https://bit.ly/3qXad6I - 🌐 Cybersecurity firm Bitdefender has conducted an extensive investigation into a targeted cyber attack against East-Asian infrastructure, uncovering the workings of a sophisticated, presumably custom malware dubbed as Logutil backdoor. This operation reportedly ran for over a year, aiming to compromise credentials and exfiltrate data. #Cybersecurity #Bitdefender #LogutilBackdoor 🕵️‍♀️The operation, traced back to early 2022, leveraged multiple tools to achieve its nefarious ends, Logutil being the primary one. Notably, AsyncRat was used during the initial stages of infection. The investigation suggests that CobaltStrike was part of the attackers' arsenal too. The victim of this operation was a company operating in the Technology/IT Services industry in East Asia. #CyberAttack #AsyncRat #CobaltStrike 💾 Modern cybercrime syndicates are increasingly leveraging legitimate components to perpetrate their attacks. For instance, DLL hijacking and misuse of legitimate scheduled tasks and services are commonly employed tactics. Notably, state-affiliated actors such as the APT29 group have used this strategy effectively, substituting a binary responsible for updating Adobe Reader with a malicious component, thus achieving persistence. #CybercrimeTactics #APT29 #AdobeReader 📍 These stealthy tactics were evident in the recent incident as well. The perpetrators deployed malware in locations less likely to be suspected of hosting such threats and more likely to be excluded from the security systems' scrutiny. #MalwareDeployment #CybersecurityChallenge 🔐 In this attack, the actors demonstrated capabilities of collecting credentials from various applications including MobaXterm, mRemoteNG, KeePass, and even Chrome passwords and history. They also attempted data exfiltration from mysql servers by accessing server process memory, and made attempts to dump LSASS memory. #DataExfiltration #CredentialTheft 🔁 The investigation also found that the attackers could infect other systems if an RDP session was established with the infected system, by placing malicious components in \tsclient\c\ subfolders if tsclient share was enabled. This highlights the extent of the attack's complexity and potential for propagation.

Cyber Threats Q1 2024 revealed: Cat-Phishing, Living Off the Land, Fake Invoices

Cat-phishing, using a popular Microsoft file transfer tool to become a network parasite, and bogus invoicing were among the notable techniques cybercriminals deployed in Q1 2024, per @HP Wolf Security Report. https://tinyurl.com/mpjd96xp

Unmasking AsyncRAT New Infection Chain | McAfee Blog

Authored by Lakshya Mathur & Vignesh Dhatchanamoorthy AsyncRAT, short for “Asynchronous Remote Access Trojan,” is a sophisticated piece of malware designed to compromise the security of computer systems and steal sensitive information. What sets AsyncRAT apart from other malware strains is its stealthy nature, making it a formidable adversary in the world of cybersecurity. McAfee Labs has…

View On WordPress

Cybercriminals Abusing Cloudflare Tunnels to Evade Detection and Spread Malware

Source: https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html

More info:

https://www.esentire.com/blog/quartet-of-trouble-xworm-asyncrat-venomrat-and-purelogs-stealer-leverage-trycloudflare

https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte sich zu einem wachsenden Einfallstor für immer raffiniertere Bedrohungen und dieser Trend wurde durch den Einsatz von Künstlicher Intelligenz (KI) auf Seiten der Malware-Akteure im letzten Jahr noch weiter verstärkt. ThreatLabz fand heraus, dass über 87 Prozent aller Bedrohungen zwischen Oktober 2023 und September 2024 über verschlüsselte Kanäle übertragen wurden - ein Anstieg von zehn Prozent im Vergleich zum Vorjahr. „Die Zunahme verschlüsselter Angriffe ist ein echtes Problem, da ein erheblicher Anteil der Bedrohungen heutzutage über HTTPS übertragen wird“, sagt Deepen Desai, Chief Security Officer bei Zscaler. „Da sich Bedrohungsakteure auf verschlüsselte Kanäle fokussieren, um fortschrittliche Bedrohungen zu verbreiten und Daten zu exfiltrieren, müssen Unternehmen eine Zero Trust-Architektur mit umfangreicher TLS-/SSL-Inspektion implementieren. Dieser Ansatz hilft bei der Erkennung und Blockade von Bedrohungen und schützt Datenströme effizient und ohne Kompromisse in der Performanz.“ Verschlüsselte Malware dominiert Bei der Analyse der unterschiedlichen Schadcode-Arten entfielen auf Malware 86 Prozent der verschlüsselten Angriffe mit insgesamt 27,8 Milliarden Treffern, was einem Anstieg um 19 Prozent im Vergleich zum Vorjahr entspricht. Unter diese Kategorie der verschlüsselten Malware fallen bösartige Webinhalte, Malware-Payloads, makrobasierte Malware usw. Die zunehmende Verbreitung von Malware spiegelt einen strategischen Wandel in der Angriffstaktik wider. Payloads und schädliche Inhalte werden in verschlüsseltem Datenverkehr vor der Erkennung verborgen, wenn diese Datenströme nicht flächendeckend untersucht werden. Zu den am weitesten verbreiteten und aktivsten Malware-Familien, die auf verschlüsselte Übertragung setzen, zählen AsyncRAT, Choziosi Loader/ChromeLoader, AMOS/Atomic Stealer, Ducktail, Agent Tesla und Koi-Loader. Darüber hinaus wurde ein deutlicher Anstieg webbasierter Angriffe im Vergleich zum Vorjahr festgestellt. Cryptomining/Cryptojacking nahm um 123 Prozent zu, Cross-Site-Scripting um 110 Prozent und Phishing stieg um 34 Prozent an. Es liegt die Vermutung nahe, dass der Anstieg auch durch den zunehmenden Einsatz generativer KI-Technologien durch Bedrohungsakteure angeheizt wurde. Ziele verschlüsselter Angriffe Die Fertigungsindustrie war mit 42 Prozent der verschlüsselten Angriffe die am häufigsten angegriffene Branche und zeigte fast dreimal so viele Treffer wie der am zweithäufigsten betroffene Sektor Technologie und Kommunikation. Die Angriffe auf die Fertigungsindustrie nahmen im Vergleich zum Vorjahr um 44 Prozent zu, was auf die rasanten Fortschritte in der Industrie 4.0 und den umfassenden Einsatz vernetzter Systeme zurückzuführen ist. Durch die Konvergenz von IT mit der OT vergrößert sich die Angriffsfläche der Systeme und damit einhergehend die Anfälligkeit gegen Cyberattacken. Auf den weiteren Rängen folgen der Dienstleistungssektor, das Bildungswesen und der Groß-/ Einzelhandel. Verschlüsselte Angriffe spielen weltweit eine Rolle. Laut dem ThreatLabz-Report entfielen auf die Vereinigten Staaten 11 Milliarden Angriffe gefolgt von Indien mit 5,4 Mrd. Angriffen. In Europa führen Frankreich mit 854 Mio. Angriffen und das Vereinigte Königreich mit 741 Mio. Angriffen die Hit-Liste an. Australien folgt auf Rang 5 mit 672 Mio. Angriffen. Deutschland rangiert mit 602,5 Mio. Angriffen auf Rang 7 hinter Kanada mit 631,3 Mio. Angriffen. Verschlüsselte Angriffe stoppen Ein Zero Trust-Sicherheitsansatz kann verschlüsselte Bedrohungen stoppen. Fortschrittliche Angriffe laufen in vier Phasen ab, die Ansatzpunkte für die Erkennung bieten: - Zunächst suchen Angreifer einen Weg in das Zielnetz und führen dazu Erkundungen durch zum Beispiel über öffentlich verfügbare IP-Adressen. - Anschließend dringen sie zum Beispiel über Schwachstellen, Exploits, Brute Force-Angriffe oder gestohlene Anmeldedaten in das Netzwerk ein. - Sobald sie im Netzwerk sind, bewegen sie sich seitwärts durch die Infrastruktur, erweitern ihre Privilegien und setzen sich fest. - Im letzten Schritt werden Daten exfiltriert, die für weitere Angriffe oder Erpressungen genutzt werden. Die Zscaler Zero Trust Exchange-Plattform bietet Sicherheitsmechanismen, die in jeder Angriffsphase greifen, um dadurch Risiken zu minimieren und verschlüsselte Bedrohungen zu stoppen. Kern des Zscaler Plattform Ansatzes ist die vollständige TLS-/SSL-Überprüfung aller Inhalte auf Basis der fortschrittlichen Proxy-Architektur. Um User und Unternehmensnetze vor Bedrohungen zu schützen, die verschlüsselt transportiert werden, sollten 100 Prozent der Datenströme kontrolliert werden. Darüber hinaus helfen die folgenden Maßnahmen: - Implementieren von Mikrosegmentierung, um Zugriffsrechte selbst für authentifizierte User zu reduzieren und dadurch laterale Bewegungen einzudämmen. - Verwenden einer KI-gesteuerten Cloud-Sandbox, um unbekannte Angriffe zu isolieren und unter Quarantäne zu stellen und Patient Zero Malware zu stoppen, bevor sie die User erreicht. - Reduzieren der Anzahl von Eintrittspunkten in eine Netzwerkumgebung. - Überprüfen des Nord-Süd-Datenverkehrs, um Command & Control-Kommunikation zu unterbinden und sensible Daten zu schützen. Der ThreatLabz Encrypted Attack Report 2024 bietet zusätzlichen Einblick in die Gefahrenlage und bewährte Verfahren zum wirksamen Verhindern verschlüsselter Angriffe. Der Report steht hier zum Download zur Verfügung. Die Analyse von 32,1 Milliarden blockierten Bedrohungen zwischen Oktober 2023 und September 2024 in der Zscaler Cloud verdeutlicht die Menge an Bedrohungen und Attacken, die in verschlüsselten Kanälen transportiert wird.     Passende Artikel zum Thema Read the full article

Summary

🔍 Purpose: Recorded Future's SecOps Dashboard streamlines incident analysis, integrating telemetry from tools like SIEMs, SOARs, and EDR systems for threat identification.

📊 Features:

Trending Malware Analysis: Identifies rising threats, such as AsyncRAT linked to phishing campaigns by nation-state actors.

Enrichment & Insights: Associates threats with MITRE patterns, TTPs, and actionable indicators for deeper context.

Historical Comparison: Offers a 30-day analysis of malware activity for anomaly detection.

Insights Based on Numbers

📈 Phishing Campaigns: Anomaly detection highlighted AsyncRAT spikes tied to a nation-state actor, TAG-66.

🔄 Integration Flexibility: Provides seamless connectivity to security tools, enhancing threat mitigation workflows.

SocGholish malware used to spread AsyncRAT malware

http://i.securitythinkingcap.com/T9vzFn

SocGholish Malware Exploits BOINC Project for Covert Cyberattacks

The Hacker News : The JavaScript downloader malware known as SocGholish (aka FakeUpdates) is being used to deliver a remote access trojan called AsyncRAT as well as a legitimate open-source project called BOINC. BOINC, short for Berkeley Open Infrastructure Network Computing Client, is an open-source "volunteer computing" platform maintained by the University of California with an aim to carry out "large-scale http://dlvr.it/T9vhdW Posted by : Mohit Kumar ( Hacker )

Stealthy AsyncRAT malware attacks targets US infrastructure for 11 months

RT @TheHackersNews: Hackers have been spotted using a new evasion technique for spreading the AsyncRAT Trojan as part of a sophisticated #malware campaign. https://t.co/5f1ywuTU64 #infosec #cybersecurity (via Twitter https://twitter.com/TheHackersNews/status/1487093000304214017)

एविएशन और डिफेंस सेक्टर को टारगेट करने वाले हैकिंग ग्रुप की विशेषज्ञों की चेतावनी

एविएशन और डिफेंस सेक्टर को टारगेट करने वाले हैकिंग ग्रुप की विशेषज्ञों की चेतावनी

विमानन, एयरोस्पेस, परिवहन, निर्माण और रक्षा उद्योगों में संस्थाओं को कम से कम 2017 के बाद से लगातार खतरे वाले समूह द्वारा लक्षित किया गया है, जो कि विभिन्न प्रकार के रिमोट एक्सेस ट्रोजन (आरएटी) को समझौता करने के लिए लगाए गए भाले-फ़िशिंग अभियानों के एक भाग के रूप में है। सिस्टम AsyncRAT और NetWire जैसे कमोडिटी मालवेयर के उपयोग ने उद्यम सुरक्षा फर्म प्रूफपॉइंट को “साइबर ��्रिमिनल थ्रेट एक्टर” कोडनेम…

View On WordPress

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

Source: https://www.darkreading.com/cloud/new-campaign-uses-public-cloud-infrastructure-to-spread-rats

More info: https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html

KI-generierte Skripte in neuer Malware entdeckt 

Bedrohungsakteure verwenden bereits seit einiger Zeit generative künstliche Intelligenz (GenAI), um überzeugende Phishing-Köder zu erstellen. Jetzt ist dem HP Threat Research-Team eine Malware ins Netz gegangen, bei der die Skripte von GenAI produziert wurden. Es gibt nur wenige Hinweise darauf, dass Angreifer generative KI verwenden, um in freier Wildbahn Schadcode zu schreiben. Im zweiten Quartal identifizierte das HP Threat Research-Team jedoch eine Malware-Kampagne, die AsyncRAT mithilfe von VBScript und JavaScript verbreitete und höchstwahrscheinlich mit Hilfe von GenAI geschrieben wurde. Die Struktur, Kommentare und Wahl der Funktionsnamen und Variablen der Skripte waren starke Hinweise darauf, dass der Bedrohungsakteur GenAI zum Erstellen der Malware verwendet hat. Die Aktivität zeigt, wie generative KI Angriffe beschleunigt und die Hürde für Cyberkriminelle senkt, Endpunkte zu infizieren. Generative KI entwirft die gefährlichen Skripte Anfang Juni isolierte HP Sure Click einen ungewöhnlichen französischen E-Mail-Anhang, der sich als Rechnung ausgab. Der Anhang ist lediglich eine HTML-Datei, die beim Öffnen im Browser nach einem Passwort fragt. Eine erste Analyse des Codes ergab, dass es sich um eine HTML-Schmuggel-Bedrohung handelt. Im Gegensatz zu den meisten anderen Bedrohungen dieser Art wurde die in der HTML-Datei gespeicherte Nutzlast jedoch nicht in einem Archiv verschlüsselt. Vielmehr wurde die Datei im JavaScript-Code selbst verschlüsselt. Das entschlüsselte Archiv enthält eine VBScript-Datei. Beim Ausführen wird die Infektionskette gestartet und schließlich AsyncRAT, ein Remote Access Trojan (RAT), eingesetzt. Interessanterweise stellten wir bei der Analyse des VBScripts und des JavaScripts überrascht fest, dass der Code nicht verschleiert war. Tatsächlich hatte der Angreifer im gesamten Code Kommentare hinterlassen, die beschreiben, was jede Zeile bewirkt. Echte Codekommentare in Malware sind selten, da Angreifer ihre Malware so schwer verständlich wie möglich gestalten möchten. Aufgrund der Struktur der Skripte, konsistenter Kommentare für jede Funktion und der Wahl der Funktionsnamen und Variablen ist es sehr wahrscheinlich, dass der Angreifer generative KI zur Entwicklung dieser Skripte verwendet hat. Die Aktivität zeigt, wie GenAI Angriffe beschleunigt und es Cyberkriminellen erleichtert, Endpunkte zu infizieren.   Über HP Wolf Security HP Wolf Security ist eine neue Art der Endgerätesicherheit. HPs Portfolio an hardwaregestützter Sicherheit und endgeräteorientierten Sicherheitsdiensten soll Unternehmen dabei helfen, PCs, Drucker und Personen vor Cyberkriminellen zu schützen. HP Wolf Security bietet umfassenden Endgeräteschutz und Ausfallsicherheit, die auf Hardwareebene beginnt und sich über Software und Dienste erstreckt.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

HotRat: New Variant of AsyncRAT Malware Spreading Through Pirated Software

http://i.securitythinkingcap.com/SsXB6T

Foxit PDF Reader Flaw Exploited by Hackers to Deliver Diverse Malware Arsenal

The Hacker News : Multiple threat actors are weaponizing a design flaw in Foxit PDF Reader to deliver a variety of malware such as Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT, and XWorm. "This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands," Check Point said in a technical report. "This exploit has been used by multiple http://dlvr.it/T77spX Posted by : Mohit Kumar ( Hacker )