Thème

Groupes et tactique

La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.

image d'espace réservé
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python

Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python

En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.

GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion

GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion

Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.

Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE

Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE

Elastic Security Labs a identifié REF4578, un ensemble d'intrusions incorporant plusieurs modules malveillants et exploitant des pilotes vulnérables pour désactiver des solutions de sécurité connues (EDR) pour le minage de crypto-monnaie.

Couler les bateaux pirates de macOS avec des détections de comportement élastiques

Couler les bateaux pirates de macOS avec des détections de comportement élastiques

Cette étude se penche sur une campagne de logiciels malveillants macOS récemment découverte en utilisant le macOS Endpoint Security Framework associé à l'Elastic Agent pour chasser et détecter les comportements de ces logiciels malveillants.

Démasquer une intrusion dans les services financiers : REF0657

Démasquer une intrusion dans les services financiers : REF0657

Elastic Security Labs décrit une intrusion utilisant des outils open-source et différentes techniques de post-exploitation ciblant le secteur des services financiers en Asie du Sud.

Un élastique attrape la RPDC en train de passer KANDYKORN

Un élastique attrape la RPDC en train de passer KANDYKORN

Elastic Security Labs révèle une tentative de la RPDC d'infecter les ingénieurs de la blockchain avec un nouveau logiciel malveillant macOS.

GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense

GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense

Elastic Security Labs révèle les détails d'une nouvelle campagne exploitant les capacités d'évasion des défenses pour infecter les victimes avec des exécutables MSIX malveillants.

La RPDC frappe en utilisant une nouvelle variante de RUSTBUCKET

La RPDC frappe en utilisant une nouvelle variante de RUSTBUCKET

Attention ! Nous avons récemment découvert une variante de RUSTBUCKET. Lisez cet article pour comprendre les nouvelles capacités que nous avons observées, ainsi que la manière de les identifier dans votre propre réseau.

Recherche initiale exposant JOKERSPY

Recherche initiale exposant JOKERSPY

Découvrez JOKERSPY, une campagne récemment découverte qui cible les institutions financières avec des portes dérobées en Python. Cet article traite de la reconnaissance, des modèles d'attaque et des méthodes permettant d'identifier JOKERSPY sur votre réseau.

La chaîne d'attaque mène à XWORM et AGENTTESLA

La chaîne d'attaque mène à XWORM et AGENTTESLA

Notre équipe a récemment observé une nouvelle campagne de logiciels malveillants qui utilise un processus bien développé en plusieurs étapes. La campagne est conçue pour inciter les utilisateurs peu méfiants à cliquer sur les documents, qui semblent être légitimes.

REF2924 : comment maintenir la persistance en tant qu'élément (avancé ?) menace

REF2924 : comment maintenir la persistance en tant qu'élément (avancé ?) menace

Elastic Security Labs décrit les nouvelles techniques de persistance utilisées par le groupe à l'origine de SIESTAGRAPH, NAPLISTENER et SOMNIRECORD.

Mise à jour du jeu d'intrusion REF2924 et des campagnes associées

Mise à jour du jeu d'intrusion REF2924 et des campagnes associées

Elastic Security Labs fournit une mise à jour de la recherche REF2924 publiée en décembre 2022. Cette mise à jour comprend l'analyse des implants par des logiciels malveillants, des résultats supplémentaires et des associations avec d'autres intrusions.

SiestaGraph : Un nouvel implant découvert dans le ministère des affaires étrangères d'un membre de l'ANASE

SiestaGraph : Un nouvel implant découvert dans le ministère des affaires étrangères d'un membre de l'ANASE

Elastic Security Labs suit vraisemblablement de multiples acteurs de la menace sur le réseau qui utilisent des exploits Exchange, des shells web et l'implant SiestaGraph récemment découvert pour obtenir et maintenir l'accès, escalader les privilèges et exfiltrer les données ciblées.

Exploration de l'ensemble d'intrusion REF2731

Exploration de l'ensemble d'intrusion REF2731

L'équipe d'Elastic Security Labs a suivi REF2731, une intrusion en 5 étapes impliquant le chargeur PARALLAX et le RAT NETWIRE.

Faire du temps avec le compte-gouttes YIPPHB

Faire du temps avec le compte-gouttes YIPPHB

Elastic Security Labs décrit les étapes de collecte et d'analyse des différentes étapes de l'ensemble d'intrusion REF4526. Cet ensemble d'intrusions utilise une approche créative d'icônes Unicode dans des scripts Powershell pour installer un chargeur, un dropper et des implants RAT.

L'infrastructure de réseau de l'ICEDID est bien vivante

L'infrastructure de réseau de l'ICEDID est bien vivante

Elastic Security Labs détaille l'utilisation de la collecte de données open source et de la pile Elastic pour analyser l'infrastructure C2 du botnet ICEDID.

Analyse du schéma d'attaque du ransomware LUNA

Analyse du schéma d'attaque du ransomware LUNA

Dans cette publication de recherche, nous allons explorer le modèle d'attaque LUNA, une variante de ransomware multiplateforme.

Exploration du schéma d'attaque QBOT

Exploration du schéma d'attaque QBOT

Dans cette publication de recherche, nous présentons notre analyse du modèle d'attaque QBOT, une famille de logiciels malveillants complète et prolifique.

Elastic Security découvre la campagne de logiciels malveillants BLISTER

Elastic Security découvre la campagne de logiciels malveillants BLISTER

Elastic Security a identifié des intrusions actives utilisant le chargeur de logiciels malveillants BLISTER, récemment identifié, qui utilise des certificats de signature de code valides pour échapper à la détection. Nous fournissons des conseils de détection aux équipes de sécurité pour qu'elles se protègent elles-mêmes.

Un coup d'œil derrière la porte de la BPFD

Un coup d'œil derrière la porte de la BPFD

Dans ce travail de recherche, nous explorons BPFDoor - une charge utile de porte dérobée spécialement conçue pour Linux afin de se réintroduire dans un environnement cible précédemment ou activement compromis.

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 2)

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 2)

Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.

Jouer la carte de la défense face au groupe Gamaredon

Jouer la carte de la défense face au groupe Gamaredon

Découvrez la récente campagne d'un groupe de menace basé en Russie, connu sous le nom de Gamaredon Group. Ce billet passe en revue ces détails et propose des stratégies de détection.

Okta et LAPSUS$ : Ce que vous devez savoir

Okta et LAPSUS$ : Ce que vous devez savoir

La dernière organisation à avoir été examinée par le groupe LAPSUS$ est Okta. Chasse aux menaces pour la récente brèche ciblant les utilisateurs d'Okta à l'aide de ces étapes simples dans Elastic

Collecter des Beacons Cobalt Strike avec Elastic Stack

Collecter des Beacons Cobalt Strike avec Elastic Stack

Partie 1 - Procédés et technologies nécessaires à l'extraction des balises d'implants Cobalt Strike

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 1)

Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 1)

Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.