Catégorie

Analyse des malwares

The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.

image d'espace réservé
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu

Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu

La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.

Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python

Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python

En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.

Au-delà des lamentations : déconstruire le voleur d'informations BANSHEE

Au-delà des lamentations : déconstruire le voleur d'informations BANSHEE

Le malware BANSHEE est un voleur d'informations basé sur macOS qui cible les informations système, les données du navigateur et les portefeuilles de crypto-monnaies.

BITS et octets : analyse de BITSLOTH, une porte dérobée nouvellement identifiée

BITS et octets : analyse de BITSLOTH, une porte dérobée nouvellement identifiée

Elastic Security Labs a identifié une nouvelle porte dérobée Windows exploitant le service de transfert intelligent en arrière-plan (BITS) pour C2. Ce malware a été découvert lors d'un récent groupe d'activités baptisé REF8747.

Le danger est à portée de main : La porte dérobée du WARMCOOKIE

Le danger est à portée de main : La porte dérobée du WARMCOOKIE

Elastic Security Labs a observé que des acteurs de la menace se faisaient passer pour des entreprises de recrutement afin de déployer une nouvelle porte dérobée malveillante appelée WARMCOOKIE. Ce logiciel malveillant possède des capacités classiques de porte dérobée, notamment la capture de captures d'écran, l'exécution de logiciels malveillants supplémentaires et la lecture/écriture de fichiers.

Des voleurs répartis dans le monde entier

Des voleurs répartis dans le monde entier

Cet article décrit notre analyse des principales familles de voleurs de logiciels malveillants, en dévoilant leurs méthodes de fonctionnement, leurs mises à jour récentes et leurs configurations. En comprenant le modus operandi de chaque famille, nous appréhendons mieux l'ampleur de leur impact et pouvons renforcer nos défenses en conséquence.

Nettoyage de printemps avec LATRODECTUS : un substitut potentiel à l'ICEDID

Nettoyage de printemps avec LATRODECTUS : un substitut potentiel à l'ICEDID

Elastic Security Labs a observé une recrudescence d'un chargeur émergent récent connu sous le nom de LATRODECTUS. Cette chargeuse légère a une grande force de frappe et est liée à l'ICEDID. Elle pourrait devenir une remplaçante possible pour combler le vide sur le marché des chargeuses.

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , quatrième partie

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , quatrième partie

Dans les articles précédents de cette série, les chercheurs en logiciels malveillants de l'équipe Elastic Security Labs ont décomposé la structure de configuration de REMCOS et donné des détails sur ses commandes C2. Dans cette dernière partie, vous en apprendrez davantage sur la détection et la chasse aux REMCOS à l'aide des technologies Elastic.

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , troisième partie

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , troisième partie

Dans les articles précédents de cette série en plusieurs parties, les chercheurs en logiciels malveillants de l'équipe Elastic Security Labs se sont penchés sur le flux d'exécution de REMCOS. Dans cet article, vous en apprendrez plus sur la structure de configuration de REMCOS et ses commandes C2.

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , deuxième partie

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , deuxième partie

Dans l'article précédent de cette série sur l'implant REMCOS, nous avons partagé des informations sur les mécanismes d'exécution, de persistance et d'évasion de la défense. Dans la suite de cette série, nous couvrirons la seconde moitié du flux d'exécution et vous en apprendrez plus sur les capacités d'enregistrement de REMCOS et sur la communication avec son C2.

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , première partie

Disséquer le RAT REMCOS : analyse approfondie d'un logiciel malveillant très répandu sur le site 2024 , première partie

Cet article de recherche sur les logiciels malveillants décrit l'implant REMCOS à un niveau élevé et fournit des informations de base pour les prochains articles de cette série en plusieurs parties.

Introduction à la décompilation interne de Hex-Rays

Introduction à la décompilation interne de Hex-Rays

Dans cette publication, nous nous penchons sur le microcode Hex-Rays et explorons les techniques de manipulation du CTree généré pour désobfusquer et annoter le code décompilé.

GULOADER : désobfusquer le téléchargeur

GULOADER : désobfusquer le téléchargeur

Elastic Security Labs présente les contre-mesures d'analyse GULOADER mises à jour.

Un élastique attrape la RPDC en train de passer KANDYKORN

Un élastique attrape la RPDC en train de passer KANDYKORN

Elastic Security Labs révèle une tentative de la RPDC d'infecter les ingénieurs de la blockchain avec un nouveau logiciel malveillant macOS.

GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense

GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense

Elastic Security Labs révèle les détails d'une nouvelle campagne exploitant les capacités d'évasion des défenses pour infecter les victimes avec des exécutables MSIX malveillants.

Révéler la porte dérobée BLOODALCHEMY

Révéler la porte dérobée BLOODALCHEMY

BLOODALCHEMY est une nouvelle porte dérobée activement développée qui exploite un binaire bénin comme véhicule d'injection et fait partie de l'ensemble d'intrusions REF5961.

Danser jusqu'au bout de la nuit avec des tuyaux nommés - Communiqué de presse PIPEDANCE

Danser jusqu'au bout de la nuit avec des tuyaux nommés - Communiqué de presse PIPEDANCE

Dans cette publication, nous verrons les fonctionnalités de cette application client et comment commencer à utiliser l'outil.

Présentation du kit d'intrusion REF5961

Présentation du kit d'intrusion REF5961

La série d'intrusions REF5961 révèle trois nouvelles familles de logiciels malveillants ciblant les membres de l'ANASE. L'acteur de la menace qui exploite cet ensemble d'intrusions continue de développer et de perfectionner ses capacités.

Revisiter BLISTER : Nouveau développement du chargeur BLISTER

Revisiter BLISTER : Nouveau développement du chargeur BLISTER

Elastic Security Labs se penche sur l'évolution récente de la famille de logiciels malveillants BLISTER loader.

NAPLISTENER : d'autres mauvais rêves des développeurs de SIESTAGRAPH

NAPLISTENER : d'autres mauvais rêves des développeurs de SIESTAGRAPH

Elastic Security Labs observe que la menace qui se cache derrière SIESTAGRAPH a changé de priorité, passant du vol de données à l'accès persistant, en déployant de nouveaux logiciels malveillants tels que NAPLISTENER pour échapper à la détection.

Breloques élastiques SPECTRALVIPER

Breloques élastiques SPECTRALVIPER

Elastic Security Labs a découvert les familles de logiciels malveillants P8LOADER, POWERSEAL et SPECTRALVIPER ciblant une entreprise agroalimentaire vietnamienne. REF2754 partage des logiciels malveillants et des éléments de motivation des groupes d’activité REF4322 et APT32.

Elastic Security Labs se penche sur le rootkit r77

Elastic Security Labs se penche sur le rootkit r77

Elastic Security Labs explore une campagne utilisant le rootkit r77 et a été observé en train de déployer le mineur de crypto-monnaie XMRIG. La recherche met en évidence les différents modules du rootkit et la manière dont ils sont utilisés pour déployer d'autres charges utiles malveillantes.

Elastic Security Labs découvre le logiciel malveillant LOBSHOT

Elastic Security Labs découvre le logiciel malveillant LOBSHOT

Elastic Security Labs nomme une nouvelle famille de logiciels malveillants, LOBSHOT. LOBSHOT se propage et s'infiltre dans des réseaux ciblés par le biais de Google Ads et de sessions hVNC pour déployer des portes dérobées se faisant passer pour des installateurs d'applications légitimes.

Les utilisateurs d'Elastic protégés contre l'attaque de la chaîne d'approvisionnement de SUDDENICON

Les utilisateurs d'Elastic protégés contre l'attaque de la chaîne d'approvisionnement de SUDDENICON

Elastic Security Labs publie une analyse de triage pour aider les clients de 3CX dans la détection initiale de SUDDENICON, une compromission potentielle de la chaîne d'approvisionnement affectant les utilisateurs du softphone VOIP 3CX.

BLISTER Chargeur

BLISTER Chargeur

Le chargeur BLISTER continue d'être activement utilisé pour charger divers logiciels malveillants.

La chaîne d'attaque mène à XWORM et AGENTTESLA

La chaîne d'attaque mène à XWORM et AGENTTESLA

Notre équipe a récemment observé une nouvelle campagne de logiciels malveillants qui utilise un processus bien développé en plusieurs étapes. La campagne est conçue pour inciter les utilisateurs peu méfiants à cliquer sur les documents, qui semblent être légitimes.

Ne plus dormir : Le réveil de la SOMNIRECORD

Ne plus dormir : Le réveil de la SOMNIRECORD

Les chercheurs d'Elastic Security Labs ont identifié une nouvelle famille de logiciels malveillants écrits en C++ que nous appelons SOMNIRECORD. Ce logiciel malveillant fonctionne comme une porte dérobée et communique avec le commandement et le contrôle (C2) en se faisant passer pour un DNS.

Dégeler le permafrost de l'ICEDID Résumé

Dégeler le permafrost de l'ICEDID Résumé

Elastic Security Labs a analysé une variante récente d'ICEDID composée d'un chargeur et d'une charge utile de bot. En mettant cette recherche à la disposition de la communauté de bout en bout, nous espérons mieux faire connaître la chaîne d'exécution, les capacités et la conception de l'ICEDID.

Deux fois le tour de la piste de danse - Elastic découvre la porte dérobée de PIPEDANCE

Deux fois le tour de la piste de danse - Elastic découvre la porte dérobée de PIPEDANCE

Elastic Security Labs suit une intrusion active dans une organisation vietnamienne à l'aide d'une porte dérobée multi-sauts déclenchable récemment découverte que nous appelons PIPEDANCE. Ce logiciel malveillant complet permet d'effectuer des opérations furtives grâce à l'utilisation d'éléments nommés

CUBA Ransomware Analyse des logiciels malveillants

CUBA Ransomware Analyse des logiciels malveillants

Elastic Security a réalisé une analyse technique approfondie de la famille de ransomwares CUBA. Il s'agit notamment des capacités de lutte contre les logiciels malveillants et des contre-mesures défensives.

Analyse du logiciel malveillant QBOT

Analyse du logiciel malveillant QBOT

Elastic Security Labs publie un rapport d'analyse du logiciel malveillant QBOT couvrant la chaîne d'exécution. À partir de ces recherches, l'équipe a élaboré une règle YARA, un extracteur de configuration et des indicateurs de compromission (IOC).

Exploration de l'ensemble d'intrusion REF2731

Exploration de l'ensemble d'intrusion REF2731

L'équipe d'Elastic Security Labs a suivi REF2731, une intrusion en 5 étapes impliquant le chargeur PARALLAX et le RAT NETWIRE.

Analyse du logiciel malveillant BUGHATCH

Analyse du logiciel malveillant BUGHATCH

Elastic Security a réalisé une analyse technique approfondie du logiciel malveillant BUGHATCH. Cela comprend les capacités ainsi que les contre-mesures défensives.

Elastic protège contre les logiciels malveillants de type "data wiper" ciblant l'Ukraine : HERMETICWIPER

Elastic protège contre les logiciels malveillants de type "data wiper" ciblant l'Ukraine : HERMETICWIPER

Analyse du logiciel malveillant HERMETICWIPER ciblant des organisations ukrainiennes.

Du bas vers le haut de l'échelle avec l'implant de Deimos

Du bas vers le haut de l'échelle avec l'implant de Deimos

L'implant Deimos a été signalé pour la première fois à l'adresse 2020 et a fait l'objet d'un développement actif ; il utilise des contre-mesures d'analyse avancées pour contrecarrer l'analyse. Ce billet détaille les TTP de la campagne à travers les indicateurs des logiciels malveillants.