What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-12 06:00:03 | Arrêt de cybersécurité du mois: vaincre les attaques de création d'applications malveillantes Cybersecurity Stop of the Month: Defeating Malicious Application Creation Attacks (lien direct) |
This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain-reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing QR code phishing Telephone-oriented attack delivery (TOAD) Payroll diversion MFA manipulation Supply chain compromise Multilayered malicious QR code attack In this post, we examine an emerging threat-the use of malicious cloud applications created within compromised cloud tenants following account takeover. We refer to it as MACT, for short. Background Cloud account takeover (ATO) attacks are a well-known risk. Research by Proofpoint found that last year more than 96% of businesses were actively targeted by these attacks and about 60% had at least one incident. Financial damages reached an all-time high. These findings are unsettling. But there is more for businesses to worry about. Cybercriminals and state-sponsored entities are rapidly adopting advanced post-ATO techniques. And they have embraced the use of malicious and abused OAuth apps. In January 2024, Microsoft revealed that a nation-state attacker had compromised its cloud environments and stolen valuable data. This attack was attributed to TA421 (aka Midnight Blizzard and APT29), which are threat groups that have been attributed to Russia\'s Foreign Intelligence Service (SVR). Attackers exploited existing OAuth apps and created new ones within hijacked cloud tenants. After the incident, CISA issued a new advisory for businesses that rely on cloud infrastructures. Proofpoint threat researchers observed attackers pivoting to the use of OAuth apps from compromised-and often verified-cloud tenants. Threat actors take advantage of the trust that\'s associated with verified or recognized identities to spread cloud malware threats as well as establish persistent access to sensitive resources. The scenario Proofpoint monitors a malicious campaign named MACT Campaign 1445. It combines a known tactic used by cloud ATO attackers with new tactics, techniques and procedures. So far, it has affected dozens of businesses and users. In this campaign, attackers use hijacked user accounts to create malicious internal apps. In tandem, they also conduct reconnaissance, exfiltrate data and launch additional attacks. Attackers use a unique anomalous URL for the malicious OAuth apps\' reply URL-a local loopback with port 7823. This port is used for TCP traffic. It is also associated with a known Windows Remote Access Trojan (RAT). Recently, Proofpoint researchers found four accounts at a large company in the hospitality industry compromised by attackers. In a matter of days, attackers used these accounts to create four distinct malicious OAuth apps. The threat: How did the attack happen? Here is a closer look at how the attack unfolded. Initial access vectors. Attackers used a reverse proxy toolkit to target cloud user accounts. They sent individualized phishing lures to these users, which enabled them to steal their credentials as well as multifactor authentication (MFA) tokens. A shared PDF file with an embedded phishing URL that attackers used to steal users\' credentials. Unauthorized access (cloud account takeover). Once attackers had stolen users\' credentials, they established unauthorized access to the four targeted accounts. They logged in to several native Microsoft 365 sign-in apps, including “Azure Portal” and “Office Home.” Cloud malware (post-access OAuth app creat | Spam Malware Tool Threat Cloud | APT 29 | ★★★ |
 |
2024-04-11 13:47:19 | CISA Orde les agences affectées par Microsoft Hack pour atténuer les risques CISA orders agencies impacted by Microsoft hack to mitigate risks (lien direct) |
CISA a publié une nouvelle directive d'urgence ordonnant aux agences fédérales américaines de répondre aux risques résultant de la violation de plusieurs comptes de messagerie Microsoft d'entreprise par le groupe de piratage russe APT29.[...]
CISA has issued a new emergency directive ordering U.S. federal agencies to address risks resulting from the breach of multiple Microsoft corporate email accounts by the Russian APT29 hacking group. [...] |
Hack | APT 29 | ★★★ |
|
2024-04-11 13:27:54 | Revisiter MACT: Applications malveillantes dans des locataires cloud crédibles Revisiting MACT: Malicious Applications in Credible Cloud Tenants (lien direct) |
For years, the Proofpoint Cloud Research team has been particularly focused on the constantly changing landscape of cloud malware threats. While precise future predictions remain elusive, a retrospective examination of 2023 enabled us to discern significant shifts and trends in threat actors\' behaviors, thereby informing our projections for the developments expected in 2024. There is no doubt that one of the major, and most concerning, trends observed in 2023 was the increased adoption of malicious and abused OAuth applications by cybercriminals and state-sponsored actors. In January, Microsoft announced they, among other organizations, were targeted by a sophisticated nation-state attack. It seems that the significant impact of this attack, which was attributed to TA421 (AKA Midnight Blizzard and APT29), largely stemmed from the strategic exploitation of pre-existing OAuth applications, coupled with the creation of new malicious applications within compromised environments. Adding to a long list of data breaches, this incident emphasizes the inherent potential risk that users and organizations face when using inadequately protected cloud environments. Expanding on early insights shared in our 2021 blog, where we first explored the emerging phenomenon of application creation attacks and armed with extensive recent discoveries, we delve into the latest developments concerning this threat in our 2024 update. In this blog, we will: Define key fundamental terms pertinent to the realm of cloud malware and OAuth threats. Examine some of the current tactics, techniques, and procedures (TTPs) employed by threat actors as part of their account-takeover (ATO) kill chain. Provide specific IOCs related to recently detected threats and campaigns. Highlight effective strategies and solutions to help protect organizations and users against cloud malware threats. Basic terminology OAuth (Open Authorization) 2.0. OAuth is an open standard protocol that enables third-party applications to access a user\'s data without exposing credentials. It is widely used to facilitate secure authentication and authorization processes. Line-of-business (LOB) applications. LOB apps (also known as second-party apps) typically refer to applications created by a user within their cloud environment in order to support a specific purpose for the organization. Cloud malware. A term usually referring to malicious applications created, utilized and proliferated by threat actors. Malicious apps can be leveraged for various purposes, such as: mailbox access, file access, data exfiltration, internal reconnaissance, and maintaining persistent access to specific resources. MACT (Malicious Applications Created in Compromised Credible Tenants). A common technique wherein threat actors create new applications within hijacked environments, exploiting unauthorized access to compromised accounts to initiate additional attacks and establish a persistent foothold within impacted cloud tenants. Apphish. A term denoting the fusion of cloud apps-based malware with phishing tactics, mainly by utilizing OAuth 2.0 infrastructure to implement open redirection attacks. Targeted users could be taken to a designated phishing webpage upon clicking an app\'s consent link. Alternatively, redirection to a malicious webpage could follow authorizing or declining an application\'s consent request. Abused OAuth applications. Benign apps that are authorized or used by attackers, usually following a successful account takeover, to perform illegitimate activities. What we are seeing Already in 2020, we witnessed a rise in malicious OAuth applications targeting cloud users, with bad actors utilizing increasingly sophisticated methods such as application impersonation and diverse lures. In October 2022, Proofpoint researchers demonstrated how different threat actors capitalized on the global relevance of the COVID-19 pandemic to spread malware and phishing threats. Proofpoint has also seen this trend include the propagation of malicious OAuth applications seamlessly integ | Malware Threat Prediction Cloud | APT 29 | ★★★ |
 |
2024-03-25 09:30:00 | Le groupe russe confortable ours cible les politiciens allemands Russian Cozy Bear Group Targets German Politicians (lien direct) |
Mandiant observe ce qu'il prétend être la toute première campagne APT29 destinée aux partis politiques
Mandiant observes what it claims is the first ever APT29 campaign aimed at political parties |
APT 29 | ★★★ | |
 |
2024-03-23 11:33:00 | Les pirates russes utilisent \\ 'wineloader \\' malware pour cibler les partis politiques allemands Russian Hackers Use \\'WINELOADER\\' Malware to Target German Political Parties (lien direct) |
La porte dérobée de Wineloader utilisée dans les cyberattaques récentes ciblant les entités diplomatiques avec des leurres de phishing dégustation de vin a été attribué comme le travail d'un groupe de piratage avec des liens vers le service de renseignement étranger de la Russie (SVR), qui était responsable de & nbsp; violation de Solarwinds et de Solarwinds et de NBSP;Microsoft.
Les résultats proviennent de Mandiant, qui a dit & nbsp; Midnight Blizzard & nbsp; (aka apt29, bluebravo, ou
The WINELOADER backdoor used in recent cyber attacks targeting diplomatic entities with wine-tasting phishing lures has been attributed as the handiwork of a hacking group with links to Russia\'s Foreign Intelligence Service (SVR), which was responsible for breaching SolarWinds and Microsoft. The findings come from Mandiant, which said Midnight Blizzard (aka APT29, BlueBravo, or |
Malware | APT 29 | ★★ |
 |
2024-03-22 11:00:00 | APT29 utilise Wineloader pour cibler les partis politiques allemands APT29 Uses WINELOADER to Target German Political Parties (lien direct) |
Résumé exécutif fin février, l'APT29 a utilisé une nouvelle variante de porte dérobée suivie publiquement comme wineloader pour cibler les fêtes politiques allemandes avecun leurre sur le thème de la CDU. & nbsp; & nbsp; C'est la première fois que nous voyons ce cluster APT29 cible des partis politiques, indiquant une zone émergente émergenteFocus opérationnel au-delà du ciblage typique des missions diplomatiques. basée sur la responsabilité du SVR \\ de collecter l'intelligence politique et cette cluster APT29 \\ 'sModèles de ciblage historiques, nous jugeons cette activité pour présenter une large menace pour les partis politiques européens et autres occidentaux de tous les politiques
Executive SummaryIn late February, APT29 used a new backdoor variant publicly tracked as WINELOADER to target German political parties with a CDU-themed lure. This is the first time we have seen this APT29 cluster target political parties, indicating a possible area of emerging operational focus beyond the typical targeting of diplomatic missions.Based on the SVR\'s responsibility to collect political intelligence and this APT29 cluster\'s historical targeting patterns, we judge this activity to present a broad threat to European and other Western political parties from across the political |
Threat | APT 29 | ★★ |
 |
2024-03-11 12:19:02 | Les pirates russes de Blizzard Midnight Blizzard ont violé le code source Microsoft Russian Midnight Blizzard Hackers Breached Microsoft Source Code (lien direct) |
> Par deeba ahmed
Midnight Blizzard (alias Cozy Bear et APT29) a initialement violé Microsoft le 12 janvier 2024.
Ceci est un article de HackRead.com Lire le post original: Les pirates russes de Blizzard Midnight ont violé le code source Microsoft
>By Deeba Ahmed Midnight Blizzard (aka Cozy Bear and APT29) originally breached Microsoft on January 12, 2024. This is a post from HackRead.com Read the original post: Russian Midnight Blizzard Hackers Breached Microsoft Source Code |
APT 29 | ★★ | |
|
2024-03-11 09:30:00 | La blizzard minuit de la Russie accède au code source Microsoft Russia\\'s Midnight Blizzard Accesses Microsoft Source Code (lien direct) |
Le groupe de menace APT29 utilise des secrets volés dans une attaque antérieure pour compromettre les systèmes internes de Microsoft \\
Threat group APT29 is using secrets stolen in an earlier attack to compromise Microsoft\'s internal systems |
Threat | APT 29 | ★★★ |
|
2024-03-09 09:31:00 | Microsoft confirme que les pirates russes ont volé le code source, certains secrets des clients Microsoft Confirms Russian Hackers Stole Source Code, Some Customer Secrets (lien direct) |
Vendredi, Microsoft a révélé que l'acteur de menace soutenu par le Kremlin connu sous le nom de & nbsp; Midnight Blizzard & nbsp; (aka apt29 ou confort) a réussi à accéder à certains de ses référentiels de code source et systèmes internes après A & NBSP; hack qui est venu à la lumière & NBSP; en janvier 2024.
"Ces dernières semaines, nous avons vu des preuves que Midnight Blizzard utilise des informations initialement exfiltrées de notre
Microsoft on Friday revealed that the Kremlin-backed threat actor known as Midnight Blizzard (aka APT29 or Cozy Bear) managed to gain access to some of its source code repositories and internal systems following a hack that came to light in January 2024. "In recent weeks, we have seen evidence that Midnight Blizzard is using information initially exfiltrated from our |
Hack Threat | APT 29 | ★★★ |
 |
2024-03-08 20:41:15 | Les pirates russes ont accédé au code source Microsoft Russian hackers accessed Microsoft source code (lien direct) |
> Un incident attribué à l'équipage de piratage russe confortable ours qui a été divulgué pour la première fois en janvier continue d'affecter Microsoft Systems.
>An incident attributed to the Russian hacking crew Cozy Bear that was first disclosed in January continues to affect Microsoft systems. |
APT 29 | ★★★ | |
 |
2024-03-01 20:15:10 | Les problèmes NCSC de UK \\ ont avertissement en tant que pirates SVR ciblent les services cloud UK\\'s NCSC Issues Warning as SVR Hackers Target Cloud Services (lien direct) |
Cyber Espionage Group APT29 adapte ses tactiques aux environnements cloud.Voici ce que vous devez savoir.
Cyber espionage group APT29 is adapting its tactics for cloud environments. Here\'s what you should know. |
Cloud | APT 29 | ★★ |
|
2024-02-27 16:04:00 | Cinq agences Eyes exposent des tactiques d'évolution des nuages en évolution de l'APT29 \\ Five Eyes Agencies Expose APT29\\'s Evolving Cloud Attack Tactics (lien direct) |
La cybersécurité et les agences de renseignement des cinq yeux des Nations ont publié un conseil conjoint détaillant les tactiques évolutives de l'acteur de menace parrainé par l'État russe connu sous le nom de & NBSP; APT29.
La tenue de piratage, également connue sous le nom de Bluebravo, Ursa masqué, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et les Dukes, est évaluée pour être affiliée au Foreign Intelligence Service (SVR) de la
Cybersecurity and intelligence agencies from the Five Eyes nations have released a joint advisory detailing the evolving tactics of the Russian state-sponsored threat actor known as APT29. The hacking outfit, also known as BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (formerly Nobelium), and The Dukes, is assessed to be affiliated with the Foreign Intelligence Service (SVR) of the |
Threat Cloud | APT 29 | ★★★ |
 |
2024-02-27 01:00:06 | L'ours confortable de la Russie plonge dans des environnements cloud avec un nouveau sac de trucs Russia\\'s Cozy Bear dives into cloud environments with a new bag of tricks (lien direct) |
Les espions du Kremlin \\ ont essayé le TTPS sur Microsoft, et maintenant ils se rendent aux courses Russia \'s Cozy Bear, l'équipage derrière la chaîne d'approvisionnement de SolarwindsAttack, a élargi ses objectifs et a évolué ses techniques pour pénétrer dans les organisations \\ 'Cloud Environments, selon les Five Eyes Governments.…
Kremlin\'s spies tried out the TTPs on Microsoft, and now they\'re off to the races Russia\'s notorious Cozy Bear, the crew behind the SolarWinds supply chain attack, has expanded its targets and evolved its techniques to break into organizations\' cloud environments, according to the Five Eyes governments.… |
Cloud | APT 29 | ★★★ |
|
2024-02-26 17:15:00 | CISA Issues Alert sur les tactiques d'infiltration des nuages d'APT29 \\ CISA Issues Alert on APT29\\'s Cloud Infiltration Tactics (lien direct) |
Connu sous le nom de Midnight Blizzard, les dukes ou l'ours confortable, le groupe a été identifié comme une entité russe opérant probablement sous le SVR
Known as Midnight Blizzard, the Dukes or Cozy Bear, the group has been identified as a Russian entity likely operating under the SVR |
Cloud | APT 29 | ★★ |
 |
2024-02-09 09:20:11 | L\'attaque d\'APT29 contre Microsoft : Suivre les traces de Cozy Bear – analyse de CyberArk (lien direct) | L'attaque d'APT29 contre Microsoft : Suivre les traces de Cozy Bear. Pour Andy Thompson, spécialiste de la sécurité chez CyberArk, un nouveau chapitre inquiétant est en train de s'écrire en ces temps troublés de chaos géopolitique. - Malwares | APT 29 | ★★ | |
 |
2024-02-08 14:51:00 | Attaque d'APT29 \\ sur Microsoft: suivi des empreintes de pas Cozy Bear \\ APT29\\'s Attack on Microsoft: Tracking Cozy Bear\\'s Footprints (lien direct) |
Un chapitre nouveau et préoccupant s'est déroulé en ces temps troublés du chaos géopolitique.L'acteur confortable des menaces d'ours a provoqué des violations importantes ciblant Microsoft et HPE, et d'autres sont susceptibles de venir.Ces récents ...
A new and concerning chapter has unfolded in these troubled times of geopolitical chaos. The Cozy Bear threat actor has caused significant breaches targeting Microsoft and HPE, and more are likely to come. These recent... |
Threat | APT 29 | ★★★ |
 |
2024-01-29 13:51:49 | 29 janvier & # 8211;Rapport de renseignement sur les menaces 29th January – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations à la suite des rapports sur l'APT29 affiliée à la Russie (alias Cozy Bear, Midnight Blizzard) contre Microsoft, également Hewlett-Packard Enterprise ont reconnu avoir été attaqué par le même acteur de menace.Tandis que Microsoft a détecté la violation de janvier [& # 8230;]
>For the latest discoveries in cyber research for the week of 29th January, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Following the reports on Russia-affiliated APT29 (AKA Cozy Bear, Midnight Blizzard) attack against Microsoft, also Hewlett-Packard Enterprise acknowledged it was attacked by the same threat actor. While Microsoft detected the breach on January […] |
Threat | APT 29 | ★★ |
|
2024-01-26 11:33:00 | Microsoft met en garde contre l'élargissement des attaques d'espionnage APT29 ciblant les orgs mondiaux Microsoft Warns of Widening APT29 Espionage Attacks Targeting Global Orgs (lien direct) |
Microsoft a déclaré jeudi que les acteurs de la menace parrainés par l'État russe responsables de A & NBSP; Cyber Attack contre ses systèmes et NBSP; fin novembre 2023 ont ciblé d'autres organisations et qu'elle commence actuellement à les informer.
Le développement intervient un jour après que Hewlett Packard Enterprise (HPE) & NBSP; a révélé & nbsp; qu'il avait été victime d'une attaque perpétrée par un équipage de piratage
Microsoft on Thursday said the Russian state-sponsored threat actors responsible for a cyber attack on its systems in late November 2023 have been targeting other organizations and that it\'s currently beginning to notify them. The development comes a day after Hewlett Packard Enterprise (HPE) revealed that it had been the victim of an attack perpetrated by a hacking crew |
Threat | APT 29 | ★★★ |
|
2024-01-25 09:30:00 | HPE dit que les pirates Solarwinds ont accédé à ses e-mails HPE Says SolarWinds Hackers Accessed its Emails (lien direct) |
Hewlett Packard Enterprise révèle que l'État russe APT29 pirates a volé des données dans les boîtes aux lettres d'entreprise
Hewlett Packard Enterprise reveals that Russian state APT29 hackers stole data from corporate mailboxes |
APT 29 | ★★★ | |
 |
2024-01-24 22:15:00 | Hewlett Packard Enterprise dit à SEC qu'elle a été violée par la Russie \\ 'S \\' Cozy Bear \\ 'Hackers Hewlett Packard Enterprise tells SEC it was breached by Russia\\'s \\'Cozy Bear\\' hackers (lien direct) |
Des pirates avec des liens présumés avec le gouvernement russe ont eu accès au fabricant de technologies Hewlett Packard Enterprise Co. \'S (HPE) Environnement de messagerie basé sur le cloud, a annoncé mercredi la société.Dans un Déposant avec des régulateurs SEC le mercredi après-midi, HPE a déclaré qu'il avait été informé le 12 décembre que des pirates se connectaient à confort
Hackers with suspected ties to the Russian government gained access to the technology manufacturer Hewlett Packard Enterprise Co.\'s (HPE) cloud-based email environment, the company said Wednesday. In a filing with SEC regulators on Wednesday afternoon, HPE said it was notified on December 12 that hackers connected to Cozy Bear, also known as Midnight Blizzard, had |
APT 29 | ★★★ | |
 |
2024-01-20 14:45:06 | Les pirates russes gagnent gros: les e-mails de l'équipe d'exécution senior de Microsoft \\ Russian Hackers Win Big: Microsoft\\'s Senior Exec Team Emails Breached (lien direct) |
dans un vendredi Fileling de réglementation , Microsoft a euont indiqué que ses comptes de messagerie d'entreprise ont été compromis par un groupe de piratage parrainé par l'État russe connu sous le nom de Midnight Blizzard, également identifié comme Nobelium ou APT29.La divulgation de Microsoft s'aligne sur les nouvelles exigences américaines pour la déclaration des incidents de cybersécurité.L'attaque a été détectée le 12 janvier 2023, mais elle semble avoir commencé en novembre 2023. La brèche et l'attaque L'attaque a impliqué des pirates russes à l'aide d'une attaque en pulvérisation de mot de passe pour accéder à un compte de locataire de test non production hérité de Microsoft.La pulvérisation de mot de passe est une technique de force brute où les attaquants tentent de se connecter à l'aide d'une liste de noms d'utilisateur et de mots de passe potentiels.
In a Friday regulatory filing, Microsoft has reported that its corporate email accounts were compromised by a Russian state-sponsored hacking group known as Midnight Blizzard, also identified as Nobelium or APT29. Microsoft\'s disclosure aligns with new U.S. requirements for reporting cybersecurity incidents. The attack was detected on January 12th, 2023, but it appears to have started in November 2023.The Breach and AttackThe attack involved Russian hackers using a password spray attack to access a legacy non-production test tenant account at Microsoft. Password spraying is a brute force technique where attackers attempt to log in using a list of potential usernames and passwords. |
APT 29 | ★★★ | |
 |
2023-12-20 21:21:37 | Russian Foreign Intelligence Service (SVR) exploitant JetBrains TeamCity Cve dans le monde entier Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally (lien direct) |
#### Description
Russian Foreign Intelligence Service (SVR) Cyber Actors - également connu sous le nom de menace persistante avancée 29 (APT 29), The Dukes, Cozybear et Nobelium / Midnight Blizzard-est exploitant CVE-2023-42793 à grande échelle, ciblant les serveurs hébergeant JetBrains TeamCityLogiciel depuis septembre 2023.
Les développeurs de logiciels utilisent TeamCity Software pour gérer et automatiser la compilation de logiciels, la construction, les tests et la libération.S'il est compromis, l'accès à un serveur TeamCity offrirait aux acteurs malveillants un accès au code source de ce développeur de logiciels, à la signature des certificats et à la possibilité de sous-publier des processus de compilation et de déploiement des logiciels - Accéder à un acteur malveillant pourrait utiliser davantage pour effectuer une chaîne d'approvisionnementopérations.Bien que le SVR ait utilisé un tel accès pour compromettre Solarwinds et ses clients en 2020, un nombre limité et des types de victimes apparemment opportunistes actuellement identifiés, indiquent que le SVR n'a pas utilisé l'accès accordé par TeamCity CVE d'une manière similaire.Le SVR a cependant été observé en utilisant l'accès initial glané en exploitant le CVE de TeamCity pour augmenter ses privilèges, se déplacer latéralement, déployer des délais supplémentaires et prendre d'autres mesures pour garantir un accès persistant et à long terme aux environnements réseau compromis.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
#### Date de publication
12 décembre 2023
#### Auteurs)
Cisa
#### Description Russian Foreign Intelligence Service (SVR) cyber actors-also known as Advanced Persistent Threat 29 (APT 29), the Dukes, CozyBear, and NOBELIUM/Midnight Blizzard-are exploiting CVE-2023-42793 at a large scale, targeting servers hosting JetBrains TeamCity software since September 2023. Software developers use TeamCity software to manage and automate software compilation, building, testing, and releasing. If compromised, access to a TeamCity server would provide malicious actors with access to that software developer\'s source code, signing certificates, and the ability to subvert software compilation and deployment processes-access a malicious actor could further use to conduct supply chain operations. Although the SVR used such access to compromise SolarWinds and its customers in 2020, limited number and seemingly opportunistic types of victims currently identified, indicate that the SVR has not used the access afforded by the TeamCity CVE in a similar manner. The SVR has, however, been observed using the initial access gleaned by exploiting the TeamCity CVE to escalate its privileges, move laterally, deploy additional backdoors, and take other steps to ensure persistent and long-term access to the compromised network environments. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a #### Publication Date December 12, 2023 #### Author(s) CISA |
Threat | APT 29 | ★★★ |
|
2023-12-15 00:15:19 | L'APT29 russe a piraté le géant biomédical des États-Unis en violation liée à l'équipe Russian APT29 Hacked US Biomedical Giant in TeamCity-Linked Breach (lien direct) |
> Par waqas
Les autorités polonaises et les laboratoires Fortiguard ont émis un avertissement aux clients d'une nouvelle vague de cyberattaques associées à TeamCity.
Ceci est un article de HackRead.com Lire le post original: L'APT29 russe a piraté le géant biomédical américain en violation liée à l'équipe
>By Waqas Polish authorities and FortiGuard Labs have issued a warning to customers about a new wave of cyberattacks associated with TeamCity. This is a post from HackRead.com Read the original post: Russian APT29 Hacked US Biomedical Giant in TeamCity-Linked Breach |
APT 29 | ★★ | |
|
2023-12-14 16:02:00 | L'APT29 lié à la SVR russe cible les serveurs d'équipe Jetbrains dans les attaques en cours Russian SVR-Linked APT29 Targets JetBrains TeamCity Servers in Ongoing Attacks (lien direct) |
Les acteurs de la menace affiliés au Russian Foreign Intelligence Service (SVR) ont ciblé les serveurs d'équipe Jet-Brains non corrigés dans des attaques généralisées depuis septembre 2023.
L'activité a été liée à un groupe d'État-nation connu sous le nom de & nbsp; APT29, qui est également suivi sous le nom de Bluebravo, Ursa, confortable, confortable, blizzard Midnight (anciennement Nobelium) et The Dukes.Il est notable pour la chaîne d'approvisionnement
Threat actors affiliated with the Russian Foreign Intelligence Service (SVR) have targeted unpatched JetBrains TeamCity servers in widespread attacks since September 2023. The activity has been tied to a nation-state group known as APT29, which is also tracked as BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (formerly Nobelium), and The Dukes. It\'s notable for the supply chain |
Threat | APT 29 | ★★ |
|
2023-12-14 15:30:00 | Les pirates d'ours confortables ciblent les serveurs TeamCity JetBrains dans Global Campaign Cozy Bear Hackers Target JetBrains TeamCity Servers in Global Campaign (lien direct) |
Le FBI et la CISA ont détecté que les pirates liés au service de renseignement étranger russe (SVR) visent une vulnérabilité de JetBrains TeamCity depuis septembre 2023
The FBI and CISA detected that hackers linked to the Russian foreign intelligence service (SVR) have been targeting a JetBrains TeamCity vulnerability since September 2023 |
Vulnerability | APT 29 | ★★★ |
 |
2023-12-13 23:26:00 | L'exploitation mondiale de l'équipe ouvre la porte au cauchemar de style solarwinds Global TeamCity Exploitation Opens Door to SolarWinds-Style Nightmare (lien direct) |
L'APT29 de la Russie va après une faille critique dans la plate-forme de développeur de logiciels d'équipe JetBrains, ce qui a incité les gouvernements du monde entier à émettre un avertissement urgent au patch.
Russia\'s APT29 is going after a critical RCE flaw in the JetBrains TeamCity software developer platform, prompting governments worldwide to issue an urgent warning to patch. |
Threat | APT 29 | ★★★ |
 |
2023-12-13 15:00:00 | TeamCity Intrusion Saga: APT29 suspecté parmi les attaquants exploitant CVE-2023-42793 TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793 (lien direct) |
FortiGuardLabs a découvert une nouvelle campagne APT29 qui comprend l'équipe d'exploitation de TeamCity et GraphicalProton malware.Apprendre encore plus.
FortiGuardLabs discovered a new APT29 campaign which includes TeamCity exploitation and GraphicalProton malware. Learn more. |
Malware | APT 29 | ★★★ |
|
2023-11-24 09:30:46 | APT 29 exploite WinRAR pour attaquer des ambassades en Europe (lien direct) | APT 29 exploite WinRAR pour attaquer des ambassades en Europe. Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit - Malwares | APT 29 APT 29 | ★★★ | |
|
2023-11-20 10:00:00 | L'APT29 de la Russie cible les ambassades avec Ngrok et Winrar Exploit Russia\\'s APT29 Targets Embassies With Ngrok and WinRAR Exploit (lien direct) |
Le groupe de menaces peut rechercher Intel sur l'Azerbaïdjan
Threat group may be looking for intel on Azerbaijan |
Threat | APT 29 APT 29 | ★★★ |
|
2023-11-19 11:14:25 | Les pirates russes utilisent la fonctionnalité Ngrok et l'exploit Winrar pour attaquer les ambassades Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (lien direct) |
Après Sandworm et APT28 (connu sous le nom de Fancy Bear), un autre groupe de pirates russes parrainé par l'État, APT29, tire parti de la vulnérabilité CVE-2023-38831 dans Winrar pour les cyberattaques.[...]
After Sandworm and APT28 (known as Fancy Bear), another state-sponsored Russian hacker group, APT29, is leveraging the CVE-2023-38831 vulnerability in WinRAR for cyberattacks. [...] |
Vulnerability Threat | APT 29 APT 28 | ★★★ |
|
2023-11-14 16:34:00 | Opération de cyber-espionnage sur les ambassades liées aux pirates confortables de la Russie Cyber-espionage operation on embassies linked to Russia\\'s Cozy Bear hackers (lien direct) |
Les pirates russes parrainés par l'État ont ciblé des ambassades et des organisations internationales dans une récente campagne de cyber-espionnage, ont révélé que les chercheurs du gouvernement ukrainien ont révélé.Les attaques ont été attribuées au tristement célèbre groupe de pirates étiqueté APT29, également connu sous le nom de confortable ours ou de bravo bleu.Auparavant, les analystes l'ont lié au service de renseignement étranger de la Russie (SVR), qui rassemble
Russian state-sponsored hackers have targeted embassies and international organizations in a recent cyber-espionage campaign, Ukrainian government cybersecurity researchers have found. The attacks were attributed to the infamous hacker group labeled APT29, also known as Cozy Bear or Blue Bravo. Analysts previously have linked it to Russia\'s Foreign Intelligence Service (SVR), which gathers political and economic |
APT 29 APT 29 | ★★★ | |
|
2023-10-30 17:54:13 | La SEC poursuit Solarwinds pour les investisseurs trompeurs avant 2020 Hack SEC sues SolarWinds for misleading investors before 2020 hack (lien direct) |
La Commission américaine des Securities and Exchange (SEC) a accusé aujourd'hui des solarwind de frauder les investisseurs en dissimulant prétendument les problèmes de défense de la cybersécurité avant une division de piratage de décembre 2020 à l'APT29, la division de piratage du Russian Foreign Intelligence Service (SVR).[...]
The U.S. Securities and Exchange Commission (SEC) today charged SolarWinds with defrauding investors by allegedly concealing cybersecurity defense issues before a December 2020 linked to APT29, the Russian Foreign Intelligence Service (SVR) hacking division. [...] |
Hack | Solardwinds APT 29 | ★★★ |
|
2023-10-23 02:22:16 | 2023 août & # 8211;Rapport de tendance des menaces sur les groupes APT 2023 Aug – Threat Trend Report on APT Groups (lien direct) |
août 2023 Problèmes majeurs sur les groupes de l'APT 1) Andariel 2) APT29 3) APT31 4) amer 5)Bronze Starlight 6) Callisto 7) Cardinbee 8) Typhoon de charbon de bois (Redhotel) 9) Terre estrie 10) Typhon de lin 11) Groundpeony 12) Chisel infâme 13) Kimsuky 14) Lazarus 15)Moustachedbouncher 16) Éléphant mystérieux (APT-K-47) 17) Nobelium (Blizzard de minuit) 18) Red Eyes (APT37) Aug_Thereat Trend Rapport sur les groupes APT
August 2023 Major Issues on APT Groups 1) Andariel 2) APT29 3) APT31 4) Bitter 5) Bronze Starlight 6) Callisto 7) Carderbee 8) Charcoal Typhoon (RedHotel) 9) Earth Estries 10) Flax Typhoon 11) GroundPeony 12) Infamous Chisel 13) Kimsuky 14) Lazarus 15) MoustachedBouncher 16) Mysterious Elephant (APT-K-47) 17) Nobelium (Midnight Blizzard) 18) Red Eyes (APT37) Aug_Threat Trend Report on APT Groups |
Threat Prediction | APT 38 APT 38 APT 37 APT 29 APT 31 | ★★★ |
|
2023-09-21 09:00:00 | Diplomatie de backchannel: les opérations de phishing diplomatique en évolution rapide de l'APT29 Backchannel Diplomacy: APT29\\'s Rapidly Evolving Diplomatic Phishing Operations (lien direct) |
Insights de clé
Le rythme d'opérations d'APT29 \\ et l'accent mis sur l'Ukraine a augmenté au cours de la première moitié de 2023 alors que Kyiv a lancé sa contre-offensive, pointantau rôle central du SVR \\ dans la collecte d'intelligence concernant la phase pivot actuelle de la guerre.
Pendant cette période, Mandiant a suivi des changements substantiels dans l'outillage et le métier d'Apt29 \\, probablement conçus pour soutenir la fréquence et la portée accrues deopérations et entraver l'analyse médico-légale.
apt29 a utilisé diverses chaînes d'infection simultanément sur différentes opérations, indiquant que les opérateurs d'accès initiaux distincts ou
Key Insights APT29\'s pace of operations and emphasis on Ukraine increased in the first half of 2023 as Kyiv launched its counteroffensive, pointing to the SVR\'s central role in collecting intelligence concerning the current pivotal phase of the war. During this period, Mandiant has tracked substantial changes in APT29\'s tooling and tradecraft, likely designed to support the increased frequency and scope of operations and hinder forensic analysis. APT29 has used various infection chains simultaneously across different operations, indicating that distinct initial access operators or |
APT 29 | ★★★ | |
|
2023-09-11 05:02:48 | Rapport de tendance des menaces sur les groupes APT & # 8211;Juillet 2023 Threat Trend Report on APT Groups – July 2023 (lien direct) |
juillet 2023 Problèmes majeurs sur les groupes APT 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Chicheur charmant 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Eyes rouges 13) Pirates d'espace 14) Turla 15) ATIP_2023_JUL_JULAT RAPPORT D'APTER LE Rapport sur les APT
July 2023 Major Issues on APT Groups 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Charming Kitten 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Red Eyes 13) Space Pirates 14) Turla 15) Unclassified ATIP_2023_Jul_Threat Trend Report on APT Groups |
Threat Prediction | APT 38 APT 37 APT 37 APT 35 APT 35 APT 29 APT 29 APT 28 APT 28 APT 31 | ★★ |
|
2023-08-17 15:09:00 | Les pirates russes utilisent une application de chat Zulip pour C & C Covert dans les attaques de phishing diplomatique Russian Hackers Use Zulip Chat App for Covert C&C in Diplomatic Phishing Attacks (lien direct) |
Une campagne en cours ciblant les ministères des affaires étrangères des pays alignés de l'OTAN souligne la participation des acteurs de la menace russe.
Les attaques de phishing présentent des documents PDF avec des leurres diplomatiques, dont certains sont déguisés en provenance d'Allemagne, pour livrer une variante d'un malware appelé Duke, qui a été attribué à l'APT29 (aka Bluebravo, Ursa enroulé, confortable, Hemlock, fer, Hemlock,
An ongoing campaign targeting ministries of foreign affairs of NATO-aligned countries points to the involvement of Russian threat actors. The phishing attacks feature PDF documents with diplomatic lures, some of which are disguised as coming from Germany, to deliver a variant of a malware called Duke, which has been attributed to APT29 (aka BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, |
Malware Threat | APT 29 | ★★ |
|
2023-08-06 14:22:10 | Les pirates russes ont violé les agences gouvernementales \\ 'MFA utilisant des équipes Microsoft: votre entreprise est-elle la prochaine? Russian Hackers Breached Government Agencies\\' MFA Using Microsoft Teams: Is Your Business Next? (lien direct) |
récent de Microsoft \\ Article de blog Les sourcils ont haussé les sourcils à travers la communauté de la cybersécurité.Les pirates d'État liés à la Russie, connus sous le nom d'APT29 ou confortable, ont exécuté des attaques de phishing «hautement ciblées» via la plate-forme des équipes de Microsoft \\.Ce sont les mêmes pirates derrière l'historique Solarwinds Hack en 2020 et la violation de 2016 du Comité national démocrate. La méthode était à la fois sophistiquée et alarmante.En compromettant les comptes Microsoft 365 appartenant à des petites entreprises, les pirates ont créé des domaines pour tromper leurs cibles via des messages Microsoft Teams.Ils ont engagé des utilisateurs et obtenu l'approbation des invites en MFA, contournant ce qui est généralement considéré comme une mesure de sécurité robuste. & Nbsp;
Microsoft\'s recent blog post raised eyebrows through the cybersecurity community. State-backed hackers linked to Russia, known as APT29 or Cozy Bear, have executed “highly targeted” phishing attacks through Microsoft\'s Teams platform. These are the same hackers behind the historic SolarWinds hack in 2020 and the 2016 breach of the Democratic National Committee.The method was both sophisticated and alarmingly simple. By compromising Microsoft 365 accounts owned by small businesses, the hackers created domains to deceive their targets through Microsoft Teams messages. They engaged users and elicited approval of MFA prompts, bypassing what is usually considered a robust security measure. |
APT 29 APT 29 | ★★★★ | |
 |
2023-08-04 16:48:11 | Mémo sur les menaces du cloud: les acteurs de la menace parrainés par l'État russe exploitent de plus en plus les services cloud légitimes Cloud Threats Memo: Russian State-sponsored Threat Actors Increasingly Exploiting Legitimate Cloud Services (lien direct) |
> Les acteurs de la menace parrainés par l'État continuent d'exploiter les services cloud légitimes, et en particulier un groupe, l'APT29 russe (également connu sous le nom de confortable ours, Ursa masqué, Bluebravo, Midnight Blizzard et anciennement Nobelium), semble particulièrement actif.Entre mars et mai 2023, les chercheurs en sécurité du groupe INSIKT de Future \\ ont déniché une campagne de cyber-espionnage par la même [& # 8230;]
>State-sponsored threat actors continue to exploit legitimate cloud services, and especially one group, the Russian APT29 (also known as Cozy Bear, Cloaked Ursa, BlueBravo, Midnight Blizzard, and formerly Nobelium), seems to be particularly active. Between March and May 2023, security researchers at Recorded Future\'s Insikt Group have unearthed a cyber espionage campaign by the same […] |
Threat Cloud | APT 29 APT 29 | ★★ |
|
2023-08-03 12:08:00 | Microsoft expose les pirates russes \\ 'Tactiques de phishing sournoises via les chats des équipes Microsoft Microsoft Exposes Russian Hackers\\' Sneaky Phishing Tactics via Microsoft Teams Chats (lien direct) |
Microsoft a révélé mercredi qu'il identifiait un ensemble d'attaques d'ingénierie sociale hautement ciblées montées par un acteur de menace russe de l'État-nation à l'aide de leurres de phishing de vol d'identification envoyés sous forme de chats des équipes de Microsoft.
Le géant de la technologie a attribué les attaques à un groupe qu'il suit comme Midnight Blizzard (auparavant Nobelium).Il est également appelé apt29, bluebravo, ours confortable, pruche en fer et les ducs.
Microsoft on Wednesday disclosed that it identified a set of highly targeted social engineering attacks mounted by a Russian nation-state threat actor using credential theft phishing lures sent as Microsoft Teams chats. The tech giant attributed the attacks to a group it tracks as Midnight Blizzard (previously Nobelium). It\'s also called APT29, BlueBravo, Cozy Bear, Iron Hemlock, and The Dukes. |
Threat | APT 29 | ★★ |
|
2023-08-02 20:47:00 | Les pirates militaires russes ont envoyé des leurres de phishing se faisant passer pour les équipes de Microsoft. Russian military hackers sent phishing lures masquerading as Microsoft Teams chats (lien direct) |
Les pirates au sein de l'armée russe ont utilisé des discussions sur les équipes de Microsoft comme des leurres de phishing dans des «attaques d'ingénierie sociale hautement ciblées», selon des responsables de la sécurité de Microsoft.Le géant de la technologie a déclaré mercredi qu'il avait découvert une campagne d'un groupe de piratage russe prolifique qu'ils appellent Midnight Blizzard, mais est le plus communément appelé Nobelium, confortable ours ou APT29.
Hackers within the Russian military used Microsoft Teams chats as phishing lures in “highly targeted social engineering attacks,” according to security officials at Microsoft. The tech giant said on Wednesday it uncovered a campaign by a prolific Russian hacking group they call Midnight Blizzard but is most commonly known as NOBELIUM, Cozy Bear or APT29. |
APT 29 APT 29 | ★★★ | |
|
2023-07-28 14:24:00 | BlueBravo déploie une porte dérobée GraphicalProton contre les entités diplomatiques européennes BlueBravo Deploys GraphicalProton Backdoor Against European Diplomatic Entities (lien direct) |
L'acteur russe de l'État-nation connu sous le nom de Bluebravo a été observé ciblant des entités diplomatiques dans toute l'Europe de l'Est dans le but de livrer une nouvelle porte arrière appelée GraphicalProton, illustrant l'évolution continue de la menace.
La campagne de phishing se caractérise par l'utilisation des services Internet légitimes (LIS) pour l'obscuscation de commandement et de contrôle (C2), a déclaré l'avenir enregistré en
The Russian nation-state actor known as BlueBravo has been observed targeting diplomatic entities throughout Eastern Europe with the goal of delivering a new backdoor called GraphicalProton, exemplifying the continuous evolution of the threat. The phishing campaign is characterized by the use of legitimate internet services (LIS) for command-and-control (C2) obfuscation, Recorded Future said in |
APT 29 APT 29 | ★★ | |
|
2023-07-13 15:48:58 | Les attaquants de Solarwinds pendent des BMW pour espionner les diplomates SolarWinds Attackers Dangle BMWs to Spy on Diplomats (lien direct) |
Ursa / Nobelium masqué devient créatif en faisant appel aux besoins plus personnels des employés du gouvernement sur des missions étrangères à Kiev.
Cloaked Ursa/Nobelium gets creative by appealing to the more personal needs of government employees on foreign missions in Kyiv. |
APT 29 | ★★★★ | |
|
2023-07-07 02:33:29 | Rapport de tendance des menaces sur les groupes APT & # 8211;Mai 2023 Threat Trend Report on APT Groups – May 2023 (lien direct) |
Les cas de grands groupes APT pour le mai 2023 réunis à partir de documents rendus publics par des sociétés de sécurité et des institutions sont comme commesuit.& # 8211;Agrius & # 8211;Andariel & # 8211;APT28 & # 8211;APT29 & # 8211;APT-C-36 (Blind Eagle) & # 8211;Camaro Dragon & # 8211;CloudWizard & # 8211;Earth Longzhi (APT41) & # 8211;Goldenjackal & # 8211;Kimsuky & # 8211;Lazarus & # 8211;Lancefly & # 8211;Oilalpha & # 8211;Red Eyes (Apt37, Scarcruft) & # 8211;Sidecopy & # 8211;Sidewinder & # 8211;Tribu transparente (APT36) & # 8211;Volt Typhoon (Silhouette de bronze) ATIP_2023_MAY_TRADEAT Rapport sur les groupes APT_20230609
The cases of major APT groups for May 2023 gathered from materials made public by security companies and institutions are as follows. – Agrius – Andariel – APT28 – APT29 – APT-C-36 (Blind Eagle) – Camaro Dragon – CloudWizard – Earth Longzhi (APT41) – GoldenJackal – Kimsuky – Lazarus – Lancefly – OilAlpha – Red Eyes (APT37, ScarCruft) – SideCopy – SideWinder – Transparent Tribe (APT36) – Volt Typhoon (Bronze Silhouette) ATIP_2023_May_Threat Trend Report on APT Groups_20230609 |
Threat Prediction | APT 41 APT 38 APT 37 APT 37 APT 29 APT 29 APT 28 APT 28 APT 36 APT 36 Guam Guam APT-C-17 APT-C-17 GoldenJackal GoldenJackal APT-C-36 | ★★★ |
 |
2023-06-27 08:30:52 | Le vol d'accréditation attaque la surtension: Microsoft soulève le drapeau rouge sur Midnight Blizzard (APT29) Credential Theft Attacks Surge: Microsoft Raises Red Flag on Midnight Blizzard (APT29) (lien direct) |
Microsoft a identifié Midnight Blizzard, un groupe de piratage affilié à l'État russe, également connu sous le nom d'APT29, sous le nom de ...
Microsoft has identified Midnight Blizzard, a Russian state-affiliated hacking group also known as APT29, as... |
APT 29 | ★★ | |
|
2023-06-21 20:21:00 | Le groupe de piratage soutenu par le Kremlin met un nouvel accent sur le vol d'identification Kremlin-backed hacking group puts fresh emphasis on stealing credentials (lien direct) |
Microsoft a détecté Une augmentation des attaques de vol d'identification menées par le groupe de pirates affilié à l'État russe souvent étiqueté comme APT29, Cozy Bear, Bearsou Nobelium.Ces attaques s'adressent aux gouvernements, aux prestataires de services informatiques, aux organisations non gouvernementales (ONG) et aux industries de la défense et de la fabrication critiques.Sous Microsoft \'s nouvelle convention de dénomination Menaces (APTS), l'entreprise appelle
Microsoft has detected an increase in credential-stealing attacks conducted by the Russian state-affiliated hacker group often labeled as APT29, Cozy Bear or Nobelium. These attacks are directed at governments, IT service providers, nongovernmental organizations (NGOs), and defense and critical manufacturing industries. Under Microsoft\'s new naming convention for advanced persistent threats (APTs), the company is calling |
APT 29 | ★★ | |
 |
2023-04-18 17:14:00 | Anomali Cyber Watch: Cozy Bear utilise de nouveaux téléchargeurs, RTM Locker Ransomware cherche une vie privée, vice Society Automated Selective Exfiltration Anomali Cyber Watch: Cozy Bear Employs New Downloaders, RTM Locker Ransomware Seeks Privacy, Vice Society Automated Selective Exfiltration (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, clicker, détournement de conversation, exfiltration de données, callpam, phishing, ransomware, russie, et chaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
banquier QBOT livré par correspondance commerciale
(Publié: 17 avril 2023)
Début avril 2023, un volume accru de Malspam en utilisant le détournement de fil commercial-imail a été détecté pour fournir le troin bancaire QBOT (QAKBOT, Quackbot, Pinkslipbot).Les leurres observés en anglais, en allemand, en italien et en français visaient divers pays, les trois premiers étant l'Allemagne, l'Argentine et l'Italie, dans cet ordre.Les attaquants usurpaient un nom dans la conversation détournée pour inciter la cible à ouvrir un fichier PDF ci-joint.La cible est ensuite confrontée à un bouton, à un mot de passe et à une instruction pour télécharger, déballer et exécuter un fichier de script Windows malveillant (WSF) dans une archive protégée par mot de passe.L'exécution des utilisateurs est suivie d'une désobfuscation automatisée d'un JScript contenu produisant un script PowerShell codé visant à télécharger une DLL QBOT à partir d'un site Web compromis et à l'exécuter à l'aide de RunDLL32.QBOT vole les informations d'identification, profil les systèmes pour identifier les perspectives de ciblage supplémentaire de grande valeur et vole des e-mails stockés localement pour une prolifération supplémentaire via le détournement de fil calspam.
Commentaire de l'analyste: L'usurpation du nom de l'expéditeur des lettres précédentes du & lsquo; from & rsquo;Le champ peut être identifié dans cette campagne car il utilise une adresse e-mail frauduleuse de l'expéditeur différent de celle du véritable correspondant.Les utilisateurs doivent être prudents avec des archives protégées par mot de passe et des types de fichiers suspects tels que WSF.Les indicateurs de réseau et d'hôtes associés à cette campagne QBOT sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitreAtt & amp; ck: [mitre att & amp; ck] t1566 - phishing | [mitre att & amp; ck] t1204 - exécution des utilisateurs | [mitre att & amp; ck] t1207 - contrôleur de domaine voyou | [mitre att & amp; ck] t1140 - déobfuscate /Décoder des fichiers ou des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1218.011 - Exécution par proxy binaire signée: rundll32 | [mitre att & amp; ck] t1090 - proxy | [mitre att & amp; ck] t1114.001 - collection de courriels: collection de message |
Ransomware Malware Tool Threat | APT 29 APT 29 | ★★ |
|
2023-04-14 18:27:00 | Les pirates liés à la Russie lancent des attaques d'espionnage contre des entités diplomatiques étrangères Russia-Linked Hackers Launches Espionage Attacks on Foreign Diplomatic Entities (lien direct) |
L'acteur de menace APT29 (alias confortable) lié à la Russie a été attribué à une campagne de cyber-espionnage en cours ciblant les ministères étrangères et les entités diplomatiques situées dans les États membres de l'OTAN, l'Union européenne et l'Afrique.
Selon le service de contre-espionnage militaire de la Pologne et l'équipe CERT Polska, l'activité observée partage tactique des chevauchements avec un cluster suivi par Microsoft en tant que
The Russia-linked APT29 (aka Cozy Bear) threat actor has been attributed to an ongoing cyber espionage campaign targeting foreign ministries and diplomatic entities located in NATO member states, the European Union, and Africa. According to Poland\'s Military Counterintelligence Service and the CERT Polska team, the observed activity shares tactical overlaps with a cluster tracked by Microsoft as |
Threat | APT 29 | ★★ |
|
2023-04-13 17:06:00 | Des pirates soutenus par le Kremlin sont imputés à l'espionnage des agences diplomatiques de l'UE et de l'OTAN Kremlin-backed hackers blamed in spying campaign on EU and NATO diplomatic agencies (lien direct) |
Les pirates russes affiliés à l'État ont lancé une campagne d'espionnage ciblant les ministères étrangères et les entités diplomatiques dans les pays de l'OTAN, l'Union européenne et, «dans une moindre mesure», a déclaré l'Afrique, la principale agence de cybersécurité de l'Afrique, la Pologne \\.La campagne est liée au groupe de piratage soutenu par le Kremlin, Nobelium, également connu sous le nom d'APT29 ou [Bluebravo] (https://www.recordedfuture.com/bluebravo-uses-ambassador-reure-Deploy-GraphicalNeutrino-Malware), cert.pl a déclaré dans un [rapport] (https://www.gov.pl/wEB / Baza-Wiedzy / Espionage-Campaign-liked-to-russian-Intelligence-Services) publié jeudi avec
Russian state-affiliated hackers have launched a spying campaign targeting foreign ministries and diplomatic entities in NATO countries, the European Union, and, “to a lesser extent,” Africa, Poland\'s top cybersecurity agency said. The campaign is linked to the Kremlin-backed hacking group Nobelium, also known as APT29 or [BlueBravo](https://www.recordedfuture.com/bluebravo-uses-ambassador-lure-deploy-graphicalneutrino-malware), CERT.PL said in a [report](https://www.gov.pl/web/baza-wiedzy/espionage-campaign-linked-to-russian-intelligence-services) published Thursday with |
APT 29 | ★★ | |
|
2023-03-17 07:22:00 | APT Profile: Cozy Bear / APT29 (lien direct) | >Advanced Persistent Threat (APT) groups are widely classified as organizations that lead “attacks on a... | Threat Guideline | APT 29 APT 29 | ★★ |
|
2023-03-14 22:00:00 | Kremlin-backed hackers blamed in recent phishing attempts on EU agencies (lien direct) |
A Russian state-backed hacker group known as Nobelium is behind recent attempted cyberattacks on diplomatic entities and government agencies in the European Union, cybersecurity researchers say. In a campaign identified in early March, the hackers sent phishing emails with content related to diplomatic relations between Poland and the U.S., according to a report by cybersecurity |
Hack | APT 29 | ★★★ |
To see everything:
Our RSS (filtrered)
