What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
The_Hackers_News.webp 2024-10-03 18:30:00 Hackers nord-coréens utilisant une nouvelle porte dérobée de Veilshell dans des cyberattaques furtives
North Korean Hackers Using New VeilShell Backdoor in Stealthy Cyber Attacks (lien direct)		 Des acteurs de menaces ayant des liens avec la Corée du Nord ont été observés pour offrir un cheval de Troie (rat) de la porte dérobée et à distance auparavant sans papiers appelée Veilshell dans le cadre d'une campagne ciblant le Cambodge et probablement d'autres pays d'Asie du Sud-Est. L'activité, surnommée # Sleep par Securonix, est censée être le travail du travail d'APT37, également connu sous le nom d'Inkysquid, Reaper, Redeyes, Ricochet Chollima,
Threat actors with ties to North Korea have been observed delivering a previously undocumented backdoor and remote access trojan (RAT) called VeilShell as part of a campaign targeting Cambodia and likely other Southeast Asian countries. The activity, dubbed SHROUDED#SLEEP by Securonix, is believed to be the handiwork of APT37, which is also known as InkySquid, Reaper, RedEyes, Ricochet Chollima,		 Threat APT 37 ★★
IndustrialCyber.webp 2024-10-03 17:13:17 La cybersécurité du phosphore se transforme en APJ, nomme un nouveau leadership pour stimuler la croissance et l'innovation
Phosphorus Cybersecurity expands into APJ, appoints new leadership to drive growth and innovation (lien direct)		 > Phosphorus Cybersecurity Inc., fournisseur de gestion de la sécurité unifiée et basée sur la prévention pour l'Internet des objets xttend (XIOT), a annoncé jeudi ...
>Phosphorus Cybersecurity Inc., provider of unified, prevention-based security management for the xTended Internet of Things (xIoT), announced Thursday... 		APT 35 ★★
RiskIQ.webp 2024-10-02 20:01:11 Zimbra RCE Vuln Under Attack Needs Immediate Patching (lien direct) ## Instantané Les chercheurs de ProofPoint ont identifié l'exploitation active d'une vulnérabilité d'exécution de code à distance sévère dans le serveur SMTP de Zimbra \\, suivi comme [CVE-2024-45519] (https://cve.mitre.org/cgi-bin/cvename.cgi.? name = CVE-2024-45519).La vulnérabilité, qui existe dans le composant de service Zimbra Postjournal utilisé pour la journalisation et l'archivage par e-mail, permet aux attaquants distants non authentifiés d'exécuter des commandes arbitraires et potentiellement de prendre le contrôle des systèmes affectés. ## Description À partir du 28 septembre, des chercheurs de preuve Point ont observé que les attaquants envoyaient des e-mails usurpés aux serveurs vulnérables Zimbra.Les e-mails, qui semblent provenir de Gmail, ont un code malveillant codé de base64 dans le champ CC.Ce code est conçu pour s'exécuter sous forme de commandes de shell sur les serveurs Zimbra vulnérables.L'analyse de Proofpoint \\ a révélé que les e-mails malveillants proviennent d'un serveur en Bulgarie et que le même serveur est utilisé pour envoyer des e-mails d'exploitation et l'hébergement de la charge utile de deuxième étape.Cela suggère une opération relativement non sophistiquée.  Le volume d'attaques a été cohérent depuis leur début et semble être opportuniste plutôt que ciblé.La vulnérabilité a été initialement identifiée par Project Discovery, qui a publié une preuve de concept et a noté que le problème découle d'un incapacité à désinfecter correctement la saisie des utilisateurs.Zimbra a publié des mises à jour pour la vulnérabilité mais n'a pas divulgué les détails de la faille.La popularité de la suite de collaboration Zimbra, utilisée par des milliers d'entreprises et des millions d'utilisateurs, en fait une cible importante pour les attaquants, comme en témoignent les exploits précédents par des acteurs chinois APT et le groupe de Lazarus de la Corée du Nord. ## Analyse Microsoft La suite de collection Zimbra est utilisée par des milliers d'entreprises et des millions d'utilisateurs, ce qui en fait une cible significative pour les attaquants.Microsoft a observé des acteurs tels que [Midnight Blizzard] (https://sip.security.microsoft.com/intel-profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616). titulaireity.microsoft.com/intel-profiles/19c1e80fc71ceb06a7b7cd8034e5b7b74e5c1775e4def24e9c7cf9b9b9fcf135), et Storm-1219] (https://sip. 80735988A5E5BE32EC07DB02D6CFA1A192753FB7545B099A04D0071), ciblant d'autres vulnérabilités de Zimbra, y compris [CVE-2019-9670] (https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-9670) et [CVE-2022-41352] (https://security.microsoft.com/vulnerabilities/Vulnérabilité / CVE-2022-41352 / Présentation? TID = F839B112-D9D7-4D27-9BF6-94542403F21C? OCID = Magicti_TA_TA2).AjoutAlly, en juillet 2024, [enregistré le groupe insikt de Future \\ a été rapporté] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747) sur le groupe de menaces TAG-100 exploitant [CVE-2019-9621] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2019-9621/) dans la suite de collaboration Zimbra pour cibler les organisations du gouvernement, intergouvernemental et des secteurs privé dans le monde. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365 Tool Vulnerability Threat Patching APT 38 ★★
RiskIQ.webp 2024-09-30 13:21:55 Faits saillants hebdomadaires OSINT, 30 septembre 2024
Weekly OSINT Highlights, 30 September 2024 (lien direct)		 ## Snapshot Last week\'s OSINT reporting highlighted diverse cyber threats involving advanced attack vectors and highly adaptive threat actors. Many reports centered on APT groups like Patchwork, Sparkling Pisces, and Transparent Tribe, which employed tactics such as DLL sideloading, keylogging, and API patching. The attack vectors ranged from phishing emails and malicious LNK files to sophisticated malware disguised as legitimate software like Google Chrome and Microsoft Teams. Threat actors targeted a variety of sectors, with particular focus on government entities in South Asia, organizations in the U.S., and individuals in India. These campaigns underscored the increased targeting of specific industries and regions, revealing the evolving techniques employed by cybercriminals to maintain persistence and evade detection. ## Description 1. [Twelve Group Targets Russian Government Organizations](https://sip.security.microsoft.com/intel-explorer/articles/5fd0ceda): Researchers at Kaspersky identified a threat group called Twelve, targeting Russian government organizations. Their activities appear motivated by hacktivism, utilizing tools such as Cobalt Strike and mimikatz while exfiltrating sensitive information and employing ransomware like LockBit 3.0. Twelve shares infrastructure and tactics with the DARKSTAR ransomware group. 2. [Kryptina Ransomware-as-a-Service Evolution](https://security.microsoft.com/intel-explorer/articles/2a16b748): Kryptina Ransomware-as-a-Service has evolved from a free tool to being actively used in enterprise attacks, particularly under the Mallox ransomware family, which is sometimes referred to as FARGO, XOLLAM, or BOZON. The commoditization of ransomware tools complicates malware tracking as affiliates blend different codebases into new variants, with Mallox operators opportunistically targeting \'timely\' vulnerabilities like MSSQL Server through brute force attacks for initial access. 3. [North Korean IT Workers Targeting Tech Sector:](https://sip.security.microsoft.com/intel-explorer/articles/bc485b8b) Mandiant reports on UNC5267, tracked by Microsoft as Storm-0287, a decentralized threat group of North Korean IT workers sent abroad to secure jobs with Western tech companies. These individuals disguise themselves as foreign nationals to generate revenue for the North Korean regime, aiming to evade sanctions and finance its weapons programs, while also posing significant risks of espionage and system disruption through elevated access. 4. [Necro Trojan Resurgence](https://sip.security.microsoft.com/intel-explorer/articles/00186f0c): Kaspersky\'s Secure List reveals the resurgence of the Necro Trojan, impacting both official and modified versions of popular applications like Spotify and Minecraft, and affecting over 11 million Android devices globally. Utilizing advanced techniques such as steganography to hide its payload, the malware allows attackers to run unauthorized ads, download files, and install additional malware, with recent attacks observed across countries like Russia, Brazil, and Vietnam. 5. [Android Spyware Campaign in South Korea:](https://sip.security.microsoft.com/intel-explorer/articles/e4645053) Cyble Research and Intelligence Labs (CRIL) uncovered a new Android spyware campaign targeting individuals in South Korea since June 2024, which disguises itself as legitimate apps and leverages Amazon AWS S3 buckets for exfiltration. The spyware effectively steals sensitive data such as SMS messages, contacts, images, and videos, while remaining undetected by major antivirus solutions. 6. [New Variant of RomCom Malware:](https://sip.security.microsoft.com/intel-explorer/articles/159819ae) Unit 42 researchers have identified "SnipBot," a new variant of the RomCom malware family, which utilizes advanced obfuscation methods and anti-sandbox techniques. Targeting sectors such as IT services, legal, and agriculture since at least 2022, the malware employs a multi-stage infection chain, and researchers suggest the threat actors\' motives might have s Ransomware Malware Tool Vulnerability Threat Patching Mobile ChatGPT APT 36 ★★
RiskIQ.webp 2024-09-27 19:44:31 (Déjà vu) OSINT ENQUÊTE: Chasse des infrastructures malveillantes liées à la tribu transparente
OSINT Investigation: Hunting Malicious Infrastructure Linked to Transparent Tribe (lien direct)		 #### Géolocations ciblées - Inde #### Industries ciblées - agences et services gouvernementaux ## Instantané Des chercheurs de Cyfirma ont identifié des infrastructures malveillantes exploitées par une tribu transparente, également connue sous le nom d'APT36. ## Description Cette infrastructure comprend 15 hôtes malveillants hébergés par DigitalOcean, exécutant des serveurs mythiques C2.Transparent Tribe utilise le cadre d'exploitation mythique, conçu à l'origine pour faire équipe rouge, pour gérer les systèmes compromis.Le groupe vise des individus en Inde, probablement des représentants du gouvernement, en distribuant des fichiers d'entrée de bureau Linux déguisés en PDF.Ces fichiers téléchargent et exécutent des agents mythiques de Poséidon Binaires-Golang conçus pour les plates-formes Linux et MacOS X64, ce qui permet aux acteurs de la menace d'établir de la persistance et d'échapper à la détection. La tribu transparente est connue pour ses méthodes persistantes et évolutives, et cette campagne démontre leur ciblage accru des environnements Linux, en particulier ceux utilisés par le gouvernement indien.Cyfirma note que ces résultats mettent l'accent sur la nécessité d'une vigilance accrue et de mesures de défense proactives contre des menaces aussi sophistiquées et adaptatives. ## Analyse supplémentaire Opérationnel depuis 2013, [Tribu transparente] (https://attack.mitre.org/groups/g0134/) est un groupe de menaces basé au Pakistan qui cible principalement le gouvernement indien, la défense et l'éducation.La principale motivation du groupe est de mener un cyberespionnage et exploite une variété d'outils pour atteindre cet objectif, notamment des rats sur mesure ciblant les fenêtres, des cadres C2 open source armées, des installateurs de trojanisés imitants d'empruntSites de phishing conçus pour cibler les fonctionnaires du gouvernement indien.Le groupe a été observé en utilisant une variété de logiciels malveillants, notamment Elizarat, Caprarat, Poséidon, Crimsonrat, Oblicherat, Darkcomet et Peppy, entre autres. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [enquête et correction] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft Defender le point de terminaison de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en- Ransomware Malware Tool Threat Mobile APT 36 ★★★
The_Hackers_News.webp 2024-09-23 12:09:00 New Pondrat malware caché dans des packages Python cible les développeurs de logiciels
New PondRAT Malware Hidden in Python Packages Targets Software Developers (lien direct)		 Des acteurs de menaces avec des liens avec la Corée du Nord ont été observés en utilisant des forfaits Python empoisonnés comme moyen de livrer un nouveau malware appelé Pondrat dans le cadre d'une campagne en cours. Pondrat, selon de nouvelles résultats de l'unité Palo Alto Networks 42, est évaluée comme une version plus légère de Poolrat (alias Simplesea), une porte dérobée macOS connue qui a été précédemment attribuée au groupe Lazare et déployé dans
Threat actors with ties to North Korea have been observed using poisoned Python packages as a way to deliver a new malware called PondRAT as part of an ongoing campaign. PondRAT, according to new findings from Palo Alto Networks Unit 42, is assessed to be a lighter version of POOLRAT (aka SIMPLESEA), a known macOS backdoor that has been previously attributed to the Lazarus Group and deployed in		 Malware Threat APT 38 ★★
RiskIQ.webp 2024-09-20 15:50:36 Le groupe nord-coréen APT Gleaming Poissons déploie le Pondrat via des forfaits Python empoisonnés
North Korean APT Group Gleaming Pisces Deploys PondRAT via Poisoned Python Packages (lien direct)		 ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne de logiciels malveillants en cours impliquant des forfaits Python empoisonnés, qu'ils ont nommés Pondrat. ## Description La campagne offre des logiciels malveillants de porte dérobée ciblant les systèmes Linux et MacOS via des packages infectés dans PYPI, un référentiel populaire pour le logiciel Python.Les attaquants ont téléchargé plusieurs packages malveillants qui ont conduit à l'installation d'un outil d'accès à distance (RAT).Sur la base de similitudes de code importantes et de recherches publiques antérieures, la campagne a été attribuée à Gleaming Poissons, un groupe d'acteurs de menaces nord-coréen suivis par Microsoft en tant que [Citrine Sleet] (https://security.microsoft.com/intel-profiles/byexternalid/69A6F70FA93E58F1412BF8DBFF92F001E83A5A27AF77FE7A0BF52E4E394EF623).L'unité 42 évalue ce groupe est associé à la campagne d'Applejeus et a des liens avec le Bureau général de reconnaissance du gouvernement nord-coréen. Les Poissons brillants sont connus pour cibler le secteur des crypto-monnaies, et les chercheurs de l'unité 42 pensent que le but de cette campagne est d'accéder aux développeurs \\ 'et, à travers eux, à compromettre la chaîne d'approvisionnement et les clients des fournisseurs.L'analyse des logiciels malveillants a révélé des similitudes entre Pondrat et un rat macOS précédemment connu appelé Poolrat, solidifiant davantage la connexion avec des Poissons étincelés.Les deux familles de logiciels malveillants partagent des structures de code communes, des noms de fonction, des clés de chiffrement et des flux d'exécution. La stratégie de l'acteur de menace consiste à télécharger ces packages Python empoisonnés à PYPI, qui, lorsqu'il est installé, télécharge et exécute du code malveillant qui infecte la machine de la victime.Cette méthode d'attaque permet aux logiciels malveillants d'échapper à la détection et de rester cachés, posant un risque important pour les organisations qui s'appuient sur des logiciels open-source.Les chercheurs ont également découvert que Pondrat est une version plus légère de Poolrat, suggérant que les logiciels malveillants ont évolué pour répondre à différents besoins opérationnels entre les systèmes Linux et MacOS.Les forfaits empoisonnés ont depuis été retirés du PYPI, mais la menace souligne les dangers des attaques de chaîne d'approvisionnement. ## Analyse Microsoft L'acteur de menaceque Microsoft suit comme [Citrine Sleet] (https://security.microsoft.com/intel-profiles/byexternalid/69a6f70fa93e58f1412bf8dbff92f001e83a5a27af77fe7a0bf52e4e394EF623) est basé en Corée du Nord et cible principalement les institutions financières, en particulier les organisations et les individus qui gèrent la crypto-monnaie, à des fins financières.Dans le cadre de ses tactiques d'ingénierie sociale, Citrine Sleet a réalisé une reconnaissance approfondie de l'industrie des crypto-monnaies et des individus qui y sont associés.L'acteur de menace crée de faux sites Web se faisant passer pour des plates-formes de trading de crypto-monnaie légitimes et les utilise pour distribuer de fausses applications de travail ou attirer des cibles dans le téléchargement d'un portefeuille de crypto-monnaie ou une application de trading armée basée sur des applications légitimes.Le grésil citrine infecte le plus souvent les cibles avec le logiciel malveillant unique qu'il a développé, [Applejeus] (https: // Security.Microsoft.com/intel-profiles/796c7ccf162d06ceaa32e04c82cd7b8025abe1d155a358319286012107a6b838?ocid=magicti_ta_ta2), qui collecte les informations nécessaires à la lutteActifs de crypto-monnaie.  Citrine Sleet est suivi par d'autres sociétés de sécurité sous le nom d'Applejeus, Labyrinth Chollima, UNC4736 et Hidden Cobra, et a été attribué au Bureau 121 du Bureau général de reconnaissance de la Corée du Nord. ## Recommandations Appliquez ces atténuations pour réduire Malware Tool Threat APT 38 ★★★
RiskIQ.webp 2024-09-19 21:39:29 UNC1860 and the Temple of Oats: Iran\'s Hidden Hand in Middle Eastern Networks (lien direct) #### Targeted Geolocations - Middle East ## Snapshot Mandiant released a report detailing the activities of UNC1860, a threat actor Mandiant assesses is likely affiliated with Iran\'s Ministry of Intelligence and Security (MOIS). ## Description This group is known for its sophisticated toolkit and passive backdoors, which allow it to gain persistent access to high-priority networks, such as government and telecommunications organizations in the Middle East. Mandiant assesses that UNC1860\'s tradecraft is similar to other Iran-based groups like Shrouded Snooper, Scarred Manticore, and the group Microsoft tracks as [Storm-0861](https://security.microsoft.com/intel-profiles/e75c30dac03473d46bf83d32cefa79cdbd4f16ee8fd4eb62cf714d7ba9c8de00), but Mandiant could not confirm their involvement in recent high-profile cyberattacks. UNC1860 leverages specialized tools like GUI-operated malware controllers (TEMPLEPLAY and VIROGREEN), which Mandiant assesses were used to provide initial access to victim networks to external teams, possibly other MOIS-affiliated groups. Additionally, UNC1860 uses a variety of passive backdoors to maintain a foothold in networks, including a repurposed Windows kernel driver, reflecting its expertise in reverse engineering and detection evasion. The group has been observed exploiting vulnerable internet-facing servers, using web shells and droppers to deploy additional utilities and implants. These implants enhance operational security by avoiding traditional command-and-control (C2) infrastructure, making detection more difficult for defenders.  Moreover, UNC1860 uses a diverse set of custom utilities designed to bypass common detection methods, relying on techniques like custom Base64 encoding and XOR encryption. Mandiant assesses this ability to evade detection, coupled with the group\'s proficiency in leveraging Windows kernel components, makes UNC1860 a formidable adversary in the cyber domain. ## Microsoft Analysis The actor that Microsoft tracks as [Storm-0861](https://security.microsoft.com/intel-profiles/e75c30dac03473d46bf83d32cefa79cdbd4f16ee8fd4eb62cf714d7ba9c8de00) is an Iran-based activity group known to target organizations in the Middle East. Like Mandiant, Microsoft has also observed possible collaboration between Storm-0861 and another MOIS-affiliated actor, [Storm-0842](https://security.microsoft.com/intel-profiles/0c1349b0f2bd0e545d4f741eeae18dd89888d3c0fbf99540b7cf623ff5bb2bf5). In December 2023, operators associated with Storm-0842 [deployed a destructive payload on hundreds of devices belonging to multiple organizations in Albania](https://security.microsoft.com/intel-explorer/articles/ccc23671). Storm-0842 likely leveraged access that Storm-0861 obtained in June 2023, making this incident the third intrusion since 2022 where Microsoft has observed these groups each play a role in an environment where a destructive tool was ultimately used. To this end, activity observed in December 2023 further bolsters confidence in Microsoft\'s assessment that Storm-0861 and Storm-0842 collaborate to achieve shared objectives. While the specific nature of the relationship between these groups is unknown, the parallels between activity observed in Albania in December 2023, activity [observed](https://security.microsoft.com/intel-explorer/articles/cf205f30) at an Israeli organization in October 2023, and [activity in Albania in 2022](https://security.microsoft.com/intel-explorer/articles/5491ec4b) suggest Storm-0861\'s ability to gain access and collect information can be used to provide Storm-0842 with the access needed to achieve their objectives. This further implies that other organizations affected by Storm-0861 threat activity might be at risk of Storm-0842 follow-on operations later, if such action is deemed desirable by the group\'s sponsors. Additionally, the ability to leverage capabilities from multiple groups lowers the barrier to entry for both groups and effectively removes the need for either group Malware Tool Threat Cloud APT 34 ★★★
Mandiant.webp 2024-09-19 14:00:00 UNC1860 et le temple de l'avoine: la main cachée d'Iran dans les réseaux du Moyen-Orient
UNC1860 and the Temple of Oats: Iran\\'s Hidden Hand in Middle Eastern Networks (lien direct)		 Written by: Stav Shulman, Matan Mimran, Sarah Bock, Mark Lechtik
Executive Summary UNC1860 is a persistent and opportunistic Iranian state-sponsored threat actor that is likely affiliated with Iran\'s Ministry of Intelligence and Security (MOIS). A key feature of UNC1860 is its collection of specialized tooling and passive backdoors that Mandiant believes supports several objectives, including its role as a probable initial access provider and its ability to gain persistent access to high-priority networks, such as those in the government and telecommunications space throughout the Middle East. UNC1860\'s tradecraft and targeting parallels with Shrouded Snooper, Scarred Manticore, and Storm-0861, Iran-based threat actors publicly reported to have targeted the telecommunications and government sectors in the Middle East. These groups have also reportedly provided initial access for destructive and disruptive operations that targeted Israel in late October 2023 with BABYWIPER and Albania in 2022 using ROADSWEEP. Mandiant cannot independently corroborate that UNC1860 was involved in providing initial access for these operations. However, we identified specialized UNC1860 tooling including GUI-operated malware controllers, which are likely designed to facilitate hand-off operations, further supporting the initial access role played by UNC1860. UNC1860 additionally maintains an arsenal of utilities and collection of “main-stage” passive backdoors designed to gain strong footholds into victim networks and establish persistent, long-term access. Among these main-stage backdoors includes a Windows kernel mode driver repurposed from a legitimate Iranian anti-virus software filter driver, reflecting the group\'s reverse engineering capabilities of Windows kernel components and detection evasion capabilities. These capabilities demonstrate that UNC1860 is a formidable threat actor that likely supports various objectives ranging from espionage to network attack operations. As tensions continue to ebb and flow in the Middle East, we belie		 Malware Tool Vulnerability Threat Cloud Technical APT 34 ★★★
The_Hackers_News.webp 2024-09-18 15:02:00 Les pirates nord-coréens ciblent les industries de l'énergie et de l'aérospatiale avec de nouveaux logiciels malveillants Mistpen
North Korean Hackers Target Energy and Aerospace Industries with New MISTPEN Malware (lien direct)		 Un groupe de cyber-espionnage lié à la Corée du Nord a été observé en train de tirer parti des leurres de phishing sur le thème de l'emploi pour cibler les victimes potentielles dans les verticales énergétiques et aérospatiales et les infecter par un brouillon de porte déverrouillé auparavant sans papiers. Le cluster d'activités est suivi par Mandiant appartenant à Google sous le surnom UNC2970, qui, selon lui, chevauche un groupe de menaces connu sous le nom de Temp.Hermit, qui est
A North Korea-linked cyber-espionage group has been observed leveraging job-themed phishing lures to target prospective victims in energy and aerospace verticals and infect them with a previously undocumented backdoor dubbed MISTPEN. The activity cluster is being tracked by Google-owned Mandiant under the moniker UNC2970, which it said overlaps with a threat group known as TEMP.Hermit, which is		 Malware Threat APT 37 ★★
DarkReading.webp 2024-09-18 06:00:00 À mesure que les tensions géopolitiques montent, les cyber opérations de l'Iran \\
As Geopolitical Tensions Mount, Iran\\'s Cyber Operations Grow (lien direct)		 Des attaques croissantes du groupe OilRig / APT34 liées au ministère de l'Information et de la Sécurité de l'Iran \\ montrent que les capacités de la nation augmentent et ciblent les alliés et les ennemis régionaux.
Increasing attacks by the OilRig/APT34 group linked to Iran\'s Ministry of Intelligence and Security show that the nation\'s capabilities are growing, and targeting regional allies and enemies alike.		 APT 34 ★★★
Chercheur.webp 2024-09-17 11:02:34 Python Developers ciblés avec des logiciels malveillants lors de fausses entretiens d'embauche
Python Developers Targeted with Malware During Fake Job Interviews (lien direct)		 Attaque intéressante d'ingénierie sociale: attirer les candidats potentiels avec de faux terrains de recrutement, essayant de Convainquez-les de télécharger des logiciels malveillants.De A Article de presse Ces attaques particulières de l'équipe de piratage de piratage financée par l'État nord-coréen Lazarus est nouveau, mais la campagne globale de logiciels malveillants contre la communauté de développement de Python est en cours depuis au moins août 2023, lorsqu'un certain nombre de Python open source populaireLes outils ont été dupliqués avec malveillance avec des logiciels malveillants ajoutés.Maintenant, cependant, il y a aussi des attaques impliquant & # 8220; Tests de codage & # 8221;Cela n'existe que pour amener l'utilisateur final à installer des logiciels malveillants cachés sur son système (intelligemment caché avec le codage de base64) qui permet une exécution à distance une fois présente.La capacité d'exploitation à ce stade est à peu près illimitée, en raison de la flexibilité de Python et de la façon dont elle interagit avec le système d'exploitation sous-jacent ...
Interesting social engineering attack: luring potential job applicants with fake recruiting pitches, trying to convince them to download malware. From a news article These particular attacks from North Korean state-funded hacking team Lazarus Group are new, but the overall malware campaign against the Python development community has been running since at least August of 2023, when a number of popular open source Python tools were maliciously duplicated with added malware. Now, though, there are also attacks involving “coding tests” that only exist to get the end user to install hidden malware on their system (cleverly hidden with Base64 encoding) that allows remote execution once present. The capacity for exploitation at that point is pretty much unlimited, due to the flexibility of Python and how it interacts with the underlying OS...		 Malware Tool APT 38 ★★★
RiskIQ.webp 2024-09-16 11:20:34 Faits saillants hebdomadaires, 16 septembre 2024
Weekly OSINT Highlights, 16 September 2024 (lien direct)		 ## Snapshot Last week\'s OSINT reporting highlighted a broad array of cyber threats, with ransomware activity and espionage campaigns prominently featured. Russian and Chinese APT groups were particularly in the spotlight, with Aqua Blizzard targeting Ukrainian military personnel and Twill Typhoon affecting governments in Southeast Asia. RansomHub, a ransomware-as-a-service (RaaS) variant, and the newly emerged Repellent Scorpius also exploited known vulnerabilities and abused legitimate tools, employing double extortion tactics. Emerging malware, including infostealers like YASS and BLX Stealer, underscores the growing trend of targeting sensitive consumer data and cryptocurrency wallets, demonstrating the adaptability of threat actors in an evolving digital landscape. ## Description 1. [TIDRONE Targets Taiwanese Military](https://sip.security.microsoft.com/intel-explorer/articles/14a1a551): Trend Micro reports that the Chinese-speaking threat group, TIDRONE, has targeted Taiwanese military organizations, particularly drone manufacturers, since early 2024. Using advanced malware (CXCLNT and CLNTEND), the group infiltrates systems through ERP software or remote desktops, engaging in espionage. 2. [Predator Spyware Resurfaces with New Infrastructure](https://sip.security.microsoft.com/intel-explorer/articles/b0990b13): Insikt Group reports that Predator spyware, often used by government entities, has resurfaced in countries like the Democratic Republic of the Congo and Angola. With upgraded infrastructure to evade detection, Predator targets high-profile individuals such as politicians and activists through one-click and zero-click attack vectors. 3. [Ransomware Affiliates Exploit SonicWall](https://sip.security.microsoft.com/intel-explorer/articles/07f23184): Akira ransomware affiliates exploited a critical SonicWall SonicOS vulnerability (CVE-2024-40766) to gain network access. Targeting firewalls, they bypassed security via local accounts, leading to breaches in organizations with disabled multifactor authentication. 4. [RansomHub Ransomware Threatens Critical Infrastructure](https://sip.security.microsoft.com/intel-explorer/articles/650541a8): RansomHub ransomware-as-a-service has attacked over 210 victims across critical infrastructure sectors since early 2024, using double extortion tactics. The group gains entry via phishing, CVE exploits, and password spraying, and exfiltrates data using tools like PuTTY and Amazon S3. 5. [YASS Infostealer Targets Sensitive Data](https://sip.security.microsoft.com/intel-explorer/articles/d056e554): Intezer discovered "Yet Another Silly Stealer" (YASS), a variant of CryptBot, deployed through a multi-stage downloader called “MustardSandwich.” YASS targets cryptocurrency wallets, browser extensions, and authentication apps, using obfuscation and encrypted communications to evade detection. 6. [WhatsUp Gold RCE Attacks](https://sip.security.microsoft.com/intel-explorer/articles/b89cbab7): Exploiting vulnerabilities in WhatsUp Gold (CVE-2024-6670, CVE-2024-6671), attackers executed PowerShell scripts via NmPoller.exe to deploy RATs like Atera Agent and Splashtop. These attacks highlight the risk of delayed patching and underscore the importance of monitoring vulnerable processes. 7. [Repellent Scorpius Expands RaaS Operations](https://sip.security.microsoft.com/intel-explorer/articles/1f424190): Unit 42 reports on the emerging ransomware group Repellent Scorpius, known for using Cicada3301 ransomware in double extortion attacks. The group recruits affiliates via Russian cybercrime forums and uses stolen credentials to execute attacks on various sectors globally. 8. [APT34\'s Advanced Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/6289e51f): Check Point Research identified Iranian-linked APT34 targeting Iraqi government networks with sophisticated malware ("Veaty" and "Spearal"). Using DNS tunneling and backdoors, the group exploited email accounts for C2 communications, reflecting advanced espionage techniques. 9 Ransomware Malware Tool Vulnerability Threat Patching Prediction Cloud APT 34 ★★
The_Hackers_News.webp 2024-09-12 16:19:00 Iranian Cyber ​​Group OilRig cible le gouvernement irakien dans une attaque de logiciels malveillants sophistiqués
Iranian Cyber Group OilRig Targets Iraqi Government in Sophisticated Malware Attack (lien direct)		 Les réseaux gouvernementaux irakiens ont émergé comme la cible d'une campagne de cyberattaque "élaborée" orchestrée par un acteur de menace parrainé par l'État de l'Iran appelé Oilrig. Les attaques ont distingué des organisations irakiennes telles que le bureau du Premier ministre et le ministère des Affaires étrangères, a déclaré le point de contrôle de la société de cybersécurité dans une nouvelle analyse. OilRig, également appelé APT34, crambus, Cobalt Gypsy, Greenbug,
Iraqi government networks have emerged as the target of an "elaborate" cyber attack campaign orchestrated by an Iran state-sponsored threat actor called OilRig. The attacks singled out Iraqi organizations such as the Prime Minister\'s Office and the Ministry of Foreign Affairs, cybersecurity company Check Point said in a new analysis. OilRig, also called APT34, Crambus, Cobalt Gypsy, GreenBug,		 Malware Threat APT 34 ★★★
News.webp 2024-09-12 14:11:31 2023-11-23 BEAVERTAIL AND INVISIBLE_FERRET LAZARUS GROUP MALWWare Samples
2023-11-23 BEAVERTAIL and INVISIBLE_FERRET Lazarus Group Malware Samples (lien direct)		 2023-11-23 Palo Alto Unit42: Hacking Employers and Seeking Employment: Two Job-Related This is a 2023 article by Unit42 covering two cyber campaigns, "Contagious Interview" (CL-STA-0240) and "Wagemole" (CL-STA-0241), linked to the Lazarus group (North Korea). There is a more recent campaign VMCONNECT described by Reversing Labs here 2024-09-10 Fake recruiter coding tests target devs with malicious Python packages but I don\'t have samples for that one. These campaigns target job-seeking activities to deploy malware and conduct espionage. Contagious Interview (CL-STA-0240):The campaign targets software developers by posing as employers and convincing them to download malicious NPM packages during fake job interviews. The malware, BeaverTail and InvisibleFerret, is cross-platform, running on Windows, Linux, and macOS.BeaverTail: A JavaScript-based malware that steals cryptocurrency wallet information and loads the second-stage payload, InvisibleFerret.InvisibleFerret: A Python-based backdoor with capabilities including fingerprinting, remote control, keylogging, and browser credential theft. It communicates with a C2 server using JSON-formatted messages and supports commands for data exfiltration and additional malware deployment.The threat actors use GitHub to host malicious NPM packages, creating accounts with minimal activity to avoid detection.Wagemole (CL-STA-0241):Wagemole involves North Korean actors using fake identities to apply for remote IT jobs, likely to funnel wages to North Korea\'s weapons programs and potentially conduct espionage.Exposed Infrastructure: Researchers found resumes, interview scripts, and other fraudulent materials on GitHub. These documents impersonate IT professionals and aim to gain unauthorized employment at US companies.Download Malware Threat APT 38 ★★
InfoSecurityMag.webp 2024-09-12 13:00:00 Le groupe Lazarus cible les développeurs de la campagne de VMConnect fraîche
Lazarus Group Targets Developers in Fresh VMConnect Campaign (lien direct)		 Le groupe Lazarus a été observé en usurpation d'identité du personnel de Capital One pour attirer les développeurs dans le téléchargement des logiciels malveillants sur des référentiels open source
Lazarus Group has been observed impersonating Capital One staff to lure developers into downloading malware on open source repositories		 Malware APT 38 ★★
RiskIQ.webp 2024-09-11 23:46:33 Targeted Iranian Attacks Against Iraqi Government Infrastructure (lien direct) #### Géolocations ciblées - Irak #### Industries ciblées - agences et services gouvernementaux ## Instantané La recherche sur le point de vérification a récemment identifié de nouvelles familles de logiciels malveillants nommées "Veaty" et "Spearal" dans une campagne ciblant les entités irakiennes, y compris les réseaux gouvernementaux. ## Description Les logiciels malveillants utilisés dans ces attaques utilisent des techniques sophistiquées telles que une porte dérobée des services d'information sur Internet passive (IIS), une tunneling DNS et une communication de commande et de contrôle (C2) via des comptes de messagerie compromis.Ce canal C2, qui utilise des comptes de messagerie infiltrés au sein des organisations ciblées, indique que les attaquants ont réussi à pénétrer les réseaux des victimes.La campagne présente des similitudes avec les attaques précédentes attribuées à l'APT34, un groupe de menaces affilié à l'Iranian MOIS connu pour ses opérations au Moyen-Orient que Microsoft suit comme [Hazel Sandstorm] (https: // Security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d). Le malware nouvellement découvert, "Spearal", est un .net-Backdoor basée qui communique via le tunneling DNS.Il code pour les données dans DNS Queries \\ 'sous-domaines à l'aide d'un schéma de base 32 personnalisé."Veaty", une autre porte dérobée basée sur .NET, utilise des comptes de messagerie compromis pour les communications C2 et utilise plusieurs tactiques pour échapper à la détection, telles que la désactivation de la vérification du certificat SSL / TLS.Le logiciel malveillant utilise des règles et des configurations spécifiques pour déplacer des e-mails liés aux commandes aux dossiers cachés, minimisant les chances d'être découvertes. Les vecteurs d'infection initiaux impliquent des fichiers déguisés en pièces jointes légitimes de documents, en utilisant des doubles extensions comme "avamer.pdf.exe" ou "protocole.pdf.exe" pour tromper les utilisateurs.Une fois exécutés, ces fichiers déploient les logiciels malveillants via des scripts PowerShell ou Pyinstaller, qui manipulent les entrées de registre et fichiers pour la persistance.De plus, la boîte à outils de la campagne \\ comprend une nouvelle variante de la porte dérobée IIS nommée "cachehttp.dll", qui a probablement évolué à partir de versions plus anciennes comme "Rgdoor", montrant les attaquants \\ 'adaptation continue et raffinement de leurs méthodes. Selon Checkpoint Research, les tactiques, techniques et procédures (TTP) employées dans cette campagne s'alignent étroitement avec celles des familles malveillantes APT34 connues telles que Karkoff et Saitama.Ces outils présentent des similitudes dans la structure et les fonctionnalités du code, y compris le DNS et les tunnels basés sur des e-mails pour les communications C2.L'utilisation coordonnée de ces outils avancés et des méthodes C2 uniques met en évidence les efforts ciblés et persistants des acteurs de la menace iranienne contre les infrastructures gouvernementales irakiennes. ## Analyse Microsoft Microsoft Threat Intelligence assesses that the malicious activity described in this report is attributed to [Hazel Sandstorm](https://security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d) based on the IOCs and the group\'s previously observed tactics, techniques et procédures (TTPS).Hazel Sandstorm est un nom composite utilisé pour décrire plusieurs sous-groupes d'activité évalués pour avoir des liens avec le ministère du renseignement et de la sécurité de l'Iran \\, la principale agence de renseignement civil en Iran.Microsoft suit ces sous-groupes comme [Storm-0133] (https://security.microsoft.com/intel-profiles/0299fedd0f9f7671535556aae448f01ef9c3a75648558c5a22ba6641c619939), Storm-0150, [Storm-0166] (HTTPS://15 FCDE209955569784F44E34D191E57D1F933C13D5E6B87C304 Malware Tool Threat APT 34 ★★
bleepingcomputer.webp 2024-09-11 17:09:36 Test de codage de Fake Password Manager utilisé pour pirater les développeurs Python
Fake password manager coding test used to hack Python developers (lien direct)		 Les membres du groupe de pirates nord-coréen Lazarus se faisant passer pour les recruteurs apporcent les développeurs Python avec un projet de test de codage pour des produits de gestion de mot de passe qui incluent des logiciels malveillants.[...]
Members of the North Korean hacker group Lazarus posing as recruiters are baiting Python developers with coding test project for password management products that include malware. [...]		 Malware Hack APT 38 ★★★
Netskope.webp 2024-09-11 15:44:56 Mémo sur les menaces du cloud: les acteurs de la menace iranienne continuent d'exploiter Azure
Cloud Threats Memo: Iranian Threat Actors Continue to Exploit Azure (lien direct)		 > L'un des avantages de l'exploitation d'un service cloud pour héberger l'infrastructure d'attaque est que les acteurs de la menace peuvent utiliser un compte compromis légitime ou en créer un nouveau spécifiquement à leurs fins malveillantes. & # 160;Selon des chercheurs de Microsoft, ce modus operandi a été utilisé par APT33 (également connu sous le nom de «pêche de sable»), un [& # 8230;]
>One of the advantages of exploiting a cloud service to host the attack infrastructure, is that the threat actors can use either a legitimate compromised account or create a new one specifically for their malicious purposes.  According to researchers at Microsoft, this modus operandi has been used by APT33 (also known as “Peach Sandstorm”), a […] 		Threat Cloud APT33 APT 33 ★★★
The_Hackers_News.webp 2024-09-11 15:16:00 Les développeurs se trouvent: le groupe Lazarus utilise de faux tests de codage pour répandre les logiciels malveillants
Developers Beware: Lazarus Group Uses Fake Coding Tests to Spread Malware (lien direct)		 Les chercheurs en cybersécurité ont découvert un nouvel ensemble de packages Python malveillants qui ciblent les développeurs de logiciels sous couvert d'évaluations de codage. "Les nouveaux échantillons ont été suivis dans des projets GitHub qui ont été liés à des attaques ciblées précédentes dans lesquelles les développeurs sont attirés par de fausses entretiens d'embauche", a déclaré Karlo Zanki, le chercheur inversant deslabs. L'activité a été évaluée pour faire partie de
Cybersecurity researchers have uncovered a new set of malicious Python packages that target software developers under the guise of coding assessments. "The new samples were tracked to GitHub projects that have been linked to previous, targeted attacks in which developers are lured using fake job interviews," ReversingLabs researcher Karlo Zanki said. The activity has been assessed to be part of		 Malware APT 38 ★★★
RiskIQ.webp 2024-09-09 11:04:46 Faits saillants hebdomadaires OSINT, 9 septembre 2024
Weekly OSINT Highlights, 9 September 2024 (lien direct)		 ## Snapshot Last week\'s OSINT reporting highlights a broad spectrum of cyber threats with notable trends in malware campaigns, espionage, and ransomware attacks. Phishing remains a dominant attack vector, delivering a variety of payloads like custom backdoors, infostealers, and ransomware. Nation-state actors such as Russia\'s APT29 (Midnight Blizzard) and China\'s Earth Lusca were prominent, focusing on espionage and targeting specific regions like East Asia and the Middle East. Other notable threats included the use of deepfakes for scam campaigns and the exploitation of unpatched vulnerabilities in widely used software like Microsoft Office and WPS Office. The targeting of organizations ranged from government entities to private sector businesses, with some attacks focusing on specific industries like finance, healthcare, and technology. ## Description 1. [Unique Malware Campaign \'Voldemort\'](https://sip.security.microsoft.com/intel-explorer/articles/3cc65ab7): Proofpoint researchers uncovered a phishing campaign distributing custom malware via emails impersonating tax authorities across multiple countries. The malware, likely motivated by espionage, uses advanced techniques like abusing Google Sheets for command-and-control (C2) to avoid detection. 2. [Python-Based Infostealer \'Emansrepo\'](https://sip.security.microsoft.com/intel-explorer/articles/94d41800): FortiGuard Labs identified Emansrepo, a Python-based infostealer targeting browser data and files via phishing emails. The malware has evolved into a sophisticated multi-stage tool, expanding its capabilities to steal sensitive data like cryptocurrency wallets. 3. [Deepfake Scams Using Public Figures](https://sip.security.microsoft.com/intel-explorer/articles/6c6367c7): Palo Alto Networks researchers discovered deepfake scams impersonating public figures to promote fake investment schemes. These scams, involving a single threat actor group, target global audiences with AI-generated videos hosted on domains with significant traffic. 4. [Zero-Day Vulnerabilities in WPS Office](https://sip.security.microsoft.com/intel-explorer/articles/f897577d): ESET researchers identified two zero-day vulnerabilities in Kingsoft WPS Office exploited by the APT-C-60 group. The vulnerabilities allowed attackers to execute arbitrary code in targeted East Asian countries, using malicious documents to deliver a custom backdoor. 5. [KTLVdoor Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/222628fc): Trend Micro uncovered KTLVdoor, a highly obfuscated backdoor developed by Earth Lusca, targeting Windows and Linux systems. The malware allows attackers to fully control infected systems and is primarily linked to Chinese-speaking actors. 6. [Fake Palo Alto GlobalProtect Tool](https://sip.security.microsoft.com/intel-explorer/articles/22951902): Trend Micro identified a campaign targeting Middle Eastern organizations with a fake version of Palo Alto GlobalProtect. The malware executes remote PowerShell commands and exfiltrates files while masquerading as a legitimate security solution. 7. [APT29 Targets Mongolian Government Websites](https://sip.security.microsoft.com/intel-explorer/articles/12b5ac31): Google TAG discovered that Russian APT29 used iOS and Chrome exploits to target Mongolian government websites. The attack, linked to commercial surveillance vendors, involved watering hole attacks to steal authentication cookies from targeted users. 8. [MacroPack-Abused Malicious Documents](https://sip.security.microsoft.com/intel-explorer/articles/cd8dec3b): Cisco Talos found malicious documents leveraging MacroPack to deliver payloads like Havoc and PhantomCore RAT. These documents used obfuscated macros and lures in multiple languages, complicating attribution to any single threat actor. 9. [Underground Ransomware by RomCom Group](https://sip.security.microsoft.com/intel-explorer/articles/e2a44c7c): FortiGuard Labs identified the Underground ransomware targeting Windows systems, deployed by the Russia-based RomCom Ransomware Malware Tool Vulnerability Threat Prediction Medical Commercial APT 38 APT 29 ★★
Blog.webp 2024-09-08 23:26:37 Le groupe Lazarus cible les professionnels de la blockchain avec de fausses vidéoconférences, arnaque de travail
Lazarus Group Targets Blockchain Pros with Fake Video Conferencing, Job Scam (lien direct)		 Un nouveau rapport du groupe-IB met en évidence une campagne en cours du groupe nord-coréen Lazare, connu sous le nom de «Eager & # 8230;
A new Group-IB report highlights an ongoing campaign by the North Korean Lazarus Group, known as the “Eager…		 APT 38 ★★★
RiskIQ.webp 2024-09-06 20:50:58 (Déjà vu) APT Lazarus: castors cryptographiques avides, appels vidéo et jeux
APT Lazarus: Eager Crypto Beavers, Video calls and Games (lien direct)		 ## Instantané Group-IB a publié un rapport détaillant l'activité du groupe de Lazare qui cible les demandeurs d'emploi par de fausses entretiens.La campagne attire des victimes de téléchargement du logiciel malveillant déguisé en projet Node.js, qui contient le malware de Beavertail, conduisant finalement au déploiement d'une porte dérobée python connue sous le nom d'invisibleferret. ## Description La chaîne d'infection commence lorsque les victimes sont contactées via des plateformes de recherche d'emploi comme LinkedIn, Moonlight ou Upwork.Les conversations sont ensuite souvent déplacées vers Telegram, où les victimes sont trompées pour télécharger une fausse application de conférence vidéo ou un projet Node.js pour une tâche d'entrevue supposée.Ces applications sont en fait malveillantes, contenant des charges utiles qui volent des données sensibles aux navigateurs, aux portefeuilles de crypto-monnaie et à d'autres sources. BEAVERTail Malware, initialement développé par les acteurs de la menace en tant qu'outil basé sur JavaScript, a évolué pour inclure les versions macOS et Python natives.La version Windows arrive via un fichier d'installation nommé FCCCALL, qui se présente comme une application de vidéoconférence légitime.Lors de l'exécution, FccCall imite les interfaces logicielles légitimes tout en exécutant des processus d'arrière-plan malveillants qui exfiltrent les informations d'identification du navigateur, les données de portefeuille de crypto-monnaie, etc.  La variante Beavertail Python a introduit des composants modulaires, nommés collectivement CIVETQ, qui élargissent les capacités du malware \\.Les modules CIVETQ se concentrent sur des tâches telles que le keylogging, le vol de presse-papiers, l'exfiltration des données du navigateur et l'établissement de persistance sur les plates-formes Windows, MacOS et Linux.La version Python configure également AnyDesk pour un accès sans surveillance, permettant aux attaquants de maintenir un pied sur des systèmes compromis sans interaction utilisateur. InvisibleFerret, une porte arrière basée sur Python, est un autre composant important utilisé dans ces campagnes.Il dispose de la télécommande, de la clé de clés et des capacités de vol de données du navigateur, avec des mises à jour récentes incorporant des techniques d'obfuscation plus avancées et des méthodes supplémentaires d'exfiltration de données, y compris via Telegram.Beavertail et InvisibleFerret sont en cours de développement actif, les mises à jour fréquentes étant déployées pour améliorer la furtivité et l'efficacité. Le groupe Lazare utilise également des référentiels malveillants sur les plates-formes de partage de code pour distribuer des projets Node.js transversaux.Ces référentiels ciblent souvent les professionnels des secteurs de la crypto-monnaie et des jeux en se faisant passer pour des projets de développement légitimes.Lazarus met à jour en permanence ces référentiels, en utilisant des techniques d'obscurcissement et en manipulant la visibilité du référentiel pour échapper à la détection. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Micr Ransomware Malware Tool Threat APT 38 ★★
RiskIQ.webp 2024-09-04 18:51:15 Fake Palo Alto GlobalProtect used as lure to backdoor enterprises (lien direct) ## Instantané Les chercheurs de Trend Micro ont identifié une campagne où les acteurs de la menace utilisent une fausse version de l'outil Palo Alto GlobalProtect, ciblant les organisations du Moyen-Orient. ## Description Le malware, déguisé en solution de sécurité légitime, peut exécuter des commandes PowerShell distantes, télécharger et exfiltrate des fichiers, crypter les communications et contourner des solutions de sable.La méthode de livraison des logiciels malveillants n'est pas claire, mais il est soupçonné d'avoir fait partie d'une attaque de phishing qui trompe les victimes de croire qu'elles installent un agent GlobalProtect légitime.L'attaque conduit la victime à exécuter un fichier nommé \\ 'setup.exe, \' qui déploie les fichiers malveillants \\ 'globalprotect.exe \' et de configuration.Le malware transmet ensuite les informations de profilage à un serveur de commande et de contrôle (C2), en utilisant la norme de chiffrement avancée (AES) pour l'évasion.De plus, le malware pivote vers une URL nouvellement enregistrée, "Sharjahconnect", conçue pour ressembler à un portail VPN légitime pour une entreprise basée aux Émirats arabes unis (EAU).Le logiciel malveillant communique avec les acteurs de la menace utilisant l'outil d'Open-source InteractSh pour le beconning, la communication avec des noms d'hôtes spécifiques pour signaler les progrès de l'infection et recueillir des informations sur les victimes.Trend Micro évalue que la campagne cible les entités du Moyen-Orient en raison de la concentration régionale spécifique du domaine et de l'origine de la soumission. ## Analyse Microsoft Microsoft évalue cette activité malveillante est attribuée à [Hazel Sandstorm] (https://security.microsoft.com/intel-profiles/6cea89977c2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e ministère de l'intelligence etSécurité (MOIS), la principale agence de renseignement civil en Iran.Les sous-groupes sont [Storm-0133] (https://security.microsoft.com/intel-pROFILES / 0299FEDD0F9F7671535556AAE448F01EF9C3A75648558CC5A22BA6641C619939), Storm-0150, [Storm-0166] (HTTTP 4d191e57d1f933c13d5e6b87c304985edfb13fb4033), [Storm-0755] (https://security.microsoft.com/intel-Profils / DFE14233E7FE59A1099C5B41AB0E4D8ED24AEBED38BC0615B15B9C71F98D5189) et [Storm-0861] (https://security.microsoft.com/intel-pleROFILES / E75C30DAC03473D46BF83D32CEFA79CDBD4F16EE8FD4EB62CF714D7BA9C8DE00).Les opérateurs de Hazel Sandstorm sont connus pour poursuivre des cibles dans les secteurs public et privé en Europe, au Moyen-Orient et en Amérique du Nord.Dans les opérations passées, Hazel Sandstorm a utilisé une combinaison d'outils de coutume et de produits de base dans leurs intrusions, probablement comme moyen de recueillir des renseignements pour soutenir les objectifs nationaux iraniens.Activité Microsoft suit dans le cadre du grand parapluie de Sandstorm Hazel chevauche des rapports publics sur l'APT34, le Cobalt Gypsy, Helix Kitten et Oilrig. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder à votre réseau. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus) dans Microsoft Defender Antivirus ou leÉquivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'escroquerie et des sitesqui contiennent des exp Malware Tool Threat Prediction APT 34 ★★
Mandiant.webp 2024-09-03 14:00:00 ATTENTIONS DÉFÉRENCES - Examiner les cambriolages Web3
DeFied Expectations - Examining Web3 Heists (lien direct)		 Written by: Robert Wallace, Blas Kojusner, Joseph Dobson
Where money goes, crime follows. The rapid growth of Web3 has presented new opportunities for threat actors, especially in decentralized finance (DeFi), where the heists are larger and more numerous than anything seen in the traditional finance sector. Mandiant has a long history of investigating bank heists. In 2016, Mandiant investigated the world\'s largest bank heist that occurred at the Bank of Bangladesh and resulted in the theft of $81 million by North Korea\'s APT38. While the group\'s operations were quite innovative and made for an entertaining 10-episode podcast by the BBC, it pales in comparison to Web3 heists. In 2022, the largest DeFi heist occurred on Sky Mavis\' Ronin Blockchain, which resulted in the theft of over $600 million by North Korean threat actors. While North Korea is arguably the world\'s leading cyber criminal enterprise, they are not the only player. Since 2020, there have been hundreds of Web3 heists reported, which has resulted in over $12 billion in stolen digital assets Chainalysis 2024 Crypto Crime Report Source: Chainalysis 2024 Crypto Crime Report While social engineering, crypto drainers, rug pulls (scams), and 		Malware Hack Vulnerability Threat Cloud APT 38 ★★
RiskIQ.webp 2024-09-02 19:54:58 Faits saillants hebdomadaires OSINT, 2 septembre 2024
Weekly OSINT Highlights, 2 September 2024 (lien direct)		 ## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence un ensemble diversifié de cybermenaces et de méthodologies d'attaque dans plusieurs secteurs et géographies.Les principales tendances comprenaient la sophistication croissante des campagnes de phishing, telles que celles qui tirent parti des logiciels malveillants multiplateformes comme le voleur Cheana et des tactiques innovantes comme le quai via des codes QR.Le déploiement de balises de Cobaltsstrike, les techniques d'injection du gestionnaire de l'Appdomain et l'abus de services légitimes comme Microsoft Sway, les tunnels Cloudflare et les outils de gestion à distance ont également présenté en bonne place, soulignant l'évolution de la boîte à outils des cybercriminels et des acteurs parrainés par l'État.Les entités ciblées s'étendaient sur des industries, notamment les finances, le gouvernement, les soins de santé et les infrastructures critiques, les attaquants utilisant fréquemment des mécanismes de persistance avancés, exploitant des vulnérabilités zéro-jours et en utilisant des ransomwares dans des schémas à double extorsion. ## Description 1. [Utilisateurs coréens ciblés avec des logiciels malveillants à distance] (https://sip.security.microsoft.com/intel-explorer/articles/b920e285): Ahnlab Security Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, lorsqu'un inconnuL'attaquant a déployé des logiciels malveillants à distance, y compris l'asyncrat, et des délais personnalisés comme FXFDOOR et NOMU.L'attaque, potentiellement liée au groupe nord-coréen Kimsuky, s'est concentrée sur le vol d'informations, avec un spearphishing et des vulnérabilités dans IIS et MS Exchange comme points d'entrée possibles. 2. [Campagne de phishing déguisée en sondage RH cible Office 365 Contaliens] (https://sip.security.microsoft.com/intel-explorer/articles/9431aa5a): les chercheurs de Cofense ont identifié une attaque de phishing qui s'est présentée comme un engagement en milieu d'annéeEnquête pour voler les informations d'identification Microsoft Office 365.L'attaque a utilisé un faux e-mail RH réalisant des destinataires vers une page hébergée par Wufoo, conduisant finalement à une page de connexion frauduleuse Microsoft conçue pour récolter les informations d'identification. 3. [Campagne de phishing multiplateforme avec Cheana Stealer] (https://sip.security.microsoft.com/intel-explorer/articles/69d7b49e): Cyble Research and Intelligence Lab (CRIL) a découvert une campagne de phishing ciblant les fenêtres, Linuxet les utilisateurs de macOS avec Cheana Stealer malware, distribué via un site imitant un fournisseur VPN.Les logiciels malveillants visaient à voler des portefeuilles de crypto-monnaie, des mots de passe du navigateur et des clés SSH, en tirant parti d'un canal télégramme pour une distribution généralisée, mettant en évidence les attaquants \\ 'se concentrer sur le compromis de divers systèmes. 4. [Vulnérabilité zéro-jour dans Versa Director exploité par APT] (https://sip.security.microsoft.com/intel-explorer/articles/1af984be): Versa Networks a identifié une vulnérabilité zéro-jour (CVE-2024-39717) Dans le directeur de l'interface graphique de Versa, exploité par un acteur apt pour télécharger des fichiers malveillants déguisés en images PNG.L'attaque a été facilitée par un mauvais durcissement du système et des ports de gestion exposés, ciblant les clients qui n'ont pas réussi à sécuriser correctement leur environnement. 5. [Mallox Ransomware Exploits Cloud Misconfiguration](https://sip.security.microsoft.com/intel-explorer/articles/d9af6464): Trustwave investigated a Mallox Ransomware Malware Tool Vulnerability Threat Mobile Medical Cloud APT 41 APT 32 ★★
News.webp 2024-09-02 16:43:39 2022-2024 Corée du Nord Citrine Citrine Sleet / Lazarus Fudmodule (BYOVD) ROOTKIT Samples
2022-2024 North Korea Citrine Sleet /Lazarus FUDMODULE ( BYOVD ) Rootkit Samples (lien direct)		 Vulnerability Threat Conference APT 38 ★★
The_Hackers_News.webp 2024-08-30 16:45:00 Les pirates iraniens ont mis en place un nouveau réseau pour cibler les campagnes politiques américaines
Iranian Hackers Set Up New Network to Target U.S. Political Campaigns (lien direct)		 Les chercheurs en cybersécurité ont mis au jour de nouvelles infrastructures de réseau créées par les acteurs iraniens de la menace pour soutenir les activités liées au ciblage récent des campagnes politiques américaines. Enregistré Future \'s Insikt Group a lié l'infrastructure à une menace qu'il suit en tant que Greencharlie, un groupe de cyber-menace Iran-Nexus qui chevauche l'APT42, le chaton charmant, le chemin de la menthe, la menthe Sandstorm (anciennement
Cybersecurity researchers have unearthed new network infrastructure set up by Iranian threat actors to support activities linked to the recent targeting of U.S. political campaigns. Recorded Future\'s Insikt Group has linked the infrastructure to a threat it tracks as GreenCharlie, an Iran-nexus cyber threat group that overlaps with APT42, Charming Kitten, Damselfly, Mint Sandstorm (formerly		 Threat APT 35 APT 42 ★★★
The_Hackers_News.webp 2024-08-29 21:45:00 Groupe vietnamien des droits de l'homme ciblé dans la cyberattaque pluriannuelle par APT32
Vietnamese Human Rights Group Targeted in Multi-Year Cyberattack by APT32 (lien direct)		 Un organisme à but non lucratif soutenant les droits humains vietnamiens a été la cible d'une campagne pluriannuelle conçue pour fournir une variété de logiciels malveillants sur des hôtes compromis. La société de cybersécurité Huntress a attribué l'activité à un cluster de menaces connu sous le nom d'APT32, une équipe de piratage alignée par le Vietnamien qui est également connu sous le nom d'APT-C-00, Canvas Cyclone (anciennement Bismuth), Cobalt Kitty et Oceanlotus.L'intrusion est
A non-profit supporting Vietnamese human rights has been the target of a multi-year campaign designed to deliver a variety of malware on compromised hosts. Cybersecurity company Huntress attributed the activity to a threat cluster known as APT32, a Vietnamese-aligned hacking crew that\'s also known as APT-C-00, Canvas Cyclone (formerly Bismuth), Cobalt Kitty, and OceanLotus. The intrusion is		 Malware Threat APT 32 ★★★
RiskIQ.webp 2024-08-29 19:44:20 Sleet citrine exploitant le chrome zéro-jour
Citrine Sleet exploiting Chromium zero-day (lien direct)		 #### Targeted Industries - Financial Services ## Snapshot On August 19, 2024, Microsoft identified a North Korean threat actor exploiting a zero-day vulnerability in Chromium, now identified as [CVE-2024-7971](https://nvd.nist.gov/vuln/detail/CVE-2024-7971), to gain remote code execution (RCE). We assess with high confidence that the observed exploitation of CVE-2024-7971 can be attributed to a North Korean threat actor targeting the cryptocurrency sector for financial gain. Our ongoing analysis and observed infrastructure lead us to attribute this activity with medium confidence to [Citrine Sleet](https://security.microsoft.com/intel-profiles/740afa51582ebef367a7120efe99a535ba803f2169356580369a0fd680137145). We note that while the [FudModule](https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/) rootkit deployed in the attack has also been attributed to [Diamond Sleet](https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), another North Korean threat actor, Microsoft previously identified shared infrastructure and tools between Diamond Sleet and Citrine Sleet, and our analysis indicates this might be shared use of the FudModule malware between these threat actors. Google released a [fix for the vulnerability](https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html) on August 21, 2024, and users should ensure they are using the latest version of Chromium. Microsoft Defender for Endpoint detects Citrine Sleet activity with the alert *Emerging threat activity group Citrine Sleet detected*. To further protect from this kind of attack, organizations should ensure that Google Chrome and Microsoft Edge are updated and follow Microsoft\'s recommendations below in strengthening the endpoint. ## Activity Overview On August 19, 2024, Microsoft identified a North Korean threat actor exploiting an RCE exploit in the Chromium browser that has since been designated CVE-2024-7971. Entities that we identified who were targeted through this vector are associated with the cryptocurrency sector. One of these organizations is also a previous target of Sapphire Sleet. CVE-2024-7971 is a type confusion vulnerability in the V8 JavaScript and WebAssembly engine impacting versions of Chromium prior to 128.0.6613.84. Exploiting the vulnerability could allow threat actors to gain RCE in the sandboxed Chromium renderer process. Google released a fix for the vulnerability on August 21. CVE-2024-7971 is the third exploited V8 type confusion vulnerability that has been patched in V8 this year after [CVE-2024-4947](https://nvd.nist.gov/vuln/detail/CVE-2024-4947) and [CVE-2024-5274](https://nvd.nist.gov/vuln/detail/CVE-2024-5274). The attack used the typical stages seen in browser exploit chains. First, the targets were directed to the Citrine Sleet-controlled exploit domain *voyagorclub\[.\]space*. While we cannot confirm at this time how the targets were directed, social engineering is a common tactic used by Citrine Sleet. Once a target connected to the domain, the zero-day RCE exploit for CVE-2024-7971 was served. After the RCE exploit achieved code execution in the sandboxed Chromium renderer process, shellcode containing a Windows sandbox escape exploit and the FudModule rootkit was downloaded and then loaded into memory. The sandbox escape exploited [CVE-2024-38106](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106), a vulnerability in the Windows kernel that Microsoft fixed on August 13, 2024, before we discovered this North Korean threat actor activity. CVE-2024-38106 was reported to Microsoft Security Response Center (MSRC) as being exploited; however, our investigations so far have not suggested any link between the reported CVE-2024-38106 exploit activity and this Citrine Sleet exploit activity, beyond exploiting the same vulnerability. This may suggest a "bug collision," where the same vulnerability is independentl Malware Tool Vulnerability Threat APT 38 ★★
RiskIQ.webp 2024-08-29 18:15:40 Menace persistante avancée ciblant les défenseurs vietnamiens des droits de l'homme
Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders (lien direct)		 #### Géolocations ciblées - Vietnam ## Instantané Les chercheurs de Huntress ont découvert une cyber-intrusion à long terme ciblant un défenseur vietnamien des droits de l'homme, soupçonné d'avoir persisté pendant au moins quatre ans. ## Description Selon Huntress, les tactiques, les techniques et les procédures (TTPS) observées dans cette attaque présentent des similitudes avec celles utilisées par APT32 / Oceanlottus, un groupe de cyber-espionnage bien connu suivi par Microsoft comme [Canvas Cyclone] (https: // Security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb58255463214122b1a133).Les attaquants ont utilisé plusieurs mécanismes de persistance, notamment des tâches programmées, des débiteurs de touche de DLL et des abus d'objets COM, pour maintenir l'accès à des systèmes compromis.Notamment, les attaquants ont utilisé des logiciels malveillants qui se sont masqués comme logiciels légitimes, tels que les binaires Adobe et McAfee, et ont exploité les vulnérabilités dans des exécutables légitimes pour exécuter des charges utiles malveillantes. Au cours de l'enquête, les analystes de Huntress ont identifié plusieurs échantillons de logiciels malveillants qui ont utilisé l'obscurcissement et la stéganographie pour échapper à la détection.Le malware était capable d'injecter du code dans la mémoire et d'effectuer diverses tâches, telles que le vol de cookies de navigateur, le téléchargement de charges utiles supplémentaires et le maintien de l'accès de la porte dérobée.Les acteurs de la menace ont également mis à profit des outils légitimes comme Windows Management Instrumentation (WMI) pour l'exécution de la commande distante et exploité des tuyaux nommés pour l'escalade des privilèges. L'enquête a révélé que les liens avec les infrastructures associées à l'APT32 / Oceanlotus, confirmant davantage l'implication du groupe \\ dans l'attaque.Les attaquants \\ 'les efforts persistants pour cacher leurs activités et maintenir l'accès suggèrent un objectif stratégique aligné sur la collecte de renseignements.Cette affaire démontre les durées auxquelles les acteurs avancés de la menace iront pour atteindre leurs objectifs et met en évidence l'importance de la chasse et de la surveillance des menaces continues pour détecter et répondre à de telles intrusions sophistiquées. ## Analyse Microsoft L'acteur Microsoft suit comme [Canvas Cyclone] (https://security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb582554632141222b1a133) est un groupe de calice national. Lone est connu pour cibler principalementet les organisations étrangères à travers l'Asie, l'Europe et l'Amérique du Nord, y compris les grandes sociétés multinationales, les gouvernements, les institutions financières, les établissements d'enseignement et les groupes de défense des droits humains et civils.Canvas Cyclone se concentre sur l'espionnage gouvernemental ainsi que sur la collecte de renseignements contre la concurrence des entreprises étrangères. Auparavant, Canvas Cyclone a mené des attaques de compromis en vigueur contre les sites gouvernementaux et les agences de médias en Asie du Sud-Est.Fin 2018, Canvas Cyclone a compromis des cibles à l'aide d'une famille de logiciels malveillants personnalisé connue sous le nom de Kerrdown via des documents malveillants livrés dans les opérations de phission de lance.Canvas Cyclone s'est également appuyé sur des outils couramment utilisés comme la grève du cobalt pour l'exfiltration des données et le mouvement latéral.Depuis 2020, Canvas Cyclone a utilisé le détournement de l'ordre de recherche DLL pour charger du code malveillant en utilisant des binaires légitimes et signés.Canvas Cyclonehas a également déployé des mineurs de crypto-monnaie Monero sur des systèmes ciblés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allume Ransomware Malware Tool Vulnerability Threat APT 32 ★★★
SecureMac.webp 2024-08-29 10:04:45 Nukesped (lien direct) > également connu sous le nom de heur: trojan-psw.osx.beavertail.a Type: Menace hybride Plateforme: Mac OS 9 Dernière mise à jour: 07/31/24 15:52 PM Niveau de menace: High Description Nukesped est une menace hybride qui est attribuée au groupe nord-coréen Lazare, est un outil de cyber-espionnage avancé conçu pour voler des données sensibles et perturber les opérations. . Retrait des menaces nuclées MacScan peut détecter et éliminer la menace hybride nucléaire de votre système, ainsi que de protéger d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace. télécharger macscan
>also known as HEUR:Trojan-PSW.OSX.BeaverTail.a Type: Hybrid Threat Platform: Mac OS 9 Last updated: 07/31/24 3:52 pm Threat Level: High Description Nukesped is a hybrid threat that is attributed to the North Korean Lazarus Group, is an advanced cyber espionage tool designed to steal sensitive data and disrupt operations. Nukesped Threat Removal MacScan can detect and remove Nukesped Hybrid Threat from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan 		Tool Threat APT 38 ★★★
bleepingcomputer.webp 2024-08-28 14:36:52 New Tickler malware used to backdoor US govt, defense orgs (lien direct) Le groupe de piratage iranien de l'APT33 a utilisé de nouveaux logiciels malveillants Tickler pour se démener les réseaux d'organisations au sein du gouvernement, de la défense, des satellites, du pétrole et du gaz aux États-Unis et des Émirats arabes unis.[...]
The APT33 Iranian hacking group has used new Tickler malware to backdoor the networks of organizations in the government, defense, satellite, oil and gas sectors in the United States and the United Arab Emirates. [...]		 Malware APT33 APT 33 ★★★
bleepingcomputer.webp 2024-08-28 14:36:52 New Tickler malware utilisé pour se porte-balade US Govt, Defense Orgs
New Tickler malware used to backdoor US govt, defense orgs (lien direct)		 Le groupe de piratage iranien de l'APT33 a utilisé de nouveaux logiciels malveillants Tickler pour se démener les réseaux d'organisations au sein du gouvernement, de la défense, des satellites, du pétrole et du gaz aux États-Unis et des Émirats arabes unis.[...]
The APT33 Iranian hacking group has used new Tickler malware to backdoor the networks of organizations in the government, defense, satellite, oil and gas sectors in the United States and the United Arab Emirates. [...]		 Malware APT33 APT 33 ★★★
RiskIQ.webp 2024-08-20 20:33:25 Aimez-vous les beignets;Voici un Donut Shellcode livré via PowerShell / Python
Do you Like Donuts; Here is a Donut Shellcode Delivered Through PowerShell/Python (lien direct)		 ## Instantané Des chercheurs de Sans Technology Institute ont identifié une nouvelle menace qui invoque un script PowerShell dans une chaîne d'attaque qui télécharge finalement Donut Shellcode.Le shellcode est capable d'injecter des charges utiles malveillantes dans des processus Windows arbitraires. ## Description L'attaque commence par un petit fichier .bat nommé 3650.bat, qui invoque initialement un script PowerShell pour télécharger et déballer une série d'archives zip.La recherche ne spécifie pas le mécanisme de livraison initial de ce fichier.Les archives ZIP contiennent un environnement Python complet avec les bibliothèques requises pour exécuter l'étape suivante.L'étape suivante consiste à télécharger et à exécuter un script Python obscurci.  Le script Python récupére et exécute finalement un shellcode final à partir de la mémoire, généré avec Donut, tentant de communiquer avec un serveur C2 à 160 \ [. \] 30 \ [. \] 21 \ [. \] 115: 7000. ### Analyse supplémentaire Le projet de beignet open-source permet la création d'un shellcode Shell-dépendant indépendant de la position capable de charger et d'exécuter des assemblages .NET à partir de la mémoire.En chargeant les charges utiles directement dans la mémoire, les acteurs de la menace [peuvent éviter la détection] (https://cloud.google.com/blog/topics/thereat-intelligence/staying-hidden-on-the-endpoint-evadeing-dection-with-shellcode) par logiciel antivirus traditionnel.  Des chercheurs en sécurité ont déjà rendu compte des groupes de menaces parrainés par l'État abusant du beignet.Par exemple, en octobre 2023, [Vérifier la recherche sur le point] (https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is- listening/) rapporté surLe groupe iranien marqué Manticore utilisant Shellcode généré en utilisant le projet Donut dans le cadre d'une campagne de cyber-espionnage ciblant les organisations de haut niveau au Moyen-Orient. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.  - Comprendre et utiliser * ExecutionPolicy *: - La stratégie d'exécution de PowerShell \\ contrôle comment les scripts sont chargés et s'exécutent. - Définissez une politique d'exécution appropriée en fonction de vos besoins. - N'oubliez pas que la politique d'exécution n'est pas infaillible;il peut être contourné. - En savoir plus sur [les politiques d'exécution] (https://learn.microsoft.com/powershell/scripting/security/security-derutures?view=Powershell-7.4). - Activer et surveiller la journalisation PowerShell: - Activer la journalisation du bloc de script, la journalisation du module et la transcription. - Ces journaux fournissent une trace d'activité et aident à identifier les comportements malveillants. - Plongez plus profondément dans [PowerShell Security Fonctionnal] (https://learn.microsoft.com/powershell/scripting/security/security-deatures?view=powershell-7.4). - Mettre à jour régulièrement PowerShell: - Gardez votre environnement PowerShell à jour. - Les mises à jour incluent souvent des améliorations de sécurité et des correctifs pour les vulnérabilités connues. - En savoir plus sur [l'installation et la mise à jour de PowerShell sur Windows, Linux et MacOS] (https://learn.microsoft.com/powershell/scripting/install/installing-powershell?view=powershell-7.4). ## références [Aimez-vous les beignets;Voici un Donut Shellcode livré via PowerShell / Python] (https://isc.sans.edu/diary/rss/31182).Sans Technology Institute (consulté en 2024-08-19) [Utilisation malveillante de PowerShell] (https://sip.security.microsoft.com/intel-explorer/articles/3973dbaa).Microsoft (consulté en 2024-08-19) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est in Vulnerability Threat Cloud APT 34 ★★★
InfoSecurityMag.webp 2024-08-20 15:30:00 Le groupe iranien TA453 lance des attaques de phishing avec le forgeron
Iranian Group TA453 Launches Phishing Attacks with BlackSmith (lien direct)		 TA453, également connu sous le nom de Charming Kitten, a lancé une attaque de phishing ciblée à l'aide de PowerShell malware forgery
TA453, also known as Charming Kitten, launched a targeted phishing attack using PowerShell malware BlackSmith		 Malware APT 35 ★★★
DarkReading.webp 2024-08-20 09:00:00 Packers liés à l'IRGC package malware modulaire en Troie monolithique
IRGC-Linked Hackers Package Modular Malware in Monolithic Trojan (lien direct)		 Le chaton charmant devient rétro et consolide sa porte dérobée dans un ensemble plus serré, abandonnant la tendance du cadre de logiciels malveillants.
Charming Kitten goes retro and consolidates its backdoor into a tighter package, abandoning the malware framework trend.		 Malware Prediction APT 35 ★★
ProofPoint.webp 2024-08-20 05:00:25 Meilleurs plans posés: TA453 cible la figure religieuse avec un faux podcast invite livrant un nouvel ensemble d'outils de logiciel malveillant forgeron
Best Laid Plans: TA453 Targets Religious Figure with Fake Podcast Invite Delivering New BlackSmith Malware Toolset (lien direct)		 Key findings  Proofpoint identified Iranian threat actor TA453 targeting a prominent religious figure with a fake podcast interview invitation.   The initial interaction attempted to lure the target to engage with a benign email to build conversation and trust to then subsequently click on a follow-up malicious link.  The attack chain attempted to deliver a new malware toolkit called BlackSmith, which delivered a PowerShell trojan dubbed AnvilEcho by Proofpoint.   The malware, which uses encryption and network communication techniques similar to previously observed TA453 samples, is designed to enable intelligence gathering and exfiltration.  AnvilEcho contains all of TA453\'s previously identified malware capabilities in a single PowerShell script rather than the modular approach previously observed.   Overview  Starting 22 July 2024, TA453 contacted multiple email addresses for a prominent Jewish figure while pretending to be the Research Director for the Institute for the Study of War (ISW). The lure purported to invite the target to be a guest on a podcast hosted by ISW. After receiving a response from the target (outside of Proofpoint visibility), TA453 replied with a DocSend URL. The DocSend URL was password protected and led to a text file that contained a URL to the legitimate ISW Podcast being impersonated by TA453. It is likely that TA453 was attempting to normalize the target clicking a link and entering a password so the target would do the same when they delivered malware.  Initial July 2024 approach from TA453.  DocSend contents containing the podcast themed text.   Proofpoint first observed TA453 spoofing the Institute for the Study of War (ISW) in phishing campaigns targeting other organizations starting in February 2024, almost immediately after registering the domain in late January 2024. The theme of spoofing is consistent with broader TA453 phishing activity reported by Google Threat Intelligence Group in August 2024  TA453 initially sent the fake podcast invitation to the religious figure at multiple email accounts, specifically both the target\'s organizational email address along with their personal email address. Phishing multiple email addresses associated with a target has been observed by a number of state aligned threats, including TA427.  TA453 continued to establish their legitimacy by sending emails from understandingthewar[.]org and including a TA453 controlled Hotmail account in the email signature.   After another reply from the target, TA453 replied with a GoogleDrive URL leading to a ZIP archive named “Podcast Plan-2024.zip”. The ZIP contained an LNK titled “Podcast Plan 2024.lnk”. The LNK delivered the BlackSmith toolset which eventually loaded TA453\'s AnvilEcho Powershell Trojan.   Fake podcast invitation containing a malicious URL.  Malware analysis  Old habits die screaming, and TA453 sticks to its habits. Our analysis of the malware from this TA453 campaign demonstrates the developers working for TA453 have not given up on using modular PowerShell backdoors. They continue to attempt to evade detections by convoluting the infection chain in order to limit and avoid detection opportunities while collecting intelligence. The toolset observed in this infection chain is likely the successor of GorjolEcho/PowerStar, TAMECURL, MischiefTut, and CharmPower. The first TA453 backdoor was detected by Proofpoint in Fall 2021. Rather than deploy each Powershell module separately, TA453 attempts to bundle the entire framework into a single large PowerShell script dubbed AnvilEcho by Proofpoint.   Timeline of TA453 malware.   Infection chain  The LNK is used to smuggle additional files. It hides behind a decoy PDF as an overlay and extracts the contents of the ZIP folder to %TEMP%. The ZIP folder contains Beautifull.jpg, mary.dll, qemus (the encrypted AnvilEcho PowerShell script), soshi.dll, and toni.dll. A PDB path of E:\FinalS Malware Threat Studies APT 35 APT 42 ★★★
SecurityWeek.webp 2024-08-19 15:35:53 Attaque de Windows Zero-Day liée à la Corée du Nord Lazarus Apt
Windows Zero-Day Attack Linked to North Korea\\'s Lazarus APT (lien direct)		 > La vulnérabilité, suivie en CVE-2024-38193 et ​​marquée comme \\ 'activement exploitée \' par Microsoft, permet des privilèges système sur les derniers systèmes d'exploitation Windows.
>The vulnerability, tracked as CVE-2024-38193 and marked as \'actively exploited\' by Microsoft, allows SYSTEM privileges on the latest Windows operating systems. 		Vulnerability Threat APT 38 ★★
The_Hackers_News.webp 2024-08-19 12:35:00 Microsoft Patches Flaw Zero-Day exploitée par le groupe de Lazarus de la Corée du Nord
Microsoft Patches Zero-Day Flaw Exploited by North Korea\\'s Lazarus Group (lien direct)		 Une faille de sécurité nouvellement corrigée à Microsoft Windows a été exploitée en tant que groupe zéro-jour par Lazarus, un acteur prolifique parrainé par l'État affilié à la Corée du Nord. La vulnérabilité de sécurité, suivie sous le nom de CVE-2024-38193 (score CVSS: 7.8), a été décrite comme un bug d'escalade de privilège dans le pilote de fonction auxiliaire Windows (AFD.SYS) pour Winsock. "Un attaquant qui a réussi à exploiter cela
A newly patched security flaw in Microsoft Windows was exploited as a zero-day by Lazarus Group, a prolific state-sponsored actor affiliated with North Korea. The security vulnerability, tracked as CVE-2024-38193 (CVSS score: 7.8), has been described as a privilege escalation bug in the Windows Ancillary Function Driver (AFD.sys) for WinSock. "An attacker who successfully exploited this		 Vulnerability Threat APT 38 ★★★
DarkReading.webp 2024-08-15 17:21:38 Google: le chaton charmant de l'Iran \\ cible les élections présidentielles américaines, militaire israélien
Google: Iran\\'s Charming Kitten Targets US Presidential Elections, Israeli Military (lien direct)		 Le groupe de menaces suivi comme APT42 reste sur le chemin de guerre avec diverses campagnes de phishing et d'autres campagnes d'ingénierie sociale, alors que les tensions avec Israël augmentent.
The threat group tracked as APT42 remains on the warpath with various phishing and other social engineering campaigns, as tensions with Israel rise.		 Threat APT 35 APT 42 ★★★
RiskIQ.webp 2024-08-14 18:17:06 EastWind campaign: new CloudSorcerer attacks on government organizations in Russia (lien direct) #### Targeted Geolocations - Russia #### Targeted Industries - Government Agencies & Services - Information Technology ## Snapshot Researchers at Kapersky identified a targeted cyberattack campaign, named EastWind, that occurred in late July 2024, targeting Russian government organizations and IT companies. ## Description The threat actors utilized phishing emails with malicious shortcut attachments to infect devices, delivering malware that received commands via the Dropbox cloud service. The additional payloads included the VERSION.dll backdoor, GrewApacha RAT used by APT31 (tracked by Microsoft as Violet Typhoon) since 2021, a new version of the CloudSorcerer backdoor, and the PlugY implant, which overlaps with APT27 (tracked by Microsoft as Linen Typhoon) tools. The attackers gained initial access to organizations through spear phishing, sending malicious emails with attached RAR archives containing decoy documents and malicious files. The campaign demonstrated the evolving tactics and techniques employed by threat actors to infiltrate and compromise targeted organizations, emphasizing the ongoing threat of sophisticated cyberattacks targeting government and IT sectors. ## Additional Analysis Kapersky [previously reported](https://securelist.com/cloudsorcerer-new-apt-cloud-actor/113056/) on the CloudSorcerer backdoor and its use in attacks on government organizations in Russia. Used as a cyberespionage tool, the malware employs public cloud services as its primary command and control (C2) servers. Kaspersky has assessed that CloudSorcerer\'s activities resemble those of the [CloudWizard APT](https://securelist.com/cloudwizard-apt/109722/). However, notable differences in the malware\'s code and functionality suggest that CloudSorcerer is likely a new actor. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/Casdet](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Casdet!rfn) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/938 Ransomware Malware Tool Threat Cloud APT 27 APT 31 ★★★
SecureList.webp 2024-08-14 12:00:57 Campagne d'Eastwind: de nouvelles attaques de nuages ​​contre des organisations gouvernementales en Russie
EastWind campaign: new CloudSorcerer attacks on government organizations in Russia (lien direct)		 Kaspersky a identifié une nouvelle campagne Eastwind ciblant les organisations russes et utilisant des outils Cloudsorcerer ainsi que des outils APT31 et APT27.
Kaspersky has identified a new EastWind campaign targeting Russian organizations and using CloudSorcerer as well as APT31 and APT27 tools.		 Tool APT 27 APT 31 ★★★
RiskIQ.webp 2024-08-05 10:51:17 Faits saillants hebdomadaires, 5 août 2024
Weekly OSINT Highlights, 5 August 2024 (lien direct)		 ## Instantané La semaine dernière, les rapports de \\ de Osint mettent en évidence plusieurs tendances clés du paysage cyber-menace, caractérisées par des tactiques d'attaque sophistiquées et des acteurs de menace adaptables.Les types d'attaques prédominants impliquent le phishing, l'ingénierie sociale et l'exploitation des vulnérabilités des logiciels, avec des vecteurs courants, y compris des pièces jointes malveillantes, des sites Web compromis, l'empoisonnement du DNS et la malvertisation.Les campagnes notables ont ciblé les utilisateurs de l'UKR.NET, les clients de la BBVA Bank et les pages de médias sociaux détournées pour imiter les éditeurs de photos populaires de l'IA.De plus, l'exploitation des erreurs de configuration dans des plates-formes largement utilisées telles que Selenium Grid et TryCloudflare Tunnel indique une focalisation stratégique sur la mise en œuvre d'outils légitimes à des fins malveillantes.  Les acteurs de la menace vont de groupes d'État-nation comme les acteurs nord-coréens, l'APT41 et le Sidewinder, aux cybercriminels et à des groupes hacktiviste motivés financièrement tels que Azzasec.Les techniques d'évasion avancées et les stratégies d'ingénierie sociale sont utilisées par des acteurs comme l'UAC-0102, Black Basta et ceux qui exploitent les problèmes de mise à jour de la crowdsstrike.Les objectifs sont diversifiés, couvrant des organisations gouvernementales et militaires, des institutions financières, des réseaux d'entreprise, des petites et moyennes entreprises et des utilisateurs individuels dans diverses régions. ## Description 1. [Campagne révisée de dev # popper] (https://sip.security.microsoft.com/intel-explorer/articles/9f6ee01b): les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels à l'aide de fausses entretiens d'emploi pour distribuer des logiciels malveillants via des packages de fichiers zip.La campagne, affectant plusieurs systèmes d'exploitation et régions, utilise des tactiques avancées d'obscurcissement et d'ingénierie sociale pour le vol de données et la persistance. 2. [Specula Framework exploite Outlook] (https://sip.security.microsoft.com/intel-explorer/articles/4b71ce29): un nouveau cadre post-exploitation appelé "Specula" lever.En dépit d'être corrigé, cette méthode est utilisée par l'APT33 parrainé par l'iranien pour atteindre la persistance et le mouvement latéral dans les systèmes Windows compromis. 3. [Phishing with Sora AI Branding] (https://sip.security.microsoft.com/intel-explorer/articles/b90cc847): les acteurs de menace exploitent l'excitation autour de Sora AI inédite en créant des sites de phishing pour se propager des logiciels malveillants.Ces sites, promus via des comptes de médias sociaux compromis, déploient des voleurs d'informations et des logiciels d'extraction de crypto-monnaie. 4. [vulnérabilité VMware ESXi exploitée] (https: //sip.security.microsoft.com/intel-explorer/articles/63b1cec8): des gangs de ransomware comme Storm-0506 et Octo Tempest Exploiter un VMware ESXi Authentification Typass VULnerabilité pour l'accès administratif.Cette vulnérabilité, ajoutée au catalogue exploité des vulnérabilités exploitées \\ 'connues, est utilisée pour voler des données, se déplacer latéralement et perturber les opérations. 5. [APT41 cible la recherche taïwanaise] (https://sip.security.microsoft.com/intel-explorer/articles/d791dc39): le groupe APT41, suivi comme Typhoon de brass.La campagne consiste à exploiter une vulnérabilité de Microsoft Office et à utiliser la stéganographie pour échapper à la détection. 6. [Trojans bancaire en Amérique latine] (https://sip.security.microsoft.com/intel-explorer/articles/767518e9): Une campagne ciblant les organisations financières utilise des troyens bancaires distribués via des URL géo-frisées.Le malware utilise l'injection de processus et se connecte aux serveurs de commandement et de contrôle pour voler des informations sensibles. 7. [MINT STACER MALWARED] ( Ransomware Spam Malware Tool Vulnerability Threat Mobile APT33 APT 41 APT 33 APT-C-17 ★★★
RiskIQ.webp 2024-08-02 00:53:15 Un nouvel outil Specula utilise Outlook pour l'exécution du code distant sous Windows
New Specula tool uses Outlook for remote code execution in Windows (lien direct)		 ## Instantané TrustEdSec a identifié un nouveau cadre post-exploitation de l'équipe rouge appelée "Specula", qui tire parti d'une vulnérabilité dans Microsoft Outlook pour exécuter à distance le code en définissant des pages d'accueil malveillantes via des modifications du registre. ## Description Le nouveau cadre de spéculations exploite [CVE-2017-11774] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-11774/overview), une fonctionnalité de sécurité de contournement de la vulnérabilité dans Outlook qui permet aux acteurs de menace àDéfinissez une page d'accueil Outlook personnalisée via des clés de registre et exécutez VBScript ou JScript pour exécuter des commandes arbitraires sur des systèmes Windows compromis.Bien qu'ils soient corrigés, les attaquants peuvent toujours créer des pages d'accueil malveillantes en utilisant des valeurs de registre Windows, leur permettant de réaliser de la persistance et de se propager latéralement à d'autres systèmes.La méthode est remarquable pour sa capacité à contourner les logiciels de sécurité en tirant parti de l'état du processus de confiance d'Outlook. Pour que Specula exécute avec succès le code distant, les attaquants doivent d'abord compromettre une machine pour accéder. En 2018, la vulnérabilité des perspectives du CVE-2017-11774 a été utilisée pour cibler les agences gouvernementales américaines et a été liée au groupe de cyber-espionnage APT33 parrainé par l'Iran par les chercheurs en sécurité de Chronicle, Fireeye et Palo Alto. ## Recommandations La source fournit les recommandations suivantes: - Tout d'abord, si possible pour votre organisation, commencez à utiliser la nouvelle Outlook \\ '\\. - Deuxièmement, dans les versions à venir de Windows 11, le moteur VBScript sera un composant qui peut être supprimé et paralysera ce vecteur d'attaque car VBScript est nécessaire pour exécuter le code. - Troisièmement, l'objet de stratégie de groupe (GPO) peut être utilisé pour configurer les clés associées et définir d'autres qui désactivent purement WebView. - La quatrième option consiste à tirer parti des lignes de base dans la boîte à outils de conformité Microsoft Security.Lors des tests, les lignes de base semblent avoir verrouillé le moteur Web que Outlook utilise pour rendre HTML et VBScript, ce qui ne fait pas d'exécuter les scripts. ## Les références [SPECULA - transformant Outlook en un C2 avec un changement de registre] (https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change).TrustEdSec (consulté en 2024-07-31) [New Specula Tool utilise Outlook pour l'exécution de code distant sous Windows] (https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-bout-out--for-memote-code-execution-in-windows/).Bleeping Computer (consulté en 2024-07-31) ## Droits d'auteur **&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot TrustedSec identified a new red team post-exploitation framework called "Specula," which leverages a vulnerability in Microsoft Outlook to remotely execute code by setting malicious home pages via registry modifications. ## Description The novel Specula framework exploits [CVE-2017-11774](https://sip.security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-11774/overview), a security feature bypass vulnerability in Outlook that allows threat actors to set a custom Outlook home page via registry keys and run vbscript or jscript to execute arbitrary commands on compromised Windows systems. Despite being patched, attackers can still create malicious home pages using Windows Registry values, enabling them to achieve persistence and laterally spread to other systems. The method is notable for its ability to bypass security software by leveraging Outl		 Tool Vulnerability Threat APT33 APT 33 ★★★
RiskIQ.webp 2024-07-29 10:58:35 Weekly OSINT Highlights, 29 July 2024 (lien direct) ## Snapshot Key trends from last week\'s OSINT reporting include novel malware, such as Flame Stealer and FrostyGoop, the compromise of legitimate platforms like Discord and GitHub, and state-sponsored threat actors conducting espionage and destructive attacks. Notable threat actors, including Russian groups, Transparent Tribe, FIN7, and DPRK\'s Andariel, are targeting a wide range of sectors from defense and industrial control systems to financial institutions and research entities. These attacks exploit various vulnerabilities and employ advanced evasion techniques, leveraging both traditional methods and emerging technologies like AI-generated scripts and RDGAs, underscoring the evolving and persistent nature of the cyber threat landscape. ## Description 1. [Widespread Adoption of Flame Stealer](https://sip.security.microsoft.com/intel-explorer/articles/f610f18e): Cyfirma reports Flame Stealer\'s use in stealing Discord tokens and browser credentials. Distributed via Discord and Telegram, this malware targets various platforms, utilizing evasion techniques like DLL side-loading and data exfiltration through Discord webhooks. 2. [ExelaStealer Delivered via PowerShell](https://sip.security.microsoft.com/intel-explorer/articles/5b4a34b0): The SANS Technology Institute Internet Storm Center reported a threat involving ExelaStealer, downloaded from a Russian IP address using a PowerShell script. The script downloads two PE files: a self-extracting RAR archive communicating with "solararbx\[.\]online" and "service.exe," the ExelaStealer malware. The ExelaStealer, developed in Python, uses Discord for C2, conducting reconnaissance activities and gathering system and user details. Comments in Russian in the script and the origin of the IP address suggest a Russian origin. 3. [FrostyGoop Disrupts Heating in Ukraine](https://sip.security.microsoft.com/intel-explorer/articles/cf8f8199): Dragos identified FrostyGoop malware in a cyberattack disrupting heating in Lviv, Ukraine. Linked to Russian groups, the ICS-specific malware exploits vulnerabilities in industrial control systems and communicates using the Modbus TCP protocol. 4. [Rhysida Ransomware Attack on Private School](https://sip.security.microsoft.com/intel-explorer/articles/4cf89ad3): ThreatDown by Malwarebytes identified a Rhysida ransomware attack using a new variant of the Oyster backdoor. The attackers used SEO-poisoned search results to distribute malicious installers masquerading as legitimate software, deploying the Oyster backdoor. 5. [LLMs Used to Generate Malicious Code](https://sip.security.microsoft.com/intel-explorer/articles/96b66de0): Symantec highlights cyberattacks using Large Language Models (LLMs) to generate malware code. Phishing campaigns utilize LLM-generated PowerShell scripts to download payloads like Rhadamanthys and LokiBot, stressing the need for advanced detection against AI-facilitated attacks. 6. [Stargazers Ghost Network Distributes Malware](https://sip.security.microsoft.com/intel-explorer/articles/62a3aa28): Check Point Research uncovers a network of GitHub accounts distributing malware via phishing repositories. The Stargazer Goblin group\'s DaaS operation leverages over 3,000 accounts to spread malware such as Atlantida Stealer and RedLine, targeting both general users and other threat actors. 7. [Crimson RAT Targets Indian Election Results](https://sip.security.microsoft.com/intel-explorer/articles/dfae4887): K7 Labs identified Crimson RAT malware delivered through documents disguised as "Indian Election Results." Transparent Tribe APT, believed to be from Pakistan, targets Indian diplomatic and defense entities using macro-embedded documents to steal credentials. 8. [AsyncRAT Distributed via Weaponized eBooks](https://sip.security.microsoft.com/intel-explorer/articles/e84ee11d): ASEC discovered AsyncRAT malware distributed through weaponized eBooks. Hidden PowerShell scripts within these eBooks trigger the AsyncRAT payload, which uses obfuscation and anti-detection techniques to exfiltrate data. Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Mobile Industrial Medical APT 28 APT 36 ★★
Mandiant.webp 2024-07-25 14:00:00 APT45: Machine militaire numérique de la Corée du Nord
APT45: North Korea\\'s Digital Military Machine (lien direct)		 Written by: Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan, Michael Barnhart
  Executive Summary APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. APT45 has gradually expanded into financially-motivated operations, and the group\'s suspected development and deployment of ransomware sets it apart from other North Korean operators.  APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.  Among the groups assessed to operate from the Democratic People\'s Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. Overview Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group\'s earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. apt45 logo Shifts in Targeting and Expanding Operations Similar to other cyber threat activity attributed to North Korea-nexus groups, shifts in APT45 operations have reflected the DPRK\'s changing priorities. Malware samples indicate the group was active as early as 2009, although an observed focus on government agencies and the defense industry was observed beginning in 2017. Identified activity in 2019 aligned with Pyongyang\'s continued interest in nuclear issues and energy. Although it is not clear if financially-motivated operations are a focus of APT45\'s current mandate, the group is distinct from other North Korean operators in its suspected interest in ransomware. Given available information, it is possible that APT45 is carrying out financially-motivated cybercrime not only in support of its own operations but to generate funds for other North Korean state priorities. Financial Sector Like other North Korea		 Ransomware Malware Tool Threat Medical APT 37 APT 43 ★★★★★
RiskIQ.webp 2024-07-24 23:34:10 Onyx Sleet utilise une gamme de logiciels malveillants pour recueillir l'intelligence pour la Corée du Nord
Onyx Sleet uses array of malware to gather intelligence for North Korea (lien direct)		 #### Targeted Geolocations - India - Korea - United States - Southeast Asia - North America #### Targeted Industries - Information Technology - Defense Industrial Base - Government Agencies & Services ## Snapshot On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet\'s activity to assess changes following the indictment.  First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors.  Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. ## Activity Overview ### Who is Onyx Sleet? Onyx Sleet conducts cyber espionage primarily targeting military, defense, and technology industries, predominately in India, South Korea, and the United States. This threat actor has historically leveraged spear-phishing as a means of compromising target environments; however, in recent campaigns, they have mostly exploited N-day vulnerabilities, leveraging publicly available and custom exploits to gain initial access. In October 2023, Onyx Sleet [exploited the TeamCity CVE-2023-42793 vulnerability](https://security.microsoft.com/intel-explorer/articles/b4f39b04) [as a part of a targeted attack](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-42793/overview). Exploiting this vulnerability enabled the threat actor to perform a remote code execution attack and gain administrative control of the server. Onyx Sleet develops and uses a spectrum of tools that range from custom to open source. They have built an extensive set of custom remote access trojans (RATs) that they use in campaigns, and routinely developed new variants of these RATs to add new functionality and implement new ways of evading detection. Onyx Sleet often uses leased virtual private servers (VPS) and compromised cloud infrastructure for command-and-control (C2).   Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, and TDrop2.  **Affiliations with other threat actors originating from North Korea** Onyx Sleet has demonstrated affiliations with other North Korean actors, indicating its integration with a broader network of North Korean cyber operations. Microsoft has observed [an overlap](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) between Onyx Sleet and [Storm-0530](https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/). Both groups were observed operating within the same infrastructure and were involved in the development and use of ransomware in attacks in late 2021 and 2022.  **Onyx Sleet targets** In pursuit of its primary goal of intelligence collection, Onyx Sleet has focused on targeting entities in the defense and energy industries, predominately in India, South Korea, and the United States. Recent att Ransomware Malware Tool Vulnerability Threat Industrial Cloud Technical Commercial APT 38 ★★★
RiskIQ.webp 2024-07-24 21:28:53 (Déjà vu) Les acteurs de la menace ciblent les résultats des élections récentes
Threat Actors Target Recent Election Results (lien direct)		 #### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données.  ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https Ransomware Malware Tool Threat APT 36 ★★★
RiskIQ.webp 2024-07-08 15:06:59 Faits saillants hebdomadaires, 8 juillet 2024
Weekly OSINT Highlights, 8 July 2024 (lien direct)		 ## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme de cyberattaques sophistiquées dirigés par des groupes APT alignés par l'État et des cybercriminels motivés par l'État, exploitant des vulnérabilités comme [CVE-2021-40444] (https://sip.security.microsoft.com/Intel-Profiles / CVE-2021-40444) et [CVE-2023-1389] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-1389/) pour déployer des logiciels spy et des botnets.Des acteurs parrainés par l'État tels que la tribu transparente de Kimsuky et Pakistan de la Corée du Nord se sont concentrés sur l'espionnage, le ciblage du monde universitaire et le personnel militaire avec des logiciels malveillants comme Translatext et Caprarat.Pendant ce temps, des groupes à motivation financière comme le déploiement de la pruche ont mené de vastes campagnes de logiciels malveillants.Les réseaux sociaux et les menaces basés sur le téléphone étaient également proéminents, les attaques tirant parti des applications Android, du phishing SMS et du contenu généré par l'IA sur des plateformes comme YouTube. ## Description 1. ** [Exploitation de CVE-2021-40444 dans les attaques récentes] (https: // sip.security.microsoft.com/intel-explorer/articles/15df6ab5)**: Fortiguard Labs a identifié des attaques exploitant la vulnérabilité CVE-2021-40444Microsoft Office pour déployer les logiciels espions Merkspy.Le vecteur initial est un document Word malveillant qui, à l'ouverture, déclenche le téléchargement d'un fichier HTML contenant ShellCode intégré pour charger MerkSpy dans les processus système. 2. ** [Copycop Influence Network Ciblers 2024 Élections américaines] (https://sip.security.microsoft.com/intel-explorer/articles/fc24601e) **: enregistré les rapports futurs que le réseau Copycop lié à la russe utilise un générateur générateurAI pour créer de faux sites Web et des personnages pour influencer les élections américaines de 2024.Ce réseau emploie des fesses profondes et des contenus générés par l'IA pour cibler les dirigeants politiques de l'UE et de l'Ukraine, tirant parti de points de vente conservateurs et d'hôtes basés aux États-Unis pour obscurcir ses origines. 3. ** [Déplacement de la pruche \\ est étenduCampagne de distribution de logiciels malveillants] (https://sip.security.microsoft.com/intel-explorer/articles/7b39eb7e) **:Krakenlabs a découvert une campagne à grande échelle en dépassant la pruche, en distribuant des logiciels malveillants comme Redline et Amadey via des fichiers compressés imbriqués.Ce groupe motivé financièrement a utilisé des techniques d'obscurcissement sophistiquées et des organisations ciblées dans le monde entier, avec une activité importante retracée en Europe de l'Est. 4. ** [La nouvelle extension de Chrome de Kimsuky \\ cible le monde universitaire sud-coréen] (https://sip.security.microsoft.com/intel-explorer/articles/c58faf92) **: Zscaler KneareLabz a identifié le groupe nord-coréen APT Group APT GroupKimsuky (Emerald Sleet) utilisant une nouvelle extension chromée, tradlaxt, pour voler des données aux universitaires sud-coréens.Le malware, distribué via un fichier de leurre, rassemble des informations sensibles et communique avec un serveur C2, ciblant les chercheurs axés sur la Corée du Nord. 5. ** [Mises à jour de la campagne Caprarat de Transparent Tribe \'s] (https://sip.security.microsoft.com/intel-explorer/articles/d62a3110) **: Sentinellabs a trouvé de nouveaux packages Android Caprarat liés au Pakistan-Tribu transparent aligné, ciblant le gouvernement indien et le personnel militaire.Les APK mis à jour, déguisés en applications de navigation vidéo, ont augmenté la compatibilité avec les appareils Android plus récents et continuent l'accent du groupe \\ sur la surveillance et la collecte de données. 6. ** [BOTNETS EXPLOITIONS LINUX Cloud serveurs] (https://sip.security.Microsoft.com/intel-explorer/articles/36146b72)**: Fortiguard Labs observés de botnets comme instables e Malware Tool Vulnerability Threat Mobile Cloud APT 36 ★★★
Last update at: 2025-05-10 22:52:59
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter