Thème
Groupes et tactique
27 septembre 2024
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion
Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.
Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE
Elastic Security Labs a identifié REF4578, un ensemble d'intrusions incorporant plusieurs modules malveillants et exploitant des pilotes vulnérables pour désactiver des solutions de sécurité connues (EDR) pour le minage de crypto-monnaie.
Couler les bateaux pirates de macOS avec des détections de comportement élastiques
Cette étude se penche sur une campagne de logiciels malveillants macOS récemment découverte en utilisant le macOS Endpoint Security Framework associé à l'Elastic Agent pour chasser et détecter les comportements de ces logiciels malveillants.
Démasquer une intrusion dans les services financiers : REF0657
Elastic Security Labs décrit une intrusion utilisant des outils open-source et différentes techniques de post-exploitation ciblant le secteur des services financiers en Asie du Sud.
Un élastique attrape la RPDC en train de passer KANDYKORN
Elastic Security Labs révèle une tentative de la RPDC d'infecter les ingénieurs de la blockchain avec un nouveau logiciel malveillant macOS.
GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense
Elastic Security Labs révèle les détails d'une nouvelle campagne exploitant les capacités d'évasion des défenses pour infecter les victimes avec des exécutables MSIX malveillants.
La RPDC frappe en utilisant une nouvelle variante de RUSTBUCKET
Attention ! Nous avons récemment découvert une variante de RUSTBUCKET. Lisez cet article pour comprendre les nouvelles capacités que nous avons observées, ainsi que la manière de les identifier dans votre propre réseau.
Recherche initiale exposant JOKERSPY
Découvrez JOKERSPY, une campagne récemment découverte qui cible les institutions financières avec des portes dérobées en Python. Cet article traite de la reconnaissance, des modèles d'attaque et des méthodes permettant d'identifier JOKERSPY sur votre réseau.
La chaîne d'attaque mène à XWORM et AGENTTESLA
Notre équipe a récemment observé une nouvelle campagne de logiciels malveillants qui utilise un processus bien développé en plusieurs étapes. La campagne est conçue pour inciter les utilisateurs peu méfiants à cliquer sur les documents, qui semblent être légitimes.
REF2924 : comment maintenir la persistance en tant qu'élément (avancé ?) menace
Elastic Security Labs décrit les nouvelles techniques de persistance utilisées par le groupe à l'origine de SIESTAGRAPH, NAPLISTENER et SOMNIRECORD.
Mise à jour du jeu d'intrusion REF2924 et des campagnes associées
Elastic Security Labs fournit une mise à jour de la recherche REF2924 publiée en décembre 2022. Cette mise à jour comprend l'analyse des implants par des logiciels malveillants, des résultats supplémentaires et des associations avec d'autres intrusions.
SiestaGraph : Un nouvel implant découvert dans le ministère des affaires étrangères d'un membre de l'ANASE
Elastic Security Labs suit vraisemblablement de multiples acteurs de la menace sur le réseau qui utilisent des exploits Exchange, des shells web et l'implant SiestaGraph récemment découvert pour obtenir et maintenir l'accès, escalader les privilèges et exfiltrer les données ciblées.
Exploration de l'ensemble d'intrusion REF2731
L'équipe d'Elastic Security Labs a suivi REF2731, une intrusion en 5 étapes impliquant le chargeur PARALLAX et le RAT NETWIRE.
Faire du temps avec le compte-gouttes YIPPHB
Elastic Security Labs décrit les étapes de collecte et d'analyse des différentes étapes de l'ensemble d'intrusion REF4526. Cet ensemble d'intrusions utilise une approche créative d'icônes Unicode dans des scripts Powershell pour installer un chargeur, un dropper et des implants RAT.
L'infrastructure de réseau de l'ICEDID est bien vivante
Elastic Security Labs détaille l'utilisation de la collecte de données open source et de la pile Elastic pour analyser l'infrastructure C2 du botnet ICEDID.
Analyse du schéma d'attaque du ransomware LUNA
Dans cette publication de recherche, nous allons explorer le modèle d'attaque LUNA, une variante de ransomware multiplateforme.
Exploration du schéma d'attaque QBOT
Dans cette publication de recherche, nous présentons notre analyse du modèle d'attaque QBOT, une famille de logiciels malveillants complète et prolifique.
Elastic Security découvre la campagne de logiciels malveillants BLISTER
Elastic Security a identifié des intrusions actives utilisant le chargeur de logiciels malveillants BLISTER, récemment identifié, qui utilise des certificats de signature de code valides pour échapper à la détection. Nous fournissons des conseils de détection aux équipes de sécurité pour qu'elles se protègent elles-mêmes.
Un coup d'œil derrière la porte de la BPFD
Dans ce travail de recherche, nous explorons BPFDoor - une charge utile de porte dérobée spécialement conçue pour Linux afin de se réintroduire dans un environnement cible précédemment ou activement compromis.
Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 2)
Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.
Jouer la carte de la défense face au groupe Gamaredon
Découvrez la récente campagne d'un groupe de menace basé en Russie, connu sous le nom de Gamaredon Group. Ce billet passe en revue ces détails et propose des stratégies de détection.
Okta et LAPSUS$ : Ce que vous devez savoir
La dernière organisation à avoir été examinée par le groupe LAPSUS$ est Okta. Chasse aux menaces pour la récente brèche ciblant les utilisateurs d'Okta à l'aide de ces étapes simples dans Elastic
Collecter des Beacons Cobalt Strike avec Elastic Stack
Partie 1 - Procédés et technologies nécessaires à l'extraction des balises d'implants Cobalt Strike
Adversaire tradecraft 101 : Chasse à la persistance avec Elastic Security (Partie 1)
Découvrez comment Elastic Endpoint Security et Elastic SIEM peuvent être utilisés pour rechercher et détecter des techniques de persistance malveillantes à grande échelle.