des chercheurs de Cloudflare ont détaillé les activités de l'acteur de menace aligné par la Russie, Flyingyeti, qui ciblait des individus ukrainiens, en particulier ceux confrontés au stress financier en raison de la levée de l'interdiction du gouvernement et de l'interdiction des expulsions et de la fin des services utilitaires pour une dette impayée. ## Description Flyetyeti a utilisé des tactiques de phishing à l'aide de leurres sur le thème de la dette et a exploité la vulnérabilité Winrar [CVE-2023-38831] (https://security.microsoft.com/intel-explorer/cves/cve-2023-38831/description) pour livrer la Cookbox/CVE-2023-38831/description) pour livrer le Cookboxmalware.L'acteur de menace s'est principalement concentré sur le ciblage des entités militaires ukrainiennes, en utilisant DNS dynamique pour les infrastructures et en tirant parti des plates-formes cloud pour l'hébergement de contenu malveillant et de contrôle et de contrôle des logiciels malveillants.L'objectif de l'acteur de menace était de livrer le logiciel malveillant de la boîte de cuisine via des documents de leurre et des liens de suivi cachés, avec le serveur C2 situé à Postdock \ [. \] Serveftp \ [. \] Com. Les actions de Cloudforce One ont conduit au retrait des fichiers malveillants de l'acteur de menace et de la suspension de leurs comptes, ainsi que de la coordination avec des partenaires de l'industrie pour atténuer l'activité de l'acteur.Cloudflare a fourni des informations sur les techniques de phishing et de livraison de Flyeti \\, les mesures défensives prises par Cloudforce One, les efforts de coordination avec les partenaires de l'industrie et les recommandations pour la chasse aux opérations Flyety et l'atténuation des menaces liées. ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: ** CVE-2023-38831 Détections connexes ** - [Exploit: win32 / cve-2023-38831] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=exPLOIT: WIN32 / CVE-2023-38831 & menaceID = -2147077428 & ocid = magicti_ta_ency) - [Exploit: BAT / CVE-2023-38831.D] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Scription?name=Exploit:bat/CVE-2023-38831.D & menaceID = -2147078218 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande leE Suite à des atténuations pour réduire l'impact de cette menace. - Utilisez la dernière version [Winrarsion 6.23] (https://www.win-rar.com/singlenewsview.html?&l=0&tx_ttnews%5BTT_NEWS%5D=232&chash=c5bf79590657e3 . - Investir dansSolutions avancées et anti-phishing qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_ta_learndoc) rassemble une gestion d'incident et d'alerte à travers les e-mails, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentiftify and Block] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc) Site Web malveillantS, y compris ceux utilisés dans cette campagne de phishing. - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou l | Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-06 20:12:19 | Fake Advanced IP Scanner Installer fournit dangereux CobaltStrike Backdoor Fake Advanced IP Scanner Installer Delivers Dangerous CobaltStrike Backdoor (lien direct) |
## Instantané L'équipe Trustwave SpiderLabs a découvert une attaque d'arrosage ciblant les utilisateurs à la recherche de l'outil de scanner IP avancé légitime. ** En savoir plus sur Microsoft \'s [couverture de Cobaltsstrike ici.] (Https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) ** ## Description Les acteurs de la menace ont imité le site Web légitime et abusé des publicités Google pour s'assurer que leur site malveillant se classe fortement dans les résultats de recherche.Le programme d'installation compromis, téléchargé à partir d'un domaine de typo-carré, contenait un module DLL arrière qui a injecté une balise de CobaltStrike dans un processus parent nouvellement créé en utilisant la technique de creux de processus.Cela a permis aux acteurs de menace d'accéder au système et de communiquer avec leurs serveurs de commandement et de contrôle (C2), leur permettant d'émettre des commandes, de voler des données et de se propager à d'autres ordinateurs du réseau. La campagne en cours a également signalé d'autres domaines de la faute de frappe de typo-squatted offrant des alternatives de Cobaltsstrike comme Sliver C2, ainsi que des logiciels malveillants, notamment Danabot, Idatloader et Madmxshell. ## Recommandations ** Guide pour les utilisateurs finaux ** - Pour plus de conseils pour assurer la sécurité de votre appareil, allez sur [Microsoft Security Help & Learning Portal] (https://support.microsoft.com/security). - Pour en savoir plus sur la prévention des chevaux de Troie ou d'autres logiciels malveillants d'affecter les appareils individuels, [en lisez sur la prévention de l'infection des logiciels malveillants] (https://www.microsoft.com/security/business/security-101/what-is-malware). ** Guide pour les administrateurs d'entreprise et les clients de défenseur Microsoft 365 ** Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre à Microsoft Defender pour que le point de terminaison prenne des mesures immédiates sur les alertes à résoudre pour résoudre à résoudreviolations, réduisant considérablement le volume d'alerte. - Utilisez [Discovery Discovery] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/device-discovery) pour augmenter votre visibilité dans votre réseau en trouvant des appareils non gérés sur votre réseau et en les embarquant vers MicrosoftDéfenseur pour le point de terminaison. ## Les références [https://www.trustwave.com/en-us/resources/blogs/spiderLabs-blog/fake-advanced-ip-scanner-installer- | Malware Tool Threat | ★★ | |
|
2024-06-05 21:10:50 | Les fausses mises à jour du navigateur offrent Bitrat et Lumma Stealer Fake Browser Updates Deliver BitRAT and Lumma Stealer (lien direct) |
## Instantané En mai 2024, l'unité de réponse aux menaces d'Esesentire (TRU) a détecté de fausses mises à jour fournissant Bitrat et Lumma Stealer.L'attaque a commencé avec les utilisateurs visitant une page Web infectée contenant du code JavaScript malveillant, les conduisant à une fausse page de mise à jour. ## Description Le fichier JavaScript dans l'archive Zip a agi comme téléchargeur initial pour les charges utiles, qui comprenait Bittrat et Lumma Stealer.Les deux logiciels malveillants ont des capacités avancées de reconnaissance, de vol de données et d'accès à distance.Le faux leurre de mise à jour du navigateur est devenu courant chez les attaquants comme moyen d'entrée sur un appareil ou un réseau. Il y avait quatre fichiers uniques identifiés dans cette attaque, qui servent tous des objectifs différents: s.png & # 8211;Charge utile de chargeur et du voleur Lumma;z.png & # 8211;Script PowerShell qui crée Runkey pour la persistance et télécharge le chargeur et la charge utile bitrat;a.png & # 8211;Charge utile du chargeur et bitrat;et 0x.png & # 8211;Fichier de persistance BitRat qui relève le relocage a.png et l'exécute.L'utilisation de fausses mises à jour pour fournir une variété de logiciels malveillants affiche la capacité de l'opérateur à tirer parti des noms de confiance pour maximiser la portée et l'impact. ## Recommandations # Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement [Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=mAGICTI_TA_LELARNDOC) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pou | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-06-04 17:52:04 | Le nouveau carnavalhéiste de la nouvelle banque cible le Brésil avec des attaques de superposition New Banking Trojan CarnavalHeist Targets Brazil with Overlay Attacks (lien direct) |
#### Targeted Geolocations - Brazil #### Targeted Industries - Financial Services ## Snapshot Since February 2024, Cisco Talos has observed a campaign targeting Brazilian users with a new banking trojan called "CarnavalHeist." This malware, also known as AllaSenha, employs tactics common among Brazilian banking trojans. ## Description CarnavalHeist attacks begin with a deceptive, finance-themed email that trick the victim into clicking a malicious link. The link, disguised using a URL shortening service, redirects the user to a fradulent webpage that prompts them to download what appears to be an invoice. Rather, the downloaded file is a malicious payload that uses WebDAV to retrieve a .LNK file, which then further executes malicious scripts. The infection continues by creating a decoy PDF file in the user\'s download directory, ostensibly to distract the user, while simultaneously running a minimized command prompt to execute the next stage of the malware. This involves a batch file that installs Python and runs a script to inject a second-stage payload DLL. The malware checks the system\'s processor architecture and uses a domain generation algorithm (DGA) to contact a server and download the malicious DLL. The server responds with a byte stream containing the DLL and additional Python modules for execution. The malware then dynamically loads the DLL into memory and executes it. The final payload is a banking trojan that attempts to steal credentials for Brazilian financial institutions through overlay attacks, where a fake window is presented over the legitimate application. The malware monitors for specific window titles and replaces them with its own overlays, while also establishing communication with a command and control server using another DGA function. The malware has numerous capabilities, including capturing keystrokes, screenshots, and video, and can remotely control the infected machine. It can also generate QR codes to redirect banking transactions to accounts controlled by the attackers. Cisco Talos assesses with high confidence that CarnavalHeist originated in Brazil and was developed to target Brazilian users as Portuguese is used throughout the infection chain and within the malware and Brazilian slang is used in reference to some banks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Pilot and deploy [phishing-resistant authentication methods for users.](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-policy) from all devices in all locations at all times. - Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about). Safe Links provides URL scanning and rewriting of inbound email messages in mail flow, and time-of-click verification of URLs and links in email messages, other Microsoft 365 applications such as Teams, and other locations such as SharePoint Online. Safe Links scanning occurs in addition to the regular [anti-spam](https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) and [anti-malware](https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) protection in inbound email messages in Microsoft Exchange Online Protection (EOP). Safe Links scanning can help protect your organization from malicious links used in phishing and other attacks. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Tu | Malware Tool Threat | ★★★ | |
|
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ★★★ | |
|
2024-06-03 12:56:15 | Les efforts d'influence russe convergent les Jeux olympiques de Paris 2024 Russian Influence efforts converge on 2024 Paris Olympics Games (lien direct) |
## Snapshot In the summer of 2023, a curious set of videos crept into social media platforms. Telegram feeds that normally promoted pro-Kremlin narratives suddenly began promoting a film called “Olympics Has Fallen.” Users were encouraged to scan a QR code that directed them to a Telegram channel of the same name. Upon arriving at this channel, viewers encountered a feature-length film with a similar aesthetic and a play on the title of the American political action movie “Olympus Has Fallen,” released more than a decade earlier.(1) AI-generated audio impersonating the voice of film actor Tom Cruise narrated a strange, meandering script disparaging the International Olympic Committee\'s leadership. Nearly a year later and with less than 80 days until the opening of the 2024 Paris Olympic Games, the Microsoft Threat Analysis Center (MTAC) has observed a network of Russia-affiliated actors pursuing a range of malign influence campaigns against France, French President Emmanuel Marcon, the International Olympic Committee (IOC), and the Paris Games. These campaigns may forewarn coming online threats to this summer\'s international competition. ## Activity Overview ### Russia\'s long history of disparaging the Olympic Games Modern Russia, as well as its predecessor the Soviet Union, has a longstanding tradition of seeking to undermine the Olympic Games. If they cannot participate in or win the Games, then they seek to undercut, defame, and degrade the international competition in the minds of participants, spectators, and global audiences. The Soviet Union boycotted the 1984 Summer Games held in Los Angeles and sought to influence other countries to do the same. US State Department officials linked Soviet actors to a campaign that covertly distributed leaflets to Olympic committees in countries including Zimbabwe, Sri Lanka, and South Korea.(2) The leaflets claimed non-white competitors would be targeted by US extremists-a claim that follows a tried-and-true active measures strategy: using divisive social issues to sow discord among a target audience.(3) A recurring aspect of Russian malign influence is its ability to resurface themes at a later time in a different country. Remarkably, four decades later, we are witnessing similar claims of anticipated extremist violence emerging in the context of the Paris Games this summer. Separately, in 2016, Russian hackers penetrated the World Anti-Doping Agency and revealed private medical information about American athletes Serena Williams, Venus Williams, and Simone Biles.(4) Two years later, the “Olympic Destroyer” cyberattack against the 2018 Winter Olympics in Pyeongchang, South Korea, managed to take some of the Winter Games\' internal servers offline. The US Department of Justice charged two Russian GRU officers in connection to the hack in 2020.(5) The slow burn of Russian President Vladimir Putin and the Kremlin\'s displeasure with the IOC and the ability to participate in the Olympics-an event of longstanding pride to the Russian government-has intensified in recent years. In 2017, the IOC concluded extensive investigations into Russia\'s state-sponsored use of performance-enhancing drugs across several Olympic Games in 2017 which resulted in Russia being formally barred from participating in the 2018 Winter Games.(6) Last year, in 2023, the IOC confirmed that Russian citizens would be allowed to compete in Paris but only as neutral athletes prohibited from sporting the flag or colors of the Russian Federation.(7) Shortly after this decision, MTAC began detecting a range of foreign malign influence operations that continue today, and we suspect may intensify as the 2024 Paris Opening Ceremony approaches.(8) ### Old world tactics meet the age of AI Starting in June 2023, prolific Russian influence actors-which Microsoft tracks as Storm-1679 and Storm-1099-pivoted their operations to take aim at the 2024 Olympic Games and French President Emmanuel Macron. These ongoing Russian influence operations have two cent | Hack Tool Threat Legislation Medical | ★★★ | |
|
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | ★★ |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2024-05-30 21:10:58 | Perturber les utilisations trompeuses de l'IA par les opérations d'influence secrètes Disrupting deceptive uses of AI by covert influence operations (lien direct) |
## Instantané
OpenAI a réussi à perturber plusieurs opérations d'influence secrète (iOS) en tirant parti des modèles d'IA pour les activités trompeuses, présentant des tendances et des mesures défensives que les praticiens de la cybersécurité peuvent utiliser pour lutter contre ces menaces.
## Description
Au cours des trois derniers mois, Openai a contrecarré cinq iOS secrètes qui ont exploité ses modèles pour générer divers types de contenu, des commentaires sur les réseaux sociaux aux articles longs, dans plusieurs langues.Ces opérations proviennent de pays tels que la Russie, la Chine, l'Iran et Israël, et ont ciblé divers problèmes géopolitiques tels que l'invasion de l'Ukraine par la Russie, le conflit à Gaza et la politique en Europe et aux États-Unis.Malgré ces efforts, les campagnes d'influence n'ont pas atteint un engagement important du public, car aucun n'a marqué plus d'un 2 sur l'échelle de Brookings \\ ', indiquant un impact minimal.Les opérations ont combiné le contenu généré par l'IA avec des médias traditionnels et visaient à simuler l'engagement plutôt que d'attirer des interactions authentiques.
OpenAI a identifié quatre tendances clés dans la façon dont les opérations d'influence secrètes ont récemment utilisé des modèles d'IA.Premièrement, la génération de contenu: ces acteurs de menace ont utilisé des services OpenAI pour produire du texte (et parfois des images) dans des volumes plus importants et avec moins d'erreurs linguistiques que les opérateurs humains pourraient réaliser seuls.Deuxièmement, le mélange ancien et nouveau: Bien que l'IA ait été habituée dans une certaine mesure dans toutes les opérations, elle n'a pas été utilisée exclusivement.Au lieu de cela, le contenu généré par l'IA était l'un des nombreux types de contenu affichés, aux côtés de formats traditionnels comme des textes ou des mèmes écrits manuellement provenant d'Internet.Troisièmement, truquer l'engagement: certains réseaux ont utilisé les services d'Openai \\ pour simuler l'engagement des médias sociaux, générant des réponses à leurs propres messages.Cependant, cela ne s'est pas traduit par un véritable engagement, ce qu'aucun de ces réseaux n'a réussi à réaliser de manière significative.Enfin, les gains de productivité: de nombreux acteurs de menace ont utilisé les services d'Openai \\ pour stimuler l'efficacité, par exemple en résumant les publications sur les réseaux sociaux ou le code de débogage.
Pour les praticiens de la cybersécurité, il est crucial de comprendre les tendances opérationnelles de ces iOS.Les stratégies défensives contre une telle utilisation abusive comprennent la mise en œuvre de systèmes de sécurité robustes dans les modèles d'IA, qui peuvent empêcher la génération de contenu malveillant et exploiter des outils améliorés par l'IA pour rationaliser les enquêtes.Le partage des indicateurs de menaces et des informations au sein de l'industrie s'avère également vitaux pour amplifier l'impact des perturbations.Les praticiens doivent rester vigilants de l'élément humain de ces opérations, car les attaquants sont sujets à des erreurs qui peuvent être exploitées pour la détection et l'atténuation.En adoptant ces stratégies, les professionnels de la cybersécurité peuvent mieux se défendre contre les opérations sophistiquées d'influence sur l'IA.
En savoir plus sur la façon dont Microsoft est [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef).
## Les références
[Perturbant les utilisations trompeuses de l'IA par les opérations d'influence secrètes] (https://openai.com/index/disrupting-deceptive-uses-of-ai-by-covert-influence-operations/).OpenAI (consulté en 2024-05-30)
## Snapshot OpenAI has successfully disrupted multiple covert influence operations (IOs) leveraging AI models for deceptive activities, showcasing trends and defensive |
Tool Threat | ★★ | |
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-05-29 20:27:37 | Fichiers avec une extension TXZ utilisée comme pièces jointes Malspam Files with TXZ extension used as malspam attachments (lien direct) |
#### Géolocations ciblées - Croatie - Espagne - Slovaquie - Tchéchie ## Instantané Des chercheurs du SANS Internet Storm Center ont découvert que les acteurs de la menace utilisent des fichiers avec TXZ Extension comme pièces jointes Malspam dans des campagnes ciblées régionalement. ## Description L'utilisation de l'extension TXZ est relativement inhabituelle et les chercheurs en sécurité ont révélé que les fichiers malveillants étaient en fait renommés des archives RAR.Microsoft a ajouté la prise en charge native à Windows 11 pour les fichiers TXZ et RAR à la fin de l'année dernière, ce qui peut avoir facilité les destinataires potentiels des messages malveillants pour ouvrir les pièces jointes à l'aide de l'explorateur de fichiers Windows standard, même si l'extension et le type de fichier ont été incompatibles. Les messages malveillants faisaient partie de deux campagnes, l'une contenant des textes dans les langues espagnols et slovaques et distribuant un fichier de 464 kb PE avec Guloder Maleware, et l'autre contenant des textes dans les langues croate et tchèque et distribuant un téléchargement de fichiers par lots de 4 kb pour le Formbook Micware et la distribution d'un fichier de fichiers de 4 kb pour le FormBook Micware Formbook et la distribution d'un téléchargement de fichiers par lots de 4 kb pour le FormBook Micware FormBook. ## Analyse supplémentaire Guloader est un téléchargeur de shellcode proéminent qui a été utilisé dans un grand nombre d'attaques pour fournir une large gamme de logiciels malveillants.Découvert en 2019, Guloader a commencé comme une famille de logiciels malveillants écrite dans Visual Basic 6 (VB6), selon la sécurité [chercheurs de CrowdStrike] (https://security.microsoft.com/intel-explorer/articles/49c83a74).In 2023, [Researchers at CheckPoint](https://security.microsoft.com/intel-explorer/articles/661847be) discovered that more recent versions of GuLoader integrated new anti-analysis techniques and a payload that is fully encrypted, including PEen-têtes.Cela permet aux acteurs de la menace de stocker des charges utiles à l'aide de services de cloud public bien connues, de contourner les protections antivirus et de conserver les charges utiles disponibles en téléchargement pendant une longue période. FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Ces dernières années, [Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d6d6).Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maltraités. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: MSIL / Formbook] (Https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojandownloher: MSIL / Formbook.kan! Mtb & - [Trojan: Win32 / Guloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?n?Ame = Trojan: Win32 / Guloader.ss! Mtb) ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le cent | Malware Tool Threat Cloud | ★★ | |
|
2024-05-28 19:40:48 | ShrinkLocker: transformer le bitlocker en ransomware ShrinkLocker: Turning BitLocker into Ransomware (lien direct) |
#### Géolocations ciblées
- Mexique
- Indonésie
- Jordan
## Instantané
Des chercheurs de Kapersky ont identifié un incident dans lequel les attaquants se sont déployés et un script de base visuel avancé (VBScript) qui a profité du bitlocker pour le cryptage de fichiers non autorisé.
## Description
Bitlocker a été initialement conçu pour protéger les données contre le vol ou l'exposition lorsque les appareils sont perdus, volés ou mal éliminés.Cependant, les attaquants ont découvert comment exploiter cette fonctionnalité à des fins malveillantes.Les chercheurs de Kapersky ont détecté ce script et ses versions modifiées au Mexique, en Indonésie et en Jordanie.
Initialement, le script utilise Windows Management Instrumentation (WMI) pour collecter des informations sur le système d'exploitation (OS).Il vérifie le domaine et la version du système d'exploitation actuels, se terminant s'il rencontre certaines conditions, telles que les anciennes versions Windows comme XP ou Vista.
Le script effectue des opérations de redimensionnement du disque uniquement sur des disques fixes pour éviter les outils de détection sur les lecteurs de réseau.Pour Windows Server 2008 et 2012, il rétrécit les partitions non-Boot, crée de nouvelles partitions, les formats et réinstalle les fichiers de démarrage à l'aide de DiskPart et BCDBoot.Pour d'autres versions Windows, des opérations similaires sont exécutées avec du code adapté à la compatibilité.
Les entrées de registre sont ajoutées par le script, qui vérifie si les outils de chiffrement BitLocker Drive sont actifs et démarre le service de cryptage BitLocker Drive s'il ne s'exécute pas déjà.Le script désactive et supprime ensuite les protecteurs de bitlocker par défaut, les remplaçant par un mot de passe numérique pour éviter la récupération des clés.
Une clé de chiffrement unique à 64 caractères est générée à l'aide d'éléments aléatoires et de données spécifiques au système, converti en une chaîne sécurisée et utilisé pour activer BitLocker sur les disques.Les attaquants utilisent le domaine trycloudflare.com pour envoyer des demandes de publication chiffrées avec des informations système et la clé de chiffrement de leur serveur.
Pour couvrir ses pistes, le script se supprime, efface les journaux et modifie les paramètres du système avant de forcer un arrêt.Lors du redémarrage, la victime est confrontée à un écran Bitlocker sans options de récupération, les verrouillant efficacement de leurs données.
## Les références
[ShrinkLocker: transformer Bitlocker en ransomware] (https://securelist.com/ransomware-abuses-bitlocker/112643/).Kapersky (consulté en 2024-05-28)
#### Targeted Geolocations - Mexico - Indonesia - Jordan ## Snapshot Researchers at Kapersky identified an incident where attackers deployed and an advanced Visual Basic Script (VBScript) that took advantage of BitLocker for unauthorized file encryption. ## Description BitLocker was originally designed to protect data from being stolen or exposed when devices are lost, stolen, or improperly disposed of. However, attackers have discovered how to exploit this feature for malicious purposes. Kapersky researchers have detected this script and its modified versions in Mexico, Indonesia, and Jordan. Initially, the script uses Windows Management Instrumentation (WMI) to gather operating system (OS) information. It checks the current domain and OS version, terminating itself if it encounters certain conditions, such as older Windows versions like XP or Vista. The script performs disk resizing operations only on fixed drives to avoid detection tools on network drives. For Windows Server 2008 and 2012, it shrinks non-boot partitions, creates new partitions, formats them, and reinstalls boot files using diskpart and bcdboot. For other Windows versions, similar operations are executed wit |
Ransomware Tool Threat | ★★★ | |
|
2024-05-28 17:37:40 | Faits saillants hebdomadaires, 28 mai 2024 Weekly OSINT Highlights, 28 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse array of sophisticated cyber threats targeting various sectors, including financial institutions, government entities, and academic organizations. The reports highlight a variety of attack types such as banking trojans, stealers, crypto mining malware, ransomware, and remote access trojans (RATs). Attack vectors include malspam campaigns, spear-phishing emails, search engine advertisements, and trojanized software packages. Threat actors range from financially motivated groups like UAC-0006 and Ikaruz Red Team to state-sponsored entities such as the Chinese-linked "Unfading Sea Haze" and the Iranian Void Manticore. These actors employ advanced techniques like fileless malware, DLL sideloading, and custom keyloggers to achieve persistence and data exfiltration. The targets of these attacks are geographically widespread, encompassing North and South America, the South China Sea region, the Philippines, and South Korea, underscoring the global reach and impact of these threats. ## Description 1. **[Metamorfo Banking Trojan Targets North and South America](https://security.microsoft.com/intel-explorer/articles/72f52370)**: Forcepoint reports that the Metamorfo (Casbaneiro) banking trojan spreads through malspam campaigns, using HTML attachments to initiate system metadata collection and steal user data. This malware targets banking users in North and South America by employing PowerShell commands and various persistence mechanisms. 2. **[Unfading Sea Haze Targets South China Sea Military and Government Entities](https://security.microsoft.com/intel-explorer/articles/c95e7fd5)**: Bitdefender Labs identified a Chinese-linked threat actor, "Unfading Sea Haze," using spear-phishing emails and fileless malware to target military and government entities in the South China Sea region. The campaign employs tools like SerialPktdoor and Gh0stRAT to exfiltrate data and maintain persistence. 3. **[Acrid, ScarletStealer, and Sys01 Stealers](https://security.microsoft.com/intel-explorer/articles/8ca39741)**: Kaspersky describes three stealers-Acrid, ScarletStealer, and Sys01-targeting various global regions. These stealers focus on stealing browser data, cryptocurrency wallets, and credentials, posing significant financial risks by exfiltrating sensitive user information. 4. **[REF4578 Crypto Mining Campaign](https://security.microsoft.com/intel-explorer/articles/c2420a77)**: Elastic Security Labs reports on REF4578, an intrusion set leveraging vulnerable drivers to disable EDRs for deploying Monero crypto miners. The campaign\'s GHOSTENGINE module ensures persistence and termination of security agents, targeting systems for crypto mining. 5. **[SmokeLoader Malware Campaign in Ukraine](https://security.microsoft.com/intel-explorer/articles/7bef5f52)**: CERT-UA observed the UAC-0006 threat actor distributing SmokeLoader malware via phishing emails in Ukraine. The campaign downloads additional malware like Taleshot and RMS, targeting remote banking systems and increasing fraud schemes. 6. **[Ikaruz Red Team Targets Philippines with Modified Ransomware](https://security.microsoft.com/intel-explorer/articles/624f5ce1)**: The hacktivist group Ikaruz Red Team uses leaked LockBit 3 ransomware builders to attack Philippine organizations, aligning with other hacktivist groups like Turk Hack Team. The group engages in politically motivated data leaks and destructive actions. 7. **[Grandoreiro Banking Trojan Campaign](https://security.microsoft.com/intel-explorer/articles/bc072613)**: IBM X-Force tracks the Grandoreiro banking trojan, which operates as Malware-as-a-Service (MaaS) and targets over 1500 global banks. The malware uses advanced evasion techniques and spreads through phishing emails, aiming to commit banking fraud worldwide. 8. **[Void Manticore\'s Destructive Wiping Attacks](https://security.microsoft.com/intel-explorer/articles/d5d5c07f)**: Check Point Research analyzes the Iranian threat actor Void Manticore, conducting destructive wip | Ransomware Malware Hack Tool Threat | APT 34 | ★★★ |
|
2024-05-24 18:42:00 | (Déjà vu) Les pirates chinois se cachent sur les réseaux militaires et gouvernementaux pendant 6 ans Chinese hackers hide on military and govt networks for 6 years (lien direct) |
#### Targeted Industries - Government Agencies & Services ## Snapshot A previously unknown threat actor, Bitdefender Labs designated as "Unfading Sea Haze", has been targeting military and government entities in the South China Sea region since 2018, undetected until recently. Bitdefender researchers link its operations to Chinese geopolitical interests. ## Description "Unfading Sea Haze" attacks start with spear-phishing emails containing malicious ZIP archives and LNK files, deploying fileless malware via MSBuild. This fileless malware, named \'SerialPktdoor,\' serves as a backdoor program that provides the attackers with remote control over the compromised system. Additionally, the attackers employ scheduled tasks, local administrator account manipulation, and commercial Remote Monitoring and Management (RMM) tools like the Itarian RMM to gain a foothold on the compromised network. Once access is established, Unfading Sea Haze utilizes various tools such as a custom keylogger, info-stealer targeting data stored in web browsers, and Gh0stRAT malware variants to capture keystrokes, steal information, and maintain persistence. The threat actor also utilizes tools like Ps2dllLoader, \'SharpJSHandler,\' and a custom tool for monitoring and exfiltrating data from breached systems. More recent attacks have shown a shift to using the curl utility and the FTP protocol for data exfiltration, along with dynamically generated credentials that are changed frequently. ## Recommendations Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authenticati | Ransomware Spam Malware Tool Threat Commercial | ★★★ | |
|
2024-05-24 17:17:36 | Longe de lune en utilisant un jeu de chars malveillant pour infecter les appareils Moonstone Sleet using malicious tank game to infect devices (lien direct) |
## Snapshot Since February 2024, Microsoft has observed Moonstone Sleet infecting devices using a malicious tank game called DeTankWar. In some cases, after gaining initial access via the tank game, Moonstone Sleet conducted lateral movement and extensive exfiltration of data from impacted organizations. The actor has shared the DeTankWar malware extensively via social media and through directly contacting organizations in the gaming, education, and software development sectors, suggesting the actor is putting intense effort behind this campaign. Customers can use Microsoft Defender XDR to detect activity related to this threat actor in their environments. Microsoft Defender for Endpoint detects many components of this activity, such as *Moonstone Sleet actor activity detected*, and Microsoft Defender Antivirus detects the malware execution with behavioral signatures. ## Activity Overview Since February 2024, Microsoft observed Moonstone Sleet infecting devices using a malicious tank game it developed. Moonstone Sleet sent the game to targets through messaging platforms such as LinkedIn and Telegram, phishing emails, and also spoofed the website of a well-known game maker to act as a download site. Once the ZIP file is downloaded, multiple malicious DLLs included in it are run upon launch of the game leading to connection to command-and-control (C2) infrastructure using Moonstone Sleet\'s YouieLoad, which is decrypted from one of the DLLs and in some cases subsequent hands-on-keyboard activity. Observed targets include employees of blockchain, trading, game development, and technology companies, as well as academics. These targets are globally located. #### Attack chain **Initial access** Moonstone Sleet often approaches its targets either through messaging platforms or by email. We have observed the threat actor presenting itself as a game developer seeking either investment or developer support. In these emails, Moonstone Sleet masquerades as a legitimate blockchain company or uses fake companies. Moonstone Sleet presents DeTankWar as a nonfungible token (NFT)-enabled, play-to-earn game available on Windows, Mac, and Linux.  *Figure 1. Example of a Moonstone Sleet DeTankWar spear phishing email* To bolster its superficial legitimacy, Moonstone Sleet has created a robust public campaign that includes the websites *detankwar\[.\]com* and *defitankzone\[.\]com*, Twitter accounts for the personas it uses to approach targets, and the game itself, which is alternately referred to as DeTankWar, DeFiTankWar, TankWarsZone, and DeTankLand.   *Figures 2 and 3. DeTankWar Twitter accounts*   *Figures 4 and 5. Pages from the DeTankWar website* In mid-March, Microsoft observed a homoglyph domain created by Moonstone Sleet to spoof a well-known game developer. This website offered a page on DeTankWar with both a download link and a link to the @detankwar1 X (Twitter) account.  *Figure 6. Elements on the page for DeTankWar on spoofed website* **Launch** Visitors to the DeTankWar website are prompted to download a compressed ZIP archive. When the user launches the game, the malicious payload *delfi-tank-unity.exe* or *DeTankWar.exe* also launches. The payload is cu | Malware Tool Threat | ★★★ | |
|
2024-05-24 01:09:17 | Rapport de CrimeWare: Acred, Scarletsaler et SYS01 Stealers Crimeware Report: Acrid, ScarletStealer, and Sys01 Stealers (lien direct) |
## Snapshot Kaspersky security researchers provide details on three distinct stealers: Acrid, ScarletStealer, and Sys01. These stealers exhibit varying levels of sophistication and global targeting, with specific geographic concentrations for each. ## Description Acrid is a new stealer that was found in December 2023. It is written in C++ for the 32-bit system and uses the "Heaven\'s Gate" technique to bypass certain security controls. ScarletStealer is a rather unique stealer as most of its stealing functionality is contained in other binaries that it downloads. ScarletStealer victims are mostly located in Brazil, Turkey, Indonesia, Algeria, Egypt, India, Vietnam, the USA, South Africa and Portugal. Sys01 (also known as “Album Stealer” or “S1deload Stealer”) is a relatively unknown stealer that has been around since at least 2022. Victims of this campaign were found all over the world, but most of them were located in Algeria. The stealer is distributed through a long chain of downloaders, where the last one is the Penguish downloader, and signed with a digital certificate. Unlike previous publicly disclosed versions of Sys01, the latest version of the stealer has split functionality. It now specifically steals Facebook-related data and sends stolen browser data to the C2. All three stealers have the typical functionality one might expect from a stealer, such as stealing browser data, stealing local cryptocurrency wallets, stealing files with specific names, and stealing credentials from installed applications. The danger posed by stealers lies in the consequences. This malware steals passwords and other sensitive information, which later can be used for further malicious activities causing great financial losses among other things. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. Typically, once the user downloads and launches the malicious payload, it establishes command and control (C2) connections with suspicious domains. Once infected, the infostealer attempts to collect and ultimately exfiltrate information from the system including files, browsers, internet-facing devices and applications to the C2 servers. ## Detections ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network. These alerts, however, can be triggered by unrelated threat activity. - Information stealing malware activity - An executable loaded an unexpected dll - DLL search order hijack - Possible S1deload stealer activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use Microsoft Defender for Office 365 for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learn | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-05-22 16:31:26 | Grandoreiro Banking Trojan Resurfaces dans Global Campaign Grandoreiro Banking Trojan Resurfaces in Global Campaign (lien direct) |
## Instantané Depuis mars 2024, IBM X-Force a suivi des campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, considéré comme un logiciel malveillant en tant que service (MAAS). Lisez la rédaction de Microsoft \\ sur Grandoreiro [ici] (https://security.microsoft.com/intel-explorer/articles/f07d1d16). ## Description Grandoreiro a connu des mises à jour importantes, notamment le décryptage amélioré des chaînes et un nouvel algorithme générateur de domaine (DGA).Le malware exploite également les clients Microsoft Outlook sur les hôtes infectés pour diffuser des e-mails de phishing. Historiquement, les campagnes ont été principalement limitées à l'Amérique latine, à l'Espagne et au Portugal.Mais la dernière variante est conçue pour cibler spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de commettre une fraude bancaire dans plus de 60 pays, élargissant la portée du malware à des régions comme l'Amérique centrale et du Sud, l'Afrique, l'Europe et l'Indo-Pacifique.Selon IBM, les logiciels malveillants évolués et le ciblage élargi peuvent être en réponse à des mesures d'application de la loi contre Grandoreiro. La chaîne d'infection de Grandoreiro \\ commence par un chargeur personnalisé, qui vérifie si la victime est une cible légitime et non un chercheur ou dans un bac à sable.Il rassemble des données de base de la victime, l'envoie au serveur de commandement et de contrôle (C2) et télécharge le Trojan.La variante récente du Malware \\ comprend un mécanisme de décryptage de chaîne retravaillé, en utilisant un processus complexe et en plusieurs étapes impliquant le cryptage Base64 et AES. Le Troie profil les victimes pour adapter les attaques, ciblant des applications bancaires spécifiques et des portefeuilles de crypto-monnaie.Son algorithme DGA avancé génère plusieurs domaines C2 quotidiennement, améliorant sa résilience.Grandoreiro peut exécuter un large éventail de commandes, de la télécommande et de la gestion des fichiers aux campagnes de spam de keylogging et d'Outlook.Cette capacité à envoyer des e-mails de phishing des clients Infected Outlook contribue à sa propagation. ## Microsoft Intelligence En plus de suivre l'activité de Grandoreiro en Europe, en Afrique et en Amérique latine, Microsoft Threat Intelligence a observé un ciblage de Grandoreiro aux États-Unis. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - * [Trojanspy: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojanspy:win32/grandoreiro& ;TheRatid=-2147235291) * - * [Trojan: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Grandoreiro.MBJr!Mtb& ;heterid=-2147060695) * - * [Trojandownloader: VBS / Grandoreiro] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-Description?name=trojandownOader:win32/grandoreiro.zy!SMS& ;Thereatid=-2147059024) * - * [Trojan: Win64 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win64/grandoreiro.psye!mtb& ;theatid=-2147128454)* - * [Comportement: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/grandoreiro.f & menaceId = -2147139055) * - * [Spyware: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-dercription?naME = Spyware: Win32 / Grandoreiro! Mclg & menaceID = 325649) * ** Microsoft Defender pour le point de terminaison ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Grandoreiro * ## Recommandations Microsoft recommande les atténuations sui | Spam Malware Tool Threat Legislation | ★★ | |
|
2024-05-22 15:21:21 | Bad Karma, No Justice: Void Manticore Destructive Activities in Israel (lien direct) | #### Géolocations ciblées - Israël ## Instantané Check Point Research a publié une analyse de l'acteur de menace iranien Void Manticore, l'acteur Microsoft suit en tant que Storm-0842.Affilié au ministère des Intelligences et de la Sécurité (MOIS), le vide Manticore effectue des attaques d'essuyage destructrices combinées à des opérations d'influence.L'acteur de menace exploite plusieurs personnages en ligne, les plus importants d'entre eux étant la justice de la patrie pour des attaques en Albanie et au Karma pour des attaques menées en Israël. ## Description Il y a des chevauchements clairs entre les cibles de vide manticore et de marminé marqué (aka Storm-0861), avec des indications de remise systématique des cibles entre ces deux groupes lorsqu'ils décident de mener des activités destructrices contre les victimes existantes de Manticore marqué.Les procédures de transfert documentées entre ces groupes suggèrent un niveau de planification cohérent et permettent à un accès vide de manticore à un ensemble plus large d'objectifs, facilité par leurs homologues \\ 'avancés.Les postes de collaboration ont annulé Manticore en tant qu'acteur exceptionnellement dangereux dans le paysage des menaces iraniennes. Void Manticore utilise cinq méthodes différentes pour mener des opérations perturbatrices contre ses victimes.Cela comprend plusieurs essuie-glaces personnalisés pour Windows et Linux, ainsi que la suppression manuelle de fichiers et de lecteurs partagés.Dans leurs dernières attaques, Void Manticore a utilisé un essuie-glace personnalisé appelé Bibi Wiper, faisant référence au surnom du Premier ministre d'Israël, Benjamin Netanyahu.L'essorage a été déployé dans plusieurs campagnes contre plusieurs entités en Israël et dispose de variantes pour Linux et Windows. ## Analyse Microsoft Microsoft Threat Intelligence Tracks void Manticore comme [Storm-0842] (https://security.microsoft.com/intel-profiles/0c1349b0f2bd0e545d4f741eeae18dd89888d3c0fbf99540b7cf623ff5bb2bf5) ministère du renseignement et de la sécurité (MOIS).Depuis 2022, Microsoft a observé plusieurs cas où Storm-0842 a déployé un outil destructeur dans un environnement précédemment compromis par [Storm-0861] (https://security.microsoft.com 8DE00), un autre groupe avec des liens avecLes Mois. Depuis 2022, Microsoft a observé que la majorité des opérations impliquant Storm-0842 ont affecté les organisations en [Albanie] (https://security.microsoft.com/intel-explorer/articles/5491ec4b) et en Israël.En particulier, Microsoft a observé des opérateurs associés à Storm-0842 de manière opportuniste [déploiez l'essuie-glace de Bibi en réponse à la guerre d'Israël-Hamas.] (Https://security.microsoft.com/intel-explorer/articles/cf205f30) ## Détections Microsoft Defender Antivirus détecte plusieurs variantes (Windows et Linux) de l'essuie-glace Bibi comme le malware suivant: - [DOS: WIN32 / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=dos:win32/wprblightre.b!dha& ;theratid=-2147072872)(Les fenêtres) - [dos: lINUX / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=dos:linux/wprblightre.a& ;threatid = -2147072991) (Linux) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sigh | Ransomware Malware Tool Threat | APT 34 | ★★★ |
|
2024-05-21 15:18:47 | Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct) | #### Géolocations ciblées
- États-Unis
#### Industries ciblées
- Éducation
- L'enseignement supérieur
- agences et services gouvernementaux
## Instantané
Proofpoint a détecté une campagne de Sucregh0st Rat active en mai 2024 destinée aux organisations américaines impliquées dans l'intelligence artificielle, y compris celles du monde universitaire, de l'industrie privée et du gouvernement.
## Description
La campagne utilise une variante de Troie (rat) d'accès à distance de l'ancien GH0Strat.Historiquement, GH0Strat a été utilisé par les acteurs de la menace de langue chinoise pour cibler les utilisateurs d'Asie centrale et de l'Est.
Dans cette campagne, les acteurs de la menace ont utilisé un compte de messagerie gratuit pour envoyer des e-mails de spectre sur le thème de l'IA-AI à des cibles qui leur ont demandé d'ouvrir un fichier zip ci-joint.Lors de l'ouverture du fichier, un fichier de raccourci LNK a déployé un compte-gouttes JavaScript qui a ensuite installé la charge utile de Sugargh0st, en utilisant diverses techniques telles que le codage de base64, l'abus d'outils ActiveX et l'exécution de shellcode à plusieurs étages pour établir des données de persistance et d'exfiltrat.
Proofpoint note qu'il a observé un nombre relativement faible de campagnes impliquant Sugargh0strat depuis sa détection pour la première fois en 2023. Les objectifs précédents incluent une société de télécommunications américaine, une organisation internationale des médias et une organisation gouvernementale sud-asiatique.ProofPoint évalue que ces campagnes sont extrêmement ciblées.Cette campagne la plus récente semble avoir ciblé moins de 10 personnes, qui sont toutes liées à une seule organisation américaine d'intelligence artificielle.
## Les références
[Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat a utilisé pour cibler des experts en intelligence artificielle américaine] (https://www.proalfpoint.com/us/newsroom/news/us-ai-experts-targeted-sugargh0st-ram-campaign).Microsoft (consulté en 2024-05-21)
#### Targeted Geolocations - United States #### Targeted Industries - Education - Higher Education - Government Agencies & Services ## Snapshot Proofpoint has detected a SugarGh0st RAT campaign active during May 2024 aimed at US organizations involved in artificial intelligence, including those in academia, private industry, and government. ## Description The campaign uses a remote access trojan (RAT) variant of the older Gh0stRAT. Historically, Gh0stRAT has been used by Chinese-speaking threat actors to target users in Central and East Asia. In this campaign, the threat actors used a free email account to send AI-themed spearphishing emails to targets that instructed them to open an attached zip file. Upon opening the file, an LNK shortcut file deployed a JavaScript dropper that then installed the SugarGh0st payload, employing various techniques like base64 encoding, ActiveX tool abuse, and multi-stage shellcode execution to establish persistence and exfiltrate data. Proofpoint notes that it has observed a relatively small number of campaigns involving SugarGh0stRAT since it was first detected in 2023. Previous targets include a US telecommunications company, an international media organization, and a South Asian government organization. Proofpoint assesses that these campaigns are extremely targeted. This most recent campaign appears to have targeted less than 10 individuals, all of whom are connected to a single US artificial intelligence organization. ## References [Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts](https://www.proofpoint.com/us/newsroom/news/us-ai-experts-targeted-sugargh0st-rat-campaign). Microsoft (accessed 2024-05-21) |
Tool Threat | ★★★ | |
|
2024-05-20 14:19:33 | Faits saillants hebdomadaires, 20 mai 2024 Weekly OSINT Highlights, 20 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence un éventail diversifié de cyber-menaces sophistiquées ciblant divers secteurs, notamment des infrastructures critiques, des institutions financières et des entités diplomatiques.Les articles soulignent la complexité croissante des vecteurs d'attaque, tels que l'utilisation de campagnes de tunnels DNS, de malvertisation et de phishing sophistiquées.Les acteurs de la menace, allant de groupes à motivation financière comme FIN7, à des entités parrainées par l'État comme Turla, utilisent des techniques avancées comme l'obscurcissement des logiciels malveillants, la stéganographie et l'ingénierie sociale pour atteindre leurs objectifs. ## Description 1. ** [Darkgate Malware Campaign exploite PDF Lures] (https://security.microsoft.com/intel-explorer/articles/055cd342) **: les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants Darkgate qui utilise des rémissions de PDF déguisées sous forme de factures QuickBooks intuites, incitant les utilisateurs à télécharger un fichier malveillant des archives Java (JAR).Le fichier JAR télécharge des charges utiles supplémentaires, y compris un script AutOIT, établissant des connexions distantes et exécutant du code de shell pour communiquer avec les serveurs C2. 2. ** [Campagne d'évolution des logiciels malveillants Ebury] (https://security.microsoft.com/intel-explorer/articles/276a4404) **: Les chercheurs ESET ont indiqué que le malware Ebury, qui cible les serveurs Linux pour un gain financier, a de gain financier,a évolué avec de nouvelles techniques d'obscurcissement et un algorithme de génération de domaine.Le malware, actif depuis 2009, compromet les serveurs pour voler des données de crypto-monnaie et financières, exploitant le trafic SSH et tirant parti de l'infrastructure du fournisseur d'hébergement. 3. ** [DNS Tunneling utilisé pour la communication secrète] (https://security.microsoft.com/intel-explorer/articles/7f0d7aa3) **: les chercheurs de Palo Alto ont mis en évidence l'utilisation du tunneling DNS par des pirates pour exfiltrater les données et communiqueravec les serveurs C2 secrètement.Des campagnes comme "TrkCDN" et "Secshow" utilisent cette technique pour contourner les mesures de sécurité traditionnelles, l'intégration de données malveillantes dans les requêtes et les réponses DNS. 4. ** [La campagne de phishing distribue une nouvelle souche de logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/95ff5bf6)**: AhnLab a identifié une campagne de phishing distribuant des logiciels malveillantsPar e-mails déguisés en avertissements de violation du droit d'auteur, conduisant à l'infostaler et aux ransomwares de bête vidar.Le ransomware crypte les fichiers et se propage via des réseaux, tandis que l'infostaler cible les informations utilisateur et se connecte aux serveurs C2. 5. ** [Profil github utilisé pour distribuer des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/4782de66) **: le groupe INSIKT a découvert une campagne par des acteurs de menace russe à l'aide de GitHub pour distribuer des logiciels malveillantsse faire passer pour un logiciel légitime.La campagne a utilisé des variantes comme le voleur atomique MacOS (AMOS) et le vidar pour infiltrer les systèmes et voler des données sensibles, indiquant un effort coordonné d'un groupe de menaces sophistiqué. 6. ** [Fin7 utilise des sites Web malveillants pour répandre les logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/6c0c8997) **: ESENTIRE observé Fin7, suivi par Microsoft comme [Sangria Tempest] (Https: Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaea4d3565df70afc7c85eaee69f74278), en utilisant des sites Web malveillants qui imposent des marques et des formes de pochette et de la rencontre Google.Les attaques impliquaient Netsupport Rat pour la reconnaissance et la persistance du système, | Ransomware Malware Tool Vulnerability Threat Medical | ★★ | |
|
2024-05-17 19:54:33 | La campagne par e-mail distribue Lockbit Black Ransomware via Phorpiex Botnet Email Campaign Distributes LockBit Black Ransomware via Phorpiex Botnet (lien direct) |
## Instantané Les chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomwares noirs Lockbit. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publiée avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Lockbit Black Builder a fourni aux acteurs de la menace un accès à des ransomwares propriétaires et sophistiqués.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender p | Ransomware Tool Threat | ★★★ | |
|
2024-05-17 19:11:34 | To the Moon and back(doors): Lunar landing in diplomatic missions (lien direct) | #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land | Malware Tool Threat Technical | ★★ | |
|
2024-05-16 19:51:14 | (Déjà vu) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct) | ## Instantané Les chercheurs en sécurité AHNLAB ont identifié une nouvelle souche malveillante qui est distribuée par des e-mails de phishing déguisés en avertissements de violation du droit d'auteur. ## Description L'e-mail de phishing contient un hyperlien qui télécharge un fichier compressé.Le fichier compressé téléchargé contient à son tour des fichiers compressés ALZ supplémentaires, qui, lorsqu'ils sont décodés et décompressés, révèlent deux fichiers exécutables - l'infosaler Vidar et le ransomware de la bête. La bête ransomware chiffre les fichiers originaux et ajoute une extension spécifique, tandis que l'infosteller Vidar se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, y compris les données et les fichiers du navigateur Web sur le PC de l'utilisateur \\.La bête ransomware, une évolution du ransomware du monstre, crypte les fichiers originaux et ajoute des extensions spécifiques.Il analyse également les ports de SMB actifs, indiquant une intention de se propager par un mouvement latéral.Le Vidar InfoSteller se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, en utilisant des plateformes publiques pour la communication avec son serveur C2. ## Détections ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / VidaStelleer] (HTtps: //www.microsoft.com/wdsi/therets/malware-encyclopedia-description? name = trojan: win32 / vidarsaler.bm! msr & menaced = -2147194064) ### miCrosoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Informations volant l'activité de logiciels malveillants ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-05-15 20:41:19 | Gitcaught: l'acteur de menace exploite le référentiel Github pour les infrastructures malveillantes GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure (lien direct) |
## Instantané Le groupe insikt de l'avenir enregistré a découvert une campagne cybercriminale sophistiquée dirigée par des acteurs de menace russophone du Commonwealth des États indépendants (CIS), en utilisant un profil GitHub pour distribuer des logiciels malveillants sous couvert d'applications logicielles légitimes. ## Description Les applications logicielles comme 1Password, Bartender 5 et Pixelmator Pro ont été usurpées, entre autres.Les variantes de logiciels malveillants observées dans cette campagne comprenaient le voleur de macOS atomique (AMOS) et le vidar.Ils ont été fabriqués pour infiltrer les systèmes et voler des données sensibles, présentant les acteurs en profondeur de la compréhension du développement logiciel et de la confiance des utilisateurs dans ces plateformes.L'analyse de Insikt Group \\ a dévoilé une infrastructure partagée de commandement et de contrôle (C2) parmi ces variantes, indiquant un effort coordonné par un groupe de menaces bien ressourcé capable de lancer des cyberattaques soutenues dans divers systèmes et dispositifs d'exploitation. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-enDPoint / Configure-Block-at-First-Sight-Microsoft-Dender-Antivirus? OCID = MAGICTI_TA_LELARNDOC) dans Microsoft DefEnder Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et STRictly [nécessite MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs cliquant sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un exemple. - Rappeler aux employés que l'entreprise ou les informations d'identification en milieu de travail ne doivent pas être stockées dans des navigateurs ou des coffres de mot de passe garantis avec des informations d'identification personnelles.Les organisations peuvent désactiver la synchronisation des mots de passe dans le navigat | Ransomware Malware Tool Threat | ★★★ | |
|
2024-05-15 20:23:43 | FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads (lien direct) |
## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic | Malware Tool Threat Prediction | ★★★ | |
|
2024-05-14 20:40:25 | Cent pranskraut: Blazk Basta StopRansomware: Black Basta (lien direct) |
## Instantané
The joint Cybersecurity Advisory (CSA) released by the FBI, CISA, HHS, and MS-ISAC provides detailed information on the Black Basta ransomware variant, a ransomware-as-a-service (RaaS) that has targeted critical infrastructure sectors, including healthcare.
## Description
Les affiliés Black Basta ont un accès initial par le biais de techniques telles que le phishing, l'exploitation des vulnérabilités et abuser des références valides.Une fois à l'intérieur du réseau de la victime, ils utilisent un modèle à double expression, cryptant les systèmes et exfiltrant des données.
Les acteurs de la menace utilisent divers outils pour la numérisation du réseau, la reconnaissance, le mouvement latéral, l'escalade des privilèges, l'exfiltration et le chiffrement, y compris le scanner de réseau SoftPerfect, BitsAdmin, Psexec, Rclone et Mimikatz.
La variante des ransomwares Black Basta, fonctionnant en tant que RAAS, a eu un impact sur 500 organisations dans le monde en mai 2024, en gagnant principalement un accès initial par la spectre, en exploitant des vulnérabilités connues et en abusant des références valides.Les notes de rançon n'incluent généralement pas une première demande de rançon ou des instructions de paiement, mais fournissent plutôt que les victimes un code unique et leur demander de contacter le groupe de ransomware via une URL .onion accessible via le navigateur TOR.
Le conseil exhorte les organisations d'infrastructures critiques, en particulier celles du secteur de la santé et de la santé publique (HPH), à appliquer des atténuations recommandées pour réduire la probabilité de compromis de Black Basta et d'autres attaques de rançongiciels, et les victimes de ransomwares sont encouragées à signaler l'incident à leurBureau de terrain du FBI local ou CISA.
## Les références
["#Stopransomware: Black Basta"] (https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) cisa.(Consulté en 2024-05-13)
## Snapshot The joint Cybersecurity Advisory (CSA) released by the FBI, CISA, HHS, and MS-ISAC provides detailed information on the Black Basta ransomware variant, a ransomware-as-a-service (RaaS) that has targeted critical infrastructure sectors, including healthcare. ## Description Black Basta affiliates gain initial access through techniques such as phishing, exploiting vulnerabilities, and abusing valid credentials. Once inside the victim\'s network, they employ a double-extortion model, encrypting systems and exfiltrating data. The threat actors use various tools for network scanning, reconnaissance, lateral movement, privilege escalation, exfiltration, and encryption, including SoftPerfect network scanner, BITSAdmin, PsExec, RClone, and Mimikatz. The Black Basta ransomware variant, operating as a RaaS, has impacted over 500 organizations globally as of May 2024, primarily gaining initial access through spearphishing, exploiting known vulnerabilities, and abusing valid credentials. The ransom notes do not generally include an initial ransom demand or payment instructions, but instead provide victims with a unique code and instruct them to contact the ransomware group via a .onion URL reachable through the Tor browser. The advisory urges critical infrastructure organizations, especially those in the Healthcare and Public Health (HPH) Sector, to apply recommended mitigations to reduce the likelihood of compromise from Black Basta and other ransomware attacks, and victims of ransomware are encouraged to report the incident to their local FBI field office or CISA. ## References ["#StopRansomware: Black Basta"](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) CISA. (Accessed 2024-05-13) |
Ransomware Tool Vulnerability Threat Medical | ★★★ | |
|
2024-05-14 20:34:29 | Security Brief: Millions of Messages Distribute LockBit Black Ransomware (lien direct) | ## Instantané En avril 2024, des chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison du ransomware Black Lockbit.Le ransomware en tant que charge utile de première étape attachée aux campagnes de menace par e-mail n'est pas quelque chose que le point de preuve a observé en volumes élevé depuis avant 2020, donc l'observation d'un échantillon noir de verrouillage dans les données de menace par e-mail sur cette échelle globale est très inhabituelle. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé.ProofPoint a observé un groupe d'activités utilisant le même alias «Jenny Green» avec des leurres liés à «votre document» livrant des logiciels malveillants Phorpiex dans les campagnes de messagerie depuis au moins janvier 2023. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publié avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Black Builder a donné aux acteurs de la menace accès à un rançon propriétaire et sophistiqué.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Analyse Microsoft Lockbit est un Ransomware-As-A-Service (RAAS) proposé géré par un groupe Microsoft Tracks en tant que [Storm-0396] (https://security.microsoft.com/thereatanalytics3/6cd57981-f221-4a99-9e90-103bf58fd6e9/analyStreportreportreportreport) (Dev-0396).Le modèle RAAS fournit des services d'économie cybercriminale aux attaquants qui n'ont pas les compétences nécessaires pour développer une charge utile des ransomwares en échange d'une partie des bénéfices.Le Lockbit Raas a ciblé et impactné des organisations à travers le monde, en restant l'un des meilleurs programmes RAAS, alors que les opérateurs continuent d'affiner et de faciliter les offres de lockbit et d'attirer de nouveaux affiliés. Phorpiex, autrement connu sous le nom de Trik, est un botnet en plusieurs parties.Ce malware a commencé la vie comme un ver connu pour affecter les utilisateurs en se propageant via des lecteurs USB amovibles et via des messages instantanés tels que Skype ou IRC.Dans le sillage du retrait d'Emotet \\, ce botnet diversifié son infrastructure pour devenir plus résilient.Pendant de nombreuses années, Phorpiex a utilisé des machines infectées pour fournir l'extorsion, les logiciels malveillants, le phishing et d'autres contenus par e-mail.Ces e-mails couvrent un ensemble incroyablement important de leurres, de lignes d'objet, de langues et de destinataires en raison de l'échelle des campagnes. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win32 / Phorpiex- Trojandownloader: Win32 / Phorpiex - ver: win32 / phorpiex - Trojan: Win32 / Lockbit - Ransom: Win32 / Lockbit- Comportement: win32 / lockbit - Comportement: win64 / lockbit ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - MALWOREAL PHORPIEX - Phorpiex C2 ## Recommandations La mise en | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-05-13 13:30:14 | Faits saillants hebdomadaires, 13 mai 2024 Weekly OSINT Highlights, 13 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de OSINT mettent en évidence une gamme de cyber-menaces et de tactiques d'attaque en évolution orchestrée par des acteurs de menace sophistiqués.Les articles discutent d'une variété de vecteurs d'attaque, notamment l'exploitation des vulnérabilités logicielles (comme dans les appliances VPN Secure Ivanti Secure et Laravel), le malvertissant via Google Search Ads et les invites de mise à jour de navigateur trompeuses utilisées pour distribuer des logiciels malveillants comme Socgholish.Les acteurs de la menace identifiés dans ces rapports, y compris des groupes APT comme APT42 (Mint Sandstorm) et Kimsuky (Emerald Sleet), démontrent des tactiques d'ingénierie sociale avancées, des portes dérobées et des efforts de reconnaissance persistants ciblant les ONG, les organisations de médias et les entreprises.Les attaquants exploitent les sites Web compromis, les plateformes de médias sociaux et les outils de gestion du système pour établir des anciens et exécuter des commandes distantes, soulignant la nécessité de défenses de cybersécurité robustes et une vigilance accrue pour lutter efficacement ces menaces en évolution. ## Description 1. ** [Nouvelle chaîne d'infection associée à Darkgate Malware] (https://security.microsoft.com/intel-explorer/articles/1db83f2c) **: Les chercheurs de McAfee Labs ont découvert une nouvelle chaîne d'infection liée à Darkgate, une télécommandeAccès à Trojan (rat) commercialisé sur un forum de cybercriminalité en langue russe.Darkgate utilise des fonctionnalités diverses comme l'injection de processus, le keylogging et le vol de données, et il échappe à la détection en utilisant des tactiques d'évasion comme le contournementMicrosoft Defender SmartScreen. 2. ** [Évolution du chargeur de logiciels malveillants Hijackloader] (https://security.microsoft.com/intel-explorer/Articles / 8c997d7c) **: Zscaler rapporte sur l'évolution de Hijackloader, un chargeur de logiciels malveillants modulaire avec de nouvelles techniques d'évasion ciblant l'antivirus Windows Defender et le contrôle des comptes d'utilisateurs (UAC).Hijackloader offre diverses familles de logiciels malveillants comme Amadey, Lumma Stealer et Remcos Rat grâce à des techniques impliquant des images PNG et un décryptage. 3. ** [Kimsuky Group \'s (Emerald Sleet) Sophistiqué Espionage Tactics] (https://security.microsoft.com/intel-explorer/articles/6e7f4a30) **: Kimsuky (suivi sous le nom de Sleet Emerald par Microsoft)Emploie les plateformes de médias sociaux et les outils de gestion des systèmes pour l'espionnage, ciblant les individus des droits de l'homme et des affaires de la sécurité nord-coréennes.Ils utilisent de faux profils Facebook, de faux entretiens d'embauche et des fichiers malveillants de la console de gestion Microsoft (MMC) pour exécuter des commandes distantes et établir des canaux de commande et de contrôle (C2). 4. ** [Distribution des logiciels malveillants via Google Search Ads Exploitation] (https://security.microsoft.com/intel-explorer/articles/1f1ae96f): ** Les acteurs de la menace tirent parti des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI, la mascarradagecomme un logiciel légitime comme la notion.Lors de l'interaction, les scripts PowerShell s'exécutent pour injecter des logiciels malveillants Zgrat, démontrant des techniques sophistiquées pour contourner les mesures de sécurité et contrôler les systèmes infectés. 5. **[Exploitation of Ivanti Pulse Secure VPN Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/2d95eb1b):** Attackers exploit vulnerabilities (CVE-2023-46805 and CVE-2024-21887) In Ivanti Pulse Secure VPN Appliances pour livrer le botnet Mirai et d'autres logiciels malveillants.Ces vulnérabilités permettent l'exécution du code distant et le contournement des mécanismes d'authentification, ce qui constitue des menaces importantes à la sécurité du réseau à l'échelle mondia | Spam Malware Tool Vulnerability Threat Cloud | APT 42 | ★★ |
|
2024-05-10 19:33:41 | Les pirates nord-coréens abusant de la console de gestion Facebook & MS North Korean Hackers Abusing Facebook & MS Management Console (lien direct) |
## Instantané
Le groupe de piratage nord-coréen Kimsuky a été observé à l'aide de méthodes sophistiquées pour mener des activités d'espionnage, y compris l'exploitation des plateformes de médias sociaux et des outils de gestion du système.
** Microsoft suit Kimsuky en tant que grésil émeraude.[En savoir plus sur le grésil émeraude ici.] (Https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) **
## Description
Le groupe a utilisé de faux profils Facebook pour cibler les personnes impliquées dans les droits de l'homme et les affaires de la sécurité nord-coréennes, s'engageant avec des cibles potentielles par le biais de demandes d'amis et de messages personnels.Cette tactique d'ingénierie sociale est conçue pour renforcer la confiance et attirer les cibles dans un piège, conduisant finalement au partage de liens ou de documents malveillants.
De plus, Kimsuky a adopté des fichiers Microsoft Management Console (MMC), déguisés en documents inoffensifs, pour exécuter des commandes malveillantes sur les systèmes des victimes.Une fois ouvertes, ces fichiers peuvent potentiellement permettre aux attaquants de prendre le contrôle du système ou des informations sensibles à l'exfiltrat, établissant finalement un canal de commande et de contrôle (C2) pour gérer les systèmes compromis à distance.L'utilisation de plateformes de médias sociaux comme Facebook pour les contacts initiaux et le déploiement d'outils de gestion du système pour exécuter des attaques représentent une escalade importante des tactiques de cyber-menace.
Ces méthodes indiquent un changement vers des attaques plus furtives et socialement modifiées qui peuvent contourner les mesures de sécurité conventionnelles.Les activités récentes du groupe Kimsuky soulignent l'évolution continue des acteurs cyber-menaces et la nécessité de défenses de cybersécurité robustes, soulignant l'importance d'une vigilance améliorée concernant les interactions sur les réseaux sociaux et la mise en œuvre de systèmes de détection de menace avancés pour contrer ces menaces.
## Les références
["Les pirates nord-coréens abusant de la console de gestion Facebook & MS"] (https://gbhackers.com/north-korean-hackers-abusing/) gbhackers.(Consulté en 2024-05-10)
## Snapshot The North Korean hacking group Kimsuky has been observed using sophisticated methods to conduct espionage activities, including the exploitation of social media platforms and system management tools. **Microsoft tracks Kimsuky as Emerald Sleet. [Read more about Emerald Sleet here.](https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e)** ## Description The group has been using fake Facebook profiles to target individuals involved in North Korean human rights and security affairs, engaging with potential targets through friend requests and personal messages. This social engineering tactic is designed to build trust and lure the targets into a trap, eventually leading to the sharing of malicious links or documents. Additionally, Kimsuky has adopted Microsoft Management Console (MMC) files, disguised as innocuous documents, to execute malicious commands on victims\' systems. Once opened, these files can potentially allow the attackers to gain control over the system or exfiltrate sensitive information, ultimately establishing a command and control (C2) channel to manage the compromised systems remotely. The use of social media platforms like Facebook for initial contact and the deployment of system management tools for executing attacks represents a significant escalation in cyber threat tactics. These methods indicate a shift towards more stealthy and socially engineered attacks that can bypass conventional security measures. The recent activities of the Kimsuky group underscore the continuous evolution of cyber threat actors and the need for robust cyb |
Tool Threat | ★★★★ | |
|
2024-05-10 16:50:08 | Socgholish attaque les entreprises via de fausses mises à jour du navigateur SocGholish Attacks Enterprises Via Fake Browser Updates (lien direct) |
## Instantané
Socgholish (également connu sous le nom de FakeUpdates), un logiciel malveillant connu pour sa furtivité et la complexité de ses mécanismes de livraison, cible les entreprises avec des invites de mise à jour de navigateur trompeuse.
## Description
Comme indiqué par Esesentire, des sites Web légitimes compromis servent de vecteur d'infection, où le code JavaScript malveillant est injecté pour inciter les utilisateurs à télécharger des mises à jour du navigateur.Les fichiers téléchargés contiennent des logiciels malveillants SocGholish, en lançant le processus d'infection lors de l'exécution.
Le script utilise diverses techniques pour éviter la détection et échapper à l'analyse.Tout d'abord, il vérifie si le navigateur est contrôlé par des outils d'automatisation et termine l'exécution s'il est détecté.Par la suite, il examine si la fenêtre du navigateur a subi une manipulation importante pour déterminer si l'environnement est surveillé.De plus, il inspecte des cookies WordPress spécifiques pour arrêter d'autres actions si l'utilisateur est connecté à un site WordPress.Si aucune de ces conditions ne s'applique, il établit un écouteur d'événements de mouvement de souris, déclenchant le chargement du script uniquement après l'interaction de l'utilisateur, susceptible de contourner les mécanismes de détection ciblant l'activité malveillante lors du chargement de la page.
Après le compromis initial, les attaquants se sont engagés dans l'activité pratique des panneaux et des techniques de vie pour extraire les mots de passe stockés des navigateurs, décrypter et effectuer une reconnaissance.Notamment, les attaquants ont également inséré des balises Web dans les signatures par e-mail et les partages de réseau pour tracer les relations commerciales.Esesentire affirme que cela peut être un effort pour cibler les organisations d'intérêt connexes.
## Détections
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [Comportement: win32 / socgolsh] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/socgolsh.sB & menaceid = -2147152249)
- [Trojan: JS / FakeUpdate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:js/fakeupdate.c& threattid=-2147150555)
- [Trojandownloader: JS / Socgholish] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-Cycopedia-DEscription? Name = Trojandownloader: JS / SocGholish! MSR & menaceID = -2147135220)
## Les références
[SocGholish vise les pairs des victimes] (https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers).ESENTRE (consulté le 05-10-2024)
[Socgholish attaque les entreprises via de fausses mises à jour du navigateur] (https://gbhackers.com/socgholish-attacks-fake-browser/).GBHACKERS (consulté le 05-10-2024)
## Snapshot SocGholish (also known as FakeUpdates), a malware known for its stealth and the intricacy of its delivery mechanisms, is targeting enterprises with deceptive browser update prompts. ## Description As reported by eSentire, compromised legitimate websites serve as the infection vector, where malicious JavaScript code is injected to prompt users to download browser updates. The downloaded files contain SocGholish malware, initiating the infection process upon execution. The script employs various techniques to avoid detection and evade analysis. First, it checks if the browser is being controlled by automation tools and terminates execution if detected. Subsequently, it scrutinizes if the browser window has undergone significant manipulation to determine if the environment is being monitored. Additionally, it inspects for specific WordPress cookies to halt further actions if the user is logged into a WordPress site. If none of these conditions apply, it establishes a mouse movement event listener, tr |
Malware Tool Threat | ★★★ | |
|
2024-05-09 16:11:06 | Mises à jour de Hijackloader HijackLoader Updates (lien direct) |
## Instantané
Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Hijackloader, un chargeur de logiciels malveillants et ses nouvelles tactiques d'évasion.
## Description
Hijackloader, également connu sous le nom de chargeur IDAT, a émergé en 2023 comme un chargeur de logiciels malveillants équipé de modules polyvalents pour l'injection et l'exécution de code.Hijackloader a une architecture modulaire, un attribut qui le distingue des chargeurs typiques.
Les chercheurs de ZSCaler ont analysé une nouvelle variante Hijackloader qui présente des techniques d'évasion améliorées.Ces améliorations visent à aider à la furtivité du malware, prolongeant sa capacité à échapper à la détection.La dernière version de Hijackloader introduit des modules pour contourner Windows Defender Antivirus, Courtmvant User Compte Control (UAC), EVADER LE HOCKING API COMMENT utilisé par des outils de sécurité et utiliser des creux de processus.
Le mécanisme de livraison de Hijackloader \\ implique l'utilisation d'une image PNG, décryptée et analysée pour charger l'étape suivante de l'attaque.Hijackloader a été observé servant de mécanisme de livraison pour diverses familles de logiciels malveillants, notamment Amadey, [Lumma Stealer] (https: //sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer V2 et Remcos Rat.
## Détections
Microsoft Defender ANtivirus détecte les composants de menace comme le malware suivant:
- [Trojan: Win32 / Hijackloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hijackloader.ahj!mtb& ;heted=-2147058662)
## Les références
[Hijackloader Mises à jour] (https://www.zscaler.com/blogs/security-research/hijackloader-updates).Zscaler (consulté en 2024-05-09)
## Snapshot Researchers at Zscaler have published a report about the evolution of HijackLoader, a malware loader, and its new evasion tactics. ## Description HijackLoader, also known as IDAT Loader, emerged in 2023 as a malware loader equipped with versatile modules for injecting and executing code. HijackLoader has modular architecture, an attribute that sets it apart from typical loaders. Zscaler researchers analyzed a new HijackLoader variant that features upgraded evasion techniques. These enhancements aim to aid in the malware\'s stealth, prolonging its ability to evade detection. The latest version of HijackLoader introduces modules to bypass Windows Defender Antivirus, circumvent User Account Control (UAC), evade inline API hooking commonly used by security tools, and utilize process hollowing. HijackLoader\'s delivery mechanism involves utilizing a PNG image, decrypted and parsed to load the subsequent stage of the attack. HijackLoader has been observed serving as a delivery mechinism for various malware families, including Amadey, [Lumma Stealer](https://sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer v2, and Remcos RAT. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/HijackLoader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/HijackLoader.AHJ!MTB&threatId=-2147058662) ## References [HijackLoader Updates](https://www.zscaler.com/blogs/security-research/hijackloader-updates). Zscaler (accessed 2024-05-09) |
Malware Tool Threat | ★★★ | |
|
2024-05-09 00:49:06 | Les pirates abusent des annonces de recherche Google pour livrer des logiciels malveillants pleins de MSI Hackers Abuse Google Search Ads to Deliver MSI-Packed Malware (lien direct) |
## Instantané Les chercheurs en sécurité ont identifié une nouvelle campagne dans laquelle les pirates exploitent des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI (Microsoft Installer).Cette campagne, impliquant le chargeur de logiciels malveillants connue sous le nom de FakeBat, cible les utilisateurs sans méfiance en se faisant passer pour des téléchargements de logiciels légitimes. ## Description L'attaque commence par une annonce de recherche Google qui semble légitime, en utilisant l'adresse du site Web réel des logiciels populaires comme la notion.Cependant, l'annonce est une façade, achetée par des acteurs de la menace qui ont toujours utilisé des identités liées au Kazakhstan.Cliquez sur les redirections publicitaires vers un site d'apparence hébergé chez Notilion \ [. \] Co.Le site incite les utilisateurs à télécharger ce qui semble être un programme d'installation de logiciel standard au format MSIX, signé sous le nom apparemment crédible «Forth View Designs Ltd.» Lors de l'exécution du programme d'installation MSIX, un script PowerShell caché est activé.Les commandes PowerShell exécutées au cours de ce processus sont conçues pour contourner les mesures de sécurité locales et injecter les logiciels malveillants Zgrat directement dans les processus système, prenant efficacement le contrôle de la machine infectée.La campagne utilise un service Click Tracker pour gérer l'efficacité de l'annonce et filtrer le trafic indésirable.Cette étape implique un domaine intermédiaire qui sépare l'URL malveillante de la publicité Google, améliorant la furtivité de l'attaque.Une fois les logiciels malveillants installés, le script PowerShell atteint le serveur FakeBat C2, qui dicte les actions suivantes, y compris la livraison de la charge utile Zgrat.Cet incident met en évidence les risques en cours associés à la malvertisation et à la sophistication des cyber-menaces modernes. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT ces derniers mois avec des nombres d'incidences et des acteurs de menace utilisant des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Microsoft a suivi les tendances à travers des incidents et des observations de malvertising récents de toute la communauté de la sécurité.Ces tendances incluent la diversification des charges utiles, l'émergence des logiciels malveillants MSIX et l'amélioration du clochard et de l'évasion. En savoir plus sur [les tendances récentes de l'osint en malvertising] (https://sip.security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement l'installateur d'application] (https: //security.microsoft.com/intel-explorer/articles/74368091). Les groupes de cybercrimins sont probablement à l'origine de la majorité des activités de malvertisation, à en juger par un examen des rapports open-source.Dans l'économie souterraine, les forums criminels et les marchés facilitent l'échange de services et d'outils adaptés à la malvertisation.Cet écosystème rend ces tactiques accessibles et rentables pour un large éventail de cybercriminels. Les acteurs de la menace active dans ce domaine incluent les acteurs que Microsoft suit comme [Storm-0569] (https://security.microsoft.com/Thereatanalytics3/6d557f37-0952-4a05-bdc5-d40d6742fbaf/analystreport) et [Storm-1113] (HTTPS: //sip.security.microsoft.com/intel-profiles/4847b8382f24f3cd10d4cf3acdda5c59d5c48df64b042590436be6e92e1b232f). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme suitmalware: *** Fakebat / Eugenloader *** - [Trojandownloader: PowerShell / EugenLoader] (https://www.microsoft.com/en-us/wdsi/atherets/malwarE-SencyClopedia-Description? Name = Trojandownloader: PowerShell / Eugenloader.a & menaceID = -214706790) - [Trojan: Win32 / EugenlOader] | Ransomware Malware Tool Threat Prediction Cloud | ★★★ | |
|
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
|
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-05-01 19:46:49 | Attaque "Stream Dirty": découvrir et atténuer un modèle de vulnérabilité commun dans les applications Android “Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps (lien direct) |
## Snapshot Microsoft discovered a path traversal-affiliated vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application\'s home directory. The implications of this vulnerability pattern include arbitrary code execution and token theft, depending on an application\'s implementation. Arbitrary code execution can provide a threat actor with full control over an application\'s behavior. Meanwhile, token theft can provide a threat actor with access to the user\'s accounts and sensitive data. We identified several vulnerable applications in the Google Play Store that represented over four billion installations. We anticipate that the vulnerability pattern could be found in other applications. We\'re sharing this research so developers and publishers can check their apps for similar issues, fix as appropriate, and prevent introducing such vulnerabilities into new apps or releases. As threats across all platforms continue to evolve, industry collaboration among security researchers, security vendors, and the broader security community is essential in improving security for all. Microsoft remains committed to working with the security community to share vulnerability discoveries and threat intelligence to protect users across platforms. After discovering this issue, we identified several vulnerable applications. As part of our responsible disclosure policy, we notified application developers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) and worked with them to address the issue. We would like to thank the Xiaomi, Inc. and WPS Office security teams for investigating and fixing the issue. As of February 2024, fixes have been deployed for the aforementioned apps, and users are advised to keep their device and installed applications up to date. Recognizing that more applications could be affected, we acted to increase developer awareness of the issue by collaborating with Google to publish an article on the Android Developers website, providing guidance in a high-visibility location to help developers avoid introducing this vulnerability pattern into their applications. We also wish to thank Google\'s Android Application Security Research team for their partnership in resolving this issue. In this post, we continue to raise developer and user awareness by giving a general overview of the vulnerability pattern, and then focusing on Android share targets, as they are the most prone to these types of attacks. We go through an actual code execution case study where we demonstrate impact that extends beyond the mobile device\'s scope and could even affect a local network. Finally, we provide guidance to users and application developers and illustrate the importance of collaboration to improve security for all. ## Activity Overview ### Data and file sharing on Android The Android operating system enforces isolation by assigning each application its own dedicated data and memory space. To facilitate data and file sharing, Android provides a component called a content provider, which acts as an interface for managing and exposing data to the rest of the installed applications in a secure manner. When used correctly, a content provider provides a reliable solution. However, improper implementation can introduce vulnerabilities that could enable bypassing of read/write restrictions within an application\'s home directory. The Android software development kit (SDK) includes the [FileProvider](https://developer.android.com/reference/androidx/core/content/FileProvider) class, a subclass of ContentProvider that enables file sharing between installed applications. An application that needs to share its files with other applications can declare a FileProvider in its app manifest and declare the specific paths to share. Every file provider has a property called authority, which identifies it system-wide, and can b | Tool Vulnerability Threat Studies Mobile Technical | ★★★ |
To see everything:
Our RSS (filtrered)
