SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-09-02 19:54:58	Faits saillants hebdomadaires OSINT, 2 septembre 2024 Weekly OSINT Highlights, 2 September 2024 (lien direct)	## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence un ensemble diversifié de cybermenaces et de méthodologies d'attaque dans plusieurs secteurs et géographies.Les principales tendances comprenaient la sophistication croissante des campagnes de phishing, telles que celles qui tirent parti des logiciels malveillants multiplateformes comme le voleur Cheana et des tactiques innovantes comme le quai via des codes QR.Le déploiement de balises de Cobaltsstrike, les techniques d'injection du gestionnaire de l'Appdomain et l'abus de services légitimes comme Microsoft Sway, les tunnels Cloudflare et les outils de gestion à distance ont également présenté en bonne place, soulignant l'évolution de la boîte à outils des cybercriminels et des acteurs parrainés par l'État.Les entités ciblées s'étendaient sur des industries, notamment les finances, le gouvernement, les soins de santé et les infrastructures critiques, les attaquants utilisant fréquemment des mécanismes de persistance avancés, exploitant des vulnérabilités zéro-jours et en utilisant des ransomwares dans des schémas à double extorsion. ## Description 1. [Utilisateurs coréens ciblés avec des logiciels malveillants à distance] (https://sip.security.microsoft.com/intel-explorer/articles/b920e285): Ahnlab Security Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, lorsqu'un inconnuL'attaquant a déployé des logiciels malveillants à distance, y compris l'asyncrat, et des délais personnalisés comme FXFDOOR et NOMU.L'attaque, potentiellement liée au groupe nord-coréen Kimsuky, s'est concentrée sur le vol d'informations, avec un spearphishing et des vulnérabilités dans IIS et MS Exchange comme points d'entrée possibles. 2. [Campagne de phishing déguisée en sondage RH cible Office 365 Contaliens] (https://sip.security.microsoft.com/intel-explorer/articles/9431aa5a): les chercheurs de Cofense ont identifié une attaque de phishing qui s'est présentée comme un engagement en milieu d'annéeEnquête pour voler les informations d'identification Microsoft Office 365.L'attaque a utilisé un faux e-mail RH réalisant des destinataires vers une page hébergée par Wufoo, conduisant finalement à une page de connexion frauduleuse Microsoft conçue pour récolter les informations d'identification. 3. [Campagne de phishing multiplateforme avec Cheana Stealer] (https://sip.security.microsoft.com/intel-explorer/articles/69d7b49e): Cyble Research and Intelligence Lab (CRIL) a découvert une campagne de phishing ciblant les fenêtres, Linuxet les utilisateurs de macOS avec Cheana Stealer malware, distribué via un site imitant un fournisseur VPN.Les logiciels malveillants visaient à voler des portefeuilles de crypto-monnaie, des mots de passe du navigateur et des clés SSH, en tirant parti d'un canal télégramme pour une distribution généralisée, mettant en évidence les attaquants \\ 'se concentrer sur le compromis de divers systèmes. 4. [Vulnérabilité zéro-jour dans Versa Director exploité par APT] (https://sip.security.microsoft.com/intel-explorer/articles/1af984be): Versa Networks a identifié une vulnérabilité zéro-jour (CVE-2024-39717) Dans le directeur de l'interface graphique de Versa, exploité par un acteur apt pour télécharger des fichiers malveillants déguisés en images PNG.L'attaque a été facilitée par un mauvais durcissement du système et des ports de gestion exposés, ciblant les clients qui n'ont pas réussi à sécuriser correctement leur environnement. 5. [Mallox Ransomware Exploits Cloud Misconfiguration](https://sip.security.microsoft.com/intel-explorer/articles/d9af6464): Trustwave investigated a Mallox	Ransomware Malware Tool Vulnerability Threat Mobile Medical Cloud	APT 41 APT 32	★★
	2024-08-29 18:15:40	Menace persistante avancée ciblant les défenseurs vietnamiens des droits de l'homme Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders (lien direct)	#### Géolocations ciblées - Vietnam ## Instantané Les chercheurs de Huntress ont découvert une cyber-intrusion à long terme ciblant un défenseur vietnamien des droits de l'homme, soupçonné d'avoir persisté pendant au moins quatre ans. ## Description Selon Huntress, les tactiques, les techniques et les procédures (TTPS) observées dans cette attaque présentent des similitudes avec celles utilisées par APT32 / Oceanlottus, un groupe de cyber-espionnage bien connu suivi par Microsoft comme [Canvas Cyclone] (https: // Security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb58255463214122b1a133).Les attaquants ont utilisé plusieurs mécanismes de persistance, notamment des tâches programmées, des débiteurs de touche de DLL et des abus d'objets COM, pour maintenir l'accès à des systèmes compromis.Notamment, les attaquants ont utilisé des logiciels malveillants qui se sont masqués comme logiciels légitimes, tels que les binaires Adobe et McAfee, et ont exploité les vulnérabilités dans des exécutables légitimes pour exécuter des charges utiles malveillantes. Au cours de l'enquête, les analystes de Huntress ont identifié plusieurs échantillons de logiciels malveillants qui ont utilisé l'obscurcissement et la stéganographie pour échapper à la détection.Le malware était capable d'injecter du code dans la mémoire et d'effectuer diverses tâches, telles que le vol de cookies de navigateur, le téléchargement de charges utiles supplémentaires et le maintien de l'accès de la porte dérobée.Les acteurs de la menace ont également mis à profit des outils légitimes comme Windows Management Instrumentation (WMI) pour l'exécution de la commande distante et exploité des tuyaux nommés pour l'escalade des privilèges. L'enquête a révélé que les liens avec les infrastructures associées à l'APT32 / Oceanlotus, confirmant davantage l'implication du groupe \\ dans l'attaque.Les attaquants \\ 'les efforts persistants pour cacher leurs activités et maintenir l'accès suggèrent un objectif stratégique aligné sur la collecte de renseignements.Cette affaire démontre les durées auxquelles les acteurs avancés de la menace iront pour atteindre leurs objectifs et met en évidence l'importance de la chasse et de la surveillance des menaces continues pour détecter et répondre à de telles intrusions sophistiquées. ## Analyse Microsoft L'acteur Microsoft suit comme [Canvas Cyclone] (https://security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb582554632141222b1a133) est un groupe de calice national. Lone est connu pour cibler principalementet les organisations étrangères à travers l'Asie, l'Europe et l'Amérique du Nord, y compris les grandes sociétés multinationales, les gouvernements, les institutions financières, les établissements d'enseignement et les groupes de défense des droits humains et civils.Canvas Cyclone se concentre sur l'espionnage gouvernemental ainsi que sur la collecte de renseignements contre la concurrence des entreprises étrangères. Auparavant, Canvas Cyclone a mené des attaques de compromis en vigueur contre les sites gouvernementaux et les agences de médias en Asie du Sud-Est.Fin 2018, Canvas Cyclone a compromis des cibles à l'aide d'une famille de logiciels malveillants personnalisé connue sous le nom de Kerrdown via des documents malveillants livrés dans les opérations de phission de lance.Canvas Cyclone s'est également appuyé sur des outils couramment utilisés comme la grève du cobalt pour l'exfiltration des données et le mouvement latéral.Depuis 2020, Canvas Cyclone a utilisé le détournement de l'ordre de recherche DLL pour charger du code malveillant en utilisant des binaires légitimes et signés.Canvas Cyclonehas a également déployé des mineurs de crypto-monnaie Monero sur des systèmes ciblés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allume	Ransomware Malware Tool Vulnerability Threat	APT 32	★★★
	2021-10-06 19:06:00	Inside TeamTNT\'s Impressive Arsenal: A Look Into A TeamTNT Server (lien direct)	Authored By: Tara Gould Key Findings Anomali Threat Research has discovered an open server to a directory listing that we attribute with high confidence to the German-speaking threat group, TeamTNT. The server contains source code, scripts, binaries, and cryptominers targeting Cloud environments. Other server contents include Amazon Web Services (AWS) Credentials stolen from TeamTNT stealers are also hosted on the server. This inside view of TeamTNT infrastructure and tools in use can help security operations teams to improve detection capabilities for related attacks, whether coming directly from TeamTNT or other cybercrime groups leveraging their tools. Overview Anomali Threat Research has identified a TeamTNT server open to directory listing. The server was used to serve scripts and binaries that TeamTNT use in their attacks, and also for the IRC communications for their bot. The directory appears to have been in use since at least August 2021 and was in use as of October 5, 2021. The contents of the directory contain metadata, scripts, source code, and stolen credentials. TeamTNT is a German-speaking, cryptojacking threat group that targets cloud environments. The group typically uses cryptojacking malware and have been active since at least April 2020.[1] TeamTNT activity throughout 2021 has targeted AWS, Docker, GCP, Linux, Kubernetes, and Windows, which corresponds to usual TeamTNT activity.[2] Technical Analysis Scripts (/cmd/) Figure 1 - Overview of /cmd/ Contained on the server are approximately 50 scripts, most of which are already documented, located in the /cmd/ directory. The objective of the scripts vary and include the following: AWS Credential Stealer Diamorphine Rootkit IP Scanners Mountsploit Scripts to set up utils Scripts to setup miners Scripts to remove previous miners Figure 2 - Snippet of AWS Credential Stealer Script Some notable scripts, for example, is the script that steals AWS EC2 credentials, shown above in Figure 2. The AWS access key, secret key, and token are piped into a text file that is uploaded to the Command and Control (C2) server. Figure 3 - Chimaera_Kubernetes_root_PayLoad_2.sh Another interesting script is shown in Figure 3 above, which checks the architecture of the system, and retrieves the XMRig miner version for that architecture from another open TeamTNT server, 85.214.149[.]236. Binaries (/bin/) Figure 4 - Overview of /bin Within the /bin/ folder, shown in Figure 4 above, there is a collection of malicious binaries and utilities that TeamTNT use in their operations. Among the files are well-known samples that are attributed to TeamTNT, including the Tsunami backdoor and a XMRig cryptominer. Some of the tools have the source code located on the server, such as TeamTNT Bot. The folder /a.t.b contains the source code for the TeamTNT bot, shown in Figures 5 and 6 below. In addition, the same binaries have been found on a TeamTNT Docker, noted in Appendix A.	Malware Tool Threat	Uber APT 32
	2018-10-19 15:30:05	(Déjà vu) Oceansalt Cyberattack Wave Linked To Defunct Chinese APT Comment Crew (lien direct)	News broke today that newly discovered first-stage implant targeting Korean-speaking victims borrows code from another reconnaissance tool linked to Comment Crew, a Chinese nation-state threat actor that was exposed in 2013 following cyber espionage campaigns against the United States. Dubbed Oceansalt, the threat has been spotted on machines in South Korea, the United States, and Canada. … The ISBuzz Post: This Post Oceansalt Cyberattack Wave Linked To Defunct Chinese APT Comment Crew	Tool Threat	APT 32 APT 1
	2018-09-13 11:00:00	Hurricane Florence: Underwater Drones Help Track the Storm\'s Path (lien direct)	A new tool called a Slocum glider measures the ocean heat that fuels super-storms like Florence, filling in data gaps to help make forecasting more accurate.	Tool	APT 32	★★★★

Last update at: 2025-05-10 18:07:56
See our sources.

To see everything: Our RSS (filtrered)