What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2025-04-18 11:53:49 | La fuite de serveur de logiciels malveillants de Keyplug expose les outils d'exploitation de pare-feu Fortinet et de VPN KeyPlug Malware Server Leak Exposes Fortinet Firewall and VPN Exploitation Tools (lien direct) |
> Les chercheurs en cybersécurité sont tombés sur un trésor d'outils et de scripts opérationnels liés aux logiciels malveillants de Keyplug, associés au groupe de menaces Redgolf, également connu sous le nom d'APT41. Le serveur, qui a été exposé par inadvertance pendant moins de 24 heures, a fourni un aperçu sans précédent des tactiques, techniques et procédures sophistiquées (TTP) employés par cette avancée […] avancée.
>Cybersecurity researchers have stumbled upon a treasure trove of operational tools and scripts linked to the KeyPlug malware, associated with the threat group RedGolf, also known as APT41. The server, which was inadvertently exposed for less than 24 hours, provided an unprecedented glimpse into the sophisticated tactics, techniques, and procedures (TTPs) employed by this advanced […] |
Malware Tool Threat | APT 41 | ★★★ |
 |
2025-02-18 15:22:00 | Winnti APT41 Targets Japanese Firms in RevivalStone Cyber Espionage Campaign (lien direct) | The China-linked threat actor known as Winnti has been attributed to a new campaign dubbed RevivalStone that targeted Japanese companies in the manufacturing, materials, and energy sectors in March 2024.
The activity, detailed by Japanese cybersecurity company LAC, overlaps with a threat cluster tracked by Trend Micro as Earth Freybug, which has been assessed to be a subset within the APT41
The China-linked threat actor known as Winnti has been attributed to a new campaign dubbed RevivalStone that targeted Japanese companies in the manufacturing, materials, and energy sectors in March 2024. The activity, detailed by Japanese cybersecurity company LAC, overlaps with a threat cluster tracked by Trend Micro as Earth Freybug, which has been assessed to be a subset within the APT41 |
Threat Prediction | APT 41 | ★★★ |
 |
2025-02-11 20:00:00 | Cybercrime: A Multifaceted National Security Threat (lien direct) | Executive Summary Cybercrime makes up a majority of the malicious activity online and occupies the majority of defenders\' resources. In 2024, Mandiant Consulting responded to almost four times more intrusions conducted by financially motivated actors than state-backed intrusions. Despite this overwhelming volume, cybercrime receives much less attention from national security practitioners than the threat from state-backed groups. While the threat from state-backed hacking is rightly understood to be severe, it should not be evaluated in isolation from financially motivated intrusions. A hospital disrupted by a state-backed group using a wiper and a hospital disrupted by a financially motivated group using ransomware have the same impact on patient care. Likewise, sensitive data stolen from an organization and posted on a data leak site can be exploited by an adversary in the same way data exfiltrated in an espionage operation can be. These examples are particularly salient today, as criminals increasingly target and leak data from hospitals. Healthcare\'s share of posts on data leak sites has doubled over the past three years, even as the number of data leak sites tracked by Google Threat Intelligence Group has increased by nearly 50% year over year. The impact of these attacks mean that they must be taken seriously as a national security threat, no matter the motivation of the actors behind it. Cybercrime also facilitates state-backed hacking by allowing states to purchase cyber capabilities, or co-opt criminals to conduct state-directed operations to steal data or engage in disruption. Russia has drawn on criminal capabilities to fuel the cyber support to their war in Ukraine. GRU-linked APT44 (aka Sandworm), a unit of Russian military intelligence, has employed malware available from cybercrime communities to conduct espionage and disruptive operations in Ukraine and CIGAR (aka RomCom), a group that historically focused on cybercrime, has conducted espionage operations against the Ukrainian government since 2022. However, this is not limited to Russia. Iranian threat groups deploy ransomware to raise funds while simultaneously conducting espionage, and Chinese espionage groups often supplement their income with cybercrime. Most notably, North Korea uses state-backed groups to directly generate revenue for the regime. North Korea has heavily targeted cryptocurrencies, compromising exchanges and individual victims\' crypto wallets. Despite the overlaps in effects and collaboration with states, tackling the root causes of cybercrime requires fundamentally different solutions. Cybercrime involves collaboration between disparate groups often across borders and without respect to sovereignty. Any solution requires international cooperation by both law enforcement and intelligence agencies to track, arrest, and prosecute these criminals. Individual takedowns can have important temporary effects, but the collaborative nature of cybercrime means that the disrupted group will be quickly replaced by others offering the same service. Achieving broader success will require collaboration between countries and public and private sectors on systemic solutions such as increasing education and resilience efforts. aside_block | Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 41 APT 38 APT 29 APT 43 APT 44 | ★★★ |
|
2025-01-29 14:00:00 | Adversarial Misuse of Generative AI (lien direct) | Rapid advancements in artificial intelligence (AI) are unlocking new possibilities for the way we work and accelerating innovation in science, technology, and beyond. In cybersecurity, AI is poised to transform digital defense, empowering defenders and enhancing our collective security. Large language models (LLMs) open new possibilities for defenders, from sifting through complex telemetry to secure coding, vulnerability discovery, and streamlining operations. However, some of these same AI capabilities are also available to attackers, leading to understandable anxieties about the potential for AI to be misused for malicious purposes. Much of the current discourse around cyber threat actors\' misuse of AI is confined to theoretical research. While these studies demonstrate the potential for malicious exploitation of AI, they don\'t necessarily reflect the reality of how AI is currently being used by threat actors in the wild. To bridge this gap, we are sharing a comprehensive analysis of how threat actors interacted with Google\'s AI-powered assistant, Gemini. Our analysis was grounded by the expertise of Google\'s Threat Intelligence Group (GTIG), which combines decades of experience tracking threat actors on the front lines and protecting Google, our users, and our customers from government-backed attackers, targeted 0-day exploits, coordinated information operations (IO), and serious cyber crime networks. We believe the private sector, governments, educational institutions, and other stakeholders must work together to maximize AI\'s benefits while also reducing the risks of abuse. At Google, we are committed to developing responsible AI guided by our principles, and we share | Ransomware Malware Tool Vulnerability Threat Studies Legislation Mobile Industrial Cloud Technical Commercial | APT 41 APT 43 APT 42 | ★★★ |
|
2025-01-28 14:00:00 | ScatterBrain: Unmasking the Shadow of PoisonPlug\\'s Obfuscator (lien direct) | Written by: Nino Isakovic
Introduction Since 2022, Google Threat Intelligence Group (GTIG) has been tracking multiple cyber espionage operations conducted by China-nexus actors utilizing POISONPLUG.SHADOW. These operations employ a custom obfuscating compiler that we refer to as "ScatterBrain," facilitating attacks against various entities across Europe and the Asia Pacific (APAC) region. ScatterBrain appears to be a substantial evolution of ScatterBee, an obfuscating compiler previously analyzed by PWC. GTIG assesses that POISONPLUG is an advanced modular backdoor used by multiple distinct, but likely related threat groups based in the PRC, however we assess that POISONPLUG.SHADOW usage appears to be further restricted to clusters associated with APT41. GTIG currently tracks three known POISONPLUG variants: POISONPLUG POISONPLUG.DEED POISONPLUG.SHADOW 
POISONPLUG.SHADOW-often referred to as "Shadowpad," a malware family name first introduced by Kaspersky-stands out due to its use of a custom obfuscating compiler specifically designed to evade detection and analysis. Its complexity is compounded by not only the extensive obfuscation mechanisms employed but also by the attackers\' highly sophisticated threat tactics. These elements collectively make analysis exceptionally challenging and complicate efforts to identify, understand, and mitigate the associated threats it poses.
In addressing these challenges, GTIG collaborates closely with the FLARE team to dissect and analyze POISONPLUG.SHADOW. This partnership utilizes state-of-the-art reverse engineering techniques and comprehensive threat intelligence capabilities required to mitigate the sophisticated threats posed by this threat actor. We remain dedicated to advancing methodologies and fostering innovation to adapt to and counteract the ever-evolving tactics of threat actors, ensuring the security of Google and our customers against sophisticated cyber espionage operations.
Overview
In this blog post, we present our in-depth analysis of the ScatterBrain obfuscator, which has led to the development of a complete stand-alone static deobfuscator library independent of any binary analysis frameworks. Our analysis is based solel |
Malware Tool Threat Studies Patching Cloud | APT 41 | ★★ |
 |
2024-12-13 15:00:00 | New Yokai Side-loaded Backdoor Targets Thai Officials (lien direct) | >Summary DLL side-loading is a popular technique used by threat actors to execute malicious payloads under the umbrella of a benign, usually legitimate, executable. This allows the threat actor to exploit whitelists in security products that exclude trusted executables from detection. Among others, this technique has been leveraged by APT41 to deploy DUSTTRAP and Daggerfly […]
>Summary DLL side-loading is a popular technique used by threat actors to execute malicious payloads under the umbrella of a benign, usually legitimate, executable. This allows the threat actor to exploit whitelists in security products that exclude trusted executables from detection. Among others, this technique has been leveraged by APT41 to deploy DUSTTRAP and Daggerfly […] |
Threat | APT 41 | ★★★ |
 |
2024-12-11 22:38:07 | Likely China-based Attackers Target High-profile Organizations in Southeast Asia (lien direct) | #### Targeted Geolocations - Southeast Asia #### Targeted Industries - Government Agencies & Services - Transportation Systems - Aviation - Communications Infrastructure ## Snapshot Researchers at Symantec detailed an espionage campaign, active since at least October 2023, likely conducted by China-based threat actors. The campaign targeted organizations in a number of industries, including government, telecommunications, and aviation. ## Description The attackers employed a mix of open-source (e.g., Dismap, [Impacket](https://security.microsoft.com/intel-profiles/19a4861eb55c4c074ab0a8c6f58738d8f50dda8badf96695758399e3d826dda6), and FastReverseProxy) and living-off-the-land (e.g., PowerShell, Reg.exe, and Windows Management Instrumentation) tools in their attacks. Many of these tools have been previously observed in attacks attributed to Chinese actors including Rakshasa, a tool previously used by Earth Baku and SharpNBTScan, a .NET application previously used by Mustang Panda (tracked by Microsoft as [Twill Typhoon](https://security.microsoft.com/intel-profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c)). The operations focused on exfiltrating data of interest, including credentials, from targeted organizations. The threat actors maintaining prolonged access to target environments, allowing them to map the network and identify systems of interest. According to Symantec, data was exfiltrated using WinRAR to gather and compress files of interest into password-protected archives. These archives were then uploaded to cloud storage platforms like File.io, allowing the attackers to discreetly transfer the data. ## Microsoft Analysis and Additional OSINT Context Most Chinese threat activity is for intelligence collection purposes and, as represented in Microsoft Threat Intelligencce nation-state notification (NSN) data, especially prevalent in Association of Southeast Asian Nations countries around the South China Sea. To learn more about Chinese cyber threat activity in and around the South China Sea, read [Microsoft\'s most recent Digial Defense Report](https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Microsoft%20Digital%20Defense%20Report%202024%20%281%29.pdf). ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode) so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/LotusBlossom](https://www.microsoft.com/en-us/wdsi/threats/mal | Malware Tool Threat Cloud | APT 41 | ★★★ |
|
2024-11-18 12:22:31 | Weekly OSINT Highlights, 18 November 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, including ransomware, phishing, espionage, and supply chain attacks. Key trends include evolving attack vectors like malicious .LNK files and PowerShell-based lateral movements, as seen in campaigns targeting Pakistan and other regions. Threat actors span from state-sponsored groups such as North Korea\'s Lazarus and China\'s TAG-112 to financially motivated groups like SilkSpecter, with targets including critical sectors like manufacturing, government, healthcare, and e-commerce. Information stealers emerged as a notable theme, with malware such as RustyStealer, Fickle Stealer, and PXA Stealer employing advanced obfuscation and multi-vector attacks to exfiltrate sensitive data from diverse sectors. The reports underscore sophisticated evasion tactics, the leveraging of legitimate platforms for malware delivery, and the persistent targeting of vulnerable backup and storage systems. ## Description 1. [Ymir Ransomware Attack](https://sip.security.microsoft.com/intel-explorer/articles/1444d044): Researchers at Kaspersky identified Ymir, a ransomware variant that performs operations entirely in memory and encrypts data using the ChaCha20 algorithm. Attackers used PowerShell-based lateral movement and reconnaissance tools, employing RustyStealer malware to gain initial access and steal data, targeting systems in Colombia among other regions. 1. [WIRTE Group Cyber Attacks](https://sip.security.microsoft.com/intel-explorer/articles/17c5101d): Check Point Research linked WIRTE, a Hamas-connected group, to espionage and disruptive cyber attacks in 2024, including PDF lure-driven Havoc framework deployments and SameCoin wiper campaigns targeting Israeli institutions. WIRTE, historically aligned with the Molerats, focuses on politically motivated attacks in the Middle East, showcasing ties to Gaza-based cyber activities. 1. [DoNot Group Targets Pakistani Manufacturing](https://sip.security.microsoft.com/intel-explorer/articles/25ee972c): The DoNot group launched a campaign against Pakistan\'s manufacturing sector, focusing on maritime and defense industries, using malicious .LNK files disguised as RTF documents to deliver stager malware via PowerShell. The campaign features advanced persistence mechanisms, updated AES encryption for C&C communications, and dynamic domain generation, highlighting their evolving evasion tactics. 1. [Election System Honeypot Findings](https://sip.security.microsoft.com/intel-explorer/articles/1a1b4eb7): Trustwave SpiderLabs\' honeypot for U.S. election infrastructure recorded attacks like brute force, SQL injection, and CVE exploits by botnets including Mirai and Hajime. The attacks, largely driven by exploit frameworks and dark web collaboration, underline persistent threats against election systems. 1. [Chinese TAG-112 Tibetan Espionage](https://sip.security.microsoft.com/intel-explorer/articles/11ae4e70): In May 2024, TAG-112, suspected to be Chinese state-sponsored, compromised Tibetan community websites via Joomla vulnerabilities to deliver Cobalt Strike payloads disguised as security certificates. The campaign reflects Chinese intelligence\'s enduring interest in monitoring and disrupting Tibetan and other minority organizations. 1. [Phishing Campaigns Exploit Ukrainian Entities](https://sip.security.microsoft.com/intel-explorer/articles/95253614a): Russian-linked threat actor UAC-0194 targeted Ukrainian entities with phishing campaigns, exploiting CVE-2023-320462 and CVE-2023-360251 through malicious hyperlinks in emails. The attacks leveraged compromised municipal servers to host malware and facilitate privilege escalation and security bypasses. 1. [Lazarus Group\'s MacOS Targeting](https://sip.security.microsoft.com/intel-explorer/articles/7c6b391d): Lazarus, a North Korean threat actor, deployed RustyAttr malware targeting macOS via malicious apps using Tauri framework, hiding payloads in Extended Attributes (EA). This campaign reflects evolvin | Ransomware Malware Tool Vulnerability Threat Prediction Medical Cloud Technical | APT 41 APT 38 | ★★★ |
 |
2024-11-13 22:39:34 | Toolkit Vastly Expands APT41\\'s Surveillance Powers (lien direct) | The China-affiliated group is using the highly modular DeepData framework to target organizations in South Asia.
The China-affiliated group is using the highly modular DeepData framework to target organizations in South Asia. |
APT 41 | ★★ | |
 |
2024-11-12 09:01:00 | LightSpy: APT41 Deploys Advanced DeepData Framework In Targeted Southern Asia Espionage Campaign (lien direct) | The threat actor behind LightSpy has expanded their toolset with the introduction of DeepData, a modular Windows-based surveillance framework that significantly broadens their espionage capabilities.
The threat actor behind LightSpy has expanded their toolset with the introduction of DeepData, a modular Windows-based surveillance framework that significantly broadens their espionage capabilities. |
Threat | APT 41 | ★★★ |
|
2024-11-04 12:25:16 | Faits saillants hebdomadaires d'osint, 4 novembre 2024 Weekly OSINT Highlights, 4 November 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence l'activité de menace parrainée par l'État et la menace cybercriminale, avec divers vecteurs d'attaque et cibles dans les secteurs.Des acteurs apt en Corée du Nord, en Chine et en Russie ont mené des campagnes ciblées de phishing, de réseau et de campagnes de logiciels malveillants.Les groupes nord-coréens et russes ont favorisé les tactiques de vol d'identification et de ransomwares ciblant les secteurs du gouvernement aux militaires, tandis que les acteurs chinois ont exploité les vulnérabilités de pare-feu pour obtenir un accès à long terme dans les secteurs à enjeux élevés.Pendant ce temps, les cybercriminels ont mis à profit l'ingénierie sociale, le Vishing et l'IoT et les vulnérabilités de plugin pour infiltrer les environnements cloud, les appareils IoT et les systèmes Android.L'accent mis sur l'exploitation des vulnérabilités de logiciels populaires et des plateformes Web souligne l'adaptabilité de ces acteurs de menace à mesure qu'ils étendent leur portée d'attaque, en particulier dans l'utilisation des stratégies de cloud, de virtualisation et de cryptomiminage dans une gamme d'industries. ## Description 1. [Jumpy Poisses Ransomware Collaboration] (https://sip.security.microsoft.com/intel-explorer/articles/393b61a9): l'unité 42 a rapporté la Corée du Nord \'s Jucky Pisse (Onyx Sleet) en partenariat avec Play Ransomware in \'s Jumpy Pisses (ONYX Sleet) en partenariat avec Play Ransomware dans Play Ransomware in Jumpy Pisses (ONYX Sleet)Une attaque à motivation financière ciblant les organisations non spécifiées.L'acteur de menace a utilisé des outils comme Sliver, Dtrack et Psexec pour gagner de la persistance et dégénérerPrivilèges, se terminant par le déploiement des ransomwares de jeu. 1. [Menaces chinoises ciblant les pare-feu] (https://sip.security.microsoft.com/intel-Explorateur / articles / 798C0FDB): Sophos X-OPS a identifié des groupes basés en Chine comme Volt Typhoon, APT31 et APT41 exploitant des pare-feu pour accéderPacifique.Ces groupes utilisent des techniques sophistiquées telles que les rootkits de vie et multiplateforme. 1. [Campagne de phishing sur la plate-forme Naver] (https://sip.security.microsoft.com/intel-explorer/articles/dfee0ab5): les acteurs liés au nord-coréen ont lancé une campagne de phishing ciblant la Corée du Sud \'s Naver, tentantPour voler des informations d'identification de connexion via plusieurs domaines de phishing.L'infrastructure, avec les modifications du certificat SSL et les capacités de suivi, s'aligne sur Kimsuky (Emerald Sleet), connu pour ses tactiques de vol d'identification. 1. [FAKECALL Vishing malware sur Android] (https://sip.security.microsoft.com/intel-explorer/articles/d94c18b0): les chercheurs de Zimperium ont identifié des techniques de vitesses de malware FAKECALT pour voler les utilisateurs de l'Android.Le malware intercepte les appels et imite le numéroteur d'Android \\, permettant aux attaquants de tromper les utilisateurs pour divulguer des informations sensibles. 1. [Facebook Business Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/82b49ffd): Cisco Talos a détecté une attaque de phishing ciblant les comptes commerciaux Facebook à Taiwan, en utilisant des avis juridiques comme leurre.Lummac2 et les logiciels malveillants de volée des informations de Rhadamanthys ont été intégrés dans des fichiers RAR, collectionner des informations d'identification du système et éluder la détection par l'obscurcissement et l'injection de processus. 1. [Vulnérabilité des caches litres de LiteSpeed] (https://sip.security.microsoft.com/intel-explorer/articles/a85b69db): le défaut du plugin de cache LiteSpeets (CVE-2024-50550) pourrait permettre une escalale de privilège à un niveau de privilège à plus de six millions pour plus de six millionssites.Les vulnérabilités exploitées ont permis aux attaquants de télécharger des plugins ma | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Medical Cloud Technical | APT 41 APT 28 APT 31 Guam | ★★★ |
|
2024-10-31 20:29:50 | Pacific Rim Timeline: Informations pour les défenseurs contre une tresse de campagnes d'attaque entrelacées Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns (lien direct) |
## Instantané Depuis plus de cinq ans, Sophos a suivi plusieurs groupes basés en Chine ciblant leurs pare-feu grâce à des botnets sophistiqués, des exploits uniques et des logiciels malveillants personnalisés. ## Description La collaboration avec divers fournisseurs de cybersécurité, les agences gouvernementales et les forces de l'ordre a permis aux Sophos d'attribuer des activités spécifiques à des groupes comme [Volt Typhoon] (https: // Security.Microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb), APT31 (suivi par Microsoft comme [Violet.Micoft 8039ED98462546859F2AC987E7EC77A6C7DA15D760E7AC0AAF173AC486)), et APT41 (suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6)).Enquêtes récentesPar Sophos X-OPS a révélé que le développement d'exploitation de confiance élevée se produisait à Sichuan, où ces exploits seraient partagés entre des groupes parrainés par l'État avec des objectifs et des capacités variables. L'analyse met également en évidence l'exploitation de vulnérabilités spécifiques, notamment [CVE-2020-12271] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2020-12271 /), [CVE-2020-15069] (https://security.microsoft.com/intel-explorer/cves/cve-2020-15069/), [CVE-2020-29574] (https://security.microsoft.com/intel-explorer/cves/cve-2020-29574/), [CVE-2022-1040] (https://secuth-2022-3236 /). Sophos a noté un changement significatif dans les comportements des attaquants, passant de larges attaques bruyantes destinées à établir des boîtes de relais opérationnelles (ORB) à des opérations plus ciblées et furtives ciblant les infrastructures de grande valeur, en particulier dans la région indo-pacifique.Les victimes comprennent des organisations dans les secteurs nucléaire, militaire, télécom et gouvernemental.Les tactiques employées par ces adversaires reflètent une amélioration de la furtivité et de la persistance, notamment l'utilisation de techniques de vie, de classes Java en arrière, de chevaux de Troie uniquement et d'un rootkit complexe nommé Cloud Snooper, qui est remarquable pour ses capacités multiplategiennes. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learnDoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-O | Malware Tool Vulnerability Threat Legislation Cloud | APT 41 APT 31 | ★★★ |
|
2024-10-21 18:38:00 | Hackers chinois de l'État national APT41 Hit Gambling Sector pour un gain financier Chinese Nation-State Hackers APT41 Hit Gambling Sector for Financial Gain (lien direct) |
L'acteur prolifique de l'État-nation chinois connu sous le nom d'APT41 (AKA Brass Typhoon, Earth Baku, Wicked Panda ou Winnti) a été attribué à une cyberattaque sophistiquée ciblant l'industrie du jeu et du jeu.
"Sur une période d'au moins six mois, les attaquants ont furtivement rassemblé des informations précieuses de la société ciblée, y compris, mais sans s'y limiter, les configurations du réseau, les mots de passe des utilisateurs,
The prolific Chinese nation-state actor known as APT41 (aka Brass Typhoon, Earth Baku, Wicked Panda, or Winnti) has been attributed to a sophisticated cyber attack targeting the gambling and gaming industry. "Over a period of at least six months, the attackers stealthily gathered valuable information from the targeted company including, but not limited to, network configurations, user passwords, |
APT 41 | ★★★ | |
|
2024-10-10 21:13:00 | Analyse technique d'un nouveau cadre IMEEX Technical Analysis of a Novel IMEEX Framework (lien direct) |
#### Géolocations ciblées - Afghanistan - Djibouti ## Instantané Des chercheurs d'Intezer ont publié un rapport détaillant le cadre IMEEX, un logiciel malveillant personnalisé sophistiqué conçu pour cibler les systèmes Windows. ## Description Le cadre IMEEX propose une gamme de fonctionnalités, telles que l'exécution de la commande distante, la manipulation de fichiers, le contrôle des processus et la modification du registre.Livré en tant que DLL 64 bits, il permet aux attaquants de prendre le contrôle total des machines compromises, tandis que ses capacités de reconnaissance collectent les informations critiques du système, qui est envoyée à un serveur de commande et de contrôle (C2).Les capacités d'Imeex \\ en font un outil puissant pour le contrôle du système distant, en utilisant une approche modulaire qui lui permet de charger et d'exécuter des composants à la demande, améliorant sa flexibilité. IMEEX a été identifié principalement dans Djibouti, avec une variante moins capable vue en Afghanistan.Cependant, Intezer évalue que la campagne ne se limite probablement pas uniquement à ces pays. Le malware est conçu pour la furtivité, se mélangeant à des processus système légitimes comme Svchost.exe et en utilisant une communication cryptée pour éviter la détection.Il utilise diverses techniques de persistance, telles que la modification des clés de registre et l'utilisation de mutex pour empêcher plusieurs instances. Notamment, la campagne IMEEX observée réutilise l'infrastructure précédemment observée distribuant [ShadowPad] (https://security.microsoft.com/intel-profiles/shadowpad), une plate-forme malware modulaire utilisée par les acteurs chinois de la menace, suggérant des liens possibles entre ces campagnes.Cependant, Intezer n'est pas en mesure d'attribuer en toute confiance l'activité pour le moment. Intezer note que IMEEX a été principalement déployé dans les régions de signification géopolitique, Djibouti et l'Afghanistan étant des domaines clés en raison de leur importance stratégique pour le commerce et la sécurité mondiales.La société évalue que les intérêts de la Chine dans les deux pays suggèrent que les logiciels malveillants comme IMEEX soient utilisés comme outil d'espionnage et de maintien de l'influence sans conflit direct. ## Analyse Microsoft Shadowpad est une porte dérobée modulaire identifiée par Kapersky en 2017, bien que les chercheurs aient souligné que des échantillons datant de 2015. Les preuves de ShadowPad dans votre réseau devraient susciter une réponse élevée en raison de son utilisation historique dans les attaques de la chaîne d'approvisionnement soutenue par le gouvernement.Le chef d'entre eux sont le [compromis de logiciel de gestion de serveur NetSarang 2017] (https://www.csoonline.com/article/562645/kaspersky-discovers-supply-chain-attack-at-netsarang.html) et [2017-2018Compromis du populaire Ccleaner d'Avast \\] (https://www.wired.com/story/inside-the-unnerving-supply-chain-attack- that-corrupted-cleaner/), à la fois le travail de chinois avancé persistant persistant persistantGroupes de menace (APT). Microsoft Threat Intelligence a observé des acteurs de menaces chinoises en tirant parti de ShadowPad pour maintenir un accès persistant et exfiltrer les données des environnements victimes.Par exemple, le thrEat Actor Microsoft suit comme [Storm-0147] (https://security.microsoft.com/intel-profiles/de13fce840ca95805ab1e06edb35a9b2a87faf1226230cbd36c3231727087d64), a ChinUn groupe de cyber-espionnage basé, a été observé en tirant parti de ShadowPad dans un certain nombre de ses attaques.Le groupe est connu pour cibler principalement les agences gouvernementales, les groupes de réflexion, les entités agricoles et les entités minières en Asie centrale et du Sud-Est, dans la région du Pacifique et en Amérique du Sud.Certains des activités du groupe se chevauchent avec au moins deux autres groupes d'activités basés sur | Ransomware Malware Tool Threat Technical | APT 41 | ★★ |
|
2024-09-02 19:54:58 | Faits saillants hebdomadaires OSINT, 2 septembre 2024 Weekly OSINT Highlights, 2 September 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence un ensemble diversifié de cybermenaces et de méthodologies d'attaque dans plusieurs secteurs et géographies.Les principales tendances comprenaient la sophistication croissante des campagnes de phishing, telles que celles qui tirent parti des logiciels malveillants multiplateformes comme le voleur Cheana et des tactiques innovantes comme le quai via des codes QR.Le déploiement de balises de Cobaltsstrike, les techniques d'injection du gestionnaire de l'Appdomain et l'abus de services légitimes comme Microsoft Sway, les tunnels Cloudflare et les outils de gestion à distance ont également présenté en bonne place, soulignant l'évolution de la boîte à outils des cybercriminels et des acteurs parrainés par l'État.Les entités ciblées s'étendaient sur des industries, notamment les finances, le gouvernement, les soins de santé et les infrastructures critiques, les attaquants utilisant fréquemment des mécanismes de persistance avancés, exploitant des vulnérabilités zéro-jours et en utilisant des ransomwares dans des schémas à double extorsion. ## Description 1. [Utilisateurs coréens ciblés avec des logiciels malveillants à distance] (https://sip.security.microsoft.com/intel-explorer/articles/b920e285): Ahnlab Security Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, où un inconnu Intelligence Center (ASEC) a découvert une cyberattaque ciblant les utilisateurs coréens, lorsqu'un inconnuL'attaquant a déployé des logiciels malveillants à distance, y compris l'asyncrat, et des délais personnalisés comme FXFDOOR et NOMU.L'attaque, potentiellement liée au groupe nord-coréen Kimsuky, s'est concentrée sur le vol d'informations, avec un spearphishing et des vulnérabilités dans IIS et MS Exchange comme points d'entrée possibles. 2. [Campagne de phishing déguisée en sondage RH cible Office 365 Contaliens] (https://sip.security.microsoft.com/intel-explorer/articles/9431aa5a): les chercheurs de Cofense ont identifié une attaque de phishing qui s'est présentée comme un engagement en milieu d'annéeEnquête pour voler les informations d'identification Microsoft Office 365.L'attaque a utilisé un faux e-mail RH réalisant des destinataires vers une page hébergée par Wufoo, conduisant finalement à une page de connexion frauduleuse Microsoft conçue pour récolter les informations d'identification. 3. [Campagne de phishing multiplateforme avec Cheana Stealer] (https://sip.security.microsoft.com/intel-explorer/articles/69d7b49e): Cyble Research and Intelligence Lab (CRIL) a découvert une campagne de phishing ciblant les fenêtres, Linuxet les utilisateurs de macOS avec Cheana Stealer malware, distribué via un site imitant un fournisseur VPN.Les logiciels malveillants visaient à voler des portefeuilles de crypto-monnaie, des mots de passe du navigateur et des clés SSH, en tirant parti d'un canal télégramme pour une distribution généralisée, mettant en évidence les attaquants \\ 'se concentrer sur le compromis de divers systèmes. 4. [Vulnérabilité zéro-jour dans Versa Director exploité par APT] (https://sip.security.microsoft.com/intel-explorer/articles/1af984be): Versa Networks a identifié une vulnérabilité zéro-jour (CVE-2024-39717) Dans le directeur de l'interface graphique de Versa, exploité par un acteur apt pour télécharger des fichiers malveillants déguisés en images PNG.L'attaque a été facilitée par un mauvais durcissement du système et des ports de gestion exposés, ciblant les clients qui n'ont pas réussi à sécuriser correctement leur environnement. 5. [Mallox Ransomware Exploits Cloud Misconfiguration](https://sip.security.microsoft.com/intel-explorer/articles/d9af6464): Trustwave investigated a Mallox | Ransomware Malware Tool Vulnerability Threat Mobile Medical Cloud | APT 41 APT 32 | ★★ |
|
2024-08-28 20:46:51 | Les pirates utilisent désormais l'injection d'appdance pour laisser tomber les balises de Cobaltstrike Hackers now use AppDomain Injection to drop CobaltStrike beacons (lien direct) |
#### Géolocations ciblées - Taiwan - Vietnam - Philippines ## Instantané Des chercheurs de NTT ont identifié une vague d'attaques à partir de juillet 2024 qui exploitent la technique de l'injection du gestionnaire d'Appdomain qui a été inhabituellement observée dans la nature.Les attaques ont ciblé les agences gouvernementales à Taïwan, les militaires aux Philippines et les organisations énergétiques au Vietnam. ## Description Les attaques culminent dansDéploiement d'un [CobaltStrike] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)Beacon, et il y a des indications de chevauchement avec les récents rapports AHNLAB, suggérant l'implication du groupe de menaces parrainé par l'État chinois, APT 41, bien que cette attribution ait une faible confiance.La technique d'injection du gestionnaire AppDomain exploite la classe AppDomainManager .NET Framework de. Les attaques observées par NTT commencent par la livraison d'une archive zip contenant un fichier MSC malveillant, qui exploite une vulnérabilité de script de sites croisées (XSS) dans la bibliothèque APDS.DLL de Windows pour exécuter du code arbitraire via Microsoft Management Console (MMC) en utilisantFichiers .MSC spécialement conçus.Ces fichiers .msc tirent parti de la technique GrimResource, ce qui permet l'exécution automatique des scripts lorsqu'un fichier est ouvert, éliminant le besoin d'interaction utilisateur.Cela conduit finalement au chargement d'une balise de Cobaltsstrike sur la machine, permettant un large éventail d'actions malveillantes.Selon NTT, la combinaison des techniques d'injection et de grimresource du gestionnaire d'Appdomain indique que les attaquants ont l'expertise technique pour utiliser des techniques nouvelles et moins connues dans des cas pratiques. ## Analyse Microsoft Les fichiers de console enregistrés (.MSC) de gestion sont utilisés pour stocker des configurations pour Microsoft Management Console (MMC), mais ils pourraient être abusés par les acteurs de la menace pour lancer un code malveillant.Microsoft Threat Intelligence a observé les acteurs de la menace [Emerald Sleet] (https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) et [twill] (htypho urity.microsoft.com/intel-profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c) Utilisation de cette technique comme vecteur d'accès initial pour déployer des fichiers malveillants sur des appareils cibler.D'autres acteurs de menace ont déployé des logiciels malveillants tels que la grève de Cobalt en utilisant une technique que les chercheurs appelle GrimResource, qui fait référence à un fichier .MSC spécialement conçu qui utilise un défaut de script de site croisé (XSS) trouvé dans APDS.dll pour exécuter du code à l'aide de MMC. Microsoft Defender Antivirus détecte GrimResource et MALWORED déployé par ces fichiers .MSC malveillants.Lors de l'ouverture d'un fichier .msc téléchargé depuis Internet ou joint à un e-mail, un utilisateur doit accepter une invite d'avertissement de sécurité que le fichier .msc est lancé.Les organisations peuvent se défendre davantage contre cette technique en tirant parti des règles de réduction de la surface d'attaque pour limiter les types d'exécutables autorisés à s'exécuter dans votre environnement. En savoir plus sur la façon dont les acteurs de menace utilisent [les fichiers MMC pour fournir des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/5b8609f0). ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft DL'antivirus Efender détecte les composants de menace comme le malware suivant: - Trojan: XML / GRIMSOURCE.B - TrojandRopper: JS / GRIMRESOURCE.C Microsoft a observé une activité post-compromise avec les détections antivirus suivantes: - [Trojan: WIn64 / cobaltsstrike.qf] (htt | Ransomware Malware Tool Vulnerability Threat Technical | APT 41 | ★★★ |
|
2024-08-26 21:33:17 | Les pirates utilisent de rares techniques furtives pour réduire les militaires asiatiques, Gov \\ 't orgs Hackers Use Rare Stealth Techniques to Down Asian Military, Gov\\'t Orgs (lien direct) |
Un acteur de menace ressemblant à APT41 a effectué une "injection d'appdance de manain", qui est comme une charge de touche de la DLL, mais sans doute plus facile et plus furtive.
A threat actor resembling APT41 performed "AppDomainManager Injection," which is like DLL sideloading, but arguably easier and stealthier. |
Threat | APT 41 | ★★ |
|
2024-08-19 10:58:28 | Faits saillants hebdomadaires OSINT, 19 août 2024 Weekly OSINT Highlights, 19 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence le phishing comme le vecteur d'attaque le plus courant, initiant souvent des chaînes d'attaque qui comprenaient des déploiements de ransomwares.Les menaces persistantes avancées (APTS) comme Silverfox et Emerald Sleet se sont moquées de phishing ciblé, de logiciels malveillants sophistiqués et d'évasion pour compromettre des objectifs de grande valeur, notamment des organisations gouvernementales, des institutions financières et des groupes de la société civile.Les rapports sur Ransomexx, Mad Liberator et Cronus, qui ont utilisé l'ingénierie sociale, les outils de gestion à distance et les scripts obscurcis pour désactiver les défenses et extorquer les victimes, ont souligné la menace répandue de ransomware.L'abus de surveillance et de gestion à distance (RMM) et d'autres outils légitimes a également émergé comme une tendance clé, les acteurs de menace exploitant des outils comme AnyDesk et Atera pour le vol de données et le déploiement des charges utiles des ransomwares. ## Description 1. [La campagne en cours Valleyrat cible les entreprises chinoises] (https://sip.security.microsoft.com/intel-explorer/articles/f86cace2): Fortiguard Labs a identifié une campagne Valleyrat destinée aux entreprises chinoises dans des secteurs comme le commerce électronique, la financeet gestion.L'attaque, attribuée au groupe APT "Silver Fox", utilise des techniques avancées comme l'exécution de Shellcode, l'obscurcissement du sommeil et le chargement de DLL réfléchissant pour gagner de la persistance et augmenter les privilèges, indiquant une opération très ciblée contre les industries clés en Chine. 2. [Banshee Stealer: une nouvelle menace de macOS des acteurs russes] (https://sip.security.microsoft.com/intel-explorer/articles/36a81450): laboratoires de sécurité élastiques rapportés sur Banshee Stealer, un MacOsware sophistiqué MACOS développé parActeurs de la menace russe.Ce malware, ciblant les architectures x86 \ _64 et ARM64, est conçu pour voler les informations du système, les données du navigateur et les portefeuilles de crypto-monnaie, et il utilise des techniques d'évasion pour éviter la détection, en particulier dans les régions russes. 3Enquête commerciale.Le malware, un puissant voleur d'informations, peut capturer des frappes, voler des informations d'identification et exécuter des charges utiles supplémentaires, tirer parti de l'obscurcissement et du chiffrement pour échapper à la détection. 4. [EDRKILLSHIFTER INDIFIÉS DANS L'ATTAGE DE RANSOMWAGIE ÉCHECTÉE] (https://sip.security.microsoft.com/intel-explorer/articles/f5878aee): les analystes de Sophos ont découvert Edrkillshifter, un utilitaire utiliséDans un ransomware défaillant, tentez de désactiver les outils de détection et de réponse (EDR).L'outil est déployé via une tactique «apporter votre propre conducteur vulnérable» (BYOVD), indiquant une approche sophistiquée pour compromettre les systèmes ciblés. 5[Ransomexx cible le secteur bancaire de l'Inde \\] (https://sip.security.microsoft.com/intel-explorer/articles/ded5ac3e): CloudsekLes chercheurs ont découvert une attaque de ransomware par le groupe Ransomexx, ciblant l'écosystème bancaire de l'Inde \\.L'attaque a exploité un serveur Jenkins mal configuré, tirant parti des algorithmes de chiffrement sophistiqués pour rendre la récupération des données presque impossible. 6. [La campagne Tusk cible les portefeuilles de crypto-monnaie] (https://sip.security.microsoft.com/intel-explorer/articles/f633bbf2): Gert de Kaspersky \\ a identifié la campagne Tusk, dirigée par des acteurs de menace russe,ciblant les portefeuilles de crypto-monnaie et les comptes de jeux.La campagne utilise l'ingénierie sociale et les mécanismes complexes de livraison de logiciels malveillants pour échapper à la détection et aux victimes de compromis. 7. [Les campagnes de phishing APT42 ciblent Israël et les États-Unis] (https://sip.security.mic | Ransomware Malware Tool Threat Prediction | APT 41 APT 42 | ★★★ |
|
2024-08-14 10:31:00 | Le Baku de la Terre soutenu par la Chine étend les cyberattaques en Europe, au Moyen-Orient et en Afrique China-Backed Earth Baku Expands Cyber Attacks to Europe, Middle East, and Africa (lien direct) |
L'acteur de menaces soutenu par la Chine connue sous le nom de Terre Baku a diversifié son empreinte ciblant au-delà de la région indo-pacifique pour inclure l'Europe, le Moyen-Orient et l'Afrique à partir de la fin de 2022.
Les pays nouvellement ciblés dans le cadre de l'activité comprennent l'Italie, l'Allemagne, les États-Unis et le Qatar, avec des attaques suspectées également détectées en Géorgie et en Roumanie.Gouvernements, médias et communications, télécommunications,
The China-backed threat actor known as Earth Baku has diversified its targeting footprint beyond the Indo-Pacific region to include Europe, the Middle East, and Africa starting in late 2022. Newly targeted countries as part of the activity include Italy, Germany, the U.A.E., and Qatar, with suspected attacks also detected in Georgia and Romania. Governments, media and communications, telecoms, |
Threat | APT 41 | ★★ |
|
2024-08-12 19:53:21 | A Dive into Earth Baku\'s Latest Campaign (lien direct) | #### Géolocations ciblées - Inde - Thaïlande - Allemagne - Italie - Roumanie - Géorgie - Qatar - Émirats arabes unis - Vietnam - Philippines -Malaisie - Europe de l'Est - Europe du Nord - Europe du Sud - Europe occidentale - Moyen-Orient - Afrique du Nord - Afrique subsaharienne #### Industries ciblées - GouvernementAgences et services - Infrastructure de communication - Informatique - Santé et santé publique - Éducation ## Instantané Trendmicro a publié un rapport sur les activités élargies de la Terre Baku, un groupe avancé de menace persistante (APT) associé à l'APT41.APT41 est suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05af0d4158b0e389b4078112d37c6). ## Description Le groupe a considérablement élargi ses opérations au-delà de la région indo-pacifique, ciblant désormais des pays en Europe, au Moyen-Orient et en Afrique, notamment l'Italie, l'Allemagne, les EAU et le Qatar.Ce groupe exploite des applications publiques telles que les serveurs IIS pour obtenir un accès initial, en déploiement des outils de logiciels malveillants sophistiqués tels que le Godzilla webshell et les chargeurs personnalisés Stealthvector et Stealthreacher.Ces chargeurs facilitent le déploiement de composants de porte dérobée tout en utilisant des techniques avancées comme le cryptage AES et l'obscuscation du code pour échapper à la détection. Le dernier outil de Earth Baku \\, Sneakcross, est une porte dérobée modulaire qui utilise les services Google pour les activités de commande et de contrôle (C2), permettant des mises à jour faciles et une furtivité améliorée.Les tactiques post-exploitation comprennent le maintien de la persistance à travers des outils comme Rakshasa et TailScale, et en utilisant MEGACMD pour l'exfiltration de données.L'évolution du groupe dans les tactiques, les techniques et les procédures (TTPS) met en évidence sa sophistication croissante et constitue une menace significative pour les secteurs ciblés, y compris le gouvernement, les télécommunications et la technologie dans plusieurs régions. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - [Activer la protection de l'application potentiellement indésirable (PUA)] (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-lock-Potentiellement inconnu-apps-microsoft-defender-anvirus? View = o365 worldwide? ocid = magicti_ta_learndoc).La protection PUA peut nécessiter une activité séparément des autres protection contre les logiciels malveillants.Dans les environnements d'entreprise, la protection PUA peut arrêter les logiciels publicitaires, les téléchargeurs torrent, les mineurs de pièces et de nombreuses variantes de logiciels malveillants qui peuvent être regroupés avec d'autres logiciels.Les services de gestion à distance (RMS) ou les logiciels de chevaux de Troie (RAT) d'accès à distance peuvent également être classés occasionnellement comme PUA. - Allumez [Protection en cloud-élieur] (https://docs.microsoft.com/en-us/windows/security/thereat-protection/windows-defender-antivirus/enable-cloud-protection-windows-defender-astivirus?ocid = magicti_ta_learndoc) et une soumission automatique de l'échantillon sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Éduquer les utilisateurs finaux sur [Prévenir les infections des logiciels malveillants] (https://docs.microsoft.com/en-us/microsoft-365/security/intelligence/prevent-malware-infection?view=o365-worldwide?ocid=magicti_ta_learndoc).Encouragez les utilisateurs finaux à pratiquer un bon nombre d'hygiène des informations d'identification de l'utilisation des compt | Malware Tool Threat Medical | APT 41 | ★★★ |
|
2024-08-12 14:30:31 | L'interrogation APT41 étend la portée de l'acteur chinois au-delà de l'Asie APT41 Spinoff Expands Chinese Actor\\'s Scope Beyond Asia (lien direct) |
La Terre Bakou, encore un autre sous-groupe du collectif très actif et de plus en plus sophistiqué, se déplace dans l'EMEA avec de nouvelles tactiques de logiciels malveillants et de vie.
Earth Baku, yet another subgroup of the highly active and increasingly sophisticated collective, is moving into EMEA with new malware and living-off-the-land (LOL) tactics. |
Malware | APT 41 | ★★★ |
 |
2024-08-09 00:00:00 | Une plongée dans la dernière campagne de la Terre Baku \\ A Dive into Earth Baku\\'s Latest Campaign (lien direct) |
La Terre Bakou a élargi sa portée de la région indo-pacifique à l'Europe, au Moyen-Orient et en Afrique.Dans cette entrée de blog, nous examinons les derniers outils, tactiques et procédures de l'acteur de menace.
Earth Baku has broadened its scope from the Indo-Pacific region to Europe, the Middle East, and Africa. In this blog entry, we examine the threat actor\'s latest tools, tactics, and procedures. |
Tool Threat | APT 41 | ★★ |
|
2024-08-05 10:51:17 | Faits saillants hebdomadaires, 5 août 2024 Weekly OSINT Highlights, 5 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de Osint mettent en évidence plusieurs tendances clés du paysage cyber-menace, caractérisées par des tactiques d'attaque sophistiquées et des acteurs de menace adaptables.Les types d'attaques prédominants impliquent le phishing, l'ingénierie sociale et l'exploitation des vulnérabilités des logiciels, avec des vecteurs courants, y compris des pièces jointes malveillantes, des sites Web compromis, l'empoisonnement du DNS et la malvertisation.Les campagnes notables ont ciblé les utilisateurs de l'UKR.NET, les clients de la BBVA Bank et les pages de médias sociaux détournées pour imiter les éditeurs de photos populaires de l'IA.De plus, l'exploitation des erreurs de configuration dans des plates-formes largement utilisées telles que Selenium Grid et TryCloudflare Tunnel indique une focalisation stratégique sur la mise en œuvre d'outils légitimes à des fins malveillantes. Les acteurs de la menace vont de groupes d'État-nation comme les acteurs nord-coréens, l'APT41 et le Sidewinder, aux cybercriminels et à des groupes hacktiviste motivés financièrement tels que Azzasec.Les techniques d'évasion avancées et les stratégies d'ingénierie sociale sont utilisées par des acteurs comme l'UAC-0102, Black Basta et ceux qui exploitent les problèmes de mise à jour de la crowdsstrike.Les objectifs sont diversifiés, couvrant des organisations gouvernementales et militaires, des institutions financières, des réseaux d'entreprise, des petites et moyennes entreprises et des utilisateurs individuels dans diverses régions. ## Description 1. [Campagne révisée de dev # popper] (https://sip.security.microsoft.com/intel-explorer/articles/9f6ee01b): les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels à l'aide de fausses entretiens d'emploi pour distribuer des logiciels malveillants via des packages de fichiers zip.La campagne, affectant plusieurs systèmes d'exploitation et régions, utilise des tactiques avancées d'obscurcissement et d'ingénierie sociale pour le vol de données et la persistance. 2. [Specula Framework exploite Outlook] (https://sip.security.microsoft.com/intel-explorer/articles/4b71ce29): un nouveau cadre post-exploitation appelé "Specula" lever.En dépit d'être corrigé, cette méthode est utilisée par l'APT33 parrainé par l'iranien pour atteindre la persistance et le mouvement latéral dans les systèmes Windows compromis. 3. [Phishing with Sora AI Branding] (https://sip.security.microsoft.com/intel-explorer/articles/b90cc847): les acteurs de menace exploitent l'excitation autour de Sora AI inédite en créant des sites de phishing pour se propager des logiciels malveillants.Ces sites, promus via des comptes de médias sociaux compromis, déploient des voleurs d'informations et des logiciels d'extraction de crypto-monnaie. 4. [vulnérabilité VMware ESXi exploitée] (https: //sip.security.microsoft.com/intel-explorer/articles/63b1cec8): des gangs de ransomware comme Storm-0506 et Octo Tempest Exploiter un VMware ESXi Authentification Typass VULnerabilité pour l'accès administratif.Cette vulnérabilité, ajoutée au catalogue exploité des vulnérabilités exploitées \\ 'connues, est utilisée pour voler des données, se déplacer latéralement et perturber les opérations. 5. [APT41 cible la recherche taïwanaise] (https://sip.security.microsoft.com/intel-explorer/articles/d791dc39): le groupe APT41, suivi comme Typhoon de brass.La campagne consiste à exploiter une vulnérabilité de Microsoft Office et à utiliser la stéganographie pour échapper à la détection. 6. [Trojans bancaire en Amérique latine] (https://sip.security.microsoft.com/intel-explorer/articles/767518e9): Une campagne ciblant les organisations financières utilise des troyens bancaires distribués via des URL géo-frisées.Le malware utilise l'injection de processus et se connecte aux serveurs de commandement et de contrôle pour voler des informations sensibles. 7. [MINT STACER MALWARED] ( | Ransomware Spam Malware Tool Vulnerability Threat Mobile | APT33 APT 41 APT 33 APT-C-17 | ★★★ |
|
2024-08-02 22:02:00 | Les pirates APT41 utilisent ShadowPad, Cobalt Strike in Taiwanais Institute Cyber Attack APT41 Hackers Use ShadowPad, Cobalt Strike in Taiwanese Institute Cyber Attack (lien direct) |
Un institut de recherche affilié au gouvernement taïwanais spécialisé dans l'informatique et les technologies associés a été violé par des acteurs de la menace nationale avec des liens avec la Chine, selon de nouvelles découvertes de Cisco Talos.
L'organisation anonyme a été ciblée dès la mi-juillet 2023 pour livrer une variété de déambularité et d'outils post-compromis comme ShadowPad et Cobalt Strike.Il a été attribué
A Taiwanese government-affiliated research institute that specializes in computing and associated technologies was breached by nation-state threat actors with ties to China, according to new findings from Cisco Talos. The unnamed organization was targeted as early as mid-July 2023 to deliver a variety of backdoors and post-compromise tools like ShadowPad and Cobalt Strike. It has been attributed |
Tool Threat | APT 41 | ★★★ |
|
2024-08-02 19:20:49 | L'APT41 de la Chine cible le Taiwan Research Institute for Cyber Espionage China\\'s APT41 Targets Taiwan Research Institute for Cyber Espionage (lien direct) |
L'acteur de menace chinois parrainé par l'État a eu accès à trois systèmes et a volé au moins certaines données de recherche sur l'informatique et les technologies connexes.
The state-sponsored Chinese threat actor gained access to three systems and stole at least some research data around computing and related technologies. |
Threat | APT 41 | ★★★ |
|
2024-08-01 18:42:27 | APT41 a probablement compromis l'institut de recherche affilié au gouvernement taïwanais avec ShadowPad et Cobalt Strike APT41 likely compromised Taiwanese government-affiliated research institute with ShadowPad and Cobalt Strike (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Cisco Talos a identifié une campagne malveillante ciblant un institut de recherche affilié au gouvernement taïwanais à partir de juillet 2023. ## Description La campagne, censée être orchestrée par APT41, suivie par Microsoft sous le nom de typhon en laiton, a impliqué l'utilisation de Malware de ShadowPad, [Cobalt Strike] (https://sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc?tid=72f988bf-86f1-41af-91abpour les activités post-compromis.APT41 a exploité un Microsoft Office IME binaire obsolète ([CVE-2018-0824] (https://security.microsoft.com/intel-explorer/cves/cve-2018-0824/)) pour déploier ShadowPad et levier une exécution du code à distanceVulnérabilité à l'escalade des privilèges.En août 2023, des commandes PowerShell anormales ont été détectées, se connectant à une adresse IP pour télécharger des scripts, indiquant des attaques en cours.La campagne s'aligne sur les tactiques, techniques et procédures connues d'APT41 \\, telles que le phishing de lance et l'utilisation d'exécutables BitDefender pour l'élevage de latérus.Les attaquants ont également utilisé la stéganographie dans des chargeurs de frappe de cobalt pour échapper à la détection. ## Analyse supplémentaire ShadowPad, un cheval de Troie à distance à distance (RAT), est déployé par APT-41 depuis au moins 2017 et par d'autres groupes de menaces chinoises depuis 2019. [SecureWorks] (https://www.secureworks.com/research/shadowpad-malware--Analyse) Évalue que les logiciels malveillants ont probablement été développés par les acteurs de la menace associés à l'APT-41 et partagés avec d'autres acteurs affiliés au ministère chinois de la sécurité des États (MSS) et à l'Armée de libération du peuple (PLA).Le malware a été déployé à l'échelle mondiale et a affecté les organisations dans diverses industries. ShadowPad est utilisé pour maintenir un accès persistant à des environnements compromis et permet aux acteurs de menace d'exécuter des commandes et d'effectuer un ciblage de suivi avec des charges utiles supplémentaires.ShadowPad est déployé via Dynamic Link Library (DLL) l'élevage de tours et a été observé dans le fait de se déguiser en tant qu'ApplAunch.exe, Consent.exe et Bdreinit.exe, entre autres. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [baCKDOOR: WIN64 / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Backdoor: Win64 / Cobaltsstrike) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:win64/cobaltstrike) - [Trojan: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/shadowpad) - [BackDoor: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win32/shadowpad) ## Recommandations - Activer [Tamper Protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) pour empêcher les attaques de s'arrêter ou d'interféreravec Microsoft Defender Antivirus. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Utilisez le pare-feu Windows Defender et votre pare-feu réseau pour empêcher la communication RPC et SMB le long des points de terminai | Malware Tool Vulnerability Threat | APT 41 | ★★★ |
 |
2024-08-01 17:27:04 | Organisation de recherche soutenue par le gouvernement de Taiwan ciblée par les pirates d'APT41 Taiwan government-backed research organization targeted by APT41 hackers (lien direct) |
Pas de details / No more details | APT 41 | ★★★ | |
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | ★★★ |
|
2024-07-19 18:51:32 | APT41 Has Arisen From the DUST (lien direct) | #### Géolocations ciblées - Italie - Espagne - Taïwan - Thaïlande - t & uuml; rkiye - Royaume-Uni #### Industries ciblées - Systèmes de transport - Médias numériques, imprimés et diffusés ## Instantané Mandiant, en collaboration avec le groupe d'analyse des menaces de Google (TAG), a publié un rapport sur une campagne par APT41, suivi par Microsof d37c6), ciblant les organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni. ## Description Le groupe cible des secteurs comme les soins de santé, la haute technologie et les télécommunications, en utilisant des techniques sophistiquées telles que les compromis de la chaîne d'approvisionnement et les certificats numériques volés.Dans cette dernière campagne, l'APT41 a compromis diverses organisations sur plusieurs continents, notamment l'Italie, l'Espagne, Taïwan, la Thaïlande, la Turquie et le Royaume-Uni, en se concentrant sur des secteurs comme l'expédition, la logistique et les médias. APT41 a utilisé des shells Web Atsword et BlueBeam sur un serveur Tomcat Apache Manager pour la persistance.Ces shells Web, actifs depuis 2023, ont permis au groupe d'exécuter CerUtil.exe pour télécharger le compte-gouttes à poussière.Dustpan, un compte-gouttes en mémoire écrit en C / C ++, décrypte et exécute des charges utiles furtivement.Au cours de cette campagne, il a chargé Beacon, un outil de communication avec une infrastructure contrôlée par APT41, souvent déguisée en binaires Windows pour échapper à la détection. Au fur et à mesure que l'intrusion progressait, APT41 a déployé le compte-gouttes Dusttrap.Dusttrap est un cadre de plugin à plusieurs étapes qui décrypte et exécute des charges utiles malveillantes en mémoire, minimisant les traces médico-légales.Il établit des canaux de communication avec l'infrastructure APT41 ou des comptes Google Workspace compromis.L'utilisation de comptes Google compromis a aidé à mélanger les activités malveillantes avec un trafic légitime.Google note que ces comptes ont été corrigés. APT41 a également exploité SQLULLDR2, un utilitaire de ligne de commande, pour exporter les données des bases de données Oracle.Cet outil leur a permis d'extraire efficacement de grands volumes de données sensibles.De plus, APT41 a utilisé Pinegrove, un téléchargeur de ligne de commande, pour exfiltrater les données à OneDrive.Pinegrove est un outil accessible au public écrit en Go, capable de collecter et de télécharger des fichiers via l'API OneDrive. ## Analyse Microsoft Microsoft Threat Intelligence suit APT41 comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05aeafc0d4158b0e389b4078112d37c6), ACTIVITÉ CHINAL. Typhoon se concentre sur l'espionnage et estconnu pour effectuer une reconnaissance contre les organisations cibles.Le groupe a principalement ciblé le secteur de la technologie, mais a été observé ciblant les organisations non gouvernementales, les télécommunications, la vente au détail de consommateurs, la fabrication critique, le gouvernement et les institutions financières. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - Backdoor: Win32 / Moonwalk - [Trojan: Win64 / Malgent] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Trojan: Win64 / Malgent! MSR) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/atheats/malware-eNCyclopedia-Description? Name = Trojan: Win32 / Leonem) ## Les références [APT41 est né de la poussière] (https://cloud.google.com/blog/topics/thereat-intelligence/apt41-arisen-from-dust/).Google (consulté en 2024-07-19) [Typhoon en laiton] (https: // security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6).Mic | Malware Tool Threat Medical Cloud | APT 41 | ★★★ |
|
2024-07-19 14:00:00 | L'APT41 de la Chine cible la logistique mondiale, les sociétés de services publics China\\'s APT41 Targets Global Logistics, Utilities Companies (lien direct) |
Selon Mandiant, parmi les nombreux outils de cyber-espionnage que l'acteur de menace utilise est un nouveau compte-gouttes sophistiqué appelé Dusttrap.
According to Mandiant, among the many cyber espionage tools the threat actor is using is a sophisticated new dropper called DustTrap. |
Tool Threat | APT 41 | ★★★ |
|
2024-07-19 12:54:00 | APT41 Infiltre les réseaux en Italie, en Espagne, à Taïwan, en Turquie et au Royaume-Uni. APT41 Infiltrates Networks in Italy, Spain, Taiwan, Turkey, and the U.K. (lien direct) |
Plusieurs organisations opérant dans les secteurs mondiaux de l'expédition et de la logistique, des médias et du divertissement, de la technologie et de l'automobile en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni sont devenus la cible d'une "campagne soutenue" par le piratage prolifique de l'APT41 basé en Chine.groupe.
"APT41 a réussi à infiltrer et à maintenir un accès prolongé et non autorisé à de nombreuses victimes \\ 'réseaux depuis
Several organizations operating within global shipping and logistics, media and entertainment, technology, and automotive sectors in Italy, Spain, Taiwan, Thailand, Turkey, and the U.K. have become the target of a "sustained campaign" by the prolific China-based APT41 hacking group. "APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since |
APT 41 | ★★★ | |
 |
2024-07-19 10:54:39 | Détail mandiant et google tag APT41 Cyber Campagne ciblant les industries mondiales Mandiant and Google TAG detail APT41 cyber campaign targeting global industries (lien direct) |
> La société de renseignement sur les menaces Mandiant en collaboration avec le groupe d'analyse des menaces de Google (TAG) a observé une campagne soutenue par le ...
>Threat intelligence firm Mandiant in collaboration with Google\'s Threat Analysis Group (TAG) observed a sustained campaign by the... |
Threat | APT 41 | ★★★ |
|
2024-07-18 14:00:00 | Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct) |
Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore
Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis. |
Ransomware Malware Tool Threat Patching Medical Cloud | APT 41 | ★★ |
|
2024-07-15 11:27:07 | Weekly OSINT Highlights, 15 July 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, showcasing the prominence of sophisticated malware, information stealers, and ransomware attacks. Attack vectors frequently include compromised websites, phishing emails, malicious advertisements, and exploitation of known vulnerabilities, particularly in widely-used software like Oracle WebLogic and Microsoft Exchange. Threat actors range from organized state-sponsored groups, such as China\'s APT41 (tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6)) and APT40 (tracked by Microsoft as [Gingham Typhoon](https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6)), to individual developers using platforms like GitHub to distribute malware. The targets are varied, encompassing financial institutions, cryptocurrency exchanges, government agencies, and sectors like healthcare, education, and manufacturing, with a notable focus on high-value data and critical infrastructure across multiple countries. ## Description 1. [Clickfix Infection Chain](https://security.microsoft.com/intel-explorer/articles/85fea057): McAfee Labs discovered the "Clickfix" malware delivery method that uses compromised websites and phishing emails to trick users into executing PowerShell scripts. This method is being used to deliver [Lumma](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad)[Stealer](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) and [DarkGate](https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648) malware across multiple countries, including the US, Canada, and China. 2. [CRYSTALRAY Expands Targeting](https://security.microsoft.com/intel-explorer/articles/ecea26df): Sysdig researchers identified the threat actor CRYSTALRAY, who has scaled operations to over 1,500 victims using SSH-Snake and various vulnerabilities for lateral movement and data exfiltration. Targets include systems vulnerable to CVE-2022-44877, CVE-2021-3129, and CVE-2019-18394. 3. [DodgeBox Loader by APT41](https://security.microsoft.com/intel-explorer/articles/3524d2ae): Zscaler ThreatLabz reported on DodgeBox, a reflective DLL loader used by the Chinese APT41 group, also known as Brass Typhoon. The loader delivers the MoonWalk backdoor and employs sophisticated techniques like call stack spoofing to avoid detection. 4. [ViperSoftX Information Stealer](https://security.microsoft.com/intel-explorer/articles/8084ff7b): Trellix researchers highlighted ViperSoftX, an information stealer spread through cracked software and malicious eBooks. The malware uses PowerShell and AutoIt for data exfiltration and evasion, targeting cryptocurrency wallets and other sensitive information. 5. [Coyote Banking Trojan](https://security.microsoft.com/intel-explorer/articles/201d7c4d): BlackBerry detailed Coyote, a .NET banking trojan targeting Brazilian financial institutions. Delivered likely via phishing, it performs various malicious functions like screen capture and keylogging, communicating with C2 servers upon detecting target domains. 6. [Kematian-Stealer on GitHub](https://security.microsoft.com/intel-explorer/articles/4e00b1b4): CYFIRMA identified Kematian-Stealer, an open-source information stealer hosted on GitHub. It targets applications like messaging apps and cryptocurrency wallets, employing in-memory execution and anti-debugging measures to evade detection. 7. [Eldorado Ransomware-as-a-Service](https://security.microsoft.com/intel-explorer/articles/3603cd85): Group-IB reported on Eldorado, a RaaS targeting various industries and countries, primarily the US. Written in Golang, it uses Chacha20 and RSA-OAEP encryption and has customizable features for targeted attacks. 8. [DoNex Ransomware Flaw](https://security.microsoft.com | Ransomware Malware Tool Vulnerability Threat Legislation Prediction Medical | APT 41 APT 40 | ★★ |
 |
2024-07-12 01:29:11 | L'équipage APT41 de China \\ ajoute un chargeur de logiciels malveillants furtifs et une porte dérobée fraîche à sa boîte à outils China\\'s APT41 crew adds a stealthy malware loader and fresh backdoor to its toolbox (lien direct) |
Rencontrez Dodgebox, fils de Stealthvector gang de cyber-espionnage soutenu par le gouvernement chinois, APT41 a très probablement ajouté un chargeur surnommé Dodgebox et une porte dérobée nommée Moonwalk à sa boîte à outils malveillante.'s ThreatLabz Research Team.…
Meet DodgeBox, son of StealthVector Chinese government-backed cyber espionage gang APT41 has very likely added a loader dubbed DodgeBox and a backdoor named MoonWalk to its malware toolbox, according to cloud security service provider Zscaler\'s ThreatLabz research team.… |
Malware Cloud | APT 41 | ★★★ |
|
2024-07-11 22:03:33 | Dodgebox: une plongée profonde dans l'arsenal mis à jour d'APT41 |Partie 1 DodgeBox: A deep dive into the updated arsenal of APT41 | Part 1 (lien direct) |
## Instantané
En avril 2024, Zscaler ThreatLabz a découvert un nouveau chargeur nommé Dodgebox, une version améliorée et évoluée de Stealthvector, un outil précédemment utilisé par le groupe chinois APT, APT41, suivi par Microsofoft.com / Intel-Profiles / ByExternalid / E49C4119AFE798DB103058C3FFDA5BD85E83534940247449478524d61ae6817a).
## Description
Après leur analyse de Dodgebox, les chercheurs de Zscaler KenenceLabz évaluent que le malware est une version améliorée du chargeur Stealthvector car il existe des similitudes importantes entre les deux Malwares.Écrit en C, Dodgebox est un chargeur de DLL réfléchissant qui a un certain nombre d'attributs, y compris la possibilité de décrypter et de charger des DLL intégrées, d'effectuer des vérifications de l'environnement et d'effectuer des procédures de nettoyage.Notamment, Dodgebox utilise également l'usurpation de pile d'appels, une technique utilisée par les logiciels malveillants pour obscurcir les origines des appels API, ce qui rend difficile la détection et les programmes de réponse aux points finaux (EDR) et les programmes antivirus pour détecter les logiciels malveillants.Dodgebox a été utilisé par APT41 pour livrer la porte dérobée Moonwalk, une nouvelle porte dérobée utilisée par le groupe de menaces.
Dodgebox et Stealthvector ont tous deux des similitudes dans leur:
- Ducchissement de la somme de contrôle et de la configuration,
- Format de configuration déchiffré,
- Keying environnemental
- Stratégie de correction de la Flux Guard (CFG), et
- Utilisation de DLL CALOWING
Zscaler note que leur confiance dans l'attribution des activités Dodgebox à APT41 est modérée car la charge de touche DLL est une technique souvent utilisée par les groupes chinois APT.De plus, les échantillons de Dodgebox téléchargés sur Virustotal proviennent de la Thaïlande et de Taïwan, alimentant avec le ciblage historique de l'Asie du Sud-Est par APT41 en utilisant Stealthvector.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojan: win64 / dllhijack] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/dllhijack.ah!mtb)*
- * [Trojan: Win64 / CoBaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/cobaltsstrike.off!mtb) *
## Les références
[Dodgebox: une plongée profonde dans l'aresenal mis à jour d'APT41 |Partie 1] (https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-parte-1).Zscaler (consulté en 2024-07-11)
## Snapshot In April 2024, Zscaler ThreatLabz discovered a new loader named DodgeBox, an upgraded and evolved version of StealthVector, a tool previously used by the Chinese APT group, APT41, tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/byExternalId/e49c4119afe798db103058c3ffda5bd85e83534940247449478524d61ae6817a). ## Description After their analysis of DodgeBox, researchers from Zscaler ThreatLabz assess that the malware is an enhanced version of StealthVector loader as there are significant similarities between the two malwares. Written in C, DodgeBox is a reflective DLL loader that has a number of attributes, including the ability to decrypt and load embedded DLLs, perform environment checks, and carry out cleanup procedures. Notably, DodgeBox also employs call stack spoofing, a technique used by malware to obfuscate the origins of API calls, making it difficult for Endpoint Detection and Response (EDR) solutions and antivirus programs to detect the malware. DodgeBox has been used by APT41 to deliver the MoonWalk backdoor, a new backdoor being employed by the threat group. DodgeBox and StealthVector both have similarities in their: - checksum and configuration decryption, - decrypted conf |
Malware Tool Threat Patching | APT 41 | ★★★ |
|
2024-07-11 18:01:00 | Chinese APT41 améliore le malware Arsenal avec Dodgebox et Moonwalk Chinese APT41 Upgrades Malware Arsenal with DodgeBox and MoonWalk (lien direct) |
Le groupe de menace persistante avancée (APT), lié à la Chine, le nom du nom du nom de code APT41 est soupçonné d'utiliser une "version avancée et améliorée" d'un logiciel malveillant connu appelé Stealthvector pour livrer une porte dérobée non documentée précédemment surnommée Moonwalk.
La nouvelle variante de Stealthvector & # 8211;qui est également appelé poussière & # 8211;a été nommé Dodgebox de Zscaler KenenceLabz, qui a découvert la souche de chargeur
The China-linked advanced persistent threat (APT) group codenamed APT41 is suspected to be using an "advanced and upgraded version" of a known malware called StealthVector to deliver a previously undocumented backdoor dubbed MoonWalk. The new variant of StealthVector – which is also referred to as DUSTPAN – has been codenamed DodgeBox by Zscaler ThreatLabz, which discovered the loader strain in |
Malware Threat | APT 41 | ★★★ |
|
2024-06-18 14:00:00 | Couchée et secrète: Découvrir les opérations d'espionnage UNC3886 Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) |
Written by: Punsaen Boonyakarn, Shawn Chew, Logeswaran Nadarajan, Mathew Potaczek, Jakub Jozwiak, Alex Marvi
Following the discovery of malware residing within ESXi hypervisors in September 2022, Mandiant began investigating numerous intrusions conducted by UNC3886, a suspected China-nexus cyber espionage actor that has targeted prominent strategic organizations on a global scale. In January 2023, Mandiant provided detailed analysis of the exploitation of a now-patched vulnerability in FortiOS employed by a threat actor suspected to be UNC3886. In March 2023, we provided details surrounding a custom malware ecosystem utilized on affected Fortinet devices. Furthermore, the investigation uncovered the compromise of VMware technologies, which facilitated access to guest virtual machines. Investigations into more recent operations in 2023 following fixes from the vendors involved in the investigation have corroborated Mandiant\'s initial observations that the actor operates in a sophisticated, cautious, and evasive nature. Mandiant has observed that UNC3886 employed several layers of organized persistence for redundancy to maintain access to compromised environments over time. Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available even if the primary layer is detected and eliminated. This blog post discusses UNC3886\'s intrusion path and subsequent actions that were performed in the environments after compromising the guest virtual machines to achieve access to the critical systems, including: The use of publicly available rootkits for long-term persistence Deployment of malware that leveraged trusted third-party services for command and control (C2 or C&C) Subverting access and collecting credentials with Secure Shell (SSH) backdoors Extracting credentials from TACACS+ authentication using custom malware Mandiant has published detection and hardening guidelines for ESXi hypervisors and attack techniques employed by UNC3886. For Google SecOps Enterprise+ customer |
Malware Tool Vulnerability Threat Cloud Technical | APT 41 | ★★★ |
 |
2024-05-30 02:45:40 | Comment l'IA a attrapé APT41 exploitant les vulnérabilités How AI Caught APT41 Exploiting Vulnerabilities (lien direct) |
En analysant comment le groupe cybercriminal APT41 a exploité une vulnérabilité à jour zéro, nous montrons comment DarkTrace \\ a Ai a détecté et étudié la menace immédiatement.
Analyzing how the cyber-criminal group APT41 exploited a zero-day vulnerability, we show how Darktrace\'s AI detected and investigated the threat immediately. |
Vulnerability Threat | APT 41 | ★★★ |
|
2024-04-08 15:09:15 | Faits saillants hebdomadaires, 8 avril 2024 Weekly OSINT Highlights, 8 April 2024 (lien direct) |
Last week\'s OSINT reporting reveals several key trends emerge in the realm of cybersecurity threats. Firstly, there is a notable diversification and sophistication in attack techniques employed by threat actors, ranging from traditional malware distribution through phishing emails to advanced methods like DLL hijacking and API unhooking for evading detection. Secondly, the threat landscape is characterized by the presence of various actors, including state-sponsored groups like Earth Freybug (a subset of APT41) engaging in cyberespionage and financially motivated attacks, as well as cybercrime actors orchestrating malware campaigns such as Agent Tesla and Rhadamanthys. Thirdly, the targets of these attacks span across different sectors and regions, with organizations in America, Australia, and European countries facing significant threats. Additionally, the emergence of cross-platform malware like DinodasRAT highlights the adaptability of threat actors to target diverse systems, emphasizing the need for robust cybersecurity measures across all platforms. Overall, these trends underscore the dynamic and evolving nature of cyber threats, necessitating continuous vigilance and proactive defense strategies from organizations and cybersecurity professionals. **1. [Latrodectus Loader Malware Overview](https://sip.security.microsoft.com/intel-explorer/articles/b4fe59bf)** Latrodectus is a new downloader malware, distinct from IcedID, designed to download payloads and execute arbitrary commands. It shares characteristics with IcedID, indicating possible common developers. **2. [Earth Freybug Cyberespionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/327771c8)** Earth Freybug, a subset of APT41, engages in cyberespionage and financially motivated attacks since at least 2012. The attack involved sophisticated techniques like DLL hijacking and API unhooking to deploy UNAPIMON, evading detection and enabling malicious commands execution. **3. [Agent Tesla Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/cbdfe243)** Agent Tesla malware targets American and Australian organizations through phishing campaigns aimed at stealing email credentials. Check Point Research identified two connected cybercrime actors behind the operation. **4. [DinodasRAT Linux Version Analysis](https://sip.security.microsoft.com/intel-explorer/articles/57ab8662)** DinodasRAT, associated with the Chinese threat actor LuoYu, is a cross-platform backdoor primarily targeting Linux servers. The latest version introduces advanced evasion capabilities and is installed to gain additional footholds in networks. **5. [Rhadamanthys Information Stealer Malware](https://sip.security.microsoft.com/intel-explorer/articles/bf8b5bc1)** Rhadamanthys utilizes Google Ads tracking to distribute itself, disguising as popular software installers. After installation, it injects into legitimate Windows files for data theft, exploiting users through deceptive ad redirects. **6. [Sophisticated Phishing Email Malware](https://sip.security.microsoft.com/intel-explorer/articles/abfabfa1)** A phishing email campaign employs ZIP file attachments leading to a series of malicious file downloads, culminating in the deployment of PowerShell scripts to gather system information and download further malware. **7. [AceCryptor Cryptors-as-a-Service (CaaS)](https://sip.security.microsoft.com/intel-explorer/articles/e3595388)** AceCryptor is a prevalent cryptor-as-a-service utilized in Rescoms campaigns, particularly in European countries. Threat actors behind these campaigns abuse compromised accounts to send spam emails, aiming to obtain credentials for further attacks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to ge | Ransomware Spam Malware Tool Threat Cloud | APT 41 | ★★★ |
|
2024-04-03 20:46:53 | Earth Freybug Uses UNAPIMON for Unhooking Critical APIs (lien direct) | #### Description
Trend Micro a analysé une attaque de cyberespionnage que la société a attribuée à Earth Freybug, un sous-ensemble d'APT41 (suivi par Microsoft comme [typhon en laiton] (https: // sip.security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6?)).Selon Trend Micro, Earth Freybug est actif depuis àAu moins 2012 et le groupe lié au chinois a été actif dans l'espionnage et les attaques financièrement motivées.Earth Freybug utilise divers outils tels que Lolbins et les logiciels malveillants personnalisés, ciblant les organisations à l'échelle mondiale.L'attaque a utilisé des techniques telles que Dynamic Link Library (DLL) détournement et décrocheur API pour éviter la surveillance d'un nouveau malware appelé Unapimon.Unapimon élude la détection en empêchant les processus enfants d'être surveillés.
Le flux d'attaque a consisté à créer des tâches planifiées à distance et à exécuter des commandes de reconnaissance pour recueillir des informations système.Par la suite, une porte dérobée a été lancée à l'aide d'un chargement latéral DLL via un service appelé sessionnv, qui charge une DLL malveillante.Unapimon, la DLL injectée, utilise le crochet de l'API pour échapper à la surveillance et à l'exécution de commandes malveillantes non détectées, présentant les attaquants \\ 'sophistication.
[Consultez la rédaction de Microsoft \\ sur Dynamic-Link Library (DLL) Rijacking ici.] (Https://sip.security.microsoft.com/intel-explorer/articles/91be20e8?)
#### URL de référence (s)
1. https://www.trendmicro.com/en_us/research/24/d/arth-freybug.html
#### Date de publication
2 avril 2024
#### Auteurs)
Christopher So
#### Description Trend Micro analyzed a cyberespionage attack the company has attributed to Earth Freybug, a subset of APT41 (tracked by Microsoft as [Brass Typhoon](https://sip.security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6?)). According to Trend Micro, Earth Freybug has been active since at least 2012 and the Chinese-linked group has been active in espionage and financially motivated attacks. Earth Freybug employs diverse tools like LOLBins and custom malware, targeting organizations globally. The attack used techniques like dynamic link library (DLL) hijacking and API unhooking to avoid monitoring for a new malware called UNAPIMON. UNAPIMON evades detection by preventing child processes from being monitored. The attack flow involved creating remote scheduled tasks and executing reconnaissance commands to gather system information. Subsequently, a backdoor was launched using DLL side-loading via a service called SessionEnv, which loads a malicious DLL. UNAPIMON, the injected DLL, uses API hooking to evade monitoring and execute malicious commands undetected, showcasing the attackers\' sophistication. [Check out Microsoft\'s write-up on dynamic-link library (DLL) hijacking here.](https://sip.security.microsoft.com/intel-explorer/articles/91be20e8?) #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/d/earth-freybug.html #### Publication Date April 2, 2024 #### Author(s) Christopher So |
Malware Tool Prediction | APT 41 | ★★ |
|
2023-10-04 20:39:00 | Les chercheurs relient DragOnegg Android Spyware à LightSpy iOS Surveillanceware Researchers Link DragonEgg Android Spyware to LightSpy iOS Surveillanceware (lien direct) |
De nouvelles découvertes ont identifié des connexions entre un logiciel espion Android appelé DragOnegg etUn autre outil sophistiqué modulaire de surveillance iOS nommé LightSpy.
DragOnegg, aux côtés de Wyrmspy (aka AndroidControl),a été divulgué pour la première fois par Lookout en juillet 2023 comme une souche de logiciels malveillants capables de collecter des données sensibles à partir d'appareils Android.Il a été attribué au groupe national chinois Apt41.
Sur
New findings have identified connections between an Android spyware called DragonEgg and another sophisticated modular iOS surveillanceware tool named LightSpy. DragonEgg, alongside WyrmSpy (aka AndroidControl), was first disclosed by Lookout in July 2023 as a strain of malware capable of gathering sensitive data from Android devices. It was attributed to the Chinese nation-state group APT41. On |
Malware Tool | APT 41 APT 41 | ★★★ |
 |
2023-10-04 15:30:00 | Lightspy iPhone Spyware lié au groupe chinois APT41 LightSpy iPhone Spyware Linked to Chinese APT41 Group (lien direct) |
ThreatFabric a trouvé des preuves que Lighspy est lié à Android Spyware DragOnegg, attribué au groupe parrainé par les Chinois
ThreatFabric found evidence that LighSpy is linked to Android spyware DragonEgg, attributed to the Chinese-sponsored group |
APT 41 APT 41 | ★★ | |
 |
2023-09-27 12:51:29 | Les lacunes de sécurité et de confidentialité SMS montrent clairement que les utilisateurs ont besoin d'une mise à niveau de messagerie SMS Security & Privacy Gaps Make It Clear Users Need a Messaging Upgrade (lien direct) |
Posted by Eugene Liderman and Roger Piqueras Jover
SMS texting is frozen in time.
People still use and rely on trillions of SMS texts each year to exchange messages with friends, share family photos, and copy two-factor authentication codes to access sensitive data in their bank accounts. It\'s hard to believe that at a time where technologies like AI are transforming our world, a forty-year old mobile messaging standard is still so prevalent.
Like any forty-year-old technology, SMS is antiquated compared to its modern counterparts. That\'s especially concerning when it comes to security.
The World Has Changed, But SMS Hasn\'t Changed With It
According to a recent whitepaper from Dekra, a safety certifications and testing lab, the security shortcomings of SMS can notably lead to:
SMS Interception: Attackers can intercept SMS messages by exploiting vulnerabilities in mobile carrier networks. This can allow them to read the contents of SMS messages, including sensitive information such as two-factor authentication codes, passwords, and credit card numbers due to the lack of encryption offered by SMS.
SMS Spoofing: Attackers can spoof SMS messages to launch phishing attacks to make it appear as if they are from a legitimate sender. This can be used to trick users into clicking on malicious links or revealing sensitive information. And because carrier networks have independently developed their approaches to deploying SMS texts over the years, the inability for carriers to exchange reputation signals to help identify fraudulent messages has made it tough to detect spoofed senders distributing potentially malicious messages.
These findings add to the well-established facts about SMS\' weaknesses, lack of encryption chief among them.
Dekra also compared SMS against a modern secure messaging protocol and found it lacked any built-in security functionality. According to Dekra, SMS users can\'t answer \'yes\' to any of the following basic security questions:
Confidentiality: Can I trust that no one else can read my SMSs?
Integrity: Can I trust that the content of the SMS that I receive is not modified?
Authentication: Can I trust the identity of the sender of the SMS that I receive?
But this isn\'t just theoretical: cybercriminals have also caught on to the lack of security protections SMS provides and have repeatedly exploited its weakness. Both novice hackers and advanced threat actor groups (such as UNC3944 / Scattered Spider and APT41 investigated by Mandiant, part of Google Cloud) leverage the security deficiencies in SMS to launch different |
Vulnerability Threat Studies | APT 41 | ★★★ |
 |
2023-07-20 09:34:15 | Lookout découvre un logiciel de surveillance Android avancée lié à l'APT41 de la Chine Lookout Uncovers Advanced Android Surveillanceware Linked To China\\'s APT41 (lien direct) |
Hier, Lookout, Inc., a annoncé la découverte de logiciels de surveillance Android sophistiqués connus sous le nom de Wyrmspy et Dragonegg, qui a été lié au groupe d'espionnage chinois Apt41 (aka Double Dragon, Barium et Winnti).Bien qu'il ait été inculpé de plusieurs accusations du gouvernement américain pour ses attaques contre plus de 100 entreprises privées et publiques aux États-Unis [& # 8230;]
Yesterday, Lookout, Inc., announced the discovery of sophisticated Android surveillanceware known as WyrmSpy and DragonEgg, which has been linked to the Chinese espionage group APT41 (AKA Double Dragon, BARIUM and Winnti). Despite being indicted on multiple charges by the U.S. government for its attacks on more than 100 private and public enterprises in the U.S. […] |
Mobile | APT 41 APT 41 | ★★★ |
 |
2023-07-20 07:01:12 | APT41 Hackers ciblent les utilisateurs Android avec Wyrmspy, DragOnegg Spyware APT41 hackers target Android users with WyrmSpy, DragonEgg spyware (lien direct) |
Le groupe de piratage APT41 soutenu par l'État chinois cible les appareils Android avec deux souches de logiciels espions nouvellement découvertes surnommées Wyrmspy et DragOnegg par des chercheurs en sécurité.[...]
The Chinese state-backed APT41 hacking group is targeting Android devices with two newly discovered spyware strains dubbed WyrmSpy and DragonEgg by Lookout security researchers. [...] |
APT 41 APT 41 | ★★ | |
|
2023-07-19 20:40:00 | APT41 de Chine \\ lié à Wyrmspy, DragOnegg Mobile Spyware China\\'s APT41 Linked to WyrmSpy, DragonEgg Mobile Spyware (lien direct) |
Les États-nations voient l'opportunité de cibler directement les gens via leurs téléphones mobiles, dans ce cas avec des logiciels de surveillance Android sophistiqués.
Nation-states see the opportunity in targeting people directly through their mobile phones, in this case with sophisticated Android surveillanceware. |
APT 41 APT 41 | ★★ | |
|
2023-07-19 19:36:00 | Les pirates liés à la Chine ciblent les appareils mobiles avec Wyrmspy et DragOnegg Spyware China-linked hackers target mobile devices with WyrmSpy and DragonEgg spyware (lien direct) |
Le tristement célèbre groupe de piratage chinois suivi en tant qu'APT41 a utilisé deux souches de logiciels espions nouvellement identifiées pour infecter les appareils Android, ont déclaré des chercheurs en cybersécurité.APT41, également connu sous le nom de Winnti et Brass Typhoon (anciennement Barium), est un groupe d'espionnage parrainé par l'État qui a été actif pour Plus d'une décennie et est connu pour cibler les organisations gouvernementales pour le renseignement
The infamous Chinese hacking group tracked as APT41 has been using two newly-identified spyware strains to infect Android devices, cybersecurity researchers said. APT41, also known as Winnti and Brass Typhoon (formerly Barium), is a state-sponsored espionage group that has been active for more than a decade and is known for targeting government organizations for intelligence |
APT 41 APT 41 APT-C-17 | ★★ | |
|
2023-07-19 16:00:00 | APT41 chinois lié à Wyrmspy et à DragOnegg Surveillanceware Chinese APT41 Linked to WyrmSpy and DragonEgg Surveillanceware (lien direct) |
Lookout attribué Wyrmspy et DragOnegg vers APT41 en raison de certificats de signature Android qui se chevauchent
Lookout attributed WyrmSpy and DragonEgg to APT41 due to overlapping Android signing certificates |
APT 41 APT 41 | ★★ | |
|
2023-07-19 15:50:00 | Les pirates chinois APT41 ciblent les appareils mobiles avec de nouveaux logiciels espions Wyrmspy et DragOnegg Chinese APT41 Hackers Target Mobile Devices with New WyrmSpy and DragonEgg Spyware (lien direct) |
L'acteur prolifique lié à l'État-nation connu sous le nom d'APT41 a été lié à deux souches de logiciels spymétriques Android auparavant sans papiers appelés Wyrmspy et DragOnegg.
"Connu pour son exploitation d'applications orientées Web et son infiltration des appareils de point de terminaison traditionnels, un acteur de menace établi comme APT 41, y compris le mobile dans son arsenal de logiciels malveillants, montre comment les points de terminaison mobiles sont à grande valeur
The prolific China-linked nation-state actor known as APT41 has been linked to two previously undocumented strains of Android spyware called WyrmSpy and DragonEgg. "Known for its exploitation of web-facing applications and infiltration of traditional endpoint devices, an established threat actor like APT 41 including mobile in its arsenal of malware shows how mobile endpoints are high-value |
Malware Threat | APT 41 APT 41 | ★★ |
To see everything:
Our RSS (filtrered)
