https://bit.ly/3qXad6I - 🌐 Cybersecurity firm Bitdefender has conducted an extensive investigation into a targeted cyber attack against East-Asian infrastructure, uncovering the workings of a sophisticated, presumably custom malware dubbed as Logutil backdoor. This operation reportedly ran for over a year, aiming to compromise credentials and exfiltrate data. #Cybersecurity #Bitdefender #LogutilBackdoor 🕵️‍♀️The operation, traced back to early 2022, leveraged multiple tools to achieve its nefarious ends, Logutil being the primary one. Notably, AsyncRat was used during the initial stages of infection. The investigation suggests that CobaltStrike was part of the attackers' arsenal too. The victim of this operation was a company operating in the Technology/IT Services industry in East Asia. #CyberAttack #AsyncRat #CobaltStrike 💾 Modern cybercrime syndicates are increasingly leveraging legitimate components to perpetrate their attacks. For instance, DLL hijacking and misuse of legitimate scheduled tasks and services are commonly employed tactics. Notably, state-affiliated actors such as the APT29 group have used this strategy effectively, substituting a binary responsible for updating Adobe Reader with a malicious component, thus achieving persistence. #CybercrimeTactics #APT29 #AdobeReader 📍 These stealthy tactics were evident in the recent incident as well. The perpetrators deployed malware in locations less likely to be suspected of hosting such threats and more likely to be excluded from the security systems' scrutiny. #MalwareDeployment #CybersecurityChallenge 🔐 In this attack, the actors demonstrated capabilities of collecting credentials from various applications including MobaXterm, mRemoteNG, KeePass, and even Chrome passwords and history. They also attempted data exfiltration from mysql servers by accessing server process memory, and made attempts to dump LSASS memory. #DataExfiltration #CredentialTheft 🔁 The investigation also found that the attackers could infect other systems if an RDP session was established with the infected system, by placing malicious components in \tsclient\c\ subfolders if tsclient share was enabled. This highlights the extent of the attack's complexity and potential for propagation.

Cyber Threats Q1 2024 revealed: Cat-Phishing, Living Off the Land, Fake Invoices

Cat-phishing, using a popular Microsoft file transfer tool to become a network parasite, and bogus invoicing were among the notable techniques cybercriminals deployed in Q1 2024, per @HP Wolf Security Report. https://tinyurl.com/mpjd96xp

Unmasking AsyncRAT New Infection Chain | McAfee Blog

Authored by Lakshya Mathur & Vignesh Dhatchanamoorthy AsyncRAT, short for “Asynchronous Remote Access Trojan,” is a sophisticated piece of malware designed to compromise the security of computer systems and steal sensitive information. What sets AsyncRAT apart from other malware strains is its stealthy nature, making it a formidable adversary in the world of cybersecurity. McAfee Labs has…

View On WordPress

Cybercriminals Abusing Cloudflare Tunnels to Evade Detection and Spread Malware

Source: https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html

More info:

https://www.esentire.com/blog/quartet-of-trouble-xworm-asyncrat-venomrat-and-purelogs-stealer-leverage-trycloudflare

https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats

KI-generierte Skripte in neuer Malware entdeckt 

Bedrohungsakteure verwenden bereits seit einiger Zeit generative künstliche Intelligenz (GenAI), um überzeugende Phishing-Köder zu erstellen. Jetzt ist dem HP Threat Research-Team eine Malware ins Netz gegangen, bei der die Skripte von GenAI produziert wurden. Es gibt nur wenige Hinweise darauf, dass Angreifer generative KI verwenden, um in freier Wildbahn Schadcode zu schreiben. Im zweiten Quartal identifizierte das HP Threat Research-Team jedoch eine Malware-Kampagne, die AsyncRAT mithilfe von VBScript und JavaScript verbreitete und höchstwahrscheinlich mit Hilfe von GenAI geschrieben wurde. Die Struktur, Kommentare und Wahl der Funktionsnamen und Variablen der Skripte waren starke Hinweise darauf, dass der Bedrohungsakteur GenAI zum Erstellen der Malware verwendet hat. Die Aktivität zeigt, wie generative KI Angriffe beschleunigt und die Hürde für Cyberkriminelle senkt, Endpunkte zu infizieren. Generative KI entwirft die gefährlichen Skripte Anfang Juni isolierte HP Sure Click einen ungewöhnlichen französischen E-Mail-Anhang, der sich als Rechnung ausgab. Der Anhang ist lediglich eine HTML-Datei, die beim Öffnen im Browser nach einem Passwort fragt. Eine erste Analyse des Codes ergab, dass es sich um eine HTML-Schmuggel-Bedrohung handelt. Im Gegensatz zu den meisten anderen Bedrohungen dieser Art wurde die in der HTML-Datei gespeicherte Nutzlast jedoch nicht in einem Archiv verschlüsselt. Vielmehr wurde die Datei im JavaScript-Code selbst verschlüsselt. Das entschlüsselte Archiv enthält eine VBScript-Datei. Beim Ausführen wird die Infektionskette gestartet und schließlich AsyncRAT, ein Remote Access Trojan (RAT), eingesetzt. Interessanterweise stellten wir bei der Analyse des VBScripts und des JavaScripts überrascht fest, dass der Code nicht verschleiert war. Tatsächlich hatte der Angreifer im gesamten Code Kommentare hinterlassen, die beschreiben, was jede Zeile bewirkt. Echte Codekommentare in Malware sind selten, da Angreifer ihre Malware so schwer verständlich wie möglich gestalten möchten. Aufgrund der Struktur der Skripte, konsistenter Kommentare für jede Funktion und der Wahl der Funktionsnamen und Variablen ist es sehr wahrscheinlich, dass der Angreifer generative KI zur Entwicklung dieser Skripte verwendet hat. Die Aktivität zeigt, wie GenAI Angriffe beschleunigt und es Cyberkriminellen erleichtert, Endpunkte zu infizieren.   Über HP Wolf Security HP Wolf Security ist eine neue Art der Endgerätesicherheit. HPs Portfolio an hardwaregestützter Sicherheit und endgeräteorientierten Sicherheitsdiensten soll Unternehmen dabei helfen, PCs, Drucker und Personen vor Cyberkriminellen zu schützen. HP Wolf Security bietet umfassenden Endgeräteschutz und Ausfallsicherheit, die auf Hardwareebene beginnt und sich über Software und Dienste erstreckt.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

SocGholish malware used to spread AsyncRAT malware

http://i.securitythinkingcap.com/T9vzFn

SocGholish Malware Exploits BOINC Project for Covert Cyberattacks

The Hacker News : The JavaScript downloader malware known as SocGholish (aka FakeUpdates) is being used to deliver a remote access trojan called AsyncRAT as well as a legitimate open-source project called BOINC. BOINC, short for Berkeley Open Infrastructure Network Computing Client, is an open-source "volunteer computing" platform maintained by the University of California with an aim to carry out "large-scale http://dlvr.it/T9vhdW Posted by : Mohit Kumar ( Hacker )

Stealthy AsyncRAT malware attacks targets US infrastructure for 11 months

RT @TheHackersNews: Hackers have been spotted using a new evasion technique for spreading the AsyncRAT Trojan as part of a sophisticated #malware campaign. https://t.co/5f1ywuTU64 #infosec #cybersecurity (via Twitter https://twitter.com/TheHackersNews/status/1487093000304214017)

एविएशन और डिफेंस सेक्टर को टारगेट करने वाले हैकिंग ग्रुप की विशेषज्ञों की चेतावनी

एविएशन और डिफेंस सेक्टर को टारगेट करने वाले हैकिंग ग्रुप की विशेषज्ञों की चेतावनी

विमानन, एयरोस्पेस, परिवहन, निर्माण और रक्षा उद्योगों में संस्थाओं को कम से कम 2017 के बाद से लगातार खतरे वाले समूह द्वारा लक्षित किया गया है, जो कि विभिन्न प्रकार के रिमोट एक्सेस ट्रोजन (आरएटी) को समझौता करने के लिए लगाए गए भाले-फ़िशिंग अभियानों के एक भाग के रूप में है। सिस्टम AsyncRAT और NetWire जैसे कमोडिटी मालवेयर के उपयोग ने उद्यम सुरक्षा फर्म प्रूफपॉइंट को “साइबर क्रिमिनल थ्रेट एक्टर” कोडनेम…

View On WordPress

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

Source: https://www.darkreading.com/cloud/new-campaign-uses-public-cloud-infrastructure-to-spread-rats

More info: https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html

Missbrauch von Cloudflare-Tunneln

Security-Experten konnten in letzter Zeit eine neue Taktik von Cyberkriminellen identifizieren. Dabei beobachteten die Sicherheitsforscher eine zunehmende Verbreitung von Malware durch den Missbrauch von Cloudflare-Tunneln. Cyberkriminelle machen sich dabei insbesondere die Funktion „TryCloudflare“ zunutze, mit der temporäre Tunnel ohne Account erstellt werden können. Die von Proofpoint beobachteten Aktivitäten der Angreifer sind finanziell motiviert und zielen auf die Verbreitung von Remote Access Trojanern (RATs) ab. Funktionsweise der Angriffe Die Angriffe beginnen meist mit E-Mails, die URLs oder Anhänge enthalten, die zu Internet-Links (.URL-Dateien) führen. Nach einem Klick stellen diese Verbindungen zu externen Dateifreigaben her (meist über WebDAV), um LNK- oder VBS-Dateien herunterzuladen. Diese wiederum führen BAT- oder CMD-Dateien aus, die Python-Installer und -Skripte herunterladen, die schließlich die Malware installieren. Häufig wird dem Opfer parallel eine harmlose PDF-Datei angezeigt, um den Angriff zu verschleiern. Entwicklung der Bedrohung Seit Proofpoint im Februar 2024 die Taktik erstmals beobachtet hat, kam es im Mai und Juni verstärkt zu entsprechenden Aktivitäten. Zunächst wurden verschiedene RATs wie AsyncRAT, VenomRAT, GuLoader und Remcos verbreitet, in letzter Zeit liegt der Schwerpunkt der Angreifer auf der Verteilung von XWorm. Die Täter ändern ständig ihre Taktiken und Techniken, um einer Erkennung zu umgehen und ihre Wirksamkeit zu erhöhen. So setzten sie beispielsweise anfangs kaum Verschleierungsmaßnahmen in den Hilfsskripten ein, während sie diese im Juni verstärkt integrierten. Herausforderungen durch Cloudflare-Tunnel Die Nutzung von Cloudflare-Tunneln ermöglicht es Angreifern, eine temporäre Infrastruktur zu nutzen, die schnell aufgebaut und nach kurzzeitiger Nutzung abgeschaltet werden kann. Dies erschwert die Abwehr und macht traditionelle Sicherheitsmaßnahmen wie statische Blocklisten weniger effektiv. Bemerkenswert ist auch die Verwendung von Python-Skripten zur Verbreitung von Malware. Durch die Bündelung von Python-Bibliotheken und ausführbaren Installern mit den Skripten stellen die Täter sicher, dass die Malware auch auf Rechnern ohne installiertes Python ausgeführt werden kann. Ausblick Der Missbrauch von Cloudflare-Tunneln ist eine ernstzunehmende Bedrohung, die sich durch ihre Flexibilität und Anpassungsfähigkeit auszeichnet. Unternehmen müssen daher ihre Sicherheitsmaßnahmen anpassen und ihre Mitarbeiter sensibilisieren, um sich vor derlei Bedrohungen zu schützen.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

HotRat: New Variant of AsyncRAT Malware Spreading Through Pirated Software

http://i.securitythinkingcap.com/SsXB6T

Foxit PDF Reader Flaw Exploited by Hackers to Deliver Diverse Malware Arsenal

The Hacker News : Multiple threat actors are weaponizing a design flaw in Foxit PDF Reader to deliver a variety of malware such as Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT, and XWorm. "This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands," Check Point said in a technical report. "This exploit has been used by multiple http://dlvr.it/T77spX Posted by : Mohit Kumar ( Hacker )

13 de Enero, 2022

Internacional

Utilizan los servicios en la nube para distribuir Malware

Los actores de amenazas están incorporando activamente servicios de nube pública de Amazon y Microsoft en sus campañas maliciosas para entregar troyanos de acceso remoto (RAT) básicos como Nanocore, Netwire y AsyncRAT para desviar información confidencial de sistemas comprometidos. Los ataques de spear-phishing, que comenzaron en octubre de 2021, se dirigieron principalmente a entidades ubicadas en los EE. UU., Canadá, Italia y Singapur. El uso de la infraestructura existente para facilitar las intrusiones se está convirtiendo cada vez más en parte del libro de jugadas de un atacante.

 E.@. En los últimos meses, las herramientas de colaboración y comunicación como Discord, Slack y Telegram han encontrado un lugar en muchas cadenas de infección para requisar y extraer datos de las máquinas de las víctimas. Visto de esa manera, el abuso de las plataformas en la nube es una extensión táctica que los atacantes podrían explotar como un primer paso en una amplia gama de redes.

Al igual que con muchos de estos tipos de campañas, todo comienza con un correo electrónico de phishing con el tema de una factura que contiene un archivo ZIP adjunto que, cuando se abre, desencadena una secuencia de ataque que descarga las cargas útiles de la siguiente etapa alojadas en un servidor de Windows basado en Azure Cloud o en un Instancia AWS EC2, que finalmente culmina con la implementación de diferentes RAT, incluidos AsyncRAT, Nanocore y Netwire.

Los troyanos, una vez instalados, no solo pueden usarse para obtener acceso no autorizado a datos confidenciales, sino que también pueden ser utilizados por los atacantes para monetizar el acceso a los sistemas comprometidos para posteriores ataques de afiliados de ransomware y otros grupos de ciberdelincuencia. También cabe destacar el uso de DuckDNS, un servicio de DNS dinámico gratuito, para crear subdominios maliciosos para entregar malware

Fuente