What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-01-24 20:59:31 | Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct) | #### Description
Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités pour installer des logiciels malveillants.MIMO, également surnommé HezB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022.
L'acteur MIMO Threat a installé divers logiciels malveillants, notamment MIMUS Ransomware, Proxyware et Inverse Shell MALWWare, en plus du mimo de mineur.La majorité des attaques de l'acteur de menace de MIMO ont été des cas qui utilisent XMRIG Coinmin, mais des cas d'attaque par ransomware ont également été observés en 2023.
Le ransomware Mimus a été installé avec le malware par lots et a été fabriqué sur la base du code source révélé sur GitHub par le développeur «Mauri870» qui a développé les codes à des fins de recherche.Le ransomware a été développé en Go, et l'acteur de menace l'a utilisé pour développer des ransomwares et l'a nommé Mimus Ransomware.MIMUS Ransomware n'a pas de différences particulières par rapport au code source de Mauricrypt \\.Seule l'adresse C&C de l'acteur de menace, l'adresse du portefeuille, l'adresse e-mail et d'autres données de configuration ont été modifiées.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60440/
#### Date de publication
17 janvier 2024
#### Auteurs)
Sanseo
#### Description AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. The Mimo threat actor has installed various malware, including Mimus ransomware, proxyware, and reverse shell malware, besides the Mimo miner. The majority of the Mimo threat actor\'s attacks have been cases that use XMRig CoinMiner, but ransomware attack cases were also observed in 2023. The Mimus ransomware was installed with the Batch malware and was made based on the source code revealed on GitHub by the developer “mauri870” who developed the codes for research purposes. The ransomware was developed in Go, and the threat actor used this to develop ransomware and named it Mimus ransomware. Mimus ransomware does not have any particular differences when compared to MauriCrypt\'s source code. Only the threat actor\'s C&C address, wallet address, email address, and other configuration data were changed. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60440/ #### Publication Date January 17, 2024 #### Author(s) Sanseo |
Threat Ransomware Malware Vulnerability | ★★ | |
|
2024-01-22 20:39:42 | Livraison de logiciels malveillants de l'installateur MSIX à la hausse MSIX Installer Malware Delivery on the Rise (lien direct) |
#### Description
À partir de juillet 2023, Red Canary a commencé à enquêter sur une série d'attaques par des adversaires tirant parti des fichiers MSIX pour fournir des logiciels malveillants.MSIX est un format d'installation de packages d'applications Windows que les équipes et les développeurs informatiques utilisent de plus en plus pour fournir des applications Windows au sein des entreprises.
Les adversaires de chaque intrusion semblaient utiliser une publicité malveillante ou un empoisonnement SEO pour attirer les victimes, qui pensaient qu'ils téléchargeaient des logiciels légitimes tels que Grammarly, Microsoft Teams, Notion et Zoom.Les victimes s'étendent sur plusieurs industries, ce qui suggère que les attaques de l'adversaire sont opportunistes plutôt que ciblées.
#### URL de référence (s)
1. https://redcanary.com/blog/msix-installers/
#### Date de publication
16 janvier 2024
#### Auteurs)
Tony Lambert
#### Description Starting in July 2023, Red Canary began investigating a series of attacks by adversaries leveraging MSIX files to deliver malware. MSIX is a Windows application package installation format that IT teams and developers increasingly use to deliver Windows applications within enterprises. The adversaries in each intrusion appeared to be using malicious advertising or SEO poisoning to draw in victims, who believed that they were downloading legitimate software such as Grammarly, Microsoft Teams, Notion, and Zoom. Victims span multiple industries, suggesting that the adversary\'s attacks are opportunistic rather than targeted. #### Reference URL(s) 1. https://redcanary.com/blog/msix-installers/ #### Publication Date January 16, 2024 #### Author(s) Tony Lambert |
Threat Malware | ★★ | |
|
2024-01-19 21:05:18 | Le groupe de menaces russes Coldriver étend son ciblage des responsables occidentaux pour inclure l'utilisation de logiciels malveillants Russian Threat Group COLDRIVER Expands its Targeting of Western Officials to Include the Use of Malware (lien direct) |
#### Description
Le groupe de menaces russes Coldriver, également connu sous le nom de UNC4057, Star Blizzard et Callisto, a élargi son ciblage des responsables occidentaux pour inclure l'utilisation de logiciels malveillants.Le groupe s'est concentré sur les activités de phishing des conférences contre des personnes de haut niveau dans les ONG, les anciens officiers de renseignement et militaire et les gouvernements de l'OTAN.Coldriver a utilisé des comptes d'identité pour établir un rapport avec la cible, augmentant la probabilité du succès de la campagne de phishing \\, et finit par envoyer un lien ou un document de phishing contenant un lien.
Coldriver a été observé en envoyant des cibles des documents PDF bénins à partir de comptes d'identité, présentant ces documents comme un nouveau éditorial ou un autre type d'article que le compte d'identité cherche à publier, demandant des commentaires de la cible.Lorsque l'utilisateur ouvre le PDF bénin, le texte apparaît crypté.Si l'objectif répond qu'ils ne peuvent pas lire le document chiffré, le compte d'identité Coldriver répond par un lien, généralement hébergé sur un site de stockage cloud, à un utilitaire de «décryptage» à l'utilisation de la cible.Cet utilitaire de décryptage, tout en affichant un document de leurre, est en fait une porte dérobée, suivie en tant que SPICA, donnant à Coldriver l'accès à la machine de la victime.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/google-tag-coldriver-russian-phishing-malware/
#### Date de publication
18 janvier 2024
#### Auteurs)
Wesley Shields
#### Description Russian threat group COLDRIVER, also known as UNC4057, Star Blizzard, and Callisto, has expanded its targeting of Western officials to include the use of malware. The group has been focused on credential phishing activities against high-profile individuals in NGOs, former intelligence and military officers, and NATO governments. COLDRIVER has been using impersonation accounts to establish a rapport with the target, increasing the likelihood of the phishing campaign\'s success, and eventually sends a phishing link or document containing a link. COLDRIVER has been observed sending targets benign PDF documents from impersonation accounts, presenting these documents as a new op-ed or other type of article that the impersonation account is looking to publish, asking for feedback from the target. When the user opens the benign PDF, the text appears encrypted. If the target responds that they cannot read the encrypted document, the COLDRIVER impersonation account responds with a link, usually hosted on a cloud storage site, to a “decryption” utility for the target to use. This decryption utility, while also displaying a decoy document, is in fact a backdoor, tracked as SPICA, giving COLDRIVER access to the victim\'s machine. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/ #### Publication Date January 18, 2024 #### Author(s) Wesley Shields |
Threat Malware Cloud | ★★ | |
|
2024-01-17 21:58:17 | Avant de pointe: cibles suspectées APT Ivanti Connect Secure VPN dans une nouvelle exploitation zéro-jour |Mandiant Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation | Mandiant (lien direct) |
#### Description
Le 10 janvier 2024, Ivanti a révélé deux vulnérabilités, CVE-2023-46805 et CVE-2024-21887, impactant Ivanti Connect Secure VPN («CS», anciennement Secure Secure) et Ivanti Policy Secure («PS»).Une exploitation réussie pourrait entraîner un contournement d'authentification et une injection de commandement, entraînant un autre compromis en aval d'un réseau de victimes.Mandiant a identifié l'exploitation zéro-jour de ces vulnérabilités à l'état sauvage dès décembre 2023 par un acteur présumé de menace d'espionnage, actuellement suivi de l'UNC5221.
Mandiant partage les détails de cinq familles de logiciels malveillants associés à l'exploitation des appareils CS et PS.Ces familles permettent aux acteurs de la menace de contourner l'authentification et de fournir un accès de porte dérobée à ces appareils.
#### URL de référence (s)
1. https://www.mandiant.com/resourceS / Blog / suspecté-APT-Targets-Ivanti-Zero-Day
#### Date de publication
17 janvier 2024
#### Auteurs)
Tyler McLellan
John Wolfram
Gabby Rconcone
Matt Lin
Robert Wallace
Dimiter Andonov
#### Description On January 10, 2024, Ivanti disclosed two vulnerabilities, CVE-2023-46805 and CVE-2024-21887, impacting Ivanti Connect Secure VPN (“CS”, formerly Pulse Secure) and Ivanti Policy Secure (“PS”) appliances. Successful exploitation could result in authentication bypass and command injection, leading to further downstream compromise of a victim network. Mandiant has identified zero-day exploitation of these vulnerabilities in the wild beginning as early as December 2023 by a suspected espionage threat actor, currently being tracked as UNC5221. Mandiant is sharing details of five malware families associated with the exploitation of CS and PS devices. These families allow the threat actors to circumvent authentication and provide backdoor access to these devices. #### Reference URL(s) 1. https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day #### Publication Date January 17, 2024 #### Author(s) Tyler Mclellan John Wolfram Gabby Roncone Matt Lin Robert Wallace Dimiter Andonov |
Threat Malware Vulnerability | ★★★★ | |
|
2024-01-17 21:00:08 | Anneaux de voleur atomique dans la nouvelle année avec une version mise à jour Atomic Stealer Rings in the New Year with Updated Version (lien direct) |
#### Description
Les utilisateurs de Mac doivent être conscients d'une campagne de distribution active via des publicités malveillantes fournissant un voleur atomique.La dernière itération du malware a ajouté le chiffrement et l'obscurcissement de son code.Le malware a été distribué via des campagnes de malvertisation et des sites compromis.En janvier 2024, une campagne de malvertising a été identifiée à l'aide de publicités Google Search pour attirer les victimes via un site Web de leurre imitant Slack.Les acteurs de la menace tirent parti des modèles de suivi pour filtrer le trafic et l'ouvrir à travers quelques redirectes avant de charger la page de destination.Le fichier DMG malveillant contient des instructions pour les utilisateurs pour ouvrir le fichier ainsi qu'une fenêtre de boîte de dialogue leur demandant de saisir le mot de passe de leur système.Cela permettra au voleur atomique de collecter des mots de passe et d'autres fichiers sensibles qui sont généralement liés à l'accès.Les voleurs continuent d'être une menace supérieure pour les utilisateurs de Mac, et il est important de télécharger des logiciels à partir de sites de confiance.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/01/atomic-staleer-rings-in-the-new-year-with-updated-version
#### Date de publication
10 janvier 2024
#### Auteurs)
MalwareBytes Mende Intelligence Team
J & eacute; r & ocirc; moi segura
#### Description Mac users should be aware of an active distribution campaign via malicious ads delivering Atomic Stealer. The latest iteration of the malware added encryption and obfuscation of its code. he malware was distributed via malvertising campaigns and compromised sites. In January 2024, a malvertising campaign was identified using Google search ads to lure victims via a decoy website impersonating Slack. The threat actors are leveraging tracking templates to filter traffic and route it through a few redirects before loading the landing page. The malicious DMG file contains instructions for users to open the file as well as a dialog window asking them to enter their system password. This will allow Atomic Stealer to collect passwords and other sensitive files that are typically access-restricted. Stealers continue to be a top threat for Mac users, and it is important to download software from trusted locations. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version #### Publication Date January 10, 2024 #### Author(s) Malwarebytes Threat Intelligence Team Jérôme Segura |
Threat Malware | ★★★ | |
|
2024-01-11 21:11:04 | Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (lien direct) | #### Description
La volexité a découvert l'exploitation active dans la fenêtre de deux vulnérabilités permettant l'exécution de code distant non authentifiée dans les périphériques VPN sécurisés Ivanti Connect.Un article officiel de conseil et de base de connaissances a été publié par Ivanti qui comprend une atténuation qui devrait être appliquée immédiatement.
Les vulnérabilités permettent l'exécution de code distant non authentifiée et ont été attribuées les CVE suivants: CVE-2023-46805 et CVE-2024-21887.L'attaquant a exploité ces exploits pour voler les données de configuration, modifier les fichiers existants, télécharger des fichiers distants et inverser le tunnel à partir de l'appliance ICS VPN.
Volexity a découvert que l'attaquant plaçait des coteaux sur plusieurs serveurs Web internes et orientés externes.L'attaquant a modifié un fichier CGI légitime (compcheckResult.cgi) sur l'appliance ICS VPN pour permettre l'exécution de la commande.En outre, l'attaquant a également modifié un fichier JavaScript utilisé par le composant VPN Web SSL de l'appareil afin de Keylog et d'exfiltrat d'identification pour les utilisateurs qui s'y connectent.Volexity attribue actuellement cette activité à un acteur de menace inconnu qu'il suit en vertu de l'alias UTA0178.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways
2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-ay-vulnerabilities-in-ivanti-connect-secure-vpn/
#### Date de publication
11 janvier 2024
#### Auteurs)
Matthew Meltzer
Robert Jan Mora
Sean Koessel
Steven Adair
Thomas Lancaster
#### Description Volexity has uncovered active in-the-wild exploitation of two vulnerabilities allowing unauthenticated remote code execution in Ivanti Connect Secure VPN devices. An official security advisory and knowledge base article have been released by Ivanti that includes mitigation that should be applied immediately. The vulnerabilities allow unauthenticated remote code execution and have been assigned the following CVEs: CVE-2023-46805 and CVE-2024-21887. The attacker leveraged these exploits to steal configuration data, modify existing files, download remote files, and reverse tunnel from the ICS VPN appliance. Volexity discovered that the attacker was placing webshells on multiple internal and external-facing web servers. The attacker modified a legitimate CGI file (compcheckresult.cgi) on the ICS VPN appliance to allow command execution. Further, the attacker also modified a JavaScript file used by the Web SSL VPN component of the device in order to keylog and exfiltrate credentials for users logging into it. Volexity currently attributes this activity to an unknown threat actor it tracks under the alias UTA0178. #### Reference URL(s) 1. https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways 2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/ #### Publication Date January 11, 2024 #### Author(s) Matthew Meltzer Robert Jan Mora Sean Koessel Steven Adair Thomas Lancaster |
Threat Industrial Vulnerability | ★★★ | |
|
2024-01-08 21:44:27 | Un joueur devenu développeur de logiciels malveillants: plongée en silverrat A Gamer Turned Malware Developer: Diving Into SilverRAT (lien direct) |
#### Description
Le Silver Rat V1.0 est un cheval de Troie (RAT) à accès à distance basé sur Windows qui a été observé pour la première fois en novembre 2023. Les développeurs de Silver Rat fonctionnent sur plusieurs forums de pirate et plateformes de médias sociaux, présentant une présence active et sophistiquée.
Le rat a des capacités de contourner les anti-virus et de lancer secrètement des applications cachées, des navigateurs, des keyloggers et d'autres activités malveillantes.Lors de la génération d'une charge utile à l'aide du constructeur de Silver Rat \\, les acteurs de la menace peuvent sélectionner diverses options avec une taille de charge utile jusqu'à un maximum de 50 Ko.Une fois connecté, la victime apparaît sur le panneau Silver Rat contrôlé par l'attaquant, qui affiche les journaux de la victime en fonction des fonctionnalités choisies.L'acteur de menace peut masquer les processus sous faux titres, et la charge utile finale peut être générée dans un fichier exécutable Windows, livré par diverses méthodes d'ingénierie sociale.
#### URL de référence (s)
1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-tyrian-roots/
#### Date de publication
8 janvier 2024
#### Auteurs)
Cyfirma
#### Description The Silver RAT v1.0 is a Windows-based Remote Access Trojan (RAT) that was first observed in November 2023. The developers of Silver RAT operate on multiple hacker forums and social media platforms, showcasing an active and sophisticated presence. The RAT has capabilities to bypass anti-viruses and covertly launch hidden applications, browsers, keyloggers, and other malicious activities. While generating a payload using Silver RAT\'s builder, threat actors can select various options with a payload size up to a maximum of 50kb. Once connected, the victim appears on the attacker controlled Silver RAT panel, which displays the logs from the victim based on the functionalities chosen. The threat actor can hide processes under false headings, and the final payload can be generated in a Windows executable file, delivered through various social engineering methods. #### Reference URL(s) 1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/ #### Publication Date January 8, 2024 #### Author(s) Cyfirma |
Threat Malware | ★★★ | |
|
2024-01-05 21:14:02 | Bandook - A Persistent Threat That Keeps Evolving (lien direct) | #### Description
Bandook est un cheval de Troie à distance qui a été développé en permanence depuis 2007 et a été utilisé dans diverses campagnes par différents acteurs de menace au fil des ans.
Fortiguard Labs a identifié une nouvelle variante bandook distribuée via un fichier PDF en octobre dernier.Ce fichier PDF contient une URL raccourcie qui télécharge un fichier .7Z protégé par mot de passe.Une fois que la victime a extrait le malware avec le mot de passe dans le fichier PDF, le malware injecte sa charge utile dans MSInfo32.exe.Le composant d'injecteur décrypte la charge utile dans la table des ressources et l'injecte dans MSInfo32.exe.
Avant l'injection, une clé de registre est créée pour contrôler le comportement de la charge utile.Le nom de clé est le PID de MSInfo32.exe, et la valeur contient le code de contrôle de la charge utile.Une fois exécuté avec n'importe quel argument, Bandook crée une clé de registre contenant un autre code de contrôle qui permet à sa charge utile d'établir de la persistance, puis il injecte la charge utile dans un nouveau processus de MSInfo32.exe.La charge utile initialise les chaînes pour les noms clés des registres, drapeaux, API, etc. Après cela, il utilise le PID du MSInfo32.exe injecté pour trouver la clé de registre, puis décode et analyse la valeur clé pour effectuer la tâche spécifiée par lacode de contrôle.La variante que nous avons trouvée en octobre 2023 a deux codes de contrôle supplémentaires, mais son injecteur ne crée pas de registres pour eux.On demande à la charge utile de charger FCD.DLL, qui est téléchargé par un autre processus injecté et appelle la fonction d'initiation de FCD.DLL \\.L'autre mécanisme établit la persistance et exécute la copie de Bandook \\.Ces codes de contrôle inutilisés ont été supprimés de variantes encore plus récentes.
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/bandook-persistent-thereat-that-keeps-volving
#### Date de publication
5 janvier 2024
#### Auteurs)
Pei Han Liao
#### Description Bandook is a remote access trojan that has been continuously developed since 2007 and has been used in various campaigns by different threat actors over the years. FortiGuard Labs identified a new Bandook variant being distributed via a PDF file this past October. This PDF file contains a shortened URL that downloads a password-protected .7z file. After the victim extracts the malware with the password in the PDF file, the malware injects its payload into msinfo32.exe. The injector component decrypts the payload in the resource table and injects it into msinfo32.exe. Before the injection, a registry key is created to control the behavior of the payload. The key name is the PID of msinfo32.exe, and the value contains the control code for the payload. Once executed with any argument, Bandook creates a registry key containing another control code that enables its payload to establish persistence, and it then injects the payload into a new process of msinfo32.exe. The payload initializes strings for the key names of registries, flags, APIs, etc. After this, it uses the PID of the injected msinfo32.exe to find the registry key and then decodes and parses the key value to perform the task specified by the control code. The variant we found in October 2023 has two additional control codes, but its injector doesn\'t create registries for them. One asks the payload to load fcd.dll, which is downloaded by another injected process and calls fcd.dll\'s Init function. The other mechanism establishes persistence and executes Bandook\'s copy. These unused control codes have been removed from even newer variants. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving #### Publication Date January 5, 2024 #### Author(s) Pei Han Liao |
Threat Malware | ★★★ | |
|
2024-01-04 22:13:12 | UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) | #### Description
Le groupe de menaces UAC-0050 s'est avéré utiliser une stratégie avancée qui permet un canal de transfert de données plus clandestin, contournant efficacement les mécanismes de détection utilisés par la détection et la réponse des terminaux (EDR) et les systèmes antivirus.
L'arme de choix du groupe est Remcosrat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage.Cependant, dans leur dernière tournure opérationnelle, le groupe UAC-0050 a intégré une méthode de tuyau pour la communication interprodique, présentant leur adaptabilité avancée.Le vecteur d'attaque initial n'a pas encore été identifié, bien que des indications penchent vers le phishing ou les e-mails de spam.Le fichier LNK est chargé de lancer le téléchargement d'un fichier HTA.Dans ce fichier HTA se trouve unLe script VBS qui, lors de l'exécution, déclenche un script PowerShell.Ce script PowerShell s'efforce de télécharger un malveillantPayload (word_update.exe) à partir d'un serveur.Lors du lancement, word_update.exe exécute CMD.exe et partage des données malveillantes via un tuyau.Par conséquent, cela conduit au lancement d'Explorer.exe avec le remcosrat malveillant résidant à la mémoire d'Explorer.exe.
La version REMCOS identifiée est 4.9.2 Pro, et elle a recueilli avec succès des informations sur la victime, y compris le nom de l'ordinateur et le nom d'utilisateur.Le remcosrat supprime les cookies et les données de connexion des navigateurs suivants: Internet Explorer, Firefox et Chrome.
#### URL de référence (s)
1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method
#### Date de publication
4 janvier 2024
#### Auteurs)
Recherche de menace de monture
#### Description The UAC-0050 threat group has been found to be using an advanced strategy that allows for a more clandestine data transfer channel, effectively circumventing detection mechanisms employed by Endpoint Detection and Response (EDR) and antivirus systems. The group\'s weapon of choice is RemcosRAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal. However, in their latest operational twist, the UAC-0050 group has integrated a pipe method for interprocess communication, showcasing their advanced adaptability. The initial attack vector is yet to be pinpointed, though indications lean towards phishing or spam emails. The LNK file is responsible for initiating the download of an HTA file. Within this HTA file lies a VBS script that, upon execution, triggers a PowerShell script. This PowerShell script endeavors to download a malicious payload (word_update.exe) from a server. Upon launching, word_update.exe executes cmd.exe and shares malicious data through a pipe. Consequently, it leads to the launch of explorer.exe with the malicious RemcosRAT residing in the memory of explorer.exe. The Remcos version identified is 4.9.2 Pro, and it has successfully gathered information about the victim, including the computer name and username. RemcosRAT removes cookies and login data from the following browsers: Internet Explorer, Firefox, and Chrome. #### Reference URL(s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Publication Date January 4, 2024 #### Author(s) Uptycs Threat Research |
Threat Spam Malware | ★★ | |
|
2024-01-03 19:16:54 | APT28: de l'attaque initiale à la création de menaces à un contrôleur de domaine en une heure APT28: From Initial Attack to Creating Threats to a Domain Controller in an Hour (lien direct) |
#### Description
Entre le 15 et 25 décembre, 2023, une série de cyberattaques a été identifiée impliquant la distribution des e-mails contenant des liens vers des «documents» présumés parmi les organisations gouvernementales.
Cliquer sur ces liens a entraîné une infection des logiciels malveillants.L'enquête a révélé que les liens ont redirigé les victimes vers un site Web où un téléchargement basé sur JavaScript a lancé un fichier de raccourci.L'ouverture de ce fichier a déclenché une commande PowerShell pour télécharger et exécuter un document de leurre, un interprète Python et un fichier Masepie classifié nommé client.py.Par la suite, divers outils, notamment OpenSSH, Steelhook PowerShell Scripts et la porte dérobée OceanMap ont été téléchargés, avec des outils supplémentaires comme Impacket et SMBEXEC créés pour la reconnaissance du réseau et le mouvement latéral.Les tactiques globales, les techniques et les outils utilisés ont indiqué le groupe APT28.Notamment, la stratégie d'attaque a indiqué un plan plus large pour compromettre l'ensemble du système d'information et de communication de l'organisation, mettant l'accent sur la menace potentielle pour l'ensemble du réseau.Des attaques similaires ont également été signalées contre des organisations polonaises.
#### URL de référence (s)
1. https://cert.gov.ua/article/6276894
#### Date de publication
3 janvier 2024
#### Auteurs)
Certificat
#### Description Between December 15-25, 2023, a series of cyberattacks were identified involving the distribution of emails containing links to purported "documents" among government organizations. Clicking on these links resulted in malware infecting computers. Investigation revealed that the links redirected victims to a website where a JavaScript-based download initiated a shortcut file. Opening this file triggered a PowerShell command to download and execute a decoy document, a Python interpreter, and a classified MASEPIE file named Client.py. Subsequently, various tools including OPENSSH, STEELHOOK PowerShell scripts, and the OCEANMAP backdoor were downloaded, with additional tools like IMPACKET and SMBEXEC created for network reconnaissance and lateral movement. The overall tactics, techniques, and tools used pointed to the APT28 group. Notably, the attack strategy indicated a broader plan to compromise the entire organization\'s information and communication system, emphasizing the potential threat to the entire network. Similar attacks were also reported against Polish organizations. #### Reference URL(s) 1. https://cert.gov.ua/article/6276894 #### Publication Date January 3, 2024 #### Author(s) CERT-UA |
Threat Malware Tool | APT 28 | ★★★★ |
|
2023-12-28 19:18:50 | Trend Analysis on Kimsuky Group\'s Attacks Using AppleSeed (lien direct) | #### Description
Le groupe de menaces Kimsuky, connu pour être soutenu par la Corée du Nord, est actif depuis 2013. Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs académiques.
Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.Alors que le groupe Kimsuky utilise généralement des attaques de phishing de lance pour un accès initial, la plupart de leurs attaques récentes impliquent l'utilisation de logiciels malveillants de type raccourci au format de fichier LNK.Bien que les logiciels malveillants LNK constituent une grande partie des attaques récentes, des cas utilisant des javascripts ou des documents malveillants continuent d'être détectés.Ces cas d'attaque qui utilisent des logiciels malveillants de type JavaScript impliquent généralement la distribution d'applications.En plus de JavaScript, des logiciels malwares de macro Excel sont également utilisés pour installer Appleseed.Appleseed est une porte dérobée qui peut recevoir les commandes de la menace acteur \\ du serveur C&C et exécuter les commandes reçues.L'acteur de menace peut utiliser Appleseed pour contrôler le système infecté.Il propose également des fonctionnalités telles qu'un téléchargeur qui installe des logiciels malveillants supplémentaires, Keylogging et prenant des captures d'écran, et en volant des informations en collectant des fichiers dans le système utilisateur et en les envoyant.Alphaseed est un logiciel malveillant développé dans Golang et prend en charge des fonctionnalités similaires à Appleseed telles que l'exécution des commandes et l'infostoritration.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60054/
#### Date de publication
27 décembre 2023
#### Auteurs)
Sanseo
#### Description The Kimsuky threat group, known to be supported by North Korea, has been active since 2013. The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. While the Kimsuky group typically uses spear phishing attacks for initial access, most of their recent attacks involve the use of shortcut-type malware in LNK file format. Although LNK malware comprise a large part of recent attacks, cases using JavaScripts or malicious documents are continuing to be detected. Such attack cases that use JavaScript-type malware usually involve the distribution of AppleSeed. In addition to JavaScript, Excel macro malware are also used to install AppleSeed. AppleSeed is a backdoor that can receive the threat actor\'s commands from the C&C server and execute the received commands. The threat actor can use AppleSeed to control the infected system. It also offers features such as a downloader that installs additional malware, keylogging and taking screenshots, and stealing information by collecting files from the user system and sending them. AlphaSeed is a malware developed in Golang and supports similar features to AppleSeed such as command execution and infostealing. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60054/ #### Publication Date December 27, 2023 #### Author(s) Sanseo |
Threat Malware Prediction | APT 43 | ★★★ |
|
2023-12-26 20:55:57 | Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices (lien direct) | #### Description
L'équipe de recherche mobile McAfee a découvert une porte arrière Android nommée Android / Xamalicious qui est implémentée avec Xamarin, un cadre open source qui permet de créer des applications Android et iOS avec .NET et C #.
Le malware essaie d'obtenir des privilèges d'accessibilité avec l'ingénierie sociale, puis communique avec le serveur de commandement et de contrôle pour évaluer s'il faut télécharger ou non une charge utile de deuxième étape qui \\ est injectée dynamiquement en tant que DLL d'assemblage au niveau de l'exécution pour prendre pleinementContrôle de l'appareil et potentiellement effectuer des actions frauduleuses telles que cliquer sur les annonces, installer des applications parmi d'autres actions motivées financièrement sans consentement des utilisateurs.La charge utile de la deuxième étape peut prendre le contrôle total de l'appareil infecté en raison des puissants services d'accessibilité qui ont déjà été accordés au cours de la première étape qui contient également des fonctions pour s'auto-mettre à jour le principal APK, ce qui signifie qu'il a le potentiel d'effectuer tout type d'activitécomme un logiciel espion ou un troyen bancaire sans interaction utilisateur.Les auteurs malveillants ont également implémenté différentes techniques d'obscurcissement et cryptage personnalisé pour exfiltrer les données et communiquer avec le serveur de commande et de contrôle.
Le malware a été distribué sur environ 25 applications malveillantes différentes qui portent cette menace.Certaines variantes sont distribuées sur Google Play depuis la mi-2020.Les applications identifiées dans ce rapport ont été supprimées de manière proactive par Google de Google Play avant les rapports.Sur la base du nombre d'installations, ces applications peuvent avoir compromis au moins 327 000 appareils de Google Play plus les installations provenant de marchés tiers qui produisent continuellement de nouvelles infections en fonction de la télémétrie de détection des clients McAfee du monde entier.Le malware est motivé financièrement et entraîne la fraude publicitaire.
#### URL de référence (s)
1. https://www.mcafee.com/blogs/other-logs/mcafee-nabs/stealth-backdoor-android-xamalicious-activetive-infecting-devices/
#### Date de publication
22 décembre 2023
#### Auteurs)
McAfee Labs
#### Description The McAfee Mobile Research Team has discovered an Android backdoor named Android/Xamalicious that is implemented with Xamarin, an open-source framework that allows building Android and iOS apps with .NET and C#. The malware tries to gain accessibility privileges with social engineering and then communicates with the command-and-control server to evaluate whether or not to download a second-stage payload that\'s dynamically injected as an assembly DLL at runtime level to take full control of the device and potentially perform fraudulent actions such as clicking on ads, installing apps among other actions financially motivated without user consent. The second stage payload can take full control of the infected device due to the powerful accessibility services that were already granted during the first stage which also contains functions to self-update the main APK which means that it has the potential to perform any type of activity like a spyware or banking trojan without user interaction. The malware authors also implemented different obfuscation techniques and custom encryption to exfiltrate data and communicate with the command-and-control server. The malware has been distributed through about 25 different malicious apps that carry this threat. Some variants have been distributed on Google Play since mid-2020. The apps identified in this report were proactively removed by Google from Google Play ahead of the reporting. Based on the number of installations these apps may have compromised at least 327,000 devices from Google Play plus the installations coming from thir |
Threat Malware Mobile | ★★★ | |
|
2023-12-22 21:21:54 | Nouvelles campagnes de malvertisation métassières New MetaStealer Malvertising Campaigns (lien direct) |
#### Description
Une nouvelle campagne de malvertising a été observée distribuant le malware du métaste.MetaStealer est un malware populaire qui a été vu pour la première fois en 2022 et a depuis été exploité par divers acteurs de menace.Le logiciel malveillant est principalement distribué via le logiciel Malspam et Cracked via des comptes YouTube volés.Cependant, il a également été vu dans une campagne de malvertising début décembre.La récente campagne a été observée en distribution de métastealer via deux annonces différentes pour Notepad ++ et AnyDesk via Google Recherches.La charge utile contenait un raccourci de lancement de PowerShell qui a utilisé un chemin à code dur vers le dossier de téléchargements.
La campagne de décembre s'est débarrassée du PowerShell et la DLL malveillante a été recompilée.Les développeurs de Metastealer améliorent leur produit et nous verrons probablement plus de leurs clients la distribution.Les voleurs peuvent servir plusieurs fins mais ont tendance à tourner autour des articles que les criminels peuvent facilement monétiser.Les portefeuilles cryptographiques sont généralement assez convoités, mais il en va de même pour divers services en ligne.Les voleurs peuvent également être utilisés par les courtiers d'accès initiaux, en ouvrant le chemin des acteurs de ransomwares.Les publicités malveillantes ont été signalées à Google et l'infrastructure derrière ces campagnes a été bloquée.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/new-metastealer-malvertising-campaignes
#### Date de publication
19 décembre 2023
#### Auteurs)
MalwareBytes Mende Intelligence Team
#### Description A new malvertising campaign has been observed distributing the MetaStealer malware. MetaStealer is a popular piece of malware that was first seen in 2022 and has since been leveraged by various threat actors. The malware is primarily distributed via malspam and cracked software via stolen YouTube accounts. However, it was also seen in a malvertising campaign in early December. The recent campaign was observed distributing MetaStealer via two different ads for Notepad++ and AnyDesk via Google searches. The payload contained a shortcut launching PowerShell that used a hardcoded path to the Downloads folder. The December campaign got rid of the PowerShell and the malicious DLL was recompiled. The developers of MetaStealer are improving their product, and we are likely to see more of their customers distributing it. Stealers can serve multiple purposes but tend to revolve around items that criminals can easily monetize. Crypto wallets are usually quite coveted, but so are credentials for various online services. Stealers can also be used by initial access brokers, paving the path for ransomware actors. The malicious ads have been reported to Google, and the infrastructure behind these campaigns has been blocked. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns #### Publication Date December 19, 2023 #### Author(s) Malwarebytes Threat Intelligence Team |
Threat Ransomware Malware | ★★★ | |
|
2023-12-21 21:09:57 | Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct) | #### Description
AHNLAB Security Emergency Response Center (ASEC) a signalé que la vulnérabilité d'Apache ActiveMQ (CVE-2023-46604) est exploitée par divers acteurs de menace.La vulnérabilité est une vulnérabilité d'exécution de code distant dans le serveur de modèle de messagerie et d'intégration open source apache activemq.
L'attaque de vulnérabilité consiste à manipuler un type de classe sérialisé dans le protocole OpenWire pour instancier la classe dans le chemin de classe.Lorsque l'acteur de menace transmet un paquet manipulé, le serveur vulnérable fait référence au chemin (URL) contenu dans le paquet pour charger le fichier de configuration XML pour la classe.Les logiciels malveillants utilisés dans les attaques comprennent Ladon, Netcat, AnyDesk et Z0min.Ladon est l'un des outils principalement utilisés par les acteurs de la menace chinoise.NetCAT est un utilitaire pour transmettre des données à et depuis certaines cibles dans un réseau connecté par le protocole TCP / UDP.AnyDesk, Netsupport et Chrome Remote Desktop ont récemment été utilisés pour contourner les produits de sécurité.Z0miner a été signalé pour la première fois en 2020 par l'équipe de sécurité de Tencent et a été distribué via des attaques exploitant les vulnérabilités d'exécution du code distant Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).
#### URL de référence (s)
1. https://asec.ahnlab.com/en/59904/
#### Date de publication
18 décembre 2023
#### Auteurs)
Sanseo
#### Description AhnLab Security Emergency Response Center (ASEC) has reported that the Apache ActiveMQ vulnerability (CVE-2023-46604) is being exploited by various threat actors. The vulnerability is a remote code execution vulnerability in the open-source messaging and integration pattern server Apache ActiveMQ. The vulnerability attack involves manipulating a serialized class type in the OpenWire protocol to instantiate the class in classpath. When the threat actor transmits a manipulated packet, the vulnerable server references the path (URL) contained in the packet to load the XML configuration file for the class. The malware used in the attacks includes Ladon, NetCat, AnyDesk, and z0Miner. Ladon is one of the tools that are mainly used by Chinese-speaking threat actors. Netcat is a utility for transmitting data to and from certain targets in a network connected by TCP/UDP protocol. AnyDesk, NetSupport, and Chrome Remote Desktop have recently been used for bypassing security products. z0Miner was first reported in 2020 by the Tencent Security Team and was distributed via attacks exploiting the Oracle Weblogic remote code execution vulnerabilities (CVE-2020-14882/CVE-2020-14883). #### Reference URL(s) 1. https://asec.ahnlab.com/en/59904/ #### Publication Date December 18, 2023 #### Author(s) Sanseo |
Threat Malware Tool Vulnerability | ★★★ | |
|
2023-12-21 20:49:26 | Pikabot distribué via des annonces de recherche malveillante PikaBot Distributed via Malicious Search Ads (lien direct) |
#### Description
Pikabot était auparavant distribué via des campagnes de Malspam et est devenu l'une des charges utiles préférées d'un acteur de menace connu sous le nom de TA577.La campagne cible Google recherche l'application distante AnyDesk.Les acteurs de la menace contournent les vérifications de sécurité de Google \\ avec une URL de suivi via une plate-forme marketing légitime pour rediriger vers leur domaine personnalisé derrière CloudFlare.À ce stade, seules les adresses IP propres sont transmises à l'étape suivante.Ils effectuent des empreintes digitales via JavaScript pour déterminer, entre autres, si l'utilisateur exécute une machine virtuelle.Ce n'est qu'après le chèque qui réussit que nous voyons une redirection vers la page de destination principale (site de leurre AnyDesk).Le malware est distribué via un installateur MSI signé numériquement.Cependant, l'aspect le plus intéressant est de savoir comment il échappe à la détection lors de l'exécution.Le module de base du malware \\ est ensuite injecté dans le processus SearchProtoColhost.exe légitime.Le chargeur de Pikabot \\ cache également son injection en utilisant des systèmes de système indirects, ce qui rend le malware très furtif.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/pikabot-stribed-via-malicious-ads
#### Date de publication
15 décembre 2023
#### Auteurs)
#### Description PikaBot was previously distributed via malspam campaigns and emerged as one of the preferred payloads for a threat actor known as TA577. The campaign targets Google searches for the remote application AnyDesk. The threat actors are bypassing Google\'s security checks with a tracking URL via a legitimate marketing platform to redirect to their custom domain behind Cloudflare. At this point, only clean IP addresses are forwarded to the next step. They perform fingerprinting via JavaScript to determine, among other things, if the user is running a virtual machine. Only after the check is successful do we see a redirect to the main landing page (decoy AnyDesk site). The malware is distributed via a digitally signed MSI installer. However, the more interesting aspect is how it evades detection upon execution. The malware\'s core module is then injected into the legitimate SearchProtocolHost.exe process. PikaBot\'s loader also hides its injection by using indirect syscalls, making the malware very stealthy. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads #### Publication Date December 15, 2023 #### Author(s) |
Threat Malware | ★★ | |
|
2023-12-20 21:21:37 | Russian Foreign Intelligence Service (SVR) exploitant JetBrains TeamCity Cve dans le monde entier Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally (lien direct) |
#### Description
Russian Foreign Intelligence Service (SVR) Cyber Actors - également connu sous le nom de menace persistante avancée 29 (APT 29), The Dukes, Cozybear et Nobelium / Midnight Blizzard-est exploitant CVE-2023-42793 à grande échelle, ciblant les serveurs hébergeant JetBrains TeamCityLogiciel depuis septembre 2023.
Les développeurs de logiciels utilisent TeamCity Software pour gérer et automatiser la compilation de logiciels, la construction, les tests et la libération.S'il est compromis, l'accès à un serveur TeamCity offrirait aux acteurs malveillants un accès au code source de ce développeur de logiciels, à la signature des certificats et à la possibilité de sous-publier des processus de compilation et de déploiement des logiciels - Accéder à un acteur malveillant pourrait utiliser davantage pour effectuer une chaîne d'approvisionnementopérations.Bien que le SVR ait utilisé un tel accès pour compromettre Solarwinds et ses clients en 2020, un nombre limité et des types de victimes apparemment opportunistes actuellement identifiés, indiquent que le SVR n'a pas utilisé l'accès accordé par TeamCity CVE d'une manière similaire.Le SVR a cependant été observé en utilisant l'accès initial glané en exploitant le CVE de TeamCity pour augmenter ses privilèges, se déplacer latéralement, déployer des délais supplémentaires et prendre d'autres mesures pour garantir un accès persistant et à long terme aux environnements réseau compromis.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
#### Date de publication
12 décembre 2023
#### Auteurs)
Cisa
#### Description Russian Foreign Intelligence Service (SVR) cyber actors-also known as Advanced Persistent Threat 29 (APT 29), the Dukes, CozyBear, and NOBELIUM/Midnight Blizzard-are exploiting CVE-2023-42793 at a large scale, targeting servers hosting JetBrains TeamCity software since September 2023. Software developers use TeamCity software to manage and automate software compilation, building, testing, and releasing. If compromised, access to a TeamCity server would provide malicious actors with access to that software developer\'s source code, signing certificates, and the ability to subvert software compilation and deployment processes-access a malicious actor could further use to conduct supply chain operations. Although the SVR used such access to compromise SolarWinds and its customers in 2020, limited number and seemingly opportunistic types of victims currently identified, indicate that the SVR has not used the access afforded by the TeamCity CVE in a similar manner. The SVR has, however, been observed using the initial access gleaned by exploiting the TeamCity CVE to escalate its privileges, move laterally, deploy additional backdoors, and take other steps to ensure persistent and long-term access to the compromised network environments. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a #### Publication Date December 12, 2023 #### Author(s) CISA |
Threat | APT 29 | ★★★ |
|
2023-12-19 20:47:10 | #Hundredprees: Plain #StopRansomware: Play Ransomware (lien direct) |
#### Description
Depuis juin 2022, la pièce (également connue sous le nom de PlayCrypt) Ransomware Group a eu un impact sur un large éventail d'entreprises et d'infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe.En octobre 2023, le FBI était au courant d'environ 300 entités touchées qui auraient été exploitées par les acteurs du ransomware.
En Australie, le premier incident de ransomware de jeu a été observé en avril 2023, et plus récemment en novembre 2023.
Le groupe Ransomware est présumé être un groupe fermé, conçu pour «garantir le secret des offres», selon une déclaration du site Web de fuite de données du groupe \\.Les acteurs de ransomwares de jeu utilisent un modèle à double expression, chiffrant les systèmes après exfiltration de données.Les billets de rançon n'incluent pas une première demande de rançon ou des instructions de paiement, les victimes sont plutôt invitées à contacter les acteurs de la menace par e-mail.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a
#### Date de publication
11 décembre 2023
#### Auteurs)
Cisa
#### Description Since June 2022, the Play (also known as Playcrypt) ransomware group has impacted a wide range of businesses and critical infrastructure in North America, South America, and Europe. As of October 2023, the FBI was aware of approximately 300 affected entities allegedly exploited by the ransomware actors. In Australia, the first Play ransomware incident was observed in April 2023, and most recently in November 2023. The Play ransomware group is presumed to be a closed group, designed to “guarantee the secrecy of deals,” according to a statement on the group\'s data leak website. Play ransomware actors employ a double-extortion model, encrypting systems after exfiltrating data. Ransom notes do not include an initial ransom demand or payment instructions, rather, victims are instructed to contact the threat actors via email. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a #### Publication Date December 11, 2023 #### Author(s) CISA |
Threat Ransomware | ★★ | |
|
2023-12-15 21:35:08 | Ace dans le trou: exposer Gambleforce Ace in the Hole: Exposing GambleForce (lien direct) |
#### Description
Septembre 2023, la société de cybersécurité Group-IB a découvert Gambleforce, un acteur de menace inconnu spécialisé dans les attaques d'injection SQL dans la région Asie-Pacifique.Gambleforce a ciblé plus de 20 sites Web (gouvernement, jeu, vente au détail et voyages) en Australie, en Chine, en Indonésie, aux Philippines, en Inde, en Corée du Sud, en Thaïlande et au Brésil.
Le groupe a utilisé un ensemble d'outils avec des méthodes d'attaque de base mais efficaces, conduisant à des préoccupations d'une activité supplémentaire même après que le groupe-IB a enlevé son serveur de commande et de contrôle.L'ensemble du jeu d'outils était basé sur des instruments open source accessibles au public utilisés à des fins de pentisting.Après avoir examiné le jeu d'outils plus en détail, il est devenu clair que les outils étaient très probablement associés à un acteur de menace exécutant l'une des plus anciennes méthodes d'attaque: les injections de SQL.Les attaquants ont obtenu un accès initial à l'aide de SQLMAP, puis ont procédé à la téléchargement de la grève de Cobalt sur des serveurs compromis.Notamment, la version de Cobalt Strike a découvert sur le serveur du gang \\ a utilisé des commandes en chinois, mais ce fait seul n'est pas suffisant pour attribuer l'origine du groupe.
#### URL de référence (s)
1. https://www.group-ib.com/blog/gambleforce-gang/
#### Date de publication
15 décembre 2023
#### Auteurs)
Nikita Rostovcev
#### Description September 2023, cybersecurity firm Group-IB uncovered GambleForce, a previously unknown threat actor specializing in SQL injection attacks across the Asia-Pacific region. GambleForce has targeted more than 20 websites (government, gambling, retail, and travel) in Australia, China, Indonesia, the Philippines, India, South Korea, Thailand, and Brazil. The group employed a toolset with basic but effective attack methods, leading to concerns of further activity even after Group-IB took down their command and control server. The entire toolset was based on publicly available open-source instruments used for pentesting purposes. After examining the toolset in more detail, it became clear that the tools were most likely associated with a threat actor executing one of the oldest attack methods: SQL injections. The attackers gained initial access using SQLmap, then proceeded to upload Cobalt Strike on compromised servers. Notably, the version of Cobalt Strike discovered on the gang\'s server used commands in Chinese, but this fact alone is not enough to attribute the group\'s origin. #### Reference URL(s) 1. https://www.group-ib.com/blog/gambleforce-gang/ #### Publication Date December 15, 2023 #### Author(s) Nikita Rostovcev |
Threat Tool | ★★★ | |
|
2023-12-14 21:32:32 | Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) | #### Description
Depuis octobre 2023, TA4557 cible les recruteurs avec des e-mails directs qui mènent à la livraison de logiciels malveillants.Les courriels initiaux sont bénins et expriment leur intérêt pour un rôle ouvert.Si la cible répond, la chaîne d'attaque commence.
TA4557 a utilisé à la fois la nouvelle méthode d'envoyer des courriels recruteurs ainsi que l'ancienne technique de postulation à des emplois publiés sur des services d'emploi publics pour commencer la chaîne d'attaque.Une fois que le destinataire a répondu à l'e-mail initial, l'acteur a été observé en répondant avec une URL liant à un site Web contrôlé par l'acteur se faisant passer pour un curriculum vitae candidat.Si les victimes potentielles visitent le «site Web personnel» comme indiqué par l'acteur de menace, la page imite un curriculum vitae d'un candidat ou un chantier pour le candidat (TA4557) postule pour un rôle affiché.Le site Web utilise le filtrage pour déterminer s'il faut diriger l'utilisateur vers l'étape suivante de la chaîne d'attaque.Si la victime potentielle ne passe pas les vérifications de filtrage, elle est dirigée vers une page contenant un curriculum vitae en texte brut.Alternativement, s'ils passent les chèques de filtrage, ils sont dirigés vers le site Web des candidats.
Le site Web des candidats utilise un captcha qui, s'il est terminé, lancera le téléchargement d'un fichier zip contenant un fichier de raccourci (LNK).Le LNK, s'il est exécuté, abuse des fonctions logicielles légitimes dans "ie4uinit.exe" pour télécharger et exécuter un script à partir d'un emplacement stocké dans le fichier "ie4uinit.inf".Cette technique est communément appelée «vivre de la terre» (LOTL).Le scriptlet déchiffre et laisse tomber une DLL dans le dossier% AppData% \ Microsoft.Ensuite, il tente de créer un nouveau processus RegSRV32 pour exécuter la DLL à l'aide de Windows Management Instrumentation (WMI) et, si cela échoue, essaie une approche alternative à l'aide de la méthode de run d'objet ActiveX.La DLL utilise des techniques de sous-sanche et d'anti-analyse.Il intègre une boucle spécifiquement conçue pour récupérer la clé RC4 nécessaire pour déchiffrer la porte dérobée More_Eggs.Cette boucle est stratégiquement conçue pour prolonger son temps d'exécution, améliorant ses capacités d'évasion dans un environnement de bac à sable.En outre, la DLL utilise plusieurs vérifications pour déterminer si elle est actuellement en cours de débogage, en utilisant la fonction NTQueryInformationProcess.La DLL laisse tomber la porte dérobée More_Eggs avec l'exécutable MSXSL.Par la suite, il initie la création du processus MSXSL à l'aide du service WMI.
#### URL de référence (s)
1. https://www.proofpoint.com/us/blog/thereat-insight/security-brieF-TA4557-Targets-recruteurs
#### Date de publication
14 décembre 2023
#### Auteurs)
Kelsey Merriman
Selena Larson
Xavier Chambrier
#### Description Since October 2023, TA4557 has been targeting recruiters with direct emails that lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pa |
Threat Malware | ★★ | |
|
2023-12-12 15:21:32 | Dévoiler «Vetta Loader»: un chargeur personnalisé frappant l'Italie et se propage dans les disques USB infectés Unveiling “Vetta Loader”: A Custom Loader Hitting Italy and Spread Through Infected USB Drives (lien direct) |
#### Description
Dans une récente enquête menée par l'équipe malveillante du malware de Yoroi \\, une menace persistante affectant plusieurs sociétés italiennes, principalement dans les secteurs de l'industrie, de la fabrication et de l'impression numérique, a été dévoilé.Le modus operandi de cette menace implique l'utilisation de disques USB infectés, exploitant la forte dépendance à l'égard des rédrivits pour le partage de données au sein de ces secteurs.
Le logiciel malveillant identifié, nommé "Vetta Loader", utilise les services vidéo publics comme un conduit pour fournir sa charge utile malveillante.Le rapport suggère un niveau de confiance moyen-élevé que l'acteur de menace derrière cette campagne est italien.Notamment, la recherche a révélé quatre variantes distinctes du chargeur Vetta, chacune codée dans différents langages de programmation-nodejs, Golang, Python et .NET - tout en partageant une approche commune de la communication avec les serveurs de commande et de contrôle et les téléchargements de stade ultérieurs.
#### URL de référence (s)
1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-harthrough-Enfini-usb-drives /
#### Date de publication
6 décembre 2023
#### Auteurs)
Luigi Marre
Carmelo ragusa
Giovanni pirozzi
Marco Giorgi
#### Description In a recent investigation conducted by Yoroi\'s malware ZLab team, a persistent threat affecting several Italian companies, primarily in industrial, manufacturing, and digital printing sectors, has been unveiled. The modus operandi of this threat involves the utilization of infected USB drives, exploiting the heavy reliance on pen-drives for data sharing within these sectors. The identified malware, named "Vetta Loader," employs public video services as a conduit for delivering its malicious payload. The report suggests a medium-high confidence level that the threat actor behind this campaign is Italian-speaking. Notably, the research uncovered four distinct variants of the Vetta Loader, each coded in different programming languages-NodeJS, Golang, Python, and .NET-while sharing a common approach to communication with command and control servers and subsequent stage downloads. #### Reference URL(s) 1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-through-infected-usb-drives/ #### Publication Date December 6, 2023 #### Author(s) Luigi Martire Carmelo Ragusa Giovanni Pirozzi Marco Giorgi |
Threat Malware Industrial | ★★★ | |
|
2023-12-07 20:52:27 | Nouveau chargeur Bluenoroff pour macOS New BlueNoroff Loader for MacOS (lien direct) |
#### Description
Les chercheurs de Kaspersky ont découvert une nouvelle variété de chargeurs malveillants qui ciblent MacOS, qui serait lié au gang Bluenoroff Apt et à sa campagne en cours appelée RustBucket.L'acteur de menace est connu pour attaquer les organisations financières, en particulier les entreprises dont l'activité est en quelque sorte liée à la crypto-monnaie, ainsi qu'aux personnes qui détiennent des actifs cryptographiques ou s'intéressent au sujet.
La nouvelle variété a été trouvée à l'intérieur d'une archive zip qui contenait un fichier PDF nommé «Crypto-Assets et leurs risques pour la stabilité financière», avec une miniature qui montrait une page de titre correspondante.Les métadonnées conservées à l'intérieur des archives zip suggèrent que l'application a été créée le 21 octobre 2023. Les cybercriminels pourraient l'avoir envoyé par e-mail aux cibles comme ils l'ont fait avec les campagnes passées.L'application avait une signature valide lors de sa découverte, mais le certificat a depuis été révoqué.L'exécutable est un fichier de format universel qui contient des versions pour les puces Intel et Apple Silicon.Le décryptage de la charge utile cryptée XOR est géré par la fonction principale, calculExtamegcd.Pendant que le processus de décryptage est en cours d'exécution, l'application publie des messages non apparentés au terminal pour essayer d'obtenir la vigilance de l'analyste \\.La charge utile déchiffrée a le format Applescript.Le Trojan s'attend à l'une des trois commandes suivantes en réponse: Enregistrez la réponse au fichier et exécutez, supprimez la copie locale et fermez-vous, ou continuez à attendre la commande.Le Troie peut désormais être détecté par la plupart des solutions anti-malware.
#### URL de référence (s)
1. https: //securelist.com/bluenoroff-new-macos-malware/111290/
#### Date de publication
5 décembre 2023
#### Auteurs)
Sergey Puzan
#### Description Kaspersky researchers have discovered a new variety of malicious loader that targets macOS, which is believed to be linked to the BlueNoroff APT gang and its ongoing campaign known as RustBucket. The threat actor is known to attack financial organizations, particularly companies whose activity is in any way related to cryptocurrency, as well as individuals who hold crypto assets or take an interest in the subject. The new variety was found inside a ZIP archive that contained a PDF file named “Crypto-assets and their risks for financial stability”, with a thumbnail that showed a corresponding title page. The metadata preserved inside the ZIP archive suggests the app was created on October 21, 2023. The cybercriminals might have emailed it to targets as they did with past campaigns. The app had a valid signature when it was discovered, but the certificate has since been revoked. The executable is a universal format file that contains versions for both Intel and Apple Silicon chips. Decryption of the XOR-encrypted payload is handled by the main function, CalculateExtameGCD. While the decryption process is running, the app puts out unrelated messages to the terminal to try and lull the analyst\'s vigilance. The decrypted payload has the AppleScript format. The Trojan expects one of the following three commands in response: Save response to file and run, Delete local copy and shut down, or Keep waiting for command. The Trojan can now be detected by most anti-malware solutions. #### Reference URL(s) 1. https://securelist.com/bluenoroff-new-macos-malware/111290/ #### Publication Date December 5, 2023 #### Author(s) Sergey Puzan |
Threat | ★★★ | |
|
2023-12-05 21:04:25 | Les acteurs de la menace exploitent Adobe Coldfusion CVE-2023-26360 pour l'accès initial aux serveurs gouvernementaux Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers (lien direct) |
#### Description
L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) publie un avis de cybersécurité (CSA) en réponse à l'exploitation confirmée de CVE-2023-26360 par des acteurs de menace non identifiés dans une agence fédérale de direction civile (FCEB).Cette vulnérabilité se présente comme un problème de contrôle d'accès incorrect impactant Adobe Coldfusion Versions 2018 Update 15 (et plus tôt) et 2021 Update 5 (et plus tôt).CVE-2023-26360 affecte également les installations Coldfusion 2016 et Coldfusion 11;Cependant, ils ne sont plus soutenus car ils ont atteint la fin de vie.L'exploitation de ce CVE peut entraîner une exécution arbitraire de code.À la suite de l'enquête de la FCEB Agency \\, l'analyse des journaux de réseau a confirmé le compromis d'au moins deux serveurs orientés publics dans l'environnement entre juin et juillet 2023.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a
#### Date de publication
4 décembre 2023
#### Auteurs)
Cisa
#### Description The Cybersecurity and Infrastructure Security Agency (CISA) is releasing a Cybersecurity Advisory (CSA) in response to confirmed exploitation of CVE-2023-26360 by unidentified threat actors at a Federal Civilian Executive Branch (FCEB) agency. This vulnerability presents as an improper access control issue impacting Adobe ColdFusion versions 2018 Update 15 (and earlier) and 2021 Update 5 (and earlier). CVE-2023-26360 also affects ColdFusion 2016 and ColdFusion 11 installations; however, they are no longer supported since they reached end of life. Exploitation of this CVE can result in arbitrary code execution. Following the FCEB agency\'s investigation, analysis of network logs confirmed the compromise of at least two public-facing servers within the environment between June and July 2023. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a #### Publication Date December 4, 2023 #### Author(s) CISA |
Threat Vulnerability | ★★★ | |
|
2023-12-04 22:06:59 | Les cyber-acteurs affiliés à l'IRGC exploitent les PLC dans plusieurs secteurs, y compris les installations américaines de systèmes d'eau et d'eaux usées IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities (lien direct) |
#### Description
Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA), l'Environmental Protection Agency (EPA) et l'Israel National Cyber Directorate (Incd) - sont appelés «les agences de rédaction"La diffusion de cet avis conjoint de cybersécurité (CSA) pour mettre en évidence la cyber-activité malveillante continue contre les dispositifs de technologie opérationnelle par le gouvernement iranien de la révolutionnaire islamique du Corps (IRGC) - les cyber-acteurs avancés de menace persistante (APT).
L'IRGC est une organisation militaire iranienne que les États-Unis ont désignée comme une organisation terroriste étrangère en 2019. Cyber-acteurs affiliés à l'IRGC utilisant le Persona «CyberAV3NGERS» ciblent activement et compromettent les contrôleurs logiques programmables de la série Unitronics Vision.Ces PLC sont couramment utilisés dans le secteur des systèmes d'eau et des eaux usées (WWS) et sont également utilisés dans d'autres industries, mais sans s'y limiter, la fabrication de l'énergie, des aliments et des boissons et des soins de santé.Les PLC peuvent être rebaptisés et apparaître comme différents fabricants et entreprises.
Depuis au moins le 22 novembre 2023, ces cyber-acteurs affiliés à l'IRGC ont continué de compromettre les informations d'identification par défaut dans les dispositifs unitroniques.Les cyber-acteurs affiliés à l'IRGC ont quitté une image de dégradation.Les victimes s'étendent sur plusieurs États américains.Les agences de création exhortent toutes les organisations, en particulier les organisations d'infrastructures critiques, à appliquer les recommandations énumérées dans la section des atténuations de ce conseil pour atténuer le risque de compromis de ces cyber-acteurs affiliés à l'IRGC.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a
#### Date de publication
1er décembre 2023
#### Auteurs)
Cisa
#### Description The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Environmental Protection Agency (EPA), and the Israel National Cyber Directorate (INCD)-hereafter referred to as "the authoring agencies"-are disseminating this joint Cybersecurity Advisory (CSA) to highlight continued malicious cyber activity against operational technology devices by Iranian Government Islamic Revolutionary Guard Corps (IRGC)-affiliated Advanced Persistent Threat (APT) cyber actors. The IRGC is an Iranian military organization that the United States designated as a foreign terrorist organization in 2019. IRGC-affiliated cyber actors using the persona “CyberAv3ngers” are actively targeting and compromising Israeli-made Unitronics Vision Series programmable logic controllers (PLCs). These PLCs are commonly used in the Water and Wastewater Systems (WWS) Sector and are additionally used in other industries including, but not limited to, energy, food and beverage manufacturing, and healthcare. The PLCs may be rebranded and appear as different manufacturers and companies. Since at least November 22, 2023, these IRGC-affiliated cyber actors have continued to compromise default credentials in Unitronics devices. The IRGC-affiliated cyber actors left a defacement image. The victims span multiple U.S. states. The authoring agencies urge all organizations, especially critical infrastructure organizations, to apply the recommendations listed in the Mitigations section of this advisory to mitigate risk of compromise from these IRGC-affiliated cyber actors. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a #### Publication Date December 1, 2023 #### Author(s) CISA |
Threat | ★★★ | |
|
2023-12-01 21:32:00 | Des pirates nord-coréens attaquant des macos en utilisant des documents armées North Korean Hackers Attacking macOS Using Weaponized Documents (lien direct) |
#### Description
En 2023, les acteurs de la menace nord-coréenne ont intensifié leur concentration sur MacOS par le biais de deux campagnes majeures nommées Rustbucket et Kandykorn.
RustBucket a utilisé \\ 'swiftloader, \' se faire passer pour une visionneuse PDF, pour déployer un malware de deuxième étape écrit de la rouille.Pendant ce temps, la campagne de Kandykorn a utilisé des scripts Python ciblant les ingénieurs de la blockchain, livrant un rat de porte dérobée C ++ appelé \\ 'Kandykorn \' en détournant l'application Discord sur les hôtes.L'attaque en cinq étapes contre les utilisateurs de discorde impliquait l'ingénierie sociale pour les inciter à télécharger une application Python malveillante déguisée en bot d'arbitrage crypto, distribué sous le nom de \\ 'ponts multiplateaux.zip. \' l'application, contenant des scripts de python apparemment inoffensifs, a progressé à travers des étapes impliquant l'exécution de Findertools, Sugarloader, Hloader et, finalement, exécuter Kandykorn.
La campagne Rustbucket a présenté des techniques évolutives, en utilisant une application basée sur Swift nommée SecurePDF Viewer.App, signée par "BBQ Bazaar Private Limited".Une autre variante, Crypto-Assets App.zip, signée par "Northwest Tech-Con Systems Ltd", a indiqué une infrastructure partagée, des objectifs et des tactiques avec Kandykorn Rat, soulignant la sophistication des campagnes malveillantes du macos nord-coréen.
#### URL de référence (s)
1. https://gbhackers.com/korean-macos-weaponized-ocuments/
#### Date de publication
30 novembre 2023
#### Auteurs)
Tushar Subhra Dutta
#### Description In 2023, North Korean threat actors intensified their focus on macOS through two major campaigns named RustBucket and KandyKorn. RustBucket utilized \'SwiftLoader,\' masquerading as a PDF Viewer, to deploy a Rust-written second-stage malware. Meanwhile, the KandyKorn campaign employed Python scripts targeting blockchain engineers, delivering a C++ backdoor RAT called \'KandyKorn\' by hijacking the Discord app on hosts. The five-stage attack on Discord users involved social engineering to trick them into downloading a malicious Python app disguised as a crypto arbitrage bot, distributed as \'Cross-Platform Bridges.zip.\' The app, containing seemingly harmless Python scripts, progressed through stages involving the execution of FinderTools, SUGARLOADER, HLOADER, and ultimately running KANDYKORN. he RustBucket campaign showcased evolving techniques, using a Swift-based app named SecurePDF Viewer.app, signed by "BBQ BAZAAR PRIVATE LIMITED." Another variant, Crypto-assets app.zip, signed by "Northwest Tech-Con Systems Ltd," indicated shared infrastructure, objectives, and tactics with KandyKorn RAT, underscoring the sophistication of North Korean macOS malware campaigns. #### Reference URL(s) 1. https://gbhackers.com/korean-macos-weaponized-documents/ #### Publication Date November 30, 2023 #### Author(s) Tushar Subhra Dutta |
Threat Malware | ★★ | |
|
2023-11-30 21:42:33 | New Sugargh0st Rat cible le gouvernement ouzbékistan et la Corée du Sud New SugarGh0st RAT targets Uzbekistan government and South Korea (lien direct) |
#### Description
Cisco Talos a récemment découvert une campagne malveillante qui a probablement commencé dès août 2023, livrant un nouveau cheval de Troie à distance à distance (rat) surnommé «Sugargh0st».L'acteur de menace derrière le rat est probablement chinois et vise le ministère ouzbékistan des affaires étrangères et des utilisateurs en Corée du Sud.
Le rat est livré à travers deux chaînes d'infection qui exploitent le raccourci Windows intégré à un JavaScript malveillant pour livrer les composants à abandonner et à lancer la charge utile de Sugargh0st.Le rat est équipé de fonctionnalités personnalisées dans sa capacité de reconnaissance, y compris la recherche de clés de registre spécifiques de la connectivité de la base de données (ODBC), de chargement des fichiers de bibliothèque avec des extensions de fichiers et un nom de fonction spécifiques, et des commandes personnalisées pour faciliter les tâches d'administration à distance dirigés par le C2.Le rat peut exécuter la plupart des fonctionnalités de contrôle à distance, y compris le lancement du shell inverse, l'exécution de commandes arbitraires envoyées à partir de C2 comme chaînes à l'aide du shell de commande et accéder à l'appareil photo de la victime pour capturer l'écran et comprimer les données capturées avant de l'envoyerau serveur C2.
#### URL de référence (s)
1. https://blog.talosintelligence.com/new-sugargh0st-rat/
#### Date de publication
30 novembre 2023
#### Auteurs)
Ashley Shen
#### Description Cisco Talos recently discovered a malicious campaign that likely started as early as August 2023, delivering a new remote access trojan (RAT) dubbed “SugarGh0st.” The threat actor behind the RAT is likely Chinese-speaking and is targeting the Uzbekistan Ministry of Foreign Affairs and users in South Korea. The RAT is delivered through two infection chains that leverage Windows Shortcut embedded with malicious JavaScript to deliver the components to drop and launch the SugarGh0st payload. The RAT is equipped with customized features in its reconnaissance capability, including looking for specific Open Database Connectivity (ODBC) registry keys, loading library files with specific file extensions and function name, and customized commands to facilitate remote administration tasks directed by the C2. The RAT can execute most remote control functionalities, including launching the reverse shell, running arbitrary commands sent from C2 as strings using the command shell, and accessing the victim\'s machine camera to capture the screen and compress the captured data before sending it to the C2 server. #### Reference URL(s) 1. https://blog.talosintelligence.com/new-sugargh0st-rat/ #### Publication Date November 30, 2023 #### Author(s) Ashley Shen |
Threat | ★★★ | |
|
2023-11-22 18:21:09 | #Stopransomware: Lockbit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Said Vulnerabilité #StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability (lien direct) |
#### Description
CISA, FBI, MS-ISAC et Australian Signals Direction \'s Australian Cyber Security Center (ASD \'s ACSC) publient ce CSA pour diffuser les IOC, les TTP et les méthodes de détection associées à Lockbit 3.0 Ransomware exploitant CVE-2023 CVE-2010-4966, étiqueté Citrix Said, affectant Citrix NetScaler Web Delivery Control (ADC) et Netscaler Gateway Appliances.
Ce CSA fournit des TTP et des CIO obtenus auprès du FBI, de l'ACSC et partagés volontairement par Boeing.Boeing a observé les affiliés Lockbit 3.0 exploitant CVE-2023-4966, pour obtenir un accès initial à Boeing Distribution Inc., ses parties et ses activités de distribution qui maintient un environnement distinct.D'autres tiers de confiance ont observé une activité similaire sur leur organisation.
Historiquement, les affiliés de Lockbit 3.0 ont mené des attaques contre les organisations de tailles variables dans plusieurs secteurs d'infrastructures critiques, notamment l'éducation, l'énergie, les services financiers, l'alimentation et l'agriculture, les services gouvernementaux et d'urgence, les soins de santé, la fabrication et les transports.Les TTP observés pour les attaques de ransomwares de verrouillage peuvent varier considérablement dans les TTP observés.
Citrix Said, connu pour être exploité par les affiliés de Lockbit 3.0, permet aux acteurs de menace de contourner les exigences de mot de passe et d'authentification multifactorielle (MFA), conduisant à un détournement de session réussi des séances utilisateur légitimes sur les appareils de livraison d'application Web Citrix Netscaler (ADC) et les appareils de passerelle.Grâce à la prise de contrôle des séances d'utilisateurs légitimes, les acteurs malveillants acquièrent des autorisations élevées pour récolter les informations d'identification, se déplacer latéralement et accéder aux données et aux ressources.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
2. https://www.cisa.gov/news-events/analysis-reports/ar23-325a
#### Date de publication
21 novembre 2023
#### Auteurs)
Cisa
#### Description CISA, FBI, MS-ISAC, and Australian Signals Directorate\'s Australian Cyber Security Centre (ASD\'s ACSC) are releasing this CSA to disseminate IOCs, TTPs, and detection methods associated with LockBit 3.0 ransomware exploiting CVE-2023-4966, labeled Citrix Bleed, affecting Citrix NetScaler web application delivery control (ADC) and NetScaler Gateway appliances. This CSA provides TTPs and IOCs obtained from FBI, ACSC, and voluntarily shared by Boeing. Boeing observed LockBit 3.0 affiliates exploiting CVE-2023-4966, to obtain initial access to Boeing Distribution Inc., its parts and distribution business that maintains a separate environment. Other trusted third parties have observed similar activity impacting their organization. Historically, LockBit 3.0 affiliates have conducted attacks against organizations of varying sizes across multiple critical infrastructure sectors, including education, energy, financial services, food and agriculture, government and emergency services, healthcare, manufacturing, and transportation. Observed TTPs for LockBit ransomware attacks can vary significantly in observed TTPs. Citrix Bleed, known to be leveraged by LockBit 3.0 affiliates, allows threat actors to bypass password requirements and multifactor authentication (MFA), leading to successful session hijacking of legitimate user sessions on Citrix NetScaler web application delivery control (ADC) and Gateway appliances. Through the takeover of legitimate user sessions, malicious actors acquire elevated permissions to harvest credentials, move laterally, and access data and resources. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a 2. https://www.cisa.gov/news-events/analysis-reports/ar23-325a #### Publication Date November 21, 2023 #### Auth |
Threat Ransomware Vulnerability | ★★ | |
|
2023-11-21 21:19:53 | Agent Tesla: le format d'archive ZPAQ inhabituel fournit des logiciels malveillants Agent Tesla: Unusual ZPAQ Archive Format Delivers Malware (lien direct) |
#### Description
Une nouvelle variante de l'agent Tesla a été découverte qui utilise l'extension de fichier archive ZPAQ et .wav pour infecter les systèmes et voler des informations à environ 40 navigateurs Web et divers clients de messagerie.ZPAQ est un format de compression de fichiers qui offre un meilleur rapport de compression et une fonction de journalisation par rapport à des formats largement utilisés comme ZIP et RAR.Cependant, le ZPAQ a un support logiciel limité, ce qui rend difficile le travail, en particulier pour les utilisateurs sans expertise technique.Le fichier exécutable .NET est gonflé avec zéro octets, ce qui permet aux acteurs de menace de contourner les mesures de sécurité traditionnelles et d'augmenter l'efficacité de leur attaque.
L'utilisation du format de compression ZPAQ soulève plus de questions que de réponses.Les hypothèses ici sont que les acteurs de la menace ciblent un groupe spécifique de personnes qui ont des connaissances techniques ou utilisent des outils d'archives moins connus, ou ils testent d'autres techniques pour diffuser plus rapidement les logiciels malveillants et contourner les logiciels de sécurité.
Le malware utilise Telegram en tant que C&C en raison de son utilisation juridique généralisée et du fait que son trafic est souvent autorisé à travers des pare-feu, ce qui en fait un support utile pour une communication secrète.Comme tout autre voleur, l'agent Tesla peut nuire non seulement aux particuliers mais aussi aux organisations.Il a gagné en popularité parmi les cybercriminels pour de nombreuses raisons, notamment la facilité d'utilisation, la polyvalence et l'abordabilité sur le Dark Web.
#### URL de référence (s)
1. https://www.gdatasoftware.com/blog/2023/11/37822-agent-Tesla-zpaq
#### Date de publication
20 novembre 2023
#### Auteurs)
Anna Lvova
#### Description A new variant of Agent Tesla has been discovered that uses the ZPAQ archive and .wav file extension to infect systems and steal information from approximately 40 web browsers and various email clients. ZPAQ is a file compression format that offers a better compression ratio and journaling function compared to widely used formats like ZIP and RAR. However, ZPAQ has limited software support, making it difficult to work with, especially for users without technical expertise. The .NET executable file is bloated with zero bytes, which allows threat actors to bypass traditional security measures and increase the effectiveness of their attack. The usage of the ZPAQ compression format raises more questions than answers. The assumptions here are that either threat actors target a specific group of people who have technical knowledge or use less widely known archive tools, or they are testing other techniques to spread malware faster and bypass security software. The malware uses Telegram as a C&C due to its widespread legal usage and the fact that its traffic is often allowed through firewalls, making it a useful medium for covert communication. Like any other stealer, Agent Tesla can harm not only private individuals but also organizations. It has gained popularity among cybercriminals for many reasons including ease of use, versatility, and affordability on the Dark Web. #### Reference URL(s) 1. https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq #### Publication Date November 20, 2023 #### Author(s) Anna Lvova |
Threat Malware Tool Technical | ★★★ | |
|
2023-11-20 21:02:30 | Cyber Attack UAC-0050 en utilisant Remcos Rat déguisé en "demande SBU" UAC-0050 Cyber Attack Using Remcos RAT Disguised as "SBU request" (lien direct) |
#### Description
CERT-UA a identifié une campagne de phishing généralisée qui a usurpé l'identité du service de sécurité de l'Ukraine.Les e-mails contiennent un fichier RAR, conduisant à un fichier exécutable ("Obligation exigée SBU 543 du 11/13/2023.pdf.exe") qui installe le rat Remcos sur l'ordinateur.Le fichier de configuration de Rat \\ comprend 8 adresses IP des serveurs de contrôle en Malaisie, enregistrées par la société russe Reg.ru le 11.11.2023.CERT-UA contrecarre activement la menace, suivie en vertu de l'ID UAC-0050.
#### URL de référence (s)
1. https://cert.gov.ua/article/6276351
#### Date de publication
20 novembre 2023
#### Auteurs)
Certificat
#### Description CERT-UA has identified a widespread phishing campaign impersonating the Security Service of Ukraine. Emails contain a RAR file, leading to an executable file ("SBU Requirement 543 dated 11/13/2023.pdf.exe") that installs the Remcos RAT on the computer. The RAT\'s configuration file includes 8 IP addresses of control servers in Malaysia, registered by the Russian company REG.RU on 11.11.2023. CERT-UA is actively countering the threat, tracked under ID UAC-0050. #### Reference URL(s) 1. https://cert.gov.ua/article/6276351 #### Publication Date November 20, 2023 #### Author(s) CERT-UA |
Threat | ★★★ | |
|
2023-11-16 20:07:41 | Zimbra 0-Day utilisé pour voler des données par e-mail aux organisations gouvernementales Zimbra 0-Day Used to Steal Email Data From Government Organizations (lien direct) |
#### Description
Le groupe d'analyse des menaces de Google (TAG) a découvert un exploit de 0 jours dans le viseur ciblant la collaboration de Zimbra, utilisé pour voler des données de courrier électronique à des organisations gouvernementales internationales suivis sous le nom de CVE-2023-37580.
Tag a d'abord découvert la vulnérabilité de Scripting (XSS) reflétée de 0 jour, en juin, lorsqu'il a été activement exploité dans des attaques ciblées contre le serveur de messagerie de Zimbra \\.Zimbra a poussé un hotfix à leur github public le 5 juillet 2023 et a publié un avis initial avec des prévisions de correction le 13 juillet 2023.
Tag a observé trois groupes de menaces exploitant la vulnérabilité avant la publication du patch officiel, y compris des groupes qui ont peut-être appris le bogue après que le correctif a été initialement rendu public sur Github.Tag a découvert une quatrième campagne en utilisant la vulnérabilité XSS après la sortie du patch officiel.Trois de ces campagnes ont commencé après que le hotfix a été initialement rendu public en soulignant l'importance des organisations qui appliquent des correctifs le plus rapidement possible.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/zimbra-0-day-used-to-teal-email-data-from-government-organizations/
#### Date de publication
16 novembre 2023
#### Auteurs)
Clement Lecigne
Pierre de maddie
#### Description Google\'s Threat Analysis Group (TAG) has discovered an in-the-wild 0-day exploit targeting Zimbra Collaboration, used to steal email data from international government organizations tracked as CVE-2023-37580. TAG first discovered the 0-day, a reflected cross-site scripting (XSS) vulnerability, in June when it was actively exploited in targeted attacks against Zimbra\'s email server. Zimbra pushed a hotfix to their public Github on July 5, 2023 and published an initial advisory with remediation guidance on July 13, 2023. TAG observed three threat groups exploiting the vulnerability prior to the release of the official patch, including groups that may have learned about the bug after the fix was initially made public on Github. TAG discovered a fourth campaign using the XSS vulnerability after the official patch was released. Three of these campaigns began after the hotfix was initially made public highlighting the importance of organizations applying fixes as quickly as possible. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/zimbra-0-day-used-to-steal-email-data-from-government-organizations/ #### Publication Date November 16, 2023 #### Author(s) Clement Lecigne Maddie Stone |
Threat Vulnerability | ★★★ | |
|
2023-11-15 21:25:29 | #Stopransomware: ransomware Rhysida #StopRansomware: Rhysida Ransomware (lien direct) |
#### Description
Les variants de ransomwares émergents de Rhysida, ont été principalement déployés contre les secteurs de l'éducation, des soins de santé, de la fabrication, des technologies de l'information et du gouvernement depuis mai 2023. Les acteurs de la menace tirent parti des ransomwares de Rhysida sont connus pour avoir un impact sur les «objectifs d'opportunité», y compris les victimes de l'éducation,Les secteurs de la santé, de la fabrication, des technologies de l'information et du gouvernement.Les rapports open source détaillent les similitudes entre l'activité de la vice Society (Dev-0832) et les acteurs ont observé le déploiement du ransomware de Rhysida.De plus, les rapports open source ont confirmé que les cas observés d'acteurs de Rhysida opérant dans une capacité de ransomware en tant que service (RAAS), où les outils de ransomware et l'infrastructure sont loués dans un modèle de renseignement.Toutes les rançons payées sont ensuite divisées entre le groupe et les affiliés.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a
#### Date de publication
15 novembre 2023
#### Auteurs)
Cisa
#### Description Rhysida-an emerging ransomware variant-has predominately been deployed against the education, healthcare, manufacturing, information technology, and government sectors since May 2023. Threat actors leveraging Rhysida ransomware are known to impact “targets of opportunity,” including victims in the education, healthcare, manufacturing, information technology, and government sectors. Open source reporting details similarities between Vice Society (DEV-0832) activity and the actors observed deploying Rhysida ransomware. Additionally, open source reporting has confirmed observed instances of Rhysida actors operating in a ransomware-as-a-service (RaaS) capacity, where ransomware tools and infrastructure are leased out in a profit-sharing model. Any ransoms paid are then split between the group and the affiliates. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a #### Publication Date November 15, 2023 #### Author(s) CISA |
Threat Ransomware Tool | ★★ | |
|
2023-11-14 20:57:50 | Ne jetez pas une crise de sifflement;Défendre contre Medusa Don\\'t Throw a Hissy Fit; Defend Against Medusa (lien direct) |
#### Description
Le ransomware MEDUSA est une variante qui aurait existe depuis juin 2021 [1].MEDUSA est un exemple de ransomware à double exposition où l'acteur de menace exfiltre et chiffre les données.L'acteur de menace menace de libérer ou de vendre les données de la victime sur le Web sombre si la rançon n'est pas payée.Cela signifie que le groupe derrière les ransomwares de Medusa pourrait être caractérisé comme motivé financièrement.Les victimes des ransomwares de MEDUSA ne proviennent pas d'une industrie particulière suggérant que le groupe derrière cette variante n'a aucun problème à nuire à aucune organisation.
#### URL de référence (s)
1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/
#### Date de publication
13 novembre 2023
#### Auteurs)
Molly Dewis
#### Description Medusa ransomware is a variant that is believed to have been around since June 2021 [1]. Medusa is an example of a double-extortion ransomware where the threat actor exfiltrates and encrypts data. The threat actor threatens to release or sell the victim\'s data on the dark web if the ransom is not paid. This means the group behind Medusa ransomware could be characterized as financially motivated. Victims of Medusa ransomware are from no particular industry suggesting the group behind this variant have no issue with harming any organization. #### Reference URL(s) 1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/ #### Publication Date November 13, 2023 #### Author(s) Molly Dewis |
Threat Ransomware | ★★ | |
|
2023-11-10 19:10:55 | Malvertiser copie le site d'information PC pour livrer un infoster Malvertiser Copies PC News Site to Deliver Infostealer (lien direct) |
#### Description
Dans une nouvelle campagne, MalwareBytes a observé un acteur de menace copiant un portail d'information Windows légitime pour distribuer un installateur malveillant pour l'outil de processeur populaire CPU-Z.Cet incident fait partie d'une plus grande campagne de malvertising qui cible d'autres services publics comme Notepad ++, Citrix et VNC Viewer, comme le montre son infrastructure (noms de domaine) et les modèles de camouflage utilisés pour éviter la détection.MalwareBytes a informé Google des détails pertinents pour le retrait.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/11/malvertiste-copies-pc-news-site-to-deliver-infostealer
#### Date de publication
8 novembre 2023
#### Auteurs)
J & eacute; r & ocirc; moi segura
#### Description In a new campaign, Malwarebytes observed a threat actor copying a legitimate Windows news portal to distribute a malicious installer for the popular processor tool CPU-Z. This incident is a part of a larger malvertising campaign that targets other utilities like Notepad++, Citrix and VNC Viewer as seen in its infrastructure (domain names) and cloaking templates used to avoid detection. Malwarebytes have informed Google with the relevant details for takedown. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-deliver-infostealer #### Publication Date November 8, 2023 #### Author(s) Jérôme Segura |
Threat Tool | ★★ | |
|
2023-11-09 19:59:50 | Les adversaires exploitent la vulnérabilité de la confluence au déploiement des ransomwares Adversaries Exploit Confluence Vulnerability to Deploy Ransomware (lien direct) |
#### Description
Red Canary a détecté l'exploitation apparente de la confluence Atlassian CVE-2023-22518 dans une tentative de campagne de ransomware de cercle.
CVE-2023-22518 est une vulnérabilité d'autorisation inappropriée au sein du centre de données Confluence et du serveur Confluence qui permet aux utilisateurs non authentifiés d'effectuer une «restauration à partir de la sauvegarde» en soumettant leur propre fichier .zip arbitraire.Les adversaires peuvent exploiter la vulnérabilité pour détruire les instances de confluence, entraînant une perte de données.Alternativement, les adversaires peuvent également soumettre un fichier .zip contenant un shell Web pour réaliser l'exécution de code distant (RCE) sur des serveurs de confluence vulnérables et sur site.
#### URL de référence (s)
1. https://redcanary.com/blog/confluence-exploit-ransomware/
#### Date de publication
6 novembre 2023
#### Auteurs)
L'équipe Red Canary
#### Description Red Canary has detected apparent exploitation of Atlassian Confluence CVE-2023-22518 in an attempted Cerber ransomware campaign. CVE-2023-22518 is an improper authorization vulnerability within Confluence Data Center and Confluence Server that allows unauthenticated users to perform a “restore from backup” by submitting their own arbitrary .zip file. Adversaries can exploit the vulnerability to destroy Confluence instances, leading to data loss. Alternatively, adversaries may also submit a .zip file containing a web shell to achieve remote code execution (RCE) on vulnerable, on-premise Confluence servers. #### Reference URL(s) 1. https://redcanary.com/blog/confluence-exploit-ransomware/ #### Publication Date November 6, 2023 #### Author(s) The Red Canary Team |
Threat Ransomware Vulnerability | ★★ | |
|
2023-11-06 20:22:17 | Exploitation rapide-observée de la confluence atlasienne CVE-2023-22518 Rapid7-Observed Exploitation of Atlassian Confluence CVE-2023-22518 (lien direct) |
#### Description
Au 5 novembre 2023, la détection et la réponse gérées Rapid7 (MDR) observent l'exploitation de la confluence Atlassian dans plusieurs environnements clients, y compris pour le déploiement des ransomwares.Rapid 7 a confirmé qu'au moins certains des exploits ciblent le CVE-2023-22518, une vulnérabilité d'autorisation incorrecte affectant le centre de données Confluence et le serveur Confluence.Atlassian a publié un avis de vulnérabilité le 31 octobre 2023. MDR a également observé des tentatives d'exploiter le CVE-2023-22515, une vulnérabilité critique de contrôle d'accès brisé dans la confluence qui s'est révélée le 4 octobre. La chaîne d'exécution du processus, pour la plupartLa partie, est cohérente dans plusieurs environnements, indiquant une éventuelle exploitation de masse de serveurs de confluence atlassienne vulnérables orientés Internet.
#### URL de référence (s)
1. https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observded-exploitation-of-atlassian-confluence-cve-2023-22518
#### Date de publication
6 novembre 2023
#### Auteurs)
Daniel Lydon
Conor Quinn
Rapid7
#### Description As of November 5, 2023, Rapid7 Managed Detection and Response (MDR) is observing exploitation of Atlassian Confluence in multiple customer environments, including for ransomware deployment. Rapid 7 confirmed that at least some of the exploits are targeting CVE-2023-22518, an improper authorization vulnerability affecting Confluence Data Center and Confluence Server. Atlassian published an advisory for the vulnerability on October 31, 2023. MDR has also observed attempts to exploit CVE-2023-22515, a critical broken access control vulnerability in Confluence that came to light on October 4. The process execution chain, for the most part, is consistent across multiple environments, indicating possible mass exploitation of vulnerable internet-facing Atlassian Confluence servers. #### Reference URL(s) 1. https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observed-exploitation-of-atlassian-confluence-cve-2023-22518 #### Publication Date November 6, 2023 #### Author(s) Daniel Lydon Conor Quinn Rapid7 |
Threat Ransomware Vulnerability | ★★ | |
|
2023-11-03 19:41:09 | Opérations malveillantes à grande échelle de Hive0051 \\ activées par fluxage DNS multicanal synchronisé Hive0051\\'s Large Scale Malicious Operations Enabled by Synchronized Multi-Channel DNS Fluxing (lien direct) |
#### Description
IBM X-FORCE surveillait les capacités de logiciels malveillants de Hive0051 \\ depuis un an et demi.L'acteur de la menace russe a apporté trois modifications clés à ses capacités: une approche multi-canal améliorée du fluxage du DNS, des scripts à plusieurs étages obscurcis et l'utilisation de variantes PowerShell sans fidèle du malware gamma.
Le fluxage DNS standard ou le flux rapide, est une menace technique que les acteurs des acteurs pour faire tourner rapidement les infrastructures en modifiant régulièrement l'adresse IP de leur domaine C2 pointe dans les enregistrements DNS publics.HIVE0051 a adopté l'utilisation nouvelle de plusieurs canaux pour stocker les enregistrements DNS par opposition à une configuration d'enregistrement DNS traditionnelle.Dans cette méthodologie, les canaux télégrammes publics et les sites télégraphiques sont essentiellement utilisés comme serveurs DNS et sont fluxés en synchronie avec les enregistrements DNS.Cela permet à HIVE0051 de se rendre aux canaux secondaires afin de résoudre le serveur C2 actuellement actif, si le domaine était bloqué via l'un des autres canaux.
#### URL de référence (s)
1. https://securityintelligence.com/x-force/hive0051-malicious-operations-enabled-dns-fluxing/
#### Date de publication
3 novembre 2023
#### Auteurs)
Golo m & uuml; hr
Claire Zaboeva
Joe Fasulo
#### Description IBM X-Force has been monitoring Hive0051\'s malware capabilities for the past year and a half. The Russian threat actor has made three key changes to its capabilities: an improved multi-channel approach to DNS fluxing, obfuscated multi-stage scripts, and the use of fileless PowerShell variants of the Gamma malware. Standard DNS fluxing or fast-fluxing, is a technique threat actors use to rapidly rotate infrastructure by regularly changing the IP address their C2 domain points to in public DNS records. Hive0051 has adopted the novel use of multiple channels to store DNS records as opposed to a traditional DNS record configuration. In this methodology, public Telegram channels and Telegraph sites are essentially used as DNS servers and are fluxed in synchrony together with the DNS records. This enables Hive0051 to fallback to secondary channels in order to resolve the currently active C2 server, should the domain be blocked via any of the other channels. #### Reference URL(s) 1. https://securityintelligence.com/x-force/hive0051-malicious-operations-enabled-dns-fluxing/ #### Publication Date November 3, 2023 #### Author(s) Golo Mühr Claire Zaboeva Joe Fasulo |
Threat Malware | ★★★★ | |
|
2023-11-01 19:21:39 | Iamreboot: les packages NuGet malveillants exploitent l'échappatoire dans les intégrations MSBuild IAmReboot: Malicious NuGet packages exploit loophole in MSBuild integrations (lien direct) |
#### Description
RenversingLabs a identifié des liens entre une campagne malveillante qui a été récemment découverte et rapportée par l'entreprise Phylum et plusieurs centaines de packages malveillants publiés auprès du gestionnaire de package NuGet depuis début août.Les dernières découvertes sont la preuve de ce qui semble être une campagne en cours et coordonnée.
En outre, les recherches de renversement deslabs montrent comment les acteurs malveillants améliorent continuellement leurs techniques et répondent à la perturbation de leurs campagnes.Plus précisément, les acteurs de la menace sont passés de simples téléchargeurs exécutant à l'intérieur d'installer des scripts à une approche plus raffinée qui exploite MSBuild de Nuget \\Fonctionnalité des intégrations.
#### URL de référence (s)
1. https://www.reversingLabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole
#### Date de publication
31 octobre 2023
#### Auteurs)
Karlo Zanki
#### Description ReversingLabs has identified connections between a malicious campaign that was recently discovered and reported by the firm Phylum and several hundred malicious packages published to the NuGet package manager since the beginning of August. The latest discoveries are evidence of what seems to be an ongoing and coordinated campaign. Furthermore, ReversingLabs research shows how malicious actors are continuously improving their techniques and responding to the disruption of their campaigns. Specifically, threat actors have moved from simple downloaders executing inside install scripts to a more refined approach that exploits NuGet\'s MSBuild integrations feature. #### Reference URL(s) 1. https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole #### Publication Date October 31, 2023 #### Author(s) Karlo Zanki |
Threat | ★★ | |
|
2023-10-31 20:56:15 | Arid Viper déguiser les logiciels espions mobiles comme mises à jour pour les applications Android non malveillantes Arid Viper Disguising Mobile Spyware as Updates for Non-Malicious Android Applications (lien direct) |
#### Description
Depuis avril 2022, Cisco Talos suit une campagne malveillante exploitée par le groupe de menace persistante (APT) de vipère avancée (APT), de menace persistante avancée (APT), ciblant les utilisateurs Android arabes.Dans cette campagne, les acteurs exploitent des logiciels malveillants mobiles personnalisés, également appelés fichiers de packages Android (APK), pour collecter des informations sensibles à partir de cibles et déployer des logiciels malveillants supplémentaires sur des appareils infectés.
Le logiciel malveillant mobile utilisé dans cette campagne partage des similitudes avec une application de rencontres en ligne non malveillante, appelée sautée.Le malware utilise spécifiquement un nom similaire et le même projet partagé sur la plate-forme de développement Applications \\ '.Ce chevauchement suggère que les opérateurs de vipères arides sont liés au développeur de \\ sauté ou en quelque sorte acquis un accès illicite à la base de données du projet partagé.L'analyse de Cisco \\ a découvert un éventail d'applications de rencontres simulées liées aux sauts, nous amenant à évaluer que les opérateurs Arid Viper peuvent chercher à tirer parti de ces applications supplémentaires dans de futures campagnes malveillantes.Afin de contraindre les utilisateurs à télécharger leurs logiciels malveillants mobiles, les opérateurs Arid Viper partagent des liens malveillants se faisant passer pour des mises à jour des applications de rencontres, qui fournissent plutôt des logiciels malveillants à l'appareil de l'utilisateur \\.
Android malware d'Arid Viper \\ a un certain nombre de fonctionnalités qui permettent aux opérateurs de désactiver les notifications de sécurité, de collecter des informations sensibles aux utilisateurs et de déployer des applications malveillantes supplémentaires sur l'appareil compromis.
#### URL de référence (s)
1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/
#### Date de publication
31 octobre 2023
#### Auteurs)
Cisco Talos
#### Description Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected devices. The mobile malware used in this campaign shares similarities with a non-malicious online dating application, referred to as Skipped. The malware specifically uses a similar name and the same shared project on the applications\' development platform. This overlap suggests the Arid Viper operators are either linked to Skipped\'s developer or somehow gained illicit access to the shared project\'s database. Cisco\'s analysis uncovered an array of simulated dating applications that are linked to Skipped, leading us to assess that Arid Viper operators may seek to leverage these additional applications in future malicious campaigns. In order to coerce users into downloading their mobile malware, Arid Viper operators share malicious links masquerading as updates to the dating applications, that instead deliver malware to the user\'s device. Arid Viper\'s Android malware has a number of features that enable the operators to disable security notifications, collect users\' sensitive information, and deploy additional malicious applications on the compromised device. #### Reference URL(s) 1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/ #### Publication Date October 31, 2023 #### Author(s) Cisco Talos |
Threat Malware | APT-C-23 APT-C-23 | ★★★ |
|
2023-10-25 19:25:25 | Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers (lien direct) | #### Description
ESET Research découvre des campagnes par le groupe Winter Vivern APT qui exploite une vulnérabilité XSS zéro-jour dans le serveur de la carte Web Roundcube et cible les entités gouvernementales et un groupe de réflexion en Europe.Pour compromettre ses objectifs, le groupe utilise des documents malveillants, des sites Web de phishing et une porte dérobée PowerShell personnalisée.L'exploitation de la vulnérabilité XSS, attribuée CVE-2023-5631, peut se faire à distance en envoyant un e-mail spécialement conçu.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploitts-zero-ay-vulnerabilité-loundcube-webmail-servers/
#### Date de publication
25 octobre 2023
#### Auteurs)
Matthieu faou
#### Description ESET Research discover campaigns by the Winter Vivern APT group that exploit a zero-day XSS vulnerability in the Roundcube Webmail server and target governmental entities and a think tank in Europe. To compromise its targets, the group uses malicious documents, phishing websites, and a custom PowerShell backdoor. Exploitation of the XSS vulnerability, assigned CVE-2023-5631, can be done remotely by sending a specially crafted email message. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/ #### Publication Date October 25, 2023 #### Author(s) Matthieu Faou |
Threat Vulnerability | ★★★ | |
|
2023-10-24 19:50:31 | Technique de téléchargement à double DLL de Quasar Rat \\ Quasar RAT\\'s Dual DLL Sideloading Technique (lien direct) |
#### Description
Quasarrat, également connu sous le nom de Cinarat ou Yggdrasil, est un outil d'administration à distance léger écrit en C #.Cet outil est ouvertement accessible en tant que projet GitHub.Cet outil est capable de diverses fonctions telles que la collecte de données système, l'exécution d'applications, le transfert de fichiers, l'enregistrement des touches, la prise de captures d'écran ou les captures de caméra, la récupération de mots de passe du système et la supervision des opérations comme le gestionnaire de fichiers, le gestionnaire de startup, le bureau distant et l'exécution de commandes de shell.
Dans la phase initiale, l'attaquant exploite "ctfmon.exe", qui est un fichier Microsoft authentique.Ce faisant, ils chargent une DLL malveillante qui, à l'œil non formé, semblerait bénin en raison de son nom déguisé.Lors de l'exécution du binaire "ctfmon.exe", l'étape est définie lorsque l'attaquant acquiert une charge utile de stade 1 \\ '.Cette charge utile initiale est cruciale, agissant comme la passerelle pour les actions malveillantes suivantes.À ce stade, l'acteur de menace met en jeu le fichier "calcc.exe" qui, dans ce contexte, n'est pas juste une application de calculatrice simple.Parallèlement à "Calc.exe", la DLL malveillante est également mise en mouvement.Lors de l'exécution de «calcc.exe», la DLL malveillante est déclenchée.Cette action se termine dans l'infiltration de la charge utile "quasarrat" dans la mémoire de l'ordinateur, reflétant la sensibilité de l'attaquant à contourner les mécanismes de sécurité.
#### URL de référence (s)
1.Hets: //www.uptcs.kum/blag/koker-rut
#### Date de publication
Octobre ౨౪, ౨౦౨౩
#### థ థ థ థ థ థ థ థ థ థ థ థ థ థ
Tejaswini Sandapolla
#### Description QuasarRAT, also known as CinaRAT or Yggdrasil, is a lightweight remote administration tool written in C#. This tool is openly accessible as a GitHub project. This tool is capable of various functions such as gathering system data, running applications, transferring files, recording keystrokes, taking screenshots or camera captures, recovering system passwords, and overseeing operations like File Manager, Startup Manager, Remote Desktop, and executing shell commands. In the initial phase, the attacker harnesses "ctfmon.exe," which is an authentic Microsoft file. By doing so, they load a malicious DLL which, to the untrained eye, would seem benign because of its disguised name. Upon execution of the "ctfmon.exe" binary, the stage is set as the attacker acquires a \'stage 1\' payload. This initial payload is crucial, acting as the gateway for the subsequent malicious actions. At this juncture, the threat actor brings into play the "calc.exe" file, which in this context, isn\'t just a simple calculator application. Alongside "calc.exe," the malicious DLL is also set into motion. On executing "calc.exe," the malicious DLL is triggered. This action culminates in the infiltration of the "QuasarRAT" payload into the computer\'s memory, reflecting the attacker\'s adeptness at circumventing security mechanisms. #### Reference URL(s) 1. https://www.uptycs.com/blog/quasar-rat #### Publication Date October 24, 2023 #### Author(s) Tejaswini Sandapolla |
Threat Tool | ★★★ | |
|
2023-10-20 18:49:47 | Des acteurs soutenus par le gouvernement exploitant la vulnérabilité de Winrar Government-Backed Actors Exploiting WinRAR Vulnerability (lien direct) |
#### Description
Au cours des dernières semaines, les menaces de Google \'s Menace Analysis Group \'s (TAG) ont observé plusieurs groupes de piratage soutenus par le gouvernement exploitant la vulnérabilité connue, CVE-2023-38831, dans Winrar, qui est un outil de fichiers populaire pour Windows.Un correctif est maintenant disponible, mais de nombreux utilisateurs semblent toujours vulnérables.Tag a observé des acteurs soutenus par le gouvernement d'un certain nombre de pays exploitant la vulnérabilité Winrar dans le cadre de leurs opérations.
Le CVE-2023-38831 est une vulnérabilité logique dans Winrar provoquant une expansion temporaire étrangère lors du traitement des archives fabriquées, combinées à une bizarrerie dans l'implémentation de Windows \\ 'Shellexcucute lors de la tentative d'ouvrir un fichier avec une extension contenant des espaces.La vulnérabilité permet aux attaquants d'exécuter du code arbitraire lorsqu'un utilisateur tente d'afficher un fichier bénin (comme un fichier PNG ordinaire) dans une archive zip.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/government-backed-actors-expoiting-winrar-vulnerabilité/
2. https://ti.defender.microsoft.com/cves/cve-2023-38831
3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description
#### Date de publication
18 octobre 2023
#### Auteurs)
Kate Morgan
#### Description In recent weeks, Google\'s Threat Analysis Group\'s (TAG) has observed multiple government-backed hacking groups exploiting the known vulnerability, CVE-2023-38831, in WinRAR, which is a popular file archiver tool for Windows. A patch is now available, but many users still seem to be vulnerable. TAG has observed government-backed actors from a number of countries exploiting the WinRAR vulnerability as part of their operations. CVE-2023-38831 is a logical vulnerability within WinRAR causing extraneous temporary file expansion when processing crafted archives, combined with a quirk in the implementation of Windows\' ShellExecute when attempting to open a file with an extension containing spaces. The vulnerability allows attackers to execute arbitrary code when a user attempts to view a benign file (such as an ordinary PNG file) within a ZIP archive. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/ 2. https://ti.defender.microsoft.com/cves/CVE-2023-38831 3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description #### Publication Date October 18, 2023 #### Author(s) Kate Morgan |
Threat Tool Vulnerability | ★★★ |
To see everything:
Our RSS (filtrered)
