Thème
Threat Intelligence
Elastic Security Labs a détecté l'émergence récente de voleurs d'informations utilisant une version illicite du cadre d'évasion commercial, SHELLTER, pour déployer des charges utiles post-exploitation.
De l'Amérique du Sud à l'Asie du Sud-Est : Le réseau fragile de REF7707
REF7707 a ciblé un ministère des affaires étrangères sud-américain en utilisant de nouvelles familles de logiciels malveillants. Des tactiques d'évasion incohérentes et des erreurs de sécurité opérationnelle ont exposé d'autres infrastructures appartenant à l'adversaire.
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion
Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.
Des voleurs répartis dans le monde entier
Cet article décrit notre analyse des principales familles de voleurs de logiciels malveillants, en dévoilant leurs méthodes de fonctionnement, leurs mises à jour récentes et leurs configurations. En comprenant le modus operandi de chaque famille, nous appréhendons mieux l'ampleur de leur impact et pouvons renforcer nos défenses en conséquence.
Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE
Elastic Security Labs a identifié REF4578, un ensemble d'intrusions incorporant plusieurs modules malveillants et exploitant des pilotes vulnérables pour désactiver des solutions de sécurité connues (EDR) pour le minage de crypto-monnaie.
Couler les bateaux pirates de macOS avec des détections de comportement élastiques
Cette étude se penche sur une campagne de logiciels malveillants macOS récemment découverte en utilisant le macOS Endpoint Security Framework associé à l'Elastic Agent pour chasser et détecter les comportements de ces logiciels malveillants.
PIKABOT, je vous choisis !
Elastic Security Labs a observé de nouvelles campagnes PIKABOT, y compris une version mise à jour. PIKABOT est un loader largement déployé que les acteurs malveillants utilisent pour distribuer des charges utiles supplémentaires.
Démasquer une intrusion dans les services financiers : REF0657
Elastic Security Labs décrit une intrusion utilisant des outils open-source et différentes techniques de post-exploitation ciblant le secteur des services financiers en Asie du Sud.
Un élastique attrape la RPDC en train de passer KANDYKORN
Elastic Security Labs révèle une tentative de la RPDC d'infecter les ingénieurs de la blockchain avec un nouveau logiciel malveillant macOS.
GHOSTPULSE hante les victimes en utilisant un sac d'astuces pour échapper à la défense
Elastic Security Labs révèle les détails d'une nouvelle campagne exploitant les capacités d'évasion des défenses pour infecter les victimes avec des exécutables MSIX malveillants.
Révéler la porte dérobée BLOODALCHEMY
BLOODALCHEMY est une nouvelle porte dérobée activement développée qui exploite un binaire bénin comme véhicule d'injection et fait partie de l'ensemble d'intrusions REF5961.
Présentation du kit d'intrusion REF5961
La série d'intrusions REF5961 révèle trois nouvelles familles de logiciels malveillants ciblant les membres de l'ANASE. L'acteur de la menace qui exploite cet ensemble d'intrusions continue de développer et de perfectionner ses capacités.
La RPDC frappe en utilisant une nouvelle variante de RUSTBUCKET
Attention ! Nous avons récemment découvert une variante de RUSTBUCKET. Lisez cet article pour comprendre les nouvelles capacités que nous avons observées, ainsi que la manière de les identifier dans votre propre réseau.
Recherche initiale exposant JOKERSPY
Découvrez JOKERSPY, une campagne récemment découverte qui cible les institutions financières avec des portes dérobées en Python. Cet article traite de la reconnaissance, des modèles d'attaque et des méthodes permettant d'identifier JOKERSPY sur votre réseau.
Breloques élastiques SPECTRALVIPER
Elastic Security Labs a découvert les familles de logiciels malveillants P8LOADER, POWERSEAL et SPECTRALVIPER ciblant une entreprise agroalimentaire vietnamienne. REF2754 partage des logiciels malveillants et des éléments de motivation des groupes d’activité REF4322 et APT32.
La chaîne d'attaque mène à XWORM et AGENTTESLA
Notre équipe a récemment observé une nouvelle campagne de logiciels malveillants qui utilise un processus bien développé en plusieurs étapes. La campagne est conçue pour inciter les utilisateurs peu méfiants à cliquer sur les documents, qui semblent être légitimes.
REF2924 : comment maintenir la persistance en tant qu'élément (avancé ?) menace
Elastic Security Labs décrit les nouvelles techniques de persistance utilisées par le groupe à l'origine de SIESTAGRAPH, NAPLISTENER et SOMNIRECORD.
Le logiciel malveillant PHOREAL cible le secteur financier de l'Asie du Sud-Est
Elastic Security a découvert le logiciel malveillant PHOREAL, qui cible les organisations financières d'Asie du Sud-Est, en particulier celles du secteur financier vietnamien.
Mise à jour du jeu d'intrusion REF2924 et des campagnes associées
Elastic Security Labs fournit une mise à jour de la recherche REF2924 publiée en décembre 2022. Cette mise à jour comprend l'analyse des implants par des logiciels malveillants, des résultats supplémentaires et des associations avec d'autres intrusions.
SiestaGraph : Un nouvel implant découvert dans le ministère des affaires étrangères d'un membre de l'ANASE
Elastic Security Labs suit vraisemblablement de multiples acteurs de la menace sur le réseau qui utilisent des exploits Exchange, des shells web et l'implant SiestaGraph récemment découvert pour obtenir et maintenir l'accès, escalader les privilèges et exfiltrer les données ciblées.
Exploration de l'ensemble d'intrusion REF2731
L'équipe d'Elastic Security Labs a suivi REF2731, une intrusion en 5 étapes impliquant le chargeur PARALLAX et le RAT NETWIRE.
Opération Ours saignant
Elastic Security vérifie un nouveau logiciel malveillant destructeur ciblant l'Ukraine : Opération Bleeding Bear
Faire du temps avec le compte-gouttes YIPPHB
Elastic Security Labs décrit les étapes de collecte et d'analyse des différentes étapes de l'ensemble d'intrusion REF4526. Cet ensemble d'intrusions utilise une approche créative d'icônes Unicode dans des scripts Powershell pour installer un chargeur, un dropper et des implants RAT.
L'infrastructure de réseau de l'ICEDID est bien vivante
Elastic Security Labs détaille l'utilisation de la collecte de données open source et de la pile Elastic pour analyser l'infrastructure C2 du botnet ICEDID.
Analyse de la campagne du ransomware CUBA
Elastic Security a observé une campagne de ransomware et d'extorsion utilisant une combinaison d'outils de sécurité offensifs, de LOLBAS et d'exploits pour diffuser le ransomware CUBA.
Analyse du schéma d'attaque du ransomware LUNA
Dans cette publication de recherche, nous allons explorer le modèle d'attaque LUNA, une variante de ransomware multiplateforme.
Exploration du schéma d'attaque QBOT
Dans cette publication de recherche, nous présentons notre analyse du modèle d'attaque QBOT, une famille de logiciels malveillants complète et prolifique.
Elastic Security découvre la campagne de logiciels malveillants BLISTER
Elastic Security a identifié des intrusions actives utilisant le chargeur de logiciels malveillants BLISTER, récemment identifié, qui utilise des certificats de signature de code valides pour échapper à la détection. Nous fournissons des conseils de détection aux équipes de sécurité pour qu'elles se protègent elles-mêmes.
Examen approfondi des techniques avancées utilisées dans le cadre d'une campagne APT axée sur la Malaisie
Notre équipe de recherche Elastic Security s'est concentrée sur les techniques avancées utilisées dans une campagne APT centrée sur la Malaisie. Apprenez qui se cache derrière, comment l'attaque fonctionne, les techniques d'attaque observées par MITRE® et les indicateurs de compromission.
Jouer la carte de la défense face au groupe Gamaredon
Découvrez la récente campagne d'un groupe de menace basé en Russie, connu sous le nom de Gamaredon Group. Ce billet passe en revue ces détails et propose des stratégies de détection.
FORMBOOK adopte une approche sans CAB
Campagne de recherche et d'analyse d'une tentative d'intrusion observée dans le FORMBOOK.
Collecte et exploitation des données sur les menaces provenant du réseau de zombies Mozi
Le botnet Mozi est une campagne permanente de logiciels malveillants ciblant les dispositifs de mise en réseau non sécurisés et vulnérables. Ce billet présente le parcours d'un analyste lors de la collecte, de l'analyse et de l'exploitation des données sur les menaces provenant du réseau de zombies Mozi.
Okta et LAPSUS$ : Ce que vous devez savoir
La dernière organisation à avoir été examinée par le groupe LAPSUS$ est Okta. Chasse aux menaces pour la récente brèche ciblant les utilisateurs d'Okta à l'aide de ces étapes simples dans Elastic
Ransomware, interrompu : Sodinokibi et la chaîne d'approvisionnement
Découvrez comment les protections basées sur le comportement d'Elastic Endpoint ont empêché une attaque par ransomeware sur plusieurs points de terminaison.