What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2025-01-15 15:47:12 | US, Japan and S. Korea urge crypto industry to take action against North Korean hackers (lien direct) | The governments said North Korea\'s notorious Lazarus Group hackers “continue to demonstrate a pattern of malicious behavior in cyberspace by conducting numerous cybercrime campaigns to steal cryptocurrency and targeting exchanges, digital asset custodians, and individual users.”
The governments said North Korea\'s notorious Lazarus Group hackers “continue to demonstrate a pattern of malicious behavior in cyberspace by conducting numerous cybercrime campaigns to steal cryptocurrency and targeting exchanges, digital asset custodians, and individual users.” |
APT 38 | ★★ | |
 |
2024-12-30 12:02:43 | Weekly OSINT Highlights, 30 December 2024 (lien direct) | ## Snapshot
Last week\'s OSINT reporting highlights the persistence and evolution of cyber threats targeting a wide range of sectors, from cryptocurrency exchanges to aerospace and defense industries. The predominant attack vectors include phishing, exploitation of long-standing vulnerabilities, and the use of advanced malware like StealBit, OtterCookie, and VBCloud. Threat actors such as North Korea\'s Lazarus Group and TraderTraitor, as well as botnets like FICORA and CAPSAICIN, continue to refine their tactics, leveraging social engineering, compromised software repositories, and ransomware-as-a-service to achieve their objectives. These campaigns predominantly target high-value organizations and unpatched systems, emphasizing the importance of addressing known vulnerabilities and monitoring for sophisticated attack chains.
## Description
1. [StealBit Data Exfiltration Tool](https://sip.security.microsoft.com/intel-explorer/articles/68a374b4): The LockBit ransomware group employs StealBit as part of its ransomware-as-a-service program, facilitating data theft in double extortion attacks. Recent updates to the tool broaden its target base and enhance efficiency, allowing faster data exfiltration and streamlined operations.
1. [FICORA and CAPSAICIN Botnets](https://sip.security.microsoft.com/intel-explorer/articles/77c183a0): FortiGuard Labs observed global activity from the FICORA and CAPSAICIN botnets, exploiting long-standing vulnerabilities in D-Link devices. These botnets, targeting unpatched systems, leverage DDoS capabilities and advanced features to dominate infected devices, focusing on East Asia and other global regions.
1. [OtterCookie and the Contagious Interview Campaign](https://sip.security.microsoft.com/intel-explorer/articles/b5a152a8): North Korean actors deploy OtterCookie malware through fake job offers to developers, targeting cryptocurrency wallets and sensitive data. Infection methods include compromised GitHub and npm projects, with evolving variants enhancing data theft and lateral movement.
1. [TraderTraitor\'s $308 Million Cryptocurrency Heist](https://sip.security.microsoft.com/intel-explorer/articles/9cd8b8b5): The North Korean TraderTraitor group stole $308 million from Japan\'s DMM Bitcoin, leveraging LinkedIn for social engineering and GitHub for malware delivery. By compromising a Japanese cryptocurrency wallet company, the group infiltrated systems to manipulate legitimate transactions.
1. [Lazarus Group\'s DeathNote Campaign](https://sip.security.microsoft.com/intel-explorer/articles/3b7cea68): Lazarus Group continues targeting industries like aerospace and cryptocurrency through Operation DreamJob, using trojanized tools and DLL side-loading techniques. Recent attacks deploy advanced malware strains to evade detection, establish persistence, and enable lateral movement within targeted systems.
1. [Cloud Atlas 2024 Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/caa75881): Cloud Atlas targets Eastern Europe and Central Asia with phishing emails exploiting Equation Editor vulnerabilities, delivering VBShower and VBCloud malware. These tools use PowerShell scripts for data theft, lateral movement, and exfiltration, with region-specific tactics to avoid detection.
## Copyright
**© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited.
## Snapshot Last week\'s OSINT reporting highlights the persistence and evolution of cyber threats targeting a wide range of sectors, from cryptocurrency exchanges to aerospace and defense industries. The predominant attack vectors include phishing, exploitation of long-standing vulnerabilities, and the use of advanced malware like StealBit, OtterCookie, and VBCloud. Threat actors such as North Korea\'s Lazarus Group and TraderTraitor, as well as botnets like FICORA and CAPSAICIN, continue to refine their tactics, leveraging |
Ransomware Malware Tool Vulnerability Threat Cloud | APT 38 | ★★ |
 |
2024-12-25 15:54:00 | Iran\\'s Charming Kitten Deploys BellaCPP: A New C++ Variant of BellaCiao Malware (lien direct) | The Iranian nation-state hacking group known as Charming Kitten has been observed deploying a C++ variant of a known malware called BellaCiao.
Russian cybersecurity company Kaspersky, which dubbed the new version BellaCPP, said it discovered the artifact as part of a "recent" investigation into a compromised machine in Asia that was also infected with the BellaCiao malware.
BellaCiao was first
The Iranian nation-state hacking group known as Charming Kitten has been observed deploying a C++ variant of a known malware called BellaCiao. Russian cybersecurity company Kaspersky, which dubbed the new version BellaCPP, said it discovered the artifact as part of a "recent" investigation into a compromised machine in Asia that was also infected with the BellaCiao malware. BellaCiao was first |
Malware | APT 35 | ★★ |
 |
2024-12-23 20:06:03 | Lazarus Group Targets Nuclear Industry with CookiePlus Malware (lien direct) | KEY SUMMARY POINTS Securelist by Kaspersky has published its latest threat intelligence report focused on the activities of…
KEY SUMMARY POINTS Securelist by Kaspersky has published its latest threat intelligence report focused on the activities of… |
Malware Threat | APT 38 | ★★★★ |
|
2024-12-23 19:32:18 | North Korean hackers spotted using new tools on employees of \\'nuclear-related\\' org (lien direct) | Researchers at Kaspersky said they found the Lazarus Group using “a complex infection chain that included multiple types of malware, such as a downloader, loader, and backdoor, demonstrating the group\'s evolved delivery and improved persistence methods.”
Researchers at Kaspersky said they found the Lazarus Group using “a complex infection chain that included multiple types of malware, such as a downloader, loader, and backdoor, demonstrating the group\'s evolved delivery and improved persistence methods.” |
Malware Tool | APT 38 | ★★ |
|
2024-12-20 16:14:00 | Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware (lien direct) | The Lazarus Group, an infamous threat actor linked to the Democratic People\'s Republic of Korea (DPRK), has been observed leveraging a "complex infection chain" targeting at least two employees belonging to an unnamed nuclear-related organization within the span of one month in January 2024.
The attacks, which culminated in the deployment of a new modular backdoor referred to as CookiePlus, are
The Lazarus Group, an infamous threat actor linked to the Democratic People\'s Republic of Korea (DPRK), has been observed leveraging a "complex infection chain" targeting at least two employees belonging to an unnamed nuclear-related organization within the span of one month in January 2024. The attacks, which culminated in the deployment of a new modular backdoor referred to as CookiePlus, are |
Malware Threat | APT 38 | ★★★★ |
 |
2024-12-19 10:00:55 | Lazarus group evolves its infection chain with old and new malware (lien direct) | Lazarus targets employees of a nuclear-related organization with a bunch of malware, such as MISTPEN, LPEClient, RollMid, CookieTime and a new modular backdoor CookiePlus.
Lazarus targets employees of a nuclear-related organization with a bunch of malware, such as MISTPEN, LPEClient, RollMid, CookieTime and a new modular backdoor CookiePlus. |
Malware | APT 38 | ★★★ |
 |
2024-12-01 15:56:58 | BadWPAD wpad.software case and DNS threat hunting (lien direct) | In this blog post I would like to show an interesting example of badWPAD attack which resulted in leaking browser history over DNS queries. More detailed description of these kind of attacks with WPAD file has been already presented in one of the last blog entries [https://blog.redteam.pl/2019/05/badwpad-dns-suffix-wpad-wpadblocking-com.html]. WPAD TLDs First of all we checked TLD list from IANA [https://data.iana.org/TLD/tlds-alpha-by-domain.txt] for first level of wpad domains: 101.37.23.113 wpad.bike 104.18.54.241 wpad.mobi 104.18.55.241 wpad.mobi 104.199.123.6 wpad.ac 104.24.104.177 wpad.online 104.24.104.228 wpad.army 104.24.105.177 wpad.online 104.24.105.228 wpad.army 104.24.120.45 wpad.space 104.24.121.45 wpad.space 104.25.51.128 wpad.world 104.27.176.234 wpad.site 104.27.177.234 wpad.site 104.27.188.57 wpad.co 104.27.189.57 wpad.co 104.28.10.19 wpad.kz 104.28.11.19 wpad.kz 104.31.74.75 wpad.exchange | Malware Threat | APT 32 | ★★ |
|
2024-11-18 12:22:31 | Weekly OSINT Highlights, 18 November 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, including ransomware, phishing, espionage, and supply chain attacks. Key trends include evolving attack vectors like malicious .LNK files and PowerShell-based lateral movements, as seen in campaigns targeting Pakistan and other regions. Threat actors span from state-sponsored groups such as North Korea\'s Lazarus and China\'s TAG-112 to financially motivated groups like SilkSpecter, with targets including critical sectors like manufacturing, government, healthcare, and e-commerce. Information stealers emerged as a notable theme, with malware such as RustyStealer, Fickle Stealer, and PXA Stealer employing advanced obfuscation and multi-vector attacks to exfiltrate sensitive data from diverse sectors. The reports underscore sophisticated evasion tactics, the leveraging of legitimate platforms for malware delivery, and the persistent targeting of vulnerable backup and storage systems. ## Description 1. [Ymir Ransomware Attack](https://sip.security.microsoft.com/intel-explorer/articles/1444d044): Researchers at Kaspersky identified Ymir, a ransomware variant that performs operations entirely in memory and encrypts data using the ChaCha20 algorithm. Attackers used PowerShell-based lateral movement and reconnaissance tools, employing RustyStealer malware to gain initial access and steal data, targeting systems in Colombia among other regions. 1. [WIRTE Group Cyber Attacks](https://sip.security.microsoft.com/intel-explorer/articles/17c5101d): Check Point Research linked WIRTE, a Hamas-connected group, to espionage and disruptive cyber attacks in 2024, including PDF lure-driven Havoc framework deployments and SameCoin wiper campaigns targeting Israeli institutions. WIRTE, historically aligned with the Molerats, focuses on politically motivated attacks in the Middle East, showcasing ties to Gaza-based cyber activities. 1. [DoNot Group Targets Pakistani Manufacturing](https://sip.security.microsoft.com/intel-explorer/articles/25ee972c): The DoNot group launched a campaign against Pakistan\'s manufacturing sector, focusing on maritime and defense industries, using malicious .LNK files disguised as RTF documents to deliver stager malware via PowerShell. The campaign features advanced persistence mechanisms, updated AES encryption for C&C communications, and dynamic domain generation, highlighting their evolving evasion tactics. 1. [Election System Honeypot Findings](https://sip.security.microsoft.com/intel-explorer/articles/1a1b4eb7): Trustwave SpiderLabs\' honeypot for U.S. election infrastructure recorded attacks like brute force, SQL injection, and CVE exploits by botnets including Mirai and Hajime. The attacks, largely driven by exploit frameworks and dark web collaboration, underline persistent threats against election systems. 1. [Chinese TAG-112 Tibetan Espionage](https://sip.security.microsoft.com/intel-explorer/articles/11ae4e70): In May 2024, TAG-112, suspected to be Chinese state-sponsored, compromised Tibetan community websites via Joomla vulnerabilities to deliver Cobalt Strike payloads disguised as security certificates. The campaign reflects Chinese intelligence\'s enduring interest in monitoring and disrupting Tibetan and other minority organizations. 1. [Phishing Campaigns Exploit Ukrainian Entities](https://sip.security.microsoft.com/intel-explorer/articles/95253614a): Russian-linked threat actor UAC-0194 targeted Ukrainian entities with phishing campaigns, exploiting CVE-2023-320462 and CVE-2023-360251 through malicious hyperlinks in emails. The attacks leveraged compromised municipal servers to host malware and facilitate privilege escalation and security bypasses. 1. [Lazarus Group\'s MacOS Targeting](https://sip.security.microsoft.com/intel-explorer/articles/7c6b391d): Lazarus, a North Korean threat actor, deployed RustyAttr malware targeting macOS via malicious apps using Tauri framework, hiding payloads in Extended Attributes (EA). This campaign reflects evolvin | Ransomware Malware Tool Vulnerability Threat Prediction Medical Cloud Technical | APT 41 APT 38 | ★★★ |
|
2024-11-15 15:40:32 | Hackers use macOS extended file attributes to hide malicious code (lien direct) | ## Snapshot
Researchers at Group-IB have identified a new trojan targeting macOS, dubbed RustyAttr, that leverages extended attributes (EAs) in macOS files to conceal malicious code.
## Description
EA is meta data associated with files and directories in different file systems. This code smuggling is reminiscent of the [Bundlore adware approach in 2020](https://security.microsoft.com/intel-explorer/articles/71a3eed3), which also targeted macOS by hiding payloads in resource forks. Resource forks were mostly deprecated and replaced by the application bundle structure and EA. The RustyAttr malware uses the Tauri framework to build malicious apps that execute a shell script stored within an EA named \'test.\' Tauri creates lightweight desktop apps with a web frontend (HTML, CSS, JavaScript) and a Rust backend. These apps run a JavaScript that retrieves the shell script from the \'test\' EA and executes it. Some samples simultaneously launch decoy PDFs or error dialogs to distract the user. The decoy PDFs, and one of the malicious application bundles, were sourced from a pCloud instance containing cryptocurrency-related content. The applications were likely signed with a leaked certificate that Apple has since revoked. MacOS Gatekeeper currently blocks these applications from running unless the user actively chooses to override these malware protections.
Although Group-IB couldn\'t analyze the next-stage malware, they found that the staging server connects to a known North Korean threat actor group Lazarus\' (tracked by Microsoft as [Diamond Sleet](https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5)) infrastructure endpoint. Group-IB researchers suggest that Lazarus is trying out new ways to deliver malware. This discovery comes alongside a similar [report from SentinelLabs](https://security.microsoft.com/intel-explorer/articles/aea544a9) about the North Korean threat actor BlueNoroff (tracked by Microsoft as [Sapphire Sleet](https://security.microsoft.com/intel-profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1)), which has been using related evasion techniques on macOS, including cryptocurrency-themed phishing and modified \'Info.plist\' files to retrieve second-stage payloads. It remains unclear if the RustyAttr and BlueNoroff campaigns are connected, but it highlights a trend of North Korean hackers focusing on macOS systems for their operations.
## Recommendations
Group-IB recommends keeping macOS Gatekeeper enabled to protect your system from harmful software.
Additionally, Microsoft recommends the following mitigations to reduce the impact of this threat.
• Only install apps from trusted sources and official stores, like the Google Play Store and Apple App Store.
• Never click on unknown links received through ads, SMS messages, emails, or similar untrusted sources.
• Avoid granting SMS permissions, notification listener access, or accessibility access to any applications without a strong understanding of why the application needs it.
• To learn more about preventing trojans or other malware from affecting individual devices, [read about preventing malware infection](https://www.microsoft.com/security/business/security-101/what-is-malware).
## References
[Hackers use macOS extended file attributes to hide malicious code](https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/). Bleeping Computer (accessed 2024-11-14)
[Stealthy Attributes of APT Lazarus: Evading Detection with Extended Attributes](https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus/). Group-IB (accessed 2024-11-14)
## Copyright
**© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited.
## Snapshot Researchers at Group-IB have ide |
Malware Threat Prediction | APT 38 | ★★ |
|
2024-11-14 15:21:00 | New RustyAttr Malware Targets macOS Through Extended Attribute Abuse (lien direct) | Threat actors have been found leveraging a new technique that abuses extended attributes for macOS files to smuggle a new malware called RustyAttr.
The Singaporean cybersecurity company has attributed the novel activity with moderate confidence to the infamous North Korea-linked Lazarus Group, citing infrastructure and tactical overlaps observed in connection with prior campaigns, including
Threat actors have been found leveraging a new technique that abuses extended attributes for macOS files to smuggle a new malware called RustyAttr. The Singaporean cybersecurity company has attributed the novel activity with moderate confidence to the infamous North Korea-linked Lazarus Group, citing infrastructure and tactical overlaps observed in connection with prior campaigns, including |
Malware Threat | APT 38 | ★★★ |
|
2024-11-14 13:13:41 | Lazarus Group Targets macOS with RustyAttr Trojan in Fake Job PDFs (lien direct) | Group-IB has uncovered Lazarus group\'s stealthy new trojan and technique of hiding malicious code in extended attributes on…
Group-IB has uncovered Lazarus group\'s stealthy new trojan and technique of hiding malicious code in extended attributes on… |
APT 38 | ★★★ | |
 |
2024-11-13 16:00:00 | Lazarus Group Uses Extended Attributes for Code Smuggling in macOS (lien direct) | Lazarus APT has been found smuggling malware onto macOS devices using custom extended attributes, evading detection
Lazarus APT has been found smuggling malware onto macOS devices using custom extended attributes, evading detection |
Malware | APT 38 | ★★ |
|
2024-11-11 12:45:44 | Faits saillants hebdomadaires, 11 novembre 2024 (lien direct) | ## Instantané La semaine dernière, le rapport \\\\\\\\\\\\\ \ \ ait le rapport a mis en évidence un paysage à multiples facettes de cybermenaces motivé par diverses tactiques, vecteurs et cibles. L'analyse a souligné l'utilisation persistante du phishing comme vecteur dominant, allant de la lance sophistiquée ciblant les entités sud-coréennes par APT37 à des campagnes à grande échelle en Ukraine par l'UAC-0050. Des groupes avancés de menace persistante (APT) comme Sapphire Sleet, APT-36 et TA866 ont utilisé des méthodes furtives, y compris des logiciels malveillants modulaires et des outils RMM, pour atteindre l'espionnage et le gain financier. Les vulnérabilités d'infrastructures critiques, comme celles des systèmes Synology NAS et Palo Alto, ont en outre souligné les risques pour les dispositifs d'entreprise et de consommation. Les acteurs de la menace, notamment des groupes parrainés par l'État et des cybercriminels, des outils à effet de levier comme les logiciels malveillants de cryptomine, les botnets sophistiqués et les nouveaux rats pour étendre leur contrôle sur les systèmes, tandis que les élections influencent les opérations par des entités russes et iraniennes ont mis en lumière les dimensions géopolitiques des cyber-activités. Dans l'ensemble, la semaine a révélé un paysage de menaces en évolution marqué par des méthodes d'attaque adaptatives ciblant les institutions financières, les agences gouvernementales et les utilisateurs de tous les jours. ## Description 1. [Attaque silencieuse de l'écumeur] (https://sip.security.microsoft.com/intel-explorer/articles/2f001d21): l'unité 42 a suivi un compromis de serveur Web ciblant une organisation multinationale nord-américaine, liée à la campagne silencieuse de la campagne Skimmer Volet données de paiement en ligne. Les attaquants ont utilisé des vulnérabilités de Telerik UI, établi la persistance via des coquilles Web et des données exfiltrées à l'aide d'outils de tunneling. 1. [Bundle Steelfox Crimeware] (https://sip.security.microsoft.com/intel-explorer/articles/0661f634): une nouvelle étendue de paquet de logiciels malveillants via de faux activateurs de logiciels effectue une attaque multi-étages impliquant un theft de données et une cryptominage. Il cible principalement les utilisateurs du monde entier en exploitant les vulnérabilités de Windows pour élever les privilèges et maintenir la persistance. 1. [CloudComptation \\\\\\\\\\\\\\ ’scolatics d’espionnage évolutif] (https://sip.security.microsoft.com/intel-explorer/articles/792a6266): SecureList de Kaspersky a rapporté que CloudComputation (backdoordiplomacy) est passé à l'utilisation du framework QSC, un malware multi-plugine Outil conçu pour l'exécution des modules en mémoire, améliorant la furtivité et la persistance. Les attaques du groupe \\\\\\\\\\\\\ \\\ \ \\\\\\\\\ \ \ \ \ opérations système. 1. [Remcos Rat Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/d36e3ff1): Fortiguard Labs a découvert une campagne de phishing déploiement des rat remcos via des documents Ole Excel ole excel qui exploitent les vulnérabilités de Microsoft. Cette attaque tire parti des techniques d'anti-analyse, de la livraison de charge utile sans fil et de la manipulation du système pour la persistance, permettant aux attaquants de contrôler les appareils de victime, de collecter des données et de communiquer avec un serveur de commandement et de contrôle à l'aide de canaux cryptés. 1. [Wish Stealer Malware] (https://sip.security.microsoft.com/intel-explorer/articles/a11d08f6): Cyfirma a découvert un voleur d'informations Windows ciblant la discorde, les navigateurs Web et les portefeuilles de crypto-monnaie. Il utilise le détournement de presse-papiers, les fonctionnalités anti-détection et la discorde pour l'exfiltration des données, posant des risques à la sécurité des utilisateurs. 1. [Apt37 ciblant la Corée du Sud] (https://sip.security.microsoft.com/in | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT 37 | ★★★ |
|
2024-11-08 17:53:00 | Icepeony et la tribu transparente ciblent les entités indiennes avec des outils basés sur le cloud IcePeony and Transparent Tribe Target Indian Entities with Cloud-Based Tools (lien direct) |
Les entités de haut niveau en Inde sont devenues la cible de campagnes malveillantes orchestrées par l'acteur de menace de tribu transparente basé au Pakistan et un groupe de cyber-espionnage China-Nexus, auparavant inconnu, surnommé Icepeony.
Les intrusions liées à la tribu transparente impliquent l'utilisation d'un logiciel malveillant appelé Elizarat et une nouvelle charge utile de voleur surnommée Apolostealer sur des victimes d'intérêt spécifiques, point de contrôle
High-profile entities in India have become the target of malicious campaigns orchestrated by the Pakistan-based Transparent Tribe threat actor and a previously unknown China-nexus cyber espionage group dubbed IcePeony. The intrusions linked to Transparent Tribe involve the use of a malware called ElizaRAT and a new stealer payload dubbed ApoloStealer on specific victims of interest, Check Point |
Malware Tool Threat | APT 36 | ★★★ |
|
2024-11-07 21:47:54 | Analyse des activités de reconnaissance Cyber ?? Analysis of Cyber ??Reconnaissance Activities Behind APT37 Threat Actor (lien direct) |
#### Géolocations ciblées - Corée ## Instantané Les chercheurs géniens ont analysé une série d'attaques attribuées à APT37 (également connu sous le nom de [Pearl Sleet] (https://security.microsoft.com/intel-profiles/cc39b42c403d3dde8270a88784017b42c410a89cea1c94f232fa811059066d) acteur de menace OLD, ciblant les organisations sud-coréennesImpliqué dans les droits de l'homme nord-coréens, les transfuges, les journalistes et les experts en unification et en sécurité nationale. ## Description Les attaquants ont utilisé des e-mails de phisseur de lance qui semblaient provenir de sources de confiance, contenant des fichiers de raccourcis malveillants (LNK) conçus pour exécuter des commandes PowerShellet déployer le [Rokrat] (https://security.microsoft.com/intel-profiles/8fcae4db5ec22dcdd4b6a41896def195417e2a706e3a82a6b2a3d5022220ea89f8)malware.Ce logiciel malveillant permet aux attaquants de collecter des informations système étendues, y compris des adresses IP, des données de navigateur et des types de documents spécifiques, et collecte des extensions de fichiers d'enregistrement des smartphones.Les attaques récentes comprenaient des courriels avec des documents d'apparence légitime intitulés «Tendances de la Corée du Nord en avril» et «Matériel de cours de cyber-terrorisme nord-coréen». Les charges utiles de logiciels malveillants arrivent aux côtés des documents de leurre, dissimulés dans des fichiers chiffrés nommés "panic.dat" ou "Viewer.dat".Les chercheurs ont également identifié des modèles dans les adresses et les domaines IP des attaquants, les liant à travers les campagnes.APT37 a utilisé des services cloud, tels que les comptes Google Gmail.En outre, ils ont utilisé des balises Web intégrées dans des e-mails pour recueillir des renseignements sans utiliser de pièces jointes ou de liens directs. ## Analyse Microsoft et contexte OSINT supplémentaire Rokrat est une information personnalisée volant des logiciels malveillants utilisés exclusivement par Pearl Sleet.Pearl Sleet est un groupe d'activités nationales basé en Corée du Nord qui est actif depuis au moins 2012. Pearl Sleet est connu pour cibler principalement les transfuges de la Corée du Nord, des médias numériques, imprimés et diffusés, et des organisations religieuses, en particulier en Asie de l'Est.Le groupe de menaces se concentre sur l'espionnage et les services cloud pour l'exfiltration des données et la commande et le contrôle (C2).Le groupe utilise l'ingénierie sociale pour mener des attaques de trous de phishing et d'arrosage pour accéder aux utilisateurs ciblés \\ 'Boîtes et réseaux et réseaux.L'activité du grésil perlé est suivie par une autre sécuritéCompagnies AS APT37, Richochet Chollima, Temp.reper, Scarcruft et Inkysquid. ## Recommandations Microsoft recommande le suiviDen fait des atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing av | Malware Threat Cloud | APT 37 | ★★ |
 |
2024-11-05 13:08:28 | Transparent Tribe (APT36) : son nouveau malware ElizaRAT évolue encore (lien direct) | Transparent Tribe (APT36) : son nouveau malware ElizaRAT évolue encore Nouvelles méthodes d'exécution, meilleure capacité à échapper à la détection, des communications C2 - Malwares | Malware | APT 36 | ★★★ |
|
2024-11-05 11:30:00 | Les pirates pakistanais ciblaient des entités indiennes de haut niveau utilisant un rat personnalisé Pakistani Hackers Targeted High-Profile Indian Entities using Custom RAT (lien direct) |
APT36 a évolué son cheval de Troie à distance à distance, Elizarat, ainsi que l'introduction d'une nouvelle charge utile de voleur appelé Apolostealer
APT36 evolved its remote access trojan, ElizaRAT, along with introducing a new stealer payload called ApoloStealer |
APT 36 | ★★ | |
 |
2024-11-04 22:39:41 | APT36 affine des outils dans les attaques contre les cibles indiennes APT36 Refines Tools in Attacks on Indian Targets (lien direct) |
L'acteur avancé des menaces persistantes basée au Pakistan exerce une campagne de cyber-espionnage ciblant les organisations sur le sous-continent depuis plus d'une décennie, et il utilise désormais un nouveau malware "Elizarat" amélioré.
The Pakistan-based advanced persistent threat actor has been carrying on a cyber-espionage campaign targeting organizations on the subcontinent for more than a decade, and it\'s now using a new and improved "ElizaRAT" malware. |
Malware Tool Threat | APT 36 | ★★★ |
|
2024-11-04 19:39:03 | Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT (lien direct) | #### Géolocations ciblées - Inde ## Instantané APT-36, un acteur de menace basé au Pakistan, a activement ciblé les systèmes indiens avec un logiciel malveillant sophistiqué connu sous le nom d'Elizarat. ## Description Ce malware, identifié pour la première fois en 2023, a considérablement évolué, utilisant des tactiques d'évasion avancées et une infrastructure de commande et de contrôle basée sur le cloud (C2), notamment Google Drive, Telegram et Slack.APT-36 a récemment introduit une nouvelle charge utile, Apolostealer, qui est conçue pour collecter et exfiltrer des fichiers sensibles à partir de systèmes infectés. Elizarat utilise des fichiers de panneaux de commande (CPL) distribués par phishing pour initier les infections, avec une communication C2 ultérieure souvent gérée via des services cloud ou d'autres.Le malware enregistre les victimes en stockant leurs informations d'identification et de système, en enregistrant périodiquement le C2 pour les nouvelles commandes.Ces commandes peuvent inclure des tâches comme le téléchargement de fichiers, la prise de captures d'écran et la collecte d'informations système. Apolostealer, un ajout à la campagne, cible d'autres fichiers avec des extensions spécifiques telles que .pdf, .doc et .jpg, stockant les métadonnées dans une base de données SQLite pour l'exfiltration.Notamment, il surveille également les lecteurs externes, collectant des fichiers pertinents pour la récupération ultérieure.L'infrastructure cloud d'Elizarat \\ et l'utilisation de services Web courants rendent la détection difficile, car elle se mélange à une activité de réseau légitime. En 2024, l'APT-36 a mené de multiples campagnes contre des objectifs de haut niveau en Inde, chacun montrant des améliorations techniques d'Elizarat.Ces campagnes ont utilisé des variantes distinctes d'Elizarat et d'apolostealer avec des techniques sophistiquées, soulignant l'intention ciblée de l'APT-36 \\ sur le cyber-espionnage contre les organisations indiennes. ## Analyse Microsoft et contexte OSINT supplémentaire L'APT36, également connu sous le nom de Tribe Transparent, est un groupe de menaces basé au Pakistan qui se concentre principalement sur le cyberespionnage contre le gouvernement indien, la défense et les secteurs de l'éducation.Notamment, le groupe a été observé ciblant le gouvernement indien et les militaires en utilisant [des APK malveillants imitant YouTube] (https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-Enthousiastes /) et [INDIAN ENDUCTION INSTRUCTIONS] (http://blog.talosintelligence.com/2022/07/transparent-tribe-targets-education.html) en utilisant des logiciels malveillants personnalisés. Le groupe utilise un large éventail d'outils, notamment des chevaux de Troie (rats) à un accès à distance sur mesure pour les fenêtres, des cadres de commande et de contrôle open source modifiés, des installateurs maltraités qui imitent les applications gouvernementales indiennes, les applications Android malveillantes et les sites de phishing ciblant les Indiens indiensofficiels.Les logiciels malveillants notables liés à l'APT36 comprennent Elizarat, Caprarat, Poséidon, Crimsonrat, Obliquerat, Darkcomet et Peppy. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid | Ransomware Malware Tool Threat Mobile Cloud Technical | APT 36 | ★★ |
 |
2024-11-04 13:33:15 | Nuageux avec une chance de rats: dévoiler APT36 et l'évolution d'Elizarat Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT (lien direct) |
> Introduction APT36, également connue sous le nom de Tribe Transparent, est un acteur de menace basé au Pakistan notoire pour cibler constamment les organisations gouvernementales indiennes, le personnel diplomatique et les installations militaires.APT36 a mené de nombreuses campagnes de cyber-espionnage contre Windows, Linux et Android Systems.Dans les campagnes récentes, l'APT36 a utilisé un rat Windows particulièrement insidieux connu sous le nom d'Elizarat.Découvert pour la première fois en 2023, Elizarat a significativement [& # 8230;]
>Introduction APT36, also known as Transparent Tribe, is a Pakistan-based threat actor notorious for persistently targeting Indian government organizations, diplomatic personnel, and military facilities. APT36 has conducted numerous cyber-espionage campaigns against Windows, Linux, and Android systems. In recent campaigns, APT36 utilized a particularly insidious Windows RAT known as ElizaRAT. First discovered in 2023, ElizaRAT has significantly […] |
Threat Mobile | APT 36 | ★★ |
|
2024-11-04 13:00:51 | L'évolution du nouveau malware de la tribu transparente \\ The Evolution of Transparent Tribe\\'s New Malware (lien direct) |
> Résumé exécutif: Dans les cyberattaques récentes, la tribu transparente ou l'APT36, a utilisé un malware de plus en plus sophistiqué appelé Elizarat.Vérifier les recherches sur le point de contrôle a suivi l'évolution d'Elizarat \\, en découvrant ses méthodes d'exécution améliorées, son évasion de détection et sa communication de commandement et de contrôle depuis sa divulgation publique en septembre 2023. Les campagnes Elizarat ont d'abord exécuté la même fonction pour vérifier que le système a été mis en IndeTemps standard, indiquant que les campagnes ont ciblé les systèmes indiens.La tribu transparente, autrement connue sous le nom d'APT36, est un acteur de menace affilié au Pakistan qui cible notoirement les entités associées aux Indiens.Le principal objectif du groupe de menaces est le cyber-espionnage, qui a auparavant ciblé les organisations gouvernementales, diplomatique [& # 8230;]
>Executive Summary: In recent cyber attacks, Transparent Tribe, or APT36, has utilized an increasingly sophisticated malware called ElizaRAT. Check Point Research tracked ElizaRAT\'s evolution, uncovering its improved execution methods, detection evasion, and Command and Control communication since its public disclosure in September 2023. The ElizaRAT campaigns first executed the same function to verify that the system was set to India Standard Time, indicating that the campaigns targeted Indian systems. Transparent Tribe, otherwise known as APT36, is a Pakistan-affiliated threat actor that notoriously targets Indian-associated entities. The threat group\'s main objective is cyber espionage, which has previously targeted governmental organizations, diplomatic […] |
Malware Threat | APT 36 | ★★★ |
|
2024-11-04 12:25:16 | Faits saillants hebdomadaires d'osint, 4 novembre 2024 Weekly OSINT Highlights, 4 November 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence l'activité de menace parrainée par l'État et la menace cybercriminale, avec divers vecteurs d'attaque et cibles dans les secteurs.Des acteurs apt en Corée du Nord, en Chine et en Russie ont mené des campagnes ciblées de phishing, de réseau et de campagnes de logiciels malveillants.Les groupes nord-coréens et russes ont favorisé les tactiques de vol d'identification et de ransomwares ciblant les secteurs du gouvernement aux militaires, tandis que les acteurs chinois ont exploité les vulnérabilités de pare-feu pour obtenir un accès à long terme dans les secteurs à enjeux élevés.Pendant ce temps, les cybercriminels ont mis à profit l'ingénierie sociale, le Vishing et l'IoT et les vulnérabilités de plugin pour infiltrer les environnements cloud, les appareils IoT et les systèmes Android.L'accent mis sur l'exploitation des vulnérabilités de logiciels populaires et des plateformes Web souligne l'adaptabilité de ces acteurs de menace à mesure qu'ils étendent leur portée d'attaque, en particulier dans l'utilisation des stratégies de cloud, de virtualisation et de cryptomiminage dans une gamme d'industries. ## Description 1. [Jumpy Poisses Ransomware Collaboration] (https://sip.security.microsoft.com/intel-explorer/articles/393b61a9): l'unité 42 a rapporté la Corée du Nord \'s Jucky Pisse (Onyx Sleet) en partenariat avec Play Ransomware in \'s Jumpy Pisses (ONYX Sleet) en partenariat avec Play Ransomware dans Play Ransomware in Jumpy Pisses (ONYX Sleet)Une attaque à motivation financière ciblant les organisations non spécifiées.L'acteur de menace a utilisé des outils comme Sliver, Dtrack et Psexec pour gagner de la persistance et dégénérerPrivilèges, se terminant par le déploiement des ransomwares de jeu. 1. [Menaces chinoises ciblant les pare-feu] (https://sip.security.microsoft.com/intel-Explorateur / articles / 798C0FDB): Sophos X-OPS a identifié des groupes basés en Chine comme Volt Typhoon, APT31 et APT41 exploitant des pare-feu pour accéderPacifique.Ces groupes utilisent des techniques sophistiquées telles que les rootkits de vie et multiplateforme. 1. [Campagne de phishing sur la plate-forme Naver] (https://sip.security.microsoft.com/intel-explorer/articles/dfee0ab5): les acteurs liés au nord-coréen ont lancé une campagne de phishing ciblant la Corée du Sud \'s Naver, tentantPour voler des informations d'identification de connexion via plusieurs domaines de phishing.L'infrastructure, avec les modifications du certificat SSL et les capacités de suivi, s'aligne sur Kimsuky (Emerald Sleet), connu pour ses tactiques de vol d'identification. 1. [FAKECALL Vishing malware sur Android] (https://sip.security.microsoft.com/intel-explorer/articles/d94c18b0): les chercheurs de Zimperium ont identifié des techniques de vitesses de malware FAKECALT pour voler les utilisateurs de l'Android.Le malware intercepte les appels et imite le numéroteur d'Android \\, permettant aux attaquants de tromper les utilisateurs pour divulguer des informations sensibles. 1. [Facebook Business Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/82b49ffd): Cisco Talos a détecté une attaque de phishing ciblant les comptes commerciaux Facebook à Taiwan, en utilisant des avis juridiques comme leurre.Lummac2 et les logiciels malveillants de volée des informations de Rhadamanthys ont été intégrés dans des fichiers RAR, collectionner des informations d'identification du système et éluder la détection par l'obscurcissement et l'injection de processus. 1. [Vulnérabilité des caches litres de LiteSpeed] (https://sip.security.microsoft.com/intel-explorer/articles/a85b69db): le défaut du plugin de cache LiteSpeets (CVE-2024-50550) pourrait permettre une escalale de privilège à un niveau de privilège à plus de six millions pour plus de six millionssites.Les vulnérabilités exploitées ont permis aux attaquants de télécharger des plugins ma | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Medical Cloud Technical | APT 41 APT 28 APT 31 Guam | ★★★ |
|
2024-10-31 20:29:50 | Pacific Rim Timeline: Informations pour les défenseurs contre une tresse de campagnes d'attaque entrelacées Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns (lien direct) |
## Instantané Depuis plus de cinq ans, Sophos a suivi plusieurs groupes basés en Chine ciblant leurs pare-feu grâce à des botnets sophistiqués, des exploits uniques et des logiciels malveillants personnalisés. ## Description La collaboration avec divers fournisseurs de cybersécurité, les agences gouvernementales et les forces de l'ordre a permis aux Sophos d'attribuer des activités spécifiques à des groupes comme [Volt Typhoon] (https: // Security.Microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb), APT31 (suivi par Microsoft comme [Violet.Micoft 8039ED98462546859F2AC987E7EC77A6C7DA15D760E7AC0AAF173AC486)), et APT41 (suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6)).Enquêtes récentesPar Sophos X-OPS a révélé que le développement d'exploitation de confiance élevée se produisait à Sichuan, où ces exploits seraient partagés entre des groupes parrainés par l'État avec des objectifs et des capacités variables. L'analyse met également en évidence l'exploitation de vulnérabilités spécifiques, notamment [CVE-2020-12271] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2020-12271 /), [CVE-2020-15069] (https://security.microsoft.com/intel-explorer/cves/cve-2020-15069/), [CVE-2020-29574] (https://security.microsoft.com/intel-explorer/cves/cve-2020-29574/), [CVE-2022-1040] (https://secuth-2022-3236 /). Sophos a noté un changement significatif dans les comportements des attaquants, passant de larges attaques bruyantes destinées à établir des boîtes de relais opérationnelles (ORB) à des opérations plus ciblées et furtives ciblant les infrastructures de grande valeur, en particulier dans la région indo-pacifique.Les victimes comprennent des organisations dans les secteurs nucléaire, militaire, télécom et gouvernemental.Les tactiques employées par ces adversaires reflètent une amélioration de la furtivité et de la persistance, notamment l'utilisation de techniques de vie, de classes Java en arrière, de chevaux de Troie uniquement et d'un rootkit complexe nommé Cloud Snooper, qui est remarquable pour ses capacités multiplategiennes. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learnDoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-O | Malware Tool Vulnerability Threat Legislation Cloud | APT 41 APT 31 | ★★★ |
|
2024-10-30 18:25:16 | (Déjà vu) Rekoobe Backdoor découverte dans le répertoire ouvert, ciblant éventuellement les utilisateurs de TradingView Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users (lien direct) |
## Instantané Une enquête récente a découvert la présence de Rekoobe, une porte dérobée initialement utilisée par APT31, suivie parMicrosoft comme [Violet Typhoon] (https://security.microsoft.com/intel-profiles/978d728039ed98462546859f2ac987e77a6c7da15d760e7ac0aaf173AC486), dans les répertoires ouverts. ## Description Rekoobe, basé en partie sur Tiny Shell, a évolué avec un chiffrement avancé et des paramètres de commande et de contrôle uniques, ce qui rend la détection difficile.Les chercheurs ont trouvé deux échantillons de rekoobe sur un répertoire ouvert lié à l'adresse IP 27.124.45 \ [. \] 146, révélant des binaires de logiciels malveillants étiquetés selon l'architecture et la date.Ces binaires ont tenté de se connecter avec le serveur d'hébergement via un port spécifique, suivant les modèles observés dans d'autres logiciels malveillants Rekoobe. Une analyse plus approfondie a identifié plusieurs domaines de sosie imitant le site Web populaire de TradingView, suggérant des efforts de phishing potentiels ciblant la communauté financière.Ces domaines présentent de légères variations typographiques, peut-être pour l'ingénierie sociale ou les attaques de phishing.Bien qu'aucun contenu actif n'ait été observé, le chevauchement de ces domaines avec une activité Rekoobe suggère une campagne coordonnée. L'enquête a également lié d'autres serveurs dans la même infrastructure basée à Hong Kong à l'aide de clés SSH partagées, renforçant la notion d'une configuration malveillante plus large.De plus, un outil de sécurité, Yakit, connu pour son équipe rouge légitime, a été trouvé sur un serveur, soulevant des questions sur son utilisation dans ce contexte.Collectivement, ces résultats révèlent une opération malveillante potentiellement étendue destinée aux plateformes financières, exigeant un examen minutieux. ## Analyse Microsoft et contexte OSINT supplémentaire L'acteur Microsoft suit comme [Violet Typhoon] (https://security.microsoft.com/intel-profiles/978d728039ed98462546859f2ac987e7ec77a6c7da15d760e7ac0aaf173ac486). Phoon est connu principalementcibler l'ancien gouvernement et le personnel militaire, les ONG et les groupes de réflexion aux États-Unis.Violet Typhoon se concentre sur l'espionnage.L'acteur est connu pour effectuer une analyse de vulnérabilité pour identifier l'infrastructure Web exposée à Internet, telles que les serveurs Web, la gestion de contenu ou les portails de gestion, puis exploiter ces vulnérabilités pour installer des shells Web.De plus, Violet Typhoon utilise la technique de reconnaissance des bogues Web. Le typhon Violet a également été observé à l'aide de courriels de phisseur de lance contenant un lien qui redirige vers les pages de connexion de récolte des informations d'identification.Après avoir obtenu un accès initial, le typhon Violet utilise des techniques d'adversaire dans le milieu et des capacités de fenêtres intégrées pour le mouvement latéral et l'escalade des privilèges.Microsoft a également observé le groupe à l'aide d'exploits de jours zéro pour l'escalade des privilèges.Violet Typhoon est suivi par d'autres sociétés de sécurité en tant qu'APT31. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, m | Ransomware Malware Tool Vulnerability Threat | APT 31 | ★★ |
|
2024-10-28 11:27:40 | Faits saillants hebdomadaires, 28 octobre 2024 Weekly OSINT Highlights, 28 October 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ sont mettant en évidence un éventail de types d'attaques dirigés par des acteurs sophistiqués parrainés par l'État et des menaces criminelles, avec des attaques notables ciblant les secteurs de la crypto-monnaie, du gouvernement et des infrastructures critiques.Les principaux vecteurs d'attaque incluent des campagnes de phishing, l'exploitation des vulnérabilités logicielles et des logiciels malveillants avancés et des outils tels que la grève de Cobalt, le ransomware et les botnets, tirant parti des CVE connus et des défauts d'exécution spéculatifs.Des groupes APT alignés par l'État, tels que les acteurs de la menace alignés par Lazare et la Russie, ont mené des attaques contre les plateformes de crypto-monnaie et les entités politiques, tandis que les opérations d'influence liées à la Russie ont utilisé du contenu généré par l'IA pour amplifier les récits de division avant les élections américaines de 2024.Pendant ce temps, les botnets et les modèles de ransomwares en tant que service comme Beast Raas ont démontré des progrès techniques dans la persistance, le chiffrement et les techniques d'exfiltration des données. ## Description 1. [Campagne Heptax] (https://sip.security.microsoft.com/intel-explorer/articles/CE9F9A25): la recherche Cyble a découvert la campagne Heptax ciblant les organisations de soins de santé par le biais de fichiers LNK malveillants distribués par e-mails de phishing.Les attaquants utilisent des scripts PowerShell pour réduire les paramètres de sécurité, permettant un accès à distance, une extraction de mot de passe et une surveillance du système pour une exfiltration de données prolongée. 2. [Wrnrat Malware] (https://sip.security.microsoft.com/intel-explorer/articles/118a2c8f): AhnLab a identifié WRNRAT malware distribué via de faux sites de jeu de jeu, destiné à la thèse de données motivés financièrement et au contrôle des systèmes infectés infectés.Une fois téléchargé, le malware capture les écrans utilisateur, envoie des informations système et met fin aux processus spécifiques tout en se déguisant en un processus Internet Explorer. 3. [Fortimanager Exploit] (https://sip.security.microsoft.com/intel-explorer/articles/2f35a4ca): Mandiant a rapporté UNC5820 \\ 's Exploitation of a fortimanager vulnérabilité zéro-jour (CVE-2024-47575)Pour exécuter du code et voler des données de configuration.L'attaque a ciblé les dispositifs FortiGate dans plusieurs industries, posant un risque de mouvement latéral grâce à des informations d'identification récoltées et à des informations sur les appareils. 4. [Black Basta \'s Social Engineering] (https://sip.security.microsoft.com/intel-explorer/articles/b231776f): Reliaquest documenté Black Basta Ransomware \\ est une ingénierie sociale avancée, y comprisSpam par e-mail de masse et imitations des équipes Microsoft, pour inciter les utilisateurs à installer des outils RMM ou à scanner les codes QR.Ces tactiques facilitent le déploiement des ransomwares via AnyDesk, soulignant la nécessité d'un e-mail et d'un compte vigilantsécurité. 5. [Ransomware embargo] (https://sip.security.microsoft.com/intel-explorer/articles/b7f0fd7b): eset identifiéEmbargo, un groupe Ransomware-as-a-Service ciblant les sociétés américaines, utilisant des outils basés sur la rouille comme Mdeployer et Ms4killer.En utilisant des tactiques à double extorsion, l'embargo personnalise des outils pour désactiver les systèmes de sécurité, chiffrer les fichiers et obtenir de la persistance via des redémarrages en mode sûr et des tâches planifiées. 6. [Lazarus Chrome Exploit Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/e831e4ae): les chercheurs de Kaspersky ont identifié une campagne de Lazarus APT et Bluenoroff (Diamond Sheet and Saphire Sleet), Exploriting A A et Bluenoroff.Vulnérabilité zéro-jour dans Google Chrome pour cibler les amateurs de crypto-monnaie.L'attaque utilise un fau | Ransomware Spam Malware Tool Vulnerability Threat Prediction Medical Cloud Technical | APT 38 Guam | ★★ |
|
2024-10-25 16:11:10 | The Crypto Game of Lazarus APT: Investors vs. Zero-days (lien direct) | ## Snapshot Researchers at Kaspersky identified a cyberattack campaign by the Lazarus APT (tracked by Microsoft as [Diamond Sleet](https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5)) group and its BlueNoroff subgroup (tracked by Microsoft as [Sapphire Sleet](https://security.microsoft.com/intel-profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1)), which exploited a zero-day vulnerability in Google Chrome to execute remote code through a fake decentralized finance (DeFi) game targeting individuals in the cryptocurrency space. ## Description The attackers used a type confusion in V8 vulnerability in Google Chrome\'s Maglev optimizing compiler, [CVE-2024-4947](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4947/), to gain read/write access to the entire address space of the Chrome process. They bypassed the V8 sandbox by exploiting a vulnerability in the Irregexp VM, allowing attackers to access memory outside the bounds of the register arrays, and to manipulate pointers and execute shellcode. The campaign involved social engineering tactics, including a malicious website that offered to download a beta version of the computer game called "DeTankZone" as a lure, which was a modified version of a legitimate game called DeFiTankLand. The initial infiltration was done through a hidden script on the website that exploited the Chrome vulnerabilities, allowing attackers to gain full control of the victim\'s device. The attackers built a presence on social media platforms and attempted to contact cryptocurrency influencers to promote their malicious website. Kaspersky reported the zero-day vulnerability to Google, which [released an update](https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html) to fix the issue in May 2024 on Chrome version 125.0.6422.60/.61. ## Microsoft Analysis and Additional OSINT Context [Microsoft](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/) attributes this activity to [Moonstone Sleet](https://security.microsoft.com/intel-profiles/8ba84cecf73bd9aca4e4ff90230dc1f277c039f78c40c1938b6f74b1b7cce20f), a threat actor behind a cluster of malicious activity that Microsoft assesses is North Korean state-aligned. Since February 2024, Microsoft has observed Moonstone Sleet infecting devices using the malicious tank game DeTankWar, also called DeFiTankWar, DeTankZone, or TankWarsZone. The game is portrayed as a nonfungible token (NFT)-enabled play-to-earn game, available on Windows, Mac, and Linux. In this campaign, Moonstone Sleet typically approaches its targets through messaging platforms, such as LinkedIn and Telegram, or by email with a link to download the game. When targeted users launch the game, the ZIP file is downloaded, and multiple malicious DLLs are loaded. This leads to connections to command-and-control (C2) infrastructure using a custom malware loader Microsoft calls YouieLoad. YouieLoad loads malicious payloads in memory and creates malicious services that perform functions such as network and user discovery and browser data collection. For compromised devices of particular interest to the group, the threat actor launches hands-on-keyboard commands with further discovery and conducts credential theft. The threat actors presented themselves as game developers seeking investment or developer support and either masquerading as a legitimate blockchain company or using fake companies like one called C.C. Waterfall, a purported IT consulting organization. Moonstone Sleet created a robust public campaign that includes the websites detankwar\[.\]com and defitankzone\[.\]com, and many X (Twitter) accounts for the personas it uses to approach targets and for the game itself. In a similar campaign, Moonstone Sleet sent emails, also using its fake company C.C. Waterfall, where they emailed higher education organizations, again, claiming the company was | Ransomware Malware Tool Vulnerability Threat | APT 38 | ★★ |
|
2024-10-24 23:33:00 | Le groupe APT Lazarus a exploité une vulnérabilité zero-day dans Chrome pour voler des crypto-monnaies (lien direct) | Les chercheurs du GReAT (Global Research and Analysis Team) de Kaspersky ont découvert une campagne malveillante sophistiquée menée par le groupe APT Lazarus, ciblant les investisseurs en crypto-monnaies du monde entier. Les attaquants ont utilisé un site de phishing imitant un jeu vidéo permettant de gagner des crypto-monnaies, exploitant une vulnérabilité zero-day dans Google Chrome pour installer des logiciels espions et voler les informations d'identification des portefeuilles sur les appareils des victimes. Ces conclusions ont été présentées lors du Security Analyst Summit 2024 à Bali. - Investigations | Vulnerability Threat | APT 38 | ★★ |
|
2024-10-24 17:38:25 | Le groupe Lazarus exploite Chrome 0-Day pour la crypto avec un faux jeu NFT Lazarus Group Exploits Chrome 0-Day for Crypto with Fake NFT Game (lien direct) |
Les pirates nord-coréens du groupe Lazare ont exploité une vulnérabilité zéro-jour dans Google Chrome pour cibler les investisseurs de crypto-monnaie avec & # 8230;
North Korean hackers from Lazarus Group exploited a zero-day vulnerability in Google Chrome to target cryptocurrency investors with… |
Vulnerability Threat | APT 38 | ★★ |
|
2024-10-24 16:00:00 | Le groupe Lazarus exploite Google Chrome Flaw dans une nouvelle campagne Lazarus Group Exploits Google Chrome Flaw in New Campaign (lien direct) |
Le groupe Lazarus a exploité Google Chrome Zero-Day, infecté les systèmes avec des logiciels malveillants Manuscrypt
Lazarus Group exploited Google Chrome zero-day, infecting systems with Manuscrypt malware |
Malware Vulnerability Threat | APT 38 | ★★ |
|
2024-10-24 15:23:00 | Le groupe Lazarus exploite Google Chrome Vulnérabilité à contrôler les appareils infectés Lazarus Group Exploits Google Chrome Vulnerability to Control Infected Devices (lien direct) |
L'acteur de menace nord-coréen connue sous le nom de groupe Lazare a été attribué à l'exploitation zéro-jour d'un défaut de sécurité désormais réglé dans Google Chrome pour prendre le contrôle des appareils infectés.
Le vendeur de cybersécurité Kaspersky a déclaré avoir découvert une nouvelle chaîne d'attaque en mai 2024 qui ciblait l'ordinateur personnel d'un ressortissant russe sans nom avec la porte dérobée du Manuscrypt.
Cela implique de déclencher le
The North Korean threat actor known as Lazarus Group has been attributed to the zero-day exploitation of a now-patched security flaw in Google Chrome to seize control of infected devices. Cybersecurity vendor Kaspersky said it discovered a novel attack chain in May 2024 that targeted the personal computer of an unnamed Russian national with the Manuscrypt backdoor. This entails triggering the |
Vulnerability Threat | APT 38 | ★★ |
 |
2024-10-24 13:02:10 | Les pirates nord-coréens ont exploité Chrome Zero-Day pour le vol de crypto-monnaie North Korean Hackers Exploited Chrome Zero-Day for Cryptocurrency Theft (lien direct) |
> Le Lazarus APT a créé un site Web trompeur qui a exploité un chrome zéro-jour pour installer des logiciels malveillants et voler la crypto-monnaie.
>The Lazarus APT created a deceptive website that exploited a Chrome zero-day to install malware and steal cryptocurrency. |
Malware Vulnerability Threat | APT 38 | ★★ |
|
2024-10-23 20:55:13 | Le groupe Lazarus exploite Chrome Zero-Day dans la dernière campagne Lazarus Group Exploits Chrome Zero-Day in Latest Campaign (lien direct) |
L'acteur nord-coréen va après les investisseurs de crypto-monnaie dans le monde entier en tirant parti d'un site de jeu d'aspect authentique et d'un contenu et d'images générés par l'IA.
The North Korean actor is going after cryptocurrency investors worldwide leveraging a genuine-looking game site and AI-generated content and images. |
Vulnerability Threat | APT 38 | ★★ |
|
2024-10-23 11:00:48 | Le jeu crypto de Lazarus APT: Investisseurs vs zéro-jours The Crypto Game of Lazarus APT: Investors vs. Zero-days (lien direct) |
Les grands experts de Kaspersky décomposent la nouvelle campagne de Lazarus APT qui utilise l'ingénierie sociale et exploite une vulnérabilité zéro-jour dans Google Chrome à des fins financières.
Kaspersky GReAT experts break down the new campaign of Lazarus APT which uses social engineering and exploits a zero-day vulnerability in Google Chrome for financial gain. |
Vulnerability Threat | APT 38 | ★★ |
|
2024-10-21 11:41:26 | Faits saillants hebdomadaires OSINT, 21 octobre 2024 Weekly OSINT Highlights, 21 October 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme diversifiée de cybermenaces et d'évolution des vecteurs d'attaque.L'ingénierie sociale reste une tactique répandue, avec des campagnes telles que ClickFix tirant parti de faux messages d'erreur pour distribuer des logiciels malveillants, tandis que la campagne d'interview contagieuse CL-Sta-240 cible les demandeurs d'emploi en utilisant des logiciels malveillants déguisés en applications d'appel vidéo.Les voleurs d'informations, tels que Lumma et Meduza, continuent de proliférer et de tirer parti des plates-formes distribuées comme Telegram et Github.Les acteurs de ransomware exploitent les services cloud, comme le montre la campagne Ransomware abusant Amazon S3.Des groupes de l'État-nation, dont la Corée du Nord, l'Iran et la Chine, persistent à cibler des infrastructures critiques et des entités gouvernementales utilisant des techniques d'évasion sophistiquées et des outils open source, tandis que les acteurs motivés financièrement se concentrent sur les chevaux de Troie bancaires et le vol de crypto-monnaie.Ces tendances soulignent la sophistication et la diversité croissantes des acteurs de la menace \\ 'tactiques, à la fois avec les APT de l'État-nation et les cybercriminels ciblant un large éventail de secteurs. ## Description 1. [ClickFix Social Engineering Tactic] (https://sip.security.microsoft.com/intel-explorer/articles/6d79c4e3): Les chercheurs de Sekoia ont identifié Clickfix, une nouvelle tactique d'ingénierie sociale tirant parti de faux messages d'erreur de navigateur pour exécuter Male PowerShell malveillantCommandes.Il a été utilisé par des groupes comme l'Empire national slave et Scamquerteo pour distribuer des infostelleurs, des rats et des botnets ciblant la crypto-monnaie et les utilisateurs de Web3. 2. [Lumma Stealer Distribution via Hijackloader] (https://sip.security.microsoft.com/intel-explorer/articles/ef6514e6): les chercheurs de HarfangLab ont observé une augmentation de la distribution de voleur Lumma en utilisant Hijackloader avec des certificats de signature de code pour les défenses de bypass Lumma.Ces campagnes ont ciblé les utilisateurs à travers de fausses pages CAPTCHA, conduisant à une exécution de logiciels malveillants avec des certificats signés de sociétés légitimes. 3. [Meduza Stealer Spread via Telegram] (https://sip.security.microsoft.com/intel-explorer/articles/ac988484): CERT-UA a rapporté le voleur de Meduza distribué par des messages télégramme, exhortant les utilisateurs à télécharger "Special Special.logiciel."Les logiciels malveillants ont ciblé les entreprises ukrainiennes et volé des documents avant l'auto-délétion pour éviter la détection. 4. [Ransomware exploitant Amazon S3] (https://sip.security.microsoft.com/intel-explorer/articles/f5477a4): TrendMicro a identifié une campagne de ransomware exploitant la fonction d'accélération d'Amazon S3 \\ S pour l'expiltration de données.Déguisé en Lockbit, ce ransomware cible Windows et MacOS, en utilisant des informations d'identification AWS pour les téléchargements de données tout en tirant parti des techniques de chiffrement aux victimes de pression. 5. [AI abusité dans les opérations cyber] (https://sip.security.microsoft.com/intel-explorer/articles/e46070dd): OpenAI a rapporté plus de 20 cas d'utilisation abusive de l'IA par des acteurs malveillants pour le développement de logiciels malveillants, la désinformation et la lancePhishing.Les acteurs de la menace, dont Storm-0817 et SweetSpecter, ont exploité l'IA pour des tâches telles que la reconnaissance et le débogage du code, tandis que les IOS secrets ont été retracés en Iran et au Rwanda. 6. [Variants de trojan bancaires Trickmo] (https://sip.security.microsoft.com/intel-explorer/articles/1f1ea18b): les chercheurs de zimpérium ont découvert 40 variantes de tro-bancs Trickmo capables de l'interception OTP, de l'enregistrement de l'écran et de dispositif de dispositif de dispos | Ransomware Malware Tool Vulnerability Threat Cloud | APT 38 APT 37 APT-C-17 | ★★ |
|
2024-10-21 01:00:00 | DPRC utilise Microsoft Zero-Day dans des attaques de pain grillé sans clics DPRK Uses Microsoft Zero-Day in No-Click Toast Attacks (lien direct) |
Les cyberattaques de la chaîne d'approvisionnement "Code-on-Toast" par APT37 ont livré des logiciels malveillants de vol de données aux utilisateurs de Corée du Sud qui avaient activé des publicités pop-up toast.
The "Code-on-Toast" supply chain cyberattacks by APT37 delivered data-stealing malware to users in South Korea who had enabled Toast pop-up ads. |
Malware Vulnerability Threat | APT 37 | ★★ |
|
2024-10-18 20:59:53 | New FASTCash malware Linux variant helps steal money from ATMs (lien direct) | ## Instantané Le chercheur en sécurité Haxrob, de DoubleAgent \ [. \] Net, rapporte sur une nouvelle variante Linux du malware "Switch" de paiement "FastCash, que les pirates nord-coréens utilisent pour exécuter des retraits de trésorerie ATM non autorisés. ## Description Cette variante de logiciels malveillants cible spécifiquement les distributions LTS Ubuntu 22.04.La variante Linux a une fonctionnalité légèrement réduite par rapport à son [prédécesseur Windows] (https://security.microsoft.com/intel-explorer/articles/c9730cb6), bien qu'il conserve toujours des fonctionnalités clés: il manipule les messages de transaction ISO8583, intercevant les transactions décliées:Messages pour une liste prédéfinie des numéros de compte Holder de carte, puis autorise la transaction avec un montant aléatoire de fonds dans la monnaie de la LIRA turque.Les transactions frauduleuses sont ensuite approuvées par les systèmes centraux de la banque, et les espèces sont retirées par des mules monétaires.Le logiciel malveillant est implémenté en tant que bibliothèque partagée à injecter dans un processus en cours d'exécution existant en utilisant l'appel système \\ 'ptrace, \' pour s'accrocher au système d'exploitation. [En 2018] (https://www.cisa.gov/news-events/alerts/2018/10/02/hidden-cobra-fastcash-campaign), CISA a attribué \\ 'Fastcash \' à l'État nord-coréen-Poule de piratage soutenu connu sous le nom de \\ 'Hidden Cobra, \' suivi par Microsoft sous le nom de [Citrine Sleet] (https: // Security.microsoft.com/intel-profiles/740afa51582ebef367a7120efe99a535ba803f2169356580369a0fd680137145).Puis [en 2020] (https://security.microsoft.com/intel-explorer/articles / 7596262c), cisa lié \\ 'Fastcash 2.0 \' à \\ 'beagleboyz, \' a déclaré représenter un sous-ensemble d'activité de Cobra \\ cachée.Selon CISA Partners, le programme FastCash est en activité depuis au moins 2016 et est responsable du vol de dizaines de millions de dollars par incident dans plus de 30 pays ou plus. ## Recommandations Microsoft recommande de définir les préférences de Microsoft Defender pour le point de terminaison sur Linux.Les fonctionnalités de capteur supplémentaires avancées peuvent être configurées pour [surveiller les événements PTRACE] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences). DoubleAgent \ [. \] Net fournit les recommandations suivantes: - Implémentez les exigences de puce et PIN pour les cartes de débit. - Exiger et vérifier les codes d'authentification des messages sur les messages de réponse de la demande financière de l'émetteur. - Effectuer la validation des cryptogrammes de réponse d'autorisation pour les transactions ChIP et PIN. - Voir les recommandations de CISA \\ [ici] (https://www.cisa.gov/news-events/cyBersecurity-Advisories / AA20-239A). ## Détections / requêtes de chasse ### Microsoft Defender Antivirus - [Trojan: Unix / FastCash] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: Unix / FastCash.B! RFN) ## références [La variante de la nouvelle variante FastCash Malware Linux aide à voler de l'argent aux distributeurs automatiques de guichets] (https://www.bleepingcomputer.com/news/security/new-fastcash-malware-inux-variant-helps-teal-money-from-atms/).Bleeping Computer (2024-10-17) [FastCash pour Linux] (https://doubleageent.net/fastcash-for-inux/).DoubleAgent (2024-10-17) [MAR-10257062-1.v2 - Outil d'accès à distance nord-coréen: FastCash pour Windows] (https://sip.security.microsoft.com/intel-explorer/articles/c9730cb6).Microsoft (2024-10-17) [Hidden Cobra & # 8211;FastCash Campaign] (HTtps: //www.cisa.gov/news-events/alerts/2018/10/02/hidden-cobra-fastcash-campaign).CISA (2024-10-17) [Fastcash 2.0: les banques de volets Beagleboyz de la Corée du Nord \\currity.microsoft.com/intel-explorer/articles/7596262c).Microsoft (2024-10-17) ## Copyright **&copie;Microsoft 2024 **.T | Malware Tool | APT 38 | ★★★ |
|
2024-10-18 20:53:46 | Malicious ads exploited Internet Explorer zero day to drop malware (lien direct) | ## Instantané Ahnlab Security Intelligence Center et le National Cyber Security Center ont découvert une vulnérabilité zéro-jour dans le moteur de navigateur Internet Explorer, qui n'est plus soutenu, exploité par l'acteur de menace nord-coréen Scarcruft. ## Description Scarcruft (suivi par Microsoft comme [Pearl Sleet] (https://security.microsoft.com/intel-profiles/cc39cf4403d3dde8270a88784017b42c410a89ce1c94f232fa811059066d9e)) vulnérabilité pour exploiter un programme d'annonce de toast qui vientavec divers logiciels gratuits.Une annonce de toast est un type d'alerte contextuelle qui apparaît généralement en bas de l'écran de bureau.Scarcruft a lancé son attaque en compromettant un serveur coréen en ligne de publicité \\, injectant du code malveillant dans le script de contenu publicitaire.Cela a conduit à une attaque zéro-clic, sans interaction utilisateur, lorsque le programme publicitaire a téléchargé et rendu le contenu publicitaire compromis.La vulnérabilité, identifiée comme [CVE-2024-38178] (https://security.microsoft.com/intel-explorer/cves/cve-2024-38178/), se produit lorsqu'un type de données est traité par erreur comme un autre pendant leProcessus d'optimisation du moteur JavaScript d'Internet Explorer \\ (JScript9.dll), permettant aux attaquants de inciter les victimes à télécharger le malware.Microsoft a depuis publié une [mise à jour de sécurité] (https://msrc.microsoft.com/update-guide/vulnerabilité/CVE-2024-38178) pour aborder cette vulnérabilité. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Pour déterminer le cycle de vie du support pour votre logiciel, consultez le [Microsoft Support Lifecycle] (https://support.microsoft.com/lifecycle).Consultez la [Politique LifeCycle pour Internet Explorer] (https://learn.microsoft.com/en-us/lifecycle/faq/internet-explorer-microsoft-edge#what-is-the- lifecycle-policy-for-internet-explorateur-). - Utilisez la gestion de la vulnérabilité Microsoft Defender pour identifier et aborder [vulnérabilités zéro-jour] (https://learn.microsoft.com/en-us/defender-vulnerabilité-management/tvm-zero-ay-vulnerabilities). - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-thereat-protection/microsoft-Defender-SmartScreen /), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Créer une résilience organisationnelle en éduquant les utilisateurs sur la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-microsoft-defender-antivirus?ocid=Magicti%3CEM%3ETA%3C / EM% 3ELEARNDOC) et soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. ## références [Sleet Pearl] (https://security.microsoft.com/intel-profiles/cc39ccf4403d3dde8270a88784017b42c410a89cea1c94F232FA811059066D9E).Microsoft (2024-10-18) [Les publicités malveillant | Malware Vulnerability Threat | APT 37 | ★★★ |
|
2024-10-17 06:00:00 | Iran\\'s APT34 Abuses MS Exchange to Spy on Gulf Gov\\'ts (lien direct) | Un groupe de menaces aligné MOIS a utilisé des serveurs Microsoft Exchange pour exfiltrer les données sensibles des agences gouvernementales de l'État du Golfe.
A MOIS-aligned threat group has been using Microsoft Exchange servers to exfiltrate sensitive data from Gulf-state government agencies. |
Threat | APT 34 | ★★ |
|
2024-10-16 16:20:00 | Scarcruft nord-coréen exploite Windows Zero-Day pour répandre le malware Rokrat North Korean ScarCruft Exploits Windows Zero-Day to Spread RokRAT Malware (lien direct) |
L'acteur de menace nord-coréen connue sous le nom de Scarcruft a été lié à l'exploitation zéro-jour d'un défaut de sécurité désormais réglé dans Windows pour infecter les appareils avec des logiciels malveillants connus sous le nom de Rokrat.
La vulnérabilité en question est CVE-2024-38178 (score CVSS: 7.5), un bogue de corruption de mémoire dans le moteur de script qui pourrait entraîner l'exécution du code distant lors de l'utilisation du navigateur Edge en mode Explorer Internet.
The North Korean threat actor known as ScarCruft has been linked to the zero-day exploitation of a now-patched security flaw in Windows to infect devices with malware known as RokRAT. The vulnerability in question is CVE-2024-38178 (CVSS score: 7.5), a memory corruption bug in the Scripting Engine that could result in remote code execution when using the Edge browser in Internet Explorer Mode. |
Malware Vulnerability Threat | APT 37 | ★★ |
 |
2024-10-16 09:59:12 | Les publicités malveillantes ont exploité Internet Explorer Zero Day pour laisser tomber les logiciels malveillants Malicious ads exploited Internet Explorer zero day to drop malware (lien direct) |
Le groupe de piratage nord-coréen Scarcruft a lancé une attaque à grande échelle en mai qui a exploité un défaut zéro-jour Internet Explorer pour infecter les cibles avec les logiciels malveillants Rokrat et les données exfiltrates.[...]
The North Korean hacking group ScarCruft launched a large-scale attack in May that leveraged an Internet Explorer zero-day flaw to infect targets with the RokRAT malware and exfiltrate data. [...] |
Malware Vulnerability Threat | APT 37 | ★★ |
|
2024-10-15 21:16:48 | Les acteurs nord-coréens ciblent les demandeurs d'emploi technologiques avec des logiciels malveillants multiplateformes North Korean Actors Target Tech Job Seekers with Cross-Platform Malware (lien direct) |
## Snapshot Researchers at Unit 42 have observed additional online activity by Democratic People\'s Republic of Korea (DPRK) threat actors, activity Unit 42 dubbed CL-STA-240 Contagious Interview, targeting individuals seeking tech industry jobs on platforms like LinkedIn. The threat actors pose as fake recruiters and use social engineering tactics to convince job seekers to download malware disguised as legitimate video call applications such as MiroTalk and FreeConference, delivering updated versions of BeaverTail and InvisibleFerret malware. ## Description Unit 42 initially published the [Contagious Interview campaign](https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/) in November 2023. Since then, more fake recruiters have been reported and the malware has been observed with updated code. Specifically, the BeaverTail malware has been recompiled using the [Qt framework](https://wiki.qt.io/About_Qt). Qt allows developers to build cross-platform applications, enabling attackers to use a single source code base to generate applications for both Windows and macOS at the same time. The malware is capable of stealing credentials from 13 different cryptocurrency wallets in both MacOS and Windows, and browser passwords in MacOS. BeaverTail functions as a downloader and [infostealer](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6), facilitating initial access by retrieving and executing malicious payloads on the compromised systems. The infection chain culminates with the deployment of the InvisibleFerret Python backdoor, which has capabilities for fingerprinting the infected endpoint, remote control, keylogging, exfiltrating sensitive files, and downloading the AnyDesk client for additional remote access. ## Recommendations Microsoft recommends mitigations to reduce the impact of this threat. - Only install applications from trusted sources and official stores. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on[tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc), so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen/), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - For information on password management read [here](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-password-manager-security). - For information on social engineering prevention, read [here](https://www.microsoft. | Malware Tool Threat | APT 38 | ★★★ |
 |
2024-10-15 15:49:31 | Trend Micro révèle la Terre Simnavaz APT cible les organisations de Golf à l'aide de la porte dérobée de Microsoft Exchange Server Trend Micro reveals Earth Simnavaz APT targets Gulf organizations using Microsoft Exchange server backdoor (lien direct) |
Nouvelles recherches par Trend Micro ont révélé que le groupe iranien du cyber-espionnage Earth Simnavaz, également connu sous le nom d'APT34 ...
New research by Trend Micro disclosed that the Iranian cyber espionage group Earth Simnavaz, also known as APT34... |
Prediction | APT 34 | ★★ |
|
2024-10-14 11:20:49 | Cyperspies iraniennes exploitant la vulnérabilité récente du noyau Windows Iranian Cyberspies Exploiting Recent Windows Kernel Vulnerability (lien direct) |
> Le pétrole APT lié à l'Iran a intensifié les cyber-opérations contre les Émirats arabes unis et la région du Golfe plus large.
>The Iran-linked APT OilRig has intensified cyber operations against the United Arab Emirates and the broader Gulf region. |
Vulnerability | APT 34 | ★★ |
|
2024-10-13 15:10:00 | OilRig exploite Windows Flaw de noyau dans la campagne d'espionnage ciblant les EAU et le Golfe OilRig Exploits Windows Kernel Flaw in Espionage Campaign Targeting UAE and Gulf (lien direct) |
L'acteur iranien des menaces connu sous le nom de OilRig a été observé exploitant un défaut d'escalade de privilège désormais réglé impactant le noyau Windows dans le cadre d'une campagne de cyber-espionnage ciblant l'U.A.E.et la région du Golfe plus large.
"Le groupe utilise des tactiques sophistiquées qui incluent le déploiement d'une porte dérobée qui tire parti des serveurs d'échange Microsoft pour le vol d'identification et l'exploitation des vulnérabilités
The Iranian threat actor known as OilRig has been observed exploiting a now-patched privilege escalation flaw impacting the Windows Kernel as part of a cyber espionage campaign targeting the U.A.E. and the broader Gulf region. "The group utilizes sophisticated tactics that include deploying a backdoor that leverages Microsoft Exchange servers for credentials theft, and exploiting vulnerabilities |
Vulnerability Threat | APT 34 | ★★ |
|
2024-10-11 21:41:42 | Earth Simnavaz (alias Apt34) prélève des cyberattaques avancées contre les régions des EAU et du Golfe Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against UAE and Gulf Regions (lien direct) |
#### Géolocations ciblées
- Émirats arabes unis
## Instantané
Les chercheurs de Trend Micro ont identifié une campagne de cyber-espionnage par Earth Simnavaz, également connu sous le nom d'APT34 et suivi par Microsoft comme [Hazel Sandstorm] (https: //security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d), ciblant les entités gouvernementales enLes EAU et la région du Golfe.
## Description
Le groupe utilise des tactiques sophistiquées pour maintenir la persistance et exfiltrer des données sensibles, en utilisant une porte dérobée qui exploite les serveurs d'échange Microsoft pour le vol d'identification et le tirage de vulnérabilités comme le CVE-2024-30088 pour l'escalade des privilèges.Ils utilisent un mélange d'outils .NET personnalisés, de scripts PowerShell et de logiciels malveillants basés sur IIS, tels que la porte dérobée de Karkoff, pour mélanger l'activité malveillante avec le trafic réseau normal et l'évasion de la détection.
La méthode d'infiltration initiale consiste à télécharger un shell Web sur un serveur Web vulnérable, permettant l'exécution du code PowerShell et des transferts de fichiers pour se développer.Les acteurs de la menace télécharge ensuite l'outil de gestion à distance NGROK pour faciliter le mouvement latéral et atteindre le contrôleur de domaine.Le groupe enregistre une DLL de filtre de mot de passe pour capturer les modifications de mot de passe et exfiltrant les informations d'identification cryptées via des serveurs d'échange gouvernementaux légitimes à l'aide d'un outil identifié comme Stealhook.Ils utilisent également une tâche planifiée exécutant un script nommé "U.PS1" pour persévérance et sont connus pour remplacer ce script par un script non fonctionnel pour entraver les efforts d'enquête.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder à votre réseau.
- Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus) dans Microsoft Defender Antivirus ou leÉquivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues.
- Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'escroquerie et des sitesqui contiennent des exploits et hébergent des logiciels malveillants.
## Détections / requêtes de chasse
### Microsoft Defender pour le point de terminaison
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- Activité de l'acteur de sable noisette détectée
## références
[Earth Simnavaz (alias APT34) LEVIES CYBERATTADES AVANCÉES AVANT LES ÉMORS ET GULFERégions] (https://www.trendmicro.com/en_us/research/24/j/arth-simnavaz-cyberattacks-uae-gulf-regions.html).Trendmicro (consulté en 2024-10-11)
[Hazel Sandstorm] (https://security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d).Microsoft (consulté en 2024-10-11)
## Copyright
**&copie;Microsoft 2024 **.Tousdroits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
#### Targeted Geolocations - United Arab Emirates ## Snapshot Researchers at Trend Micro have identif |
Malware Tool Vulnerability Threat Prediction | APT 34 | ★★★ |
|
2024-10-07 16:54:11 | Faits saillants hebdomadaires OSINT, 7 octobre 2024 Weekly OSINT Highlights, 7 October 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting highlights diverse and sophisticated attack tactics, primarily focusing on nation-state actors, cybercriminal groups, and advanced malware campaigns. Common attack vectors include spear-phishing, exploiting vulnerabilities (such as CVEs in Linux servers and AI infrastructure), and malware delivered through fileless methods. The malware ranges from Joker\'s subscription fraud (targeting mobile devices) to more complex backdoors like WarmCookie, which allows system profiling and further malware deployment. North Korean APT groups (APT37 and Stonefly) remain active, targeting Southeast Asia and United States companies, while Iranian actors focus on political campaigns. Financially motivated attacks are also prominent, with ransomware groups like Meow and attackers using MedusaLocker deploying advanced techniques for exfiltration and encryption. Cloud environments and AI infrastructure, including generative models like AWS Bedrock, have emerged as critical targets, exposing new vulnerabilities for resource hijacking and illicit services. ## Description 1. [Golden Chickens\' More_Eggs](https://sip.security.microsoft.com/intel-explorer/articles/4cb94d70): Trend Micro discovered the use of the more\_eggs backdoor in spear-phishing attacks, targeting various industries. Recent campaigns involved advanced social engineering, and while attribution remains unclear, there are possible ties to FIN6 (Storm-0538). 2. [Linux Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/68e49ad7): Elastic Security Labs uncovered a Linux malware campaign using KAIJI for DDoS attacks and RUDEDEVIL for cryptocurrency mining. The attackers exploited Apache2 vulnerabilities and used Telegram bots for communication and persistence. 3. [Rhadamanthys Malware Updates](https://sip.security.microsoft.com/intel-explorer/articles/c9ea8588): Recorded Future reported on the evolving Rhadamanthys information-stealing malware, now incorporating AI-driven OCR for cryptocurrency theft. It targets systems in North and South America, leveraging encryption and advanced defense evasion techniques. 4. [NVIDIA Container Toolkit Vulnerability](https://sip.security.microsoft.com/intel-explorer/articles/a35e980e): Wiz Research discovered a critical vulnerability (CVE-2024-0132) in the NVIDIA Container Toolkit, exposing cloud and AI environments to container escape attacks. This flaw could lead to unauthorized control over host systems and data exfiltration. 5. [K4Spreader and PwnRig Campaign](https://sip.security.microsoft.com/intel-explorer/articles/416b07c0): Sekoia TDR linked a campaign exploiting WebLogic vulnerabilities to the 8220 Gang, deploying the K4Spreader malware and PwnRig cryptominer. The attackers primarily target cloud environments for Monero mining, exploiting both Linux and Windows systems. 6. [Nitrogen Malware Incident](https://sip.security.microsoft.com/intel-explorer/articles/d0473059): The DFIR Report analyzed an attack using Nitrogen malware delivered through a malicious Advanced IP Scanner installer. The threat actor used Sliver and Cobalt Strike beacons, eventually deploying BlackCat ransomware across the victim\'s network. 7. [Gorilla Botnet\'s DDoS Attacks](https://sip.security.microsoft.com/intel-explorer/articles/0bcef023): NSFOCUS identified the Gorilla Botnet, a Mirai variant, launching over 300,000 DDoS attacks. Its primary targets were U.S., Chinese, and global sectors, including government and telecom, using advanced encryption techniques for stealth. 8. [Iranian IRGC Cyber Activity](https://sip.security.microsoft.com/intel-explorer/articles/42850d7b): The FBI and UK\'s NCSC warned about Iranian IRGC-affiliated actors targeting individuals related to Middle Eastern affairs. Using social engineering, they focused on stealing credentials and influencing U.S. political campaigns. 9. [Critical Infrastructure Reconnaissance](https://sip.security.microsoft.com/intel-explorer/articles/d491ff08): Dragos detected a campaign targeting North Ame | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 37 APT 45 | ★★ |
|
2024-10-04 01:00:00 | DPRK \\'s APT37 cible le Cambodge avec Khmer, \\ 'Veilshell \\' Backdoor DPRK\\'s APT37 Targets Cambodia With Khmer, \\'VeilShell\\' Backdoor (lien direct) |
C'est la Corée du Nord contre le Cambodge, avec des paramètres par défaut de Windows et une pure patience permettant aux méchants d'éviter une détection facile.
It\'s North Korea versus Cambodia, with Windows default settings and sheer patience allowing the bad guys to avoid easy detection. |
APT 37 | ★★ | |
|
2024-10-03 20:53:04 | Corée du Nord \\ 'Sleep enveloppé \\' Campagne de logiciels malveillants ciblant le Cambodge, d'autres nations d'Asie du Sud-Est North Korea \\'Shrouded Sleep\\' malware campaign targeting Cambodia, other Southeast Asian nations (lien direct) |
Les chercheurs ont lié la campagne à l'APT37, un groupe de piratage qui aurait été hébergé au sein du ministère de la Sécurité de l'État de la Corée du Nord.
Researchers linked the campaign to APT37, a hacking group allegedly housed within North Korea\'s Ministry of State Security. |
Malware | APT 37 | ★★ |
|
2024-10-03 20:13:46 | Enveloppe # Sleep: une plongée profonde dans la campagne en cours de la Corée du Nord contre l'Asie du Sud-Est SHROUDED#SLEEP: A Deep Dive into North Korea\\'s Ongoing Campaign Against Southeast Asia (lien direct) |
#### Géolocations ciblées - Cambodge - Asie du Sud-Est ## Instantané L'équipe de recherche sur les menaces de Securonix a identifié une cyber campagne en cours, surnommée # enveloppe # Sleep, qui semble être réalisée par le groupe de menaces nord-coréen, APT37. ## Description Cette campagne vise des pays d'Asie du Sud-Est, avec un accent principal sur le Cambodge.Les attaquants utilisent des techniques d'évasion avancées pour fournir Veilshell, un malware furtif basé sur PowerShell.L'infection initiale est obtenue par des e-mails de phishing contenant des fichiers zip avec des pièces jointes malveillantes (.lnk) déguisées en documents légitimes. Une fois le raccourci cliqué, il déclenche un script PowerShell qui extrait et décode plusieurs charges utiles, y compris un fichier DLL malveillant (DomainManager.dll), qui est placé dans le dossier de démarrage pour assurer la persistance.Le logiciel malveillant ne s'exécute pas avant le prochain redémarrage du système, ajoutant à sa nature furtive.Les attaquants utilisent également des techniques telles que AppDomainManager détournant pour maintenir la persistance et utiliser des méthodes sans fil pour éviter la détection par des outils de sécurité. Le Veilshell Backdoor accorde aux attaquants un contrôle complet sur les machines infectées, permettant des actions telles que l'exfiltration des fichiers, les modifications du registre et la création de tâches planifiée.Cette opération sophistiquée est remarquable pour son approche méthodique, y compris de longs temps de sommeil pour échapper aux détections heuristiques, et son utilisation de processus Windows légitimes pour exécuter des commandes. ## Analyse supplémentaire [APT37] (https://attack.mitre.org/groups/g0067/) est un acteur avancé de menace persistant parrainé par l'État nordvictimes principalement en Corée du Sud, mais aussi dans d'autres pays intéressés par la Corée du Nord.According to [Mandiant](https://cloud.google.com/blog/topics/threat-intelligence/mapping-dprk-groups-to-government/), APT37\'s primary goal is likely ingelligence gathering in support ofLes intérêts militaires, politiques et économiques nord-coréens et le groupe peuvent être alignés sur le ministère de la Sécurité des États de la Corée du Nord (MSS). L'APT37 a été observé à l'aide d'exploits zéro jour et d'attaques de phisces de lance en collaboration avec une variété de logiciels malveillants différents, y compris [Dolphin] (https://www.welivesecurity.com/2022/11/30/whos-swinking-south-korean-Waters-Met-Scarcrufts-Dolphin /), [Chinotto] (https://www.zscaler.com/blogs/security-research/unintinal-leak-glimpse-attack- vectors-apt37), [Rokrat] (https://research.checkpoint.com/2023/chain-reaconde-rokrats-missing-link/), [Goldbackdoor] (https://otx.alienvault.com/pulse/626fd3461d762068c921f7c0), et [m2rat] (https: //asec.ahnlab.com/ko/47622/), entre autres. ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=worm:win32/znyonm) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) - [Trojan: MSIL / Malgent! MSR] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:mil/malgent!msr) - [Trojandownloader: Msil / small] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: MSIL / small) ## références [Enveloppe # Sleep: une plongée profonde dans la campagne en cours de la Corée du Nord contre l'Asie du Sud-Est] (https://www.securonix.com/blog/shroudededsleep-a-deep-dive-into-north-koreas-ongoing-Campagne-Against-Southeast-Asia /).Securonix (consulté en 2024-10-03) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés | Malware Tool Vulnerability Threat Cloud | APT 37 | ★★★ |
To see everything:
Our RSS (filtrered)
