SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-09-21 08:27:12	Dossier de LNK malveillant en cours de distribution, usurpant l'identité du National Tax Service Malicious LNK File Being Distributed, Impersonating the National Tax Service (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert les circonstances d'un fichier de LNK malveillant imitant le service national fiscêtre distribué.La distribution à l'aide de fichiers LNK est une méthode qui a été utilisée dans le passé, et récemment, il y a eu plusieurs cas de distribution aux utilisateurs coréens.Le fichier LNK récemment identifié est supposé être distribué via une URL incluse dans les e-mails.L'URL identifiée via AHNLAB Smart Defense (ASD) est la suivante, et à partir de celui-ci, un fichier compressé ... AhnLab Security Emergency response Center (ASEC) has discovered circumstances of a malicious LNK file impersonating the National Tax Service being distributed. Distribution using LNK files is a method that has been used in the past, and recently, there have been multiple cases of distribution to Korean users. The recently identified LNK file is presumed to be distributed via a URL included in emails. The URL identified through AhnLab Smart Defense (ASD) is as follows, and from it, a compressed file...			★★
	2023-09-21 07:33:23	Hiddengh0st malware attaquant les serveurs MS-SQL HiddenGh0st Malware Attacking MS-SQL Servers (lien direct)	gh0st rat est un logiciel malveillant à distance développé par l'équipe de sécurité de C. Rufus de Chine.Étant donné que son code source est accessible au public, les développeurs de logiciels malveillants l'utilisent comme référence alors qu'ils continuent de développer de nombreuses variantes qui sont encore activement utilisées dans les attaques.Bien que le code source soit public, GH0st Rat est principalement utilisé par les acteurs de la menace basés en Chine.Des cas de rat GH0Stcringe, une variante de rat GH0ST, étant distribués, des serveurs de base de données de ciblage (MS-SQL, serveurs MySQL) ont été divulgués ... Gh0st RAT is a remote control malware developed by the C. Rufus Security Team from China. Due to its source code being publicly available, malware developers use it as a reference as they continue developing numerous variants that are still actively used in attacks. Although the source code is public, Gh0st RAT is mainly used by threat actors based in China. Cases of Gh0stCringe RAT, a variant of Gh0st RAT, being distributed targeting database servers (MS-SQL, MySQL servers) were disclosed...	Malware Threat		★★
	2023-09-14 01:37:17	Téléchargeur déguisé avec le contenu de la violation des droits de propriété intellectuelle (détectés par MDS) Downloader Disguised With Contents on Violation of Intellectual Property Rights (Detected by MDS) (lien direct)	Le 28 août, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) a découvert les circonstances d'un téléchargeur en distribution déguisée avecContenu concernant la violation des droits de propriété intellectuelle, ciblant les masses non spécifiées en Corée.Le logiciel malveillant distribué comprenait un code qui détecte les environnements virtuels pour échapper aux solutions de sécurité basées sur Sandbox et était un type .NET qui télécharge le malware MainBot.À en juger par les informations de dossier collectées par AHNLAB Smart Defense (ASD) et Virustotal, il semble que la Corée et Taiwan soient les destinations cibles pour la distribution .... On August 28, AhnLab Security Emergency response Center (ASEC) discovered circumstances of a downloader in distribution disguised with contents regarding the violation of intellectual property rights, targeting unspecified masses in Korea. The distributed malware included a code that detects virtual environments to evade sandbox-based security solutions and was a .NET-type that downloads the MainBot malware. Judging from the file information collected by AhnLab Smart Defense (ASD) and VirusTotal, it seems that Korea and Taiwan were the target destinations for distribution....	Malware		★★
	2023-09-11 05:05:00	Rapport de tendance des menaces sur les ransomwares & # 8211;Juillet 2023 Threat Trend Report on Ransomware – July 2023 (lien direct)	Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en juillet 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Plus d'entreprises affectées par l'exploitation des ransomwares de Clop & # 8217;Problèmes This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in July 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) More businesses affected by CLOP ransomware’s exploitation of MOVEit zero-day vulnerability 2) Big Head ransomware disguised as an emergency Windows update 3) Detection names for ransomware disguised as Sophos file ATIP_2023_Jul_Threat Trend Report on Ransomware Statistics and Major Issues	Ransomware Vulnerability Threat Prediction		★★
	2023-09-11 05:02:48	Rapport de tendance des menaces sur les groupes APT & # 8211;Juillet 2023 Threat Trend Report on APT Groups – July 2023 (lien direct)	juillet 2023 Problèmes majeurs sur les groupes APT 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Chicheur charmant 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Eyes rouges 13) Pirates d'espace 14) Turla 15) ATIP_2023_JUL_JULAT RAPPORT D'APTER LE Rapport sur les APT July 2023 Major Issues on APT Groups 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Charming Kitten 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Red Eyes 13) Space Pirates 14) Turla 15) Unclassified ATIP_2023_Jul_Threat Trend Report on APT Groups	Threat Prediction	APT 38 APT 37 APT 37 APT 35 APT 35 APT 29 APT 29 APT 28 APT 28 APT 31	★★
	2023-09-11 05:02:13	Rapport sur la tendance du Web Deep et Dark WEB & # 8211;Juillet 2023 Deep Web and Dark Web Threat Trend Report – July 2023 (lien direct)	Ce rapport de tendance sur le Web Deep et le réseau sombre de juillet 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteur de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) Alphv (Blackcat) (2) Cactus (3) Clop (4) Monti 2) Forum & # 38;Black Market (1) La vente de Genesis Market (2) Base de données pour violation de la base de données (3) US Medical Institution & # 8217; s Base de données 3) Acteur de menace (1) ... This trend report on the deep web and dark web of July 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actor. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) ALPHV (BlackCat) (2) Cactus (3) CLOP (4) Monti 2) Forum & Black Market (1) The Sale of Genesis Market (2) BreachedForums Database on Sale (3) US Medical Institution’s Database Breached 3) Threat Actor (1)...	Ransomware Threat Prediction Medical		★★
	2023-09-11 05:01:36	Rapport de tendance des menaces sur le groupe Kimsuky & # 8211;Juillet 2023 Threat Trend Report on Kimsuky Group – July 2023 (lien direct)	Les activités de Kimsuky Group & # 8217;diversifie simultanément leurs méthodes d'attaque.De plus, il n'y avait pas de problèmes particuliers concernant les types d'applications et RandomQuery car ils sont désormais moins utilisés.Le type BabyShark qui sera décrit en détail sur ce rapport sera inclus dans les statistiques de juillet.ATIP_2023_JUL_TRÉTERAT RAPPORT DE TRENDE SUR LE GROUPE KIMSUKY The Kimsuky group’s activities in July 2023 showed that FlowerPower is gaining traction, and the group is simultaneously diversifying their attack methods. Additionally, there were no particular issues regarding AppleSeed and RandomQuery types as they are now less used. The BabyShark type to be described in detail further on this report will be included in the statistics from July thereon. ATIP_2023_Jul_Threat Trend Report on Kimsuky Group	Threat Prediction		★★
	2023-09-11 00:48:55	Blueshell utilisé dans les attaques aptes contre les cibles coréennes et thaïlandaises BlueShell Used in APT Attacks Against Korean and Thai Targets (lien direct)	Blueshell est une porte dérobée développée en Go.Il est disponible sur GitHub et prend en charge les systèmes d'exploitation Windows, Linux et Mac.Actuellement, il semble que le référentiel GitHub original ait été supprimé, mais le code source Blueshell peut être téléchargé à partir d'autres référentiels.Notamment, le fichier ReadMe contenant les directives est en chinois, ce qui suggère que le créateur peut être un orateur chinois.Il n'y a pas de nombreux cas où Blueshell est connu pour avoir été utilisé dans les attaques contrairement à Sparkrat, Silver ... BlueShell is a backdoor developed in Go. It is available on GitHub and supports Windows, Linux, and Mac operating systems. Currently, it seems the original GitHub repository has been deleted, but the BlueShell source code can be downloaded from other repositories. Notably, the ReadMe file containing the guidelines is in Chinese, and this suggests that the creator may be a Chinese speaker. There aren’t many cases where BlueShell is known to have been used in the attacks unlike SparkRAT, Silver...			★★
	2023-09-08 00:55:10	Redeyes (scarcruft) \\'s chm malware en utilisant le sujet de la version des eaux usées de Fukushima RedEyes (ScarCruft)\\'s CHM Malware Using the Topic of Fukushima Wastewater Release (lien direct)	L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB a récemment découvert que le MAC MALW, qui est le CHM, qui estsupposé avoir été créé par le groupe de menaces Redeyes, est à nouveau distribué.La distribution de logiciels malveillants CHM fonctionne de la même manière que le logiciel malveillant & # 8220; CHM déguisé en e-mail de sécurité d'une société financière coréenne & # 8221; [1] couverte en mars de cette année et utilise également les mêmes commandes utilisées dans le & #.8220; 2.3.Persistance & # 8221; [2] Étape dans le processus d'attaque des redeyes ... The AhnLab Security Emergency response Center (ASEC) analysis team has recently discovered that the CHM malware, which is assumed to have been created by the RedEyes threat group, is being distributed again. The CHM malware in distribution operates in a similar way to the “CHM Malware Disguised as Security Email from a Korean Financial Company”[1] covered in March of this year and also uses the same commands used in the “2.3. Persistence”[2] stage in the attack process of the RedEyes...	Malware Threat	APT 37	★★
	2023-09-08 00:48:28	Fichier de script de phishing Brochant les informations utilisateur via le télégramme en cours de distribution Phishing Script File Breaching User Information via Telegram Being Distributed (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment identifié les circonstances de fichiers de scripts de phishing multiples déguisés en document PDFLes écrans de la visionneuse sont distribués sous forme de pièces jointes aux e-mails.Une partie des noms de fichiers identifiés est comme ci-dessous, et des mots clés tels queLe bon de commande (PO), la commande et le reçu ont été utilisés.Nouveau ordre_20230831.html SALBO_PO_20230823.pdf.html Woonggiorder-230731.pdf.html PO_BG20231608-019ML _PURCHASE Ordre reçu de ○val Cosmetics_MSG (Email) BL_148200078498.html en ○val Order Order.html Sung ○ ○ BiOX_NEW PO.PDF.HTML Comme illustré à la figure 1 ci-dessous, une image floue ... / p> AhnLab Security Emergency response Center (ASEC) has recently identified circumstances of multiple phishing script files disguised as PDF document viewer screens being distributed as attachments to emails. A portion of the identified file names are as below, and keywords such as purchase order (PO), order, and receipt were used. New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-019.html ○○○ Pharma.pdf.html DH○_BILL_LADING_DOCUMENT_RECEIPT.html _Purchase Order Received from ○○○ Cosmetics_msg (email) BL_148200078498.html En○○○ Purchase Order.html Sung○○ BioX_New PO.pdf.html As shown in Figure 1 below, a blurred image...			★★
	2023-09-06 01:29:24	Distribution de la porte dérobée via un LNK malveillant: redeyes (Scarcruft) Distribution of Backdoor via Malicious LNK: RedEyes (ScarCruft) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a confirmé que le malware [1], qui était auparavant distribué dansLe format CHM, est maintenant distribué au format LNK.Ce logiciel malveillant exécute des scripts supplémentaires situés à une URL spécifique via le processus MSHTA.Il reçoit ensuite des commandes du serveur de la menace pour effectuer des comportements malveillants supplémentaires.L'acteur de menace a distribué le fichier LNK confirmé sur un site Web ordinaire en le téléchargeant aux côtés de logiciels malveillants dans un fichier compressé.Le LNK malveillant ... AhnLab Security Emergency response Center (ASEC) has confirmed that malware [1], which was previously distributed in CHM format, is now being distributed in LNK format. This malware executes additional scripts located at a specific URL through the mshta process. It then receives commands from the threat actor’s server to carry out additional malicious behaviors. The threat actor has been distributing the confirmed LNK file on a regular website by uploading it alongside malware within a compressed file. The malicious LNK...	Malware Threat	APT 37	★★★
	2023-09-04 02:37:05	Suivi des logiciels malveillants sans fichier distribués via des courriers de spam Tracking Fileless Malware Distributed Through Spam Mails (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert une campagne de phishing qui se propage par des e-mails de spam et exécute unFichier PE (EXE) sans créer le fichier dans le PC utilisateur.La pièce jointe malveillante dans l'extension HTA exécute finalement des souches de logiciels malveillants tels que AgentTesla, Remcos et Limerat.Ce billet de blog expliquera le flux du processus de distribution du courrier de spam au binaire final, ainsi que les techniques utilisées. & # 160;La figure 1 montre le texte principal du courrier du spam ... AhnLab Security Emergency response Center (ASEC) has discovered a phishing campaign that propagates through spam mails and executes a PE file (EXE) without creating the file into the user PC. The malware attachment in the hta extension ultimately executes malware strains such as AgentTesla, Remcos, and LimeRAT. This blog post will explain the distribution process flow from the spam mail to the final binary, as well as the techniques employed. Figure 1 shows the main text of the spam mail...	Spam Malware		★★★
	2023-08-31 07:39:23	Analyse des nouvelles activités d'attaque d'Andariel \\ Analysis of Andariel\\'s New Attack Activities (lien direct)	contenu1.Cas d'attaque antérieurs & # 8230;.1.1.Cas d'abus d'agent Innix & # 8230; & # 8230; .. 1.1.1.Variante nukesped & # 8211;Volgmer & # 8230; & # 8230; .. 1.1.2.Andardoor & # 8230; & # 8230; .. 1.1.3.1th Troy Shell inverse & # 8230;.1.2.Cas d'attaques contre les sociétés coréennes & # 8230; & # 8230; .. 1.2.1.Tigerrat & # 8230; & # 8230; .. 1.2.2.Rat noir & # 8230; & # 8230; .. 1.2.3.Variantes nues2.Cas d'attaques récentes & # 8230;.2.1.Cas d'abus d'agent Innix & # 8230; & # 8230; .. 2.1.1.GOAT RAT & # 8230;.2.2.Cas d'attaques contre les sociétés coréennes & # 8230; & # 8230; .. 2.2.1.Andarloader & # 8230; & # 8230; .. 2.2.2.DurianBeacon3.Connexions avec les cas d'attaque récents4.Connexions aux cas d'attaque antérieurs du groupe Andariel5.Conclusion Le groupe de menaces Andariel ... Contents1. Past attack cases…. 1.1. Cases of Innorix Agent abuse…….. 1.1.1. NukeSped variant – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. Cases of attacks against Korean corporations…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped variants2. Cases of recent attacks…. 2.1. Cases of Innorix Agent abuse…….. 2.1.1. Goat RAT…. 2.2. Cases of attacks against Korean corporations…….. 2.2.1. AndarLoader…….. 2.2.2. DurianBeacon3. Connections to recent attack cases4. Connections to past attack cases of the Andariel group5. Conclusion The Andariel threat group...	Threat		★★
	2023-08-24 23:52:31	Analyse des cas de proxyjacking de serveur MS-SQL Analysis of MS-SQL Server Proxyjacking Cases (lien direct)	Le centre de réponse d'urgence de sécurité (ASEC) d'AhnLab a récemment découvert des cas de proxyjacking ciblant des serveurs MS-SQL mal gérés..Les serveurs MS-SQL accessibles au public avec des mots de passe simples sont l'un des principaux vecteurs d'attaque utilisés pour cibler les systèmes Windows.En règle générale, les acteurs malveillants ciblent les serveurs MS-SQL mal gérés et tentent d'y accéder par force brute ou par dictionnaire.En cas de succès, ils installent des logiciels malveillants sur le système infecté.Les acteurs malveillants installent LoveMiner sur des serveurs MS-SQL depuis un certain temps, et leur... AhnLab Security Emergency response Center (ASEC) has recently discovered cases of proxyjacking targeting poorly managed MS-SQL servers. Publicly accessible MS-SQL servers with simple passwords are one of the main attack vectors used when targeting Windows systems. Typically, threat actors target poorly managed MS-SQL servers and attempt to gain access through brute force or dictionary attacks. If successful, they install malware on the infected system. The threat actors have been installing LoveMiner on MS-SQL servers for quite some time, and their...	Malware Threat		★★★
	2023-08-22 02:13:28	Analyse des cas d'attaque APT ciblant les services Web de sociétés coréennes Analysis of APT Attack Cases Targeting Web Services of Korean Corporations (lien direct)	Les serveurs Web sont vulnérables aux attaques car ils sont accessibles au public à un large éventail d'utilisateurs à des fins de finfournir des services Web.Cette accessibilité en fait une cible principale pour les acteurs de la menace.AHNLAB Security Emergency Response Center (ASEC) surveillait les attaques ciblant les serveurs Web vulnérables qui n'ont pas été corrigés ou mal gérés.Dans cet article, nous avons compilé les cas d'attaque APT où les serveurs Web des sociétés coréens ont été continuellement ciblés au fil des ans.Nous avons ... Web servers are vulnerable to attacks because they are publicly accessible to a wide range of users for the purpose of delivering web services. This accessibility makes them a prime target for threat actors. AhnLab Security Emergency response Center (ASEC) is monitoring attacks targeting vulnerable web servers that have not been patched or are poorly managed. In this post, we have compiled APT attack cases where the web servers of Korean corporations were continuously targeted over the years. We have...	Threat		★★★
	2023-08-16 06:46:45	Rapport de tendance des menaces sur les groupes APT & # 8211;Juin 2023 Threat Trend Report on APT Groups – June 2023 (lien direct)	Tendances du groupe APT & # 8211;Juin 2023 1) Andariel 2) APT28 3) Cadet Blizzard (Dev-0586) 4) Camaro Dragon 5) Chicheau charmant (Mint Sandstorm) 6) Gamaredon (Shuckworm) 7) Ke3Chang (Apt15, Nickel) 8) Kimsuky 9) Lazarus 10) Eau boueuse 11) Mustang Panda 12) Oceanlotus 13) Patchwork (éléphant blanc) 14) REd Eyes (APT37) 15) Sharp Panda 16) Sidecopy 17) Soldat Stealth ATIP_2023_JUN_THREAT Rapport de tendance sur les groupes APT APT Group Trends – June 2023 1) Andariel 2) APT28 3) Cadet Blizzard (DEV-0586) 4) Camaro Dragon 5) Charming Kitten (Mint Sandstorm) 6) Gamaredon (Shuckworm) 7) Ke3chang (APT15, Nickel) 8) Kimsuky 9) Lazarus 10) Muddy Water 11) Mustang Panda 12) OceanLotus 13) Patchwork (White Elephant) 14) Red Eyes (APT37) 15) Sharp Panda 16) SideCopy 17) Stealth Soldier ATIP_2023_Jun_Threat Trend Report on APT Groups	Threat Prediction	APT 38 APT 37 APT 37 APT 35 APT 35 APT 32 APT 32 APT 28 APT 28 APT 15 APT 15 APT 25	★★
	2023-08-16 06:46:19	Rapport sur la tendance des menaces Web Deep & Dark & # 8211;Juin 2023 Deep Web & Dark Web Threat Trend Report – June 2023 (lien direct)	Ce rapport de tendance sur le Web Deep et le réseau sombre de juin 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteur de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) CLOP (2) Lockbit (3) Snatch (4) groupe RA (5) groupes de ransomwares & # 8217;Recrutement affilié ADS 2) Forum & # 38;Marché noir (1) Le marché du monopole & # 8217; S'exploitant arrêté (2) Suspension des exposés pour pour les forums (3) la renaissance de BreachForums 3) Menace ... This trend report on the deep web and dark web of June 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actor. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) CLOP (2) LockBit (3) Snatch (4) RA Group (5) Ransomware Groups’ Affiliate Recruitment Ads 2) Forum & Black Market (1) Monopoly Market’s Operator Arrested (2) Suspension of ExposedForums (3) Rebirth of BreachForums 3) Threat...	Ransomware Threat Prediction		★★
	2023-08-16 06:45:59	Rapport de tendance des menaces sur Kimsuky & # 8211;Juin 2023 Threat Trend Report on Kimsuky – June 2023 (lien direct)	Les activités du groupe Kimsuk observées en juin 2023 ont montré une légère augmentation du nombre global de domaine entièrement qualifié entièrement qualifiéNoms (FQDN), avec plus de types d'applications détectés par rapport aux activités du groupe en mai.À un moment donné, la fonction de collecte d'informations a été retirée du type de fleurs, mais quelques jours plus tard, les échantillons ont été équipés de ladite fonctionnalité.De plus, le type RandomQuery a montré des tentatives pour se transformer en un nouveau système après mars 2023, mais il semble ... Activities of the Kimsuky group observed during June 2023 showed a slight increase in the overall number of fully qualified domain names (FQDNs), with more AppleSeed types detected in comparison to the group’s activities in May. At one point, the information collection feature was removed from the FlowerPower type, but a few days later, samples were equipped with the said feature again. Also, the RandomQuery type showed attempts to change into a new system after March 2023, but it seems...	Threat Prediction		★★
	2023-08-16 06:45:39	Rapport de tendance des menaces sur les ransomwares & # 8211;Juin 2023 Threat Trend Report on Ransomware – June 2023 (lien direct)	Ce rapport fournit des statistiques sur de nouveaux échantillons de ransomware, des systèmes attaqués et des entreprises ciblées en juin 2023, ainsi queEn tant que problèmes de ransomware notables en Corée et dans d'autres pays.D'autres problèmes et statistiques majeurs pour les ransomwares qui ne sont pas mentionnés dans le rapport peuvent être trouvés en recherchant les mots clés suivants ou via le menu Statistiques de la plate-forme AHNLAB Threat Intelligence (ATIP).Les statistiques des ransomwares en tapant le nombre d'échantillons de ransomware et de systèmes ciblés sont basés sur les noms de détection désignés ... This report provides statistics on new ransomware samples, attacked systems, and targeted businesses in June 2023, as well as notable ransomware issues in Korea and other countries. Other major issues and statistics for ransomware that are not mentioned in the report can be found by searching for the following keywords or via the Statistics menu at AhnLab Threat Intelligence Platform (ATIP). Ransomware Statistics by Type The number of ransomware samples and targeted systems are based on the detection names designated...	Ransomware Threat Prediction		★★
	2023-08-15 23:02:00	Hakuna Matata Ransomware ciblant les entreprises coréennes Hakuna Matata Ransomware Targeting Korean Companies (lien direct)	Récemment, Ahnlab Security Emergency Response Center (ASEC) a identifié que les ransomwares de Hakuna Matata sont utilisés pourAttaquez les entreprises coréennes.Hakuna Matata est un ransomware qui a été développé relativement récemment.Le premier rapport lié à Hakuna Matata a été identifié le 6 juillet 2023 sur Twitter.[1] Le 14 juillet 2023, un poste d'acteur de menace faisant la promotion de Hakuna Matata sur le Dark Web a également été partagé sur Twitter.[2] Aussi, des souches de ransomware téléchargées sur Virustotal, ... Recently, AhnLab Security Emergency response Center (ASEC) has identified that the Hakuna Matata ransomware is being used to attack Korean companies. Hakuna Matata is a ransomware that has been developed relatively recently. The first report related to Hakuna Matata was identified on July 6th, 2023 on Twitter. [1] On July 14th, 2023, a post of a threat actor promoting Hakuna Matata on the dark web was shared on Twitter as well. [2] Also, out of the ransomware strains uploaded on VirusTotal,...	Ransomware Threat		★★
	2023-08-10 01:00:00	Guloader Malware déguisé en factures fiscales et relevés d'expédition (détectés par les produits MDS) GuLoader Malware Disguised as Tax Invoices and Shipping Statements (Detected by MDS Products) (lien direct)	factures fiscales et relevés d'expédition.La variante Guloader récemment identifiée a été incluse dans un fichier compressé RAR (Roshal Archive Compressé).Lorsqu'un utilisateur exécute Guloader, il télécharge finalement des souches de logiciels malveillants connues telles que Remcos, AgentTesla et Vidar.Les produits MDS AHNLAB & # 8217; sont une fonction d'agent de transfert de courrier (MTA) pour bloquer les logiciels malveillants distribués par e-mail.La figure 3 ci-dessous montre la détection des logiciels malveillants Guloader ... AhnLab Security Emergency response Center (ASEC) has identified circumstances of GuLoader being distributed as attachments in emails disguised with tax invoices and shipping statements. The recently identified GuLoader variant was included in a RAR (Roshal Archive Compressed) compressed file. When a user executes GuLoader, it ultimately downloads known malware strains such as Remcos, AgentTesla, and Vidar. AhnLab’s MDS products provide a Mail Transfer Agent (MTA) feature to block malware distributed via email. Figure 3 below shows the GuLoader malware detection...	Malware		★★
	2023-08-10 00:00:00	V3 détecte et bloque l'injection de ransomware de magnéte (détection directe du système) V3 Detects and Blocks Magniber Ransomware Injection (Direct Syscall Detection) (lien direct)	Le ransomware de magnétique est systématiquement distribué à des volumes élevés.Il a été distribué par la vulnérabilité IE (Internet Explorer) pour les dernières années, mais a cessé d'exploiter la vulnérabilité après la fin du support pour le navigateur.Récemment, le ransomware est distribué avec des noms de fichiers déguisés en package de mise à jour de sécurité Windows (par exemple, error.center.security.msi) dans les navigateurs Edge et Chrome.Magnber en ce moment injecte actuellement le ransomware dans un processus en cours d'exécution, le fait que ce processus cause des dommages en cryptant les fichiers de l'utilisateur \\.Ce message ... The Magniber ransomware is consistently being distributed at high volumes. It has been distributed through the IE (Internet Explorer) vulnerability for the past few years but stopped exploiting the vulnerability after the support for the browser ended. Recently, the ransomware is distributed with filenames disguised as a Windows security update package (e.g. ERROR.Center.Security.msi) in Edge and Chrome browsers. Magniber at the moment injects the ransomware into a running process, having this process cause damage by encrypting the user\'s files. This post...	Ransomware Vulnerability		★★
	2023-08-09 23:00:00	Modifications détectées dans la distribution de logiciels malveillants CHM Changes Detected in CHM Malware Distribution (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert un type de logiciel malveillant CHM usurpant des instituts financiers coréens et une assurance coréens et une assuranceentreprises.Récemment, la méthode d'exécution de ce type de logiciel malveillant a changé chaque semaine.Ce message couvrira la façon dont les processus d'exécution modifiés des logiciels malveillants CHM sont enregistrés dans les produits EDR AHNLAB & # 8217;La figure 1 montre le diagramme de détection des produits EDR sur la méthode d'exécution des instituts financiers et des compagnies d'assurance CHM.Le diagramme de la distribution initiale ... AhnLab Security Emergency response Center (ASEC) has previously covered a CHM malware type impersonating Korean financial institutes and insurance companies. Recently, the execution method of this malware type has been changing every week. This post will cover how the changed execution processes of the CHM malware are recorded in AhnLab’s EDR products. Figure 1 shows the detection diagram in EDR products on the execution method of the CHM malware impersonating financial institutes and insurance companies. The diagram for the initial distribution...	Malware		★★
	2023-08-09 01:00:00	Malware déguisé en fichier d'installation normal d'une société de développement coréenne & # 8211;Détection EDR Malware Disguised as Normal Installation File of a Korean Development Company – EDR Detection (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert le malware généré par le fichier d'installation deUne entreprise de développement de programmes coréens.Lorsque les logiciels malveillants sont distribués aux côtés d'un fichier d'installation, les utilisateurs auront du mal à remarquer que les logiciels malveillants sont exécutés simultanément.De plus, en raison de sa caractéristique de fonctionner dans un format sans fichier en étant injecté dans un programme normal, les produits anti-malware basés sur la signature ont du mal à détecter de tels logiciels malveillants.Cependant, la détection des points de terminaison & # 38;Réponse (EDR), qui enregistre et ... AhnLab Security Emergency response Center (ASEC) has previously covered the malware that is generated by the installation file of a Korean program development company. When malware is distributed alongside an installation file, users will struggle to notice that malware is being executed concurrently. Additionally, due to its characteristic of operating in a fileless format by being injected into a normal program, signature-based anti-malware products find it difficult to detect such malware. However, Endpoint Detection & Response (EDR), which records and...	Malware		★★★
	2023-08-09 00:00:00	Distribution de logiciels malveillants déguisés en pièces de monnaie et contenu lié à l'investissement Distribution of Malware Disguised as Coin and Investment-related Content (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé la distribution des logiciels malveillants déguisés avec des échanges de pièces et des investissements-Rubriques connexes.Le malware est distribué sous la forme d'un fichier exécutable et d'un fichier Word.Sur la base du nom d'agent utilisateur utilisé dans les logiciels malveillants, il est soupçonné qu'il a été créé par le groupe Kimsuky.Les noms de fichiers confirmés sont les suivants: Date Nom de fichier 07.17 20230717_030190045911.pdf .exe 07.28 0728-we Portefeuille Retrait automatique de fonds.docx.exe (supposée) 07.28 230728 WE Équipe & # 8211;Piratage de portefeuille similitudes.docx.exe ... AhnLab Security Emergency response Center (ASEC) has recently confirmed the distribution of malware disguised with coin exchange and investment-related topics. The malware is being distributed in the form of an executable and a Word file. Based on the User-Agent name used in the malware, it is suspected that it was created by the Kimsuky group. The confirmed filenames are as follows: Date Filename 07.17 20230717_030190045911.pdf .exe 07.28 0728-WeWallet Automatic Withdrawal of Funds.docx.exe (assumed) 07.28 230728 WeTeam – Wallet Hacking Similarities.docx.exe...	Malware		★★★
	2023-08-03 00:00:00	Reptile malware ciblant les systèmes Linux Reptile Malware Targeting Linux Systems (lien direct)	Reptile est un module de noyau ouvert RootKit qui cible les systèmes Linux et est accessible au public sur GitHub.[1] Les rootkits sont des logiciels malveillants qui possèdent la capacité de cacher eux-mêmes ou d'autres logiciels malveillants.Ils ciblent principalement les fichiers, les processus et les communications réseau pour leur dissimulation.Les capacités de dissimulation des reptiles incluent non seulement son propre module de noyau, mais aussi les fichiers, les répertoires, les contenus de fichiers, les processus et le trafic réseau.Contrairement à d'autres logiciels malveillants Rootkit qui ne fournissent généralement que des capacités de dissimulation, Reptile va plus loin en offrant un revers ... Reptile is an open-source kernel module rootkit that targets Linux systems and is publicly available on GitHub. [1] Rootkits are malware that possess the capability to conceal themselves or other malware. They primarily target files, processes, and network communications for their concealment. Reptile’s concealment capabilities include not only its own kernel module but also files, directories, file contents, processes, and network traffic. Unlike other rootkit malware that typically only provide concealment capabilities, Reptile goes a step further by offering a reverse...	Malware		★★
	2023-08-01 00:00:00	Sliver C2 distribué par le biais de la société de développement de programmes coréens Sliver C2 Being Distributed Through Korean Program Development Company (lien direct)	Dans le passé, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) avait partagé le & # 8220; Sparkrat étantDistribué au sein d'un installateur VPN coréen & # 8221;[1] Post de cas et & # 8220; Analyse des cas d'attaque: des installations de VPN coréenes aux infections à meshagents & # 8221;[2] Post de cas qui couvrait le logiciel malveillant Sparkrat distribué via un installateur de services VPN coréen.L'ASEC a récemment identifié des souches de logiciels malveillants similaires distribuées tout en étant déguisées en fichiers de configuration pour les fournisseurs de services VPN coréens et les producteurs de programmes de marketing.Contrairement au passé ... In the past, AhnLab Security Emergency response Center (ASEC) had shared the “SparkRAT Being Distributed Within a Korean VPN Installer” [1] case post and the “Analysis of Attack Cases: From Korean VPN Installations to MeshAgent Infections” [2] case post which covered the SparkRAT malware being distributed through a Korean VPN service provider’s installer. ASEC has recently identified similar malware strains being distributed while being disguised as setup files for Korean VPN service providers and marketing program producers. Unlike the past...	Malware		★★
	2023-07-27 23:30:00	InfostEaler distribué via des fichiers CHM Infostealer Distributed via CHM Files (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert les souches de logiciels malveillants CHM usurpulsant les sociétés de sécurité et les établissements financiers (ASEC).Ce poste couvrira les souches de CHM récemment identifiées imitantes d'instituts financiers coréens et les compagnies d'assurance, car elles ont été jugées distribuées pour voler des informations.La distribution s'est produite le 17 (lundi), lorsque des déclarations sont régulièrement envoyées aux utilisateurs dont le calendrier de paiement aux instituts financiers tombe sur le 25 de chaque mois.Il est certainement possible pour ceux qui ont le même calendrier pour ... AhnLab Security Emergency response Center (ASEC) previously covered CHM-type malware strains impersonating security companies and financial institutes. This post will cover recently identified CHM strains impersonating Korean financial institutes and insurance companies as they were found being distributed to steal information. The distribution occurred on the 17th (Monday), when statements are regularly sent to users whose payment schedule to financial institutes falls on the 25th of each month. It is certainly possible for those who have the same schedule to...	Malware		★★
	2023-07-27 23:05:00	Le CHM se fait passer pour les instituts financiers coréens et les compagnies d'assurance CHM Impersonates Korean Financial Institutes and Insurance Companies (lien direct)	instituts financiers.Ce poste couvrira la distribution récemment identifiée des logiciels malveillants de type CHM en utilisant une méthode similaire d'identité des instituts financiers coréens et des compagnies d'assurance.Le fichier CHM est dans un format de fichier compressé (RAR).Lors de l'exécution, il affiche les écrans d'aide suivants.Ce sont tous des guides déguisés comme envoyés par les instituts financiers coréens et les compagnies d'assurance et incluent des contenus tels que & # 8220; crédit ... In March, AhnLab Security Emergency response Center (ASEC) covered a CHM-type malware impersonating security emails from financial institutes. This post will cover the recently identified distribution of CHM-type malware using a similar method of impersonating Korean financial institutes and insurance companies. The CHM file is in a compressed file (RAR) format. Upon execution, it displays the following help screens. These are all guides disguised as being sent from Korean financial institutes and insurance companies and include content such as “credit...	Malware		★★
	2023-07-24 02:00:00	PurpleFox distribué via des serveurs MS-SQL PurpleFox Being Distributed via MS-SQL Servers (lien direct)	En utilisant l'infrastructure de défense intelligente Ahnlab (TSA), AhnLab Security Response Center (ASEC) a récemment découvert le malware Purplefox installé sur des serveurs MS-SQL mal gérés.PurpleFox est un chargeur qui télécharge des logiciels malveillants supplémentaires et est connu pour installer principalement les co -miners.Une prudence particulière est avisée car le malware comprend également une fonction Rootkit pour se cacher.La méthode d'infiltration initiale du logiciel malveillant violetfox récemment identifié consiste à cibler des serveurs MS-SQL mal gérés.L'acteur de menace a exécuté PowerShell via SQLServr.exe, qui est ... Using AhnLab Smart Defense (ASD) infrastructure, AhnLab Security Emergency response Center (ASEC) has recently discovered the PurpleFox malware being installed on poorly managed MS-SQL servers. PurpleFox is a Loader that downloads additional malware and is known to mainly install CoinMiners. Particular caution is advised because the malware also includes a rootkit feature to conceal itself. The initial infiltration method of the recently identified PurpleFox malware involves targeting poorly managed MS-SQL servers. The threat actor executed PowerShell through sqlservr.exe, which is...	Malware Threat		★★
	2023-07-24 01:00:00	Groupe de menace de Lazarus attaquant les serveurs Windows à utiliser comme points de distribution de logiciels malveillants Lazarus Threat Group Attacking Windows Servers to Use as Malware Distribution Points (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert que Lazarus, un groupe de menaces considéré comme des points de distribution à l'échelle nationale, attaque leurs logiciels de Windows Internet (IIS) Services Web et les utilise comme points de distribution pour leurs logiciels malveillants.Le groupe est connu pour utiliser la technique du trou d'arrosage pour l'accès initial. & # 160; [1] Le groupe pirate d'abord les sites Web coréens et modifie le contenu fourni à partir du site.Lorsqu'un système utilisant une version vulnérable d'Inisafe Crossweb Ex V6 visite ce site via un ... AhnLab Security Emergency response Center (ASEC) has discovered that Lazarus, a threat group deemed to be nationally funded, is attacking Windows Internet Information Service (IIS) web servers and using them as distribution points for their malware. The group is known to use the watering hole technique for initial access. [1] The group first hacks Korean websites and modifies the content provided from the site. When a system using a vulnerable version of INISAFE CrossWeb EX V6 visits this website via a...	Malware Threat	APT 38	★★
	2023-07-10 23:30:00	Analyse de la porte dérobée Rekoobe utilisée dans les attaques contre les systèmes Linux en Corée Analysis of the Rekoobe Backdoor Being Used In Attacks Against Linux Systems in Korea (lien direct)	Rekoobe est une porte dérobée connue pour être utilisée par APT31, un groupe de menaces basé en Chine.Ahnlab Security Emergency Response Center (ASEC) reçoit des rapports sur les logiciels malveillants Rekoobe des locataires en Corée depuis plusieurs années et partagera par la présente sa brève analyse.De plus, les variantes de Rekoobe seront classées avec un résumé de celles utilisées pour cibler les entreprises coréennes.1. La vue d'ensemble Rekoobe est une porte dérobée qui cible les environnements Linux.Il a été découvert pour la première fois en 2015, [1] ... Rekoobe is a backdoor known to be used by APT31, a threat group based in China. AhnLab Security Emergency Response Center (ASEC) has been receiving reports of the Rekoobe malware from tenants in Korea for several years, and will hereby share its brief analysis. Additionally, the Rekoobe variants will be categorized along with a summary of the ones used to target Korean companies. 1. Overview Rekoobe is a backdoor that targets Linux environments. It was first discovered in 2015, [1]...	Malware Threat	APT 31	★★
	2023-07-10 23:00:00	Fichier par lots malveillant (* .bat) déguisé en vision de document distribué (Kimsuky) Malicious Batch File (*.bat) Disguised as a Document Viewer Being Distributed (Kimsuky) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a confirmé la distribution de malwares sous la forme d'un dossier par lots(.chauve souris).Ce malware est conçu pour télécharger divers scripts basés sur le processus anti-malware, y compris les produits AhnLab, installés dans l'environnement de l'utilisateur.Sur la base des noms de fonction utilisés par les logiciels malveillants et des paramètres URL téléchargés, il est soupçonné d'avoir été distribué par le groupe Kimsuky.Bien que le chemin de distribution exact du malware n'a pas été confirmé, il apparaît ... AhnLab Security Emergency response Center (ASEC) has confirmed the distribution of malware in the form of a batch file (.bat). This malware is designed to download various scripts based on the anti-malware process, including AhnLab products, installed in the user’s environment. Based on the function names used by the malware and the downloaded URL parameters, it is suspected to have been distributed by the Kimsuky group. Although the exact distribution path of the malware has not been confirmed, it appears...	Malware		★★★
	2023-07-07 02:33:56	Rapport sur la tendance des menaces Web Deep & Dark & # 8211;Mai 2023 Deep Web & Dark Web Threat Trend Report – May 2023 (lien direct)	Ce rapport de tendance sur le Web Deep et le Web Dark de mai 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteur de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.Ransomware & # 8211;Alphv (Blackcat) & # 8211;Akira & # 8211;Bianlian & # 8211;RA Groupe & # 8211;Royal Forum & # 38;Marché noir & # 8211;Les criminels liés à la drogue ont appréhendé les informations collectées à la suite de la fermeture du marché du monopole & # 8211;RAIDFORUMS & # 8217; s Base de données a divulgué l'acteur de menace & # 8211;... This trend report on the deep web and dark web of May 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actor. We would like to state beforehand that some of the content has yet to be confirmed to be true. Ransomware – ALPHV (BlackCat) – Akira – BianLian – RA Group – Royal Forum & Black Market – Drug-related Criminals Apprehended Through Information Collected Following the Shutdown of Monopoly Market – RaidForums’s Database Leaked Threat Actor – ...	Ransomware Threat Prediction		★★
	2023-07-07 02:33:29	Rapport de tendance des menaces sur les groupes APT & # 8211;Mai 2023 Threat Trend Report on APT Groups – May 2023 (lien direct)	Les cas de grands groupes APT pour le mai 2023 réunis à partir de documents rendus publics par des sociétés de sécurité et des institutions sont comme commesuit.& # 8211;Agrius & # 8211;Andariel & # 8211;APT28 & # 8211;APT29 & # 8211;APT-C-36 (Blind Eagle) & # 8211;Camaro Dragon & # 8211;CloudWizard & # 8211;Earth Longzhi (APT41) & # 8211;Goldenjackal & # 8211;Kimsuky & # 8211;Lazarus & # 8211;Lancefly & # 8211;Oilalpha & # 8211;Red Eyes (Apt37, Scarcruft) & # 8211;Sidecopy & # 8211;Sidewinder & # 8211;Tribu transparente (APT36) & # 8211;Volt Typhoon (Silhouette de bronze) ATIP_2023_MAY_TRADEAT Rapport sur les groupes APT_20230609 The cases of major APT groups for May 2023 gathered from materials made public by security companies and institutions are as follows. – Agrius – Andariel – APT28 – APT29 – APT-C-36 (Blind Eagle) – Camaro Dragon – CloudWizard – Earth Longzhi (APT41) – GoldenJackal – Kimsuky – Lazarus – Lancefly – OilAlpha – Red Eyes (APT37, ScarCruft) – SideCopy – SideWinder – Transparent Tribe (APT36) – Volt Typhoon (Bronze Silhouette) ATIP_2023_May_Threat Trend Report on APT Groups_20230609	Threat Prediction	APT 41 APT 38 APT 37 APT 37 APT 29 APT 29 APT 28 APT 28 APT 36 APT 36 Guam Guam APT-C-17 APT-C-17 GoldenJackal GoldenJackal APT-C-36	★★★
	2023-07-07 02:33:04	CVE TREND RAPPORT & # 8211;Mai 2023 CVE Trend Report – May 2023 (lien direct)	suite à la récente abus de vulnérabilités dans diverses distributions et attaques de logiciels malveillants, il devient de plus en plus crucial pour détecter dire ditinformations tôt.Zero-day et d'autres vulnérabilités se propagent généralement plus rapidement dans les réseaux sociaux.Sur la base des informations collectées via l'infrastructure interne, les tendances des vulnérabilités actuellement sous les projecteurs sont fournies via les services ATIP.De plus, ATIP offre des informations sur lesdites vulnérabilités & # 8217;Caractéristiques et contre-mesures grâce à des coupures de presse connexes, des notes de l'ASEC, des rapports d'analyse, des avis de sécurité, etc.Ce rapport présente ... Following the recent abuse of vulnerabilities in various malware distributions and attacks, it is becoming more crucial to detect said information early on. Zero-day and other various vulnerabilities are typically spread faster through social networks. Based on the information collected through in-house infrastructure, trends on vulnerabilities currently in the spotlight are provided through ATIP services. Additionally, ATIP offers information on said vulnerabilities’ characteristics and countermeasures through related News Clippings, ASEC Notes, analysis reports, security advisories, and more. This report introduces...	Malware Prediction		★★★
	2023-07-07 02:32:40	Rapport de tendance des menaces sur les ransomwares & # 8211;Mai 2023 Threat Trend Report on Ransomware – May 2023 (lien direct)	Ce rapport fournit des statistiques sur de nouveaux échantillons de ransomware, des systèmes attaqués et des entreprises ciblées en mai 2023, ainsi queEn tant que problèmes de ransomware notables en Corée et dans d'autres pays.D'autres problèmes et statistiques majeurs pour les ransomwares qui ne sont pas mentionnés dans le rapport peuvent être trouvés en recherchant les mots clés suivants ou via le menu Statistiques de la plate-forme AHNLAB Threat Intelligence (ATIP).& # 8211;Ransomware & # 8211;Les statistiques par type le nombre d'échantillons de ransomware et de systèmes ciblés sont basés sur la détection ... This report provides statistics on new ransomware samples, attacked systems, and targeted businesses in May 2023, as well as notable ransomware issues in Korea and other countries. Other major issues and statistics for ransomware that are not mentioned in the report can be found by searching for the following keywords or via the Statistics menu at AhnLab Threat Intelligence Platform (ATIP). – Ransomware – Statistics by Type The number of ransomware samples and targeted systems are based on the detection...	Ransomware Threat Prediction		★★
	2023-07-07 02:32:15	Rapport de tendance des menaces sur Kimsuky & # 8211;Mai 2023 Threat Trend Report on Kimsuky – May 2023 (lien direct)	Les activités du groupe Kimsuk ont augmenté légèrement par rapport à leurs activités en avril en avril.De plus, de nouveaux domaines de niveau supérieur (TLD) ont commencé à être détectés, et il y a eu de petits changements dans les codes.Figure 1. Statistiques FQDN par type d'attaque au cours des 3 derniers mois (unité: chacun) ATIP_2023_MAY_TRADEAT Rapport de tendance sur le groupe Kimsuk The Kimsuky group’s activities in May 2023 had increased slightly in comparison to their activities in April. Also, new top-level domains (TLDs) have begun to be detected, and there were small changes to the codes. Figure 1. FQDN statistics by attack type in the last 3 months (Unit: each) ATIP_2023_May_Threat Trend Report on Kimsuky Group	Threat Prediction		★★
	2023-07-06 23:15:00	Distribution du malware netsupport à l'aide de courriel Distribution of NetSupport Malware Using Email (lien direct)	netsupport rat est utilisé par divers acteurs de menace.Ceux-ci sont distribués par des e-mails de spam et des pages de phishing déguisées en documents tels que des factures, des documents d'expédition et des commandes d'achat).La distribution via des pages de phishing a été couverte sur ce blog dans le passé.[1] Ahnlab Security Emergency Response Center (ASEC) a découvert que le rat Netsupport était distribué via un e-mail de phishing de lance qui a récemment été en circulation.Ce message couvrira le flux d'action de sa distribution via des e-mails de phishing et son ... NetSupport RAT is being used by various threat actors. These are distributed through spam emails and phishing pages disguised as documents such as Invoices, shipment documents, and PO (purchase orders). Distribution via phishing pages has been covered on this Blog in the past. [1] AhnLab Security Emergency response Center(ASEC) discovered NetSupport RAT being distributed via a spear phishing email that has recently been in circulation. This post will cover the action flow from its distribution via phishing emails and its...	Spam Malware Threat		★★
	2023-07-06 23:00:00	Groupe de menaces Kimsuky explorant Chrome Remote Desktop Kimsuky Threat Group Exploting Chrome Remote Desktop (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert le groupe de menaces Kimsuky exploitant Chrome Remote Desktop.Le groupe de menaces Kimsuky utilise non seulement leurs logiciels malveillants applicables développés en privé, mais également des logiciels malveillants à distance tels que Meterpreter pour prendre le contrôle des systèmes infectés.[1] Les journaux du groupe à l'aide de VNC personnalisés ou exploitant des outils de télécommande tels que le wrapper RDP continuent également d'être détectés.[2] Ce message résumera les cas récemment identifiés d'exploitation de bureau à distance Chrome.Le kimsuky ... AhnLab Security Emergency response Center (ASEC) has recently discovered the Kimsuky threat group exploiting Chrome Remote Desktop. The Kimsuky threat group uses not only their privately developed AppleSeed malware, but also remote control malware such as Meterpreter to gain control over infected systems. [1] Logs of the group using customized VNC or exploiting remote control tools such as RDP Wrapper also continue to be detected. [2] This post will summarize recently identified cases of Chrome Remote Desktop exploitation. The Kimsuky...	Malware Threat		★★
	2023-07-03 00:00:00	Acteur de Crysis Threat Installation des ransomwares de Vénus via RDP Crysis Threat Actor Installing Venus Ransomware Through RDP (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert que l'acteur de menace de Crysyutilise également les ransomwares de Vénus dans les attaques.Crysis et Vénus sont tous deux des types de ransomwares majeurs connus pour cibler les services de bureau à distance exposés externes. & # 160; [1] Les journaux réels de l'infrastructure AHNLAB Smart Defense (ASD) montrent également des attaques en cours de lancement via RDP.Mis à part Crysis et Vénus, l'acteur de menace a également installé une variété d'autres outils tels que le scanner de port et Mimikatz.Si l'infecté ... AhnLab Security Emergency response Center (ASEC) has recently discovered that the Crysis ransomware’s threat actor is also using the Venus ransomware in the attacks. Crysis and Venus are both major ransomware types known to target externally exposed remote desktop services. [1] Actual logs from the AhnLab Smart Defense (ASD) infrastructure also show attacks being launched through RDP. Aside from Crysis and Venus, the threat actor also installed a variety of other tools such as Port Scanner and Mimikatz. If the infected...	Ransomware Threat		★★
	2023-06-29 23:00:00	Méthode d'exécution des logiciels malveillants à l'aide d'un enregistrement DNS TXT Malware Execution Method Using DNS TXT Record (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a confirmé des cas où les enregistrements DNS TXT étaient utilisés pendant l'exécutionprocessus de logiciels malveillants.Ceci est considéré comme significatif sous diverses perspectives, y compris l'analyse et la détection, car cette méthode n'a pas été largement utilisée comme moyen d'exécuter des logiciels malveillants.L'enregistrement DNS TXT est une fonctionnalité qui permet aux administrateurs de domaine de saisir du texte dans le DNS.Initialement destiné à entrer dans les notes lisibles par l'homme, l'enregistrement DNS TXT est maintenant utilisé ... AhnLab Security Emergency response Center (ASEC) has confirmed instances where DNS TXT records were being utilized during the execution process of malware. This is considered meaningful from various perspectives, including analysis and detection as this method has not been widely utilized as a means of executing malware. DNS TXT record is a feature that allows domain administrators to input text into the DNS. Originally intended for the purpose of entering human-readable notes, the DNS TXT record is now being used...	Malware		★★
	2023-06-29 00:00:00	ASEC Weekly Phishing Email Trends Threds (11 juin 2023 & # 8211; 17 juin 2023) ASEC Weekly Phishing Email Threat Trends (June 11th, 2023 – June 17th, 2023) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) surveille les menaces par e-mail avec le système d'analyse automatique ASEC (Rapit) et le pot de miel.Ce message couvrira les cas de distribution des e-mails de phishing au cours de la semaine du 11 juin 2023 au 17 juin 2023 et fournira des informations statistiques sur chaque type.Généralement, le phishing est cité comme une attaque qui fuit les utilisateurs & # 8217;Connexion des informations de connexion en déguisant ou en imitant un institut, une entreprise ou un individu grâce à des méthodes d'ingénierie sociale.Sur une note plus large, ... AhnLab Security Emergency response Center (ASEC) monitors phishing email threats with the ASEC automatic sample analysis system (RAPIT) and honeypot. This post will cover the cases of distribution of phishing emails during the week from June 11th, 2023 to June 17th, 2023 and provide statistical information on each type. Generally, phishing is cited as an attack that leaks users’ login account credentials by disguising as or impersonating an institute, company, or individual through social engineering methods. On a broader note,...	Threat		★★
	2023-06-23 01:00:00	Malware déguisé en fichier de document HWP (Kimsuk) Malware Disguised as HWP Document File (Kimsuky) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé les logiciels malveillants, qui ont été précédemment distribués en CHM et OnenoteFormats de fichiers, distribués comme exécutable.Étant donné que les mots utilisés dans les logiciels malveillants et le code de script exécuté sont similaires à ceux des codes précédemment analysés, il est soupçonné que le même groupe de menaces (Kimsuky) est également le créateur de ce logiciel malveillant.Le malware identifié est distribué comme un fichier compressé qui contient un Readme.txt avec un exécutable déguisé ... AhnLab Security Emergency response Center (ASEC) has recently confirmed malware, which was previously distributed in CHM and OneNote file formats, being distributed as an executable. Considering that the words used in the malware and the executed script code are similar to that of previously analyzed codes, it is suspected that the same threat group (Kimsuky) is also the creator of this malware. The identified malware is distributed as a compressed file which contains a readme.txt along with an executable disguised...	Malware Threat		★★★
	2023-06-21 02:00:00	Redeyes Les individus d'écoute électronique du groupe (APT37) RedEyes Group Wiretapping Individuals (APT37) (lien direct)	1.Aperçu redeyes (également connu sous le nom d'APT37, Scarcruft et Reaper) est un groupe APT parrainé par l'État qui mène principalement des attaques contre des individus tels que les transfuges nord-coréens, les militants des droits de l'homme et les professeurs d'université.Leur tâche est connue pour surveiller la vie d'individus spécifiques.En mai 2023, Ahnlab Security Emergency Response Center (ASEC) a découvert le groupe Redeyes Distribution et à l'aide d'un infostecteur avec des fonctionnalités d'écoute qui était auparavant inconnue avec une porte dérobée développée à l'aide de Golang qui exploite le ... 1. Overview RedEyes (also known as APT37, ScarCruft, and Reaper) is a state-sponsored APT group that mainly carries out attacks against individuals such as North Korean defectors, human rights activists, and university professors. Their task is known to be monitoring the lives of specific individuals. In May 2023, AhnLab Security Emergency response Center (ASEC) discovered the RedEyes group distributing and using an Infostealer with wiretapping features that was previously unknown along with a backdoor developed using GoLang that exploits the...		APT 37	★★
	2023-06-21 01:00:00	Kimsuky distribuant des logiciels malveillants CHM sous divers sujets Kimsuky Distributing CHM Malware Under Various Subjects (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a continuellement suivi les attaques approfondies de Kimsuky Group & # 8217; s..Ce message couvrira les détails confirmés au cours du dernier mois de mai.Bien que le groupe Kimsuky utilise souvent des fichiers de documents pour la distribution de logiciels malveillants, il y a eu de nombreux cas récents où des fichiers CHM ont été utilisés dans la distribution.De plus, contrairement au passé lorsque les fichiers de documents contenaient des sujets liés à la Corée du Nord, le groupe tente maintenant d'attaquer à l'aide d'une variété de sujets.(1) Cas de ... AhnLab Security Emergency response Center (ASEC) has continuously been tracking the Kimsuky group’s APT attacks. This post will cover the details confirmed during the past month of May. While the Kimsuky group often used document files for malware distribution, there have been many recent cases where CHM files were used in distribution. Also, unlike in the past when the document files contained North Korea-related topics, the group is now attempting to attack using a variety of subjects. (1) Cases of...	Malware		★★
	2023-06-21 00:00:00	Analyse des ransomwares avec extension de fichier de chauve-souris attaquant les serveurs MS-SQL (Mallox) Analysis of Ransomware With BAT File Extension Attacking MS-SQL Servers (Mallox) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert le ransomware de Mallox avec l'extension du fichier de chauve-souris distribuéaux serveurs MS-SQL mal gérés.Les extensions des fichiers distribuées aux serveurs MS-SQL mal gérés incluent non seulement EXE mais aussi BAT, qui est un format sans fichier.Les fichiers distribués avec l'extension de fichier BAT qui a été découvert jusqu'à présent sont Remcos Rat et Mallox.Les distributions comprennent des cas qui utilisent PowerShell et SQLPS.La distribution SQLPS a été couverte sur le ... AhnLab Security Emergency response Center (ASEC) has recently discovered the Mallox ransomware with the BAT file extension being distributed to poorly managed MS-SQL servers. Extensions of files distributed to poorly managed MS-SQL servers include not only EXE but also BAT, which is a fileless format. The files distributed with the BAT file extension that has been discovered so far are Remcos RAT and Mallox. The distributions include cases that use PowerShell and sqlps. The sqlps distribution was covered on the...	Ransomware		★★
	2023-06-19 23:30:00	ASEC Weekly Phishing Email Trends Threat (4 juin 2023 & # 8211; 10 juin 2023) ASEC Weekly Phishing Email Threat Trends (June 4th 2023 – June 10th, 2023) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) surveille les menaces par e-mail avec le système d'analyse automatique ASEC (Rapit) et le pot de miel.Ce message couvrira les cas de distribution des e-mails de phishing au cours de la semaine du 4 juin 2023 au 10 juin 2022 et fournira des informations statistiques sur chaque type.Généralement, le phishing est cité comme une attaque qui fuit les utilisateurs & # 8217;Connexion des informations de connexion en déguisant ou en imitant un institut, une entreprise ou un individu grâce à des méthodes d'ingénierie sociale.Sur une note plus large, ... AhnLab Security Emergency response Center (ASEC) monitors phishing email threats with the ASEC automatic sample analysis system (RAPIT) and honeypot. This post will cover the cases of distribution of phishing emails during the week from June 4th, 2023 to June 10th, 2022 and provide statistical information on each type. Generally, phishing is cited as an attack that leaks users’ login account credentials by disguising as or impersonating an institute, company, or individual through social engineering methods. On a broader note,...	Threat		★★
	2023-06-19 23:15:00	Recordbreaker InfostEaler déguisé en .NET RecordBreaker Infostealer Disguised as a .NET Installer (lien direct)	logiciels malveillants qui sont distribués déguisés en fissures évoluent.Dans le passé, les logiciels malveillants étaient simplement distribués comme l'exécutable lui-même.Cependant, il y a eu un changement progressif vers l'inclusion de fichiers normaux dans un fichier compressé.Plus récemment, il y avait un échantillon où un installateur normal a été téléchargé et exécuté.Si le malware est exécuté dans un environnement utilisateur ordinaire, le fichier de logiciel malveillant chiffré est téléchargé à partir du serveur de menace et exécuté.Le malware dans ce cas est le ... Malware that are being distributed disguised as cracks are evolving. In the past, malware was simply distributed as the executable itself. However, there was a gradual shift towards also including normal files within a compressed file. More recently, there was a sample where a normal installer was downloaded and executed. If the malware is executed in an ordinary user environment, the encrypted malware file is downloaded from the threat actor’s server and executed. The malware in this instance is the...	Malware Threat		★★
	2023-06-19 23:00:00	Tsunami DDOS malware distribué aux serveurs SSH Linux Tsunami DDoS Malware Distributed to Linux SSH Servers (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert une campagne d'attaque qui se compose du tsunami ddos bot botInstallé sur des serveurs Linux SSH sans intégration inadéqués.Non seulement l'acteur de menace a installé du tsunami, mais ils ont également installé divers autres logiciels malveillants tels que Shellbot, XMRIG Coinmin et Cleaner.Lorsque l'on regarde les cas d'attaque contre les serveurs Linux SSH mal gérés, la plupart d'entre eux impliquent l'installation de robots ou de co -miners DDOS.DDOS Bot a été couvert ici en ... AhnLab Security Emergency response Center (ASEC) has recently discovered an attack campaign that consists of the Tsunami DDoS Bot being installed on inadequately managed Linux SSH servers. Not only did the threat actor install Tsunami, but they also installed various other malware such as ShellBot, XMRig CoinMiner, and Log Cleaner. When looking at the attack cases against poorly managed Linux SSH servers, most of them involve the installation of DDoS bots or CoinMiners. DDoS bot has been covered here in...	Malware Threat		★★

Last update at: 2024-05-12 17:08:00
See our sources.

To see everything: Our RSS (filtrered)