Seqrite Warns Enterprises of Rising Brand Impersonation Attacks as Customers Pay the Price for Trust Exploited Outside the Firewall 𝐊𝐧𝐨𝐰 𝐌𝐨𝐫𝐞👇 smartsolutionsworld.com/seqr… @Seqrite #Seqrite #SmartSolutionsWorld

𝐒𝐭𝐚𝐲 𝐃𝐏𝐃𝐏 𝐑𝐞𝐚𝐝𝐲. 𝐏𝐫𝐨𝐭𝐞𝐜𝐭 𝐃𝐚𝐭𝐚 𝐰𝐢𝐭𝐡 𝐂𝐨𝐧𝐟𝐢𝐝𝐞𝐧𝐜𝐞. Learn how Seqrite Data Privacy can help your organization stay compliant and secure. Know More: lnkd.in/gSvXFdgX #Seqrite #DataPrivacy #DPDPAct #DPDP #PrivacyCompliance #DataProtection

Products had to demonstrate their capabilities using all components and protection layers. #Acronis #Avast #HPSecurity #Kaspersky #Legendsec #Microsoft #Microworld #NetProtector #Norton #Qualys #Seqrite #Sophos #Symantec #Trellix #WithSecure

Die Produkte mussten ihre Fähigkeiten unter Einsatz sämtlicher Funktionen und Schutzebenen unter Beweis stellen. #Acronis #Avast #HPSecurity #Kaspersky #Legendsec #Microsoft #Microworld #NetProtector #Norton #Qualys #Seqrite #Sophos #Symantec #Trellix #WithSecure

Security teams need more than visibility; they need intelligence, speed, and automation to stay ahead of modern attacks. Book a demo today and experience the power of Seqrite XDR. 𝐊𝐧𝐨𝐰 𝐌𝐨𝐫𝐞: lnkd.in/gNVS4aiQ #Seqrite #SeqriteXDR #XDR #CyberSecurity #ThreatDetection

Seqrite DRPS helps organizations stay ahead by monitoring digital risks before they impact business reputation. Ready to strengthen your digital presence? 𝐋𝐞𝐚𝐫𝐧 𝐌𝐨𝐫𝐞: lnkd.in/dACXUU3S #Seqrite #DRPS #DigitalRiskProtection #BrandProtection #CyberSecurity

Unpopular opinion: The cybersecurity industry is selling you dashboards. TL;DR Seqrite Labs has uncovered Operation GriefLure, a targeted spear-phishing campaign striking senior executives at Viettel Group (Vietnam's largest telecom under the Ministry of National…

𝐑𝐞𝐜𝐨𝐯𝐞𝐫 𝐅𝐚𝐬𝐭𝐞𝐫. 𝐒𝐭𝐚𝐲 𝐑𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐭. With Seqrite RRaaS, organizations can accelerate ransomware recovery with expert-led support and restore operations with confidence. 𝐊𝐧𝐨𝐰 𝐦𝐨𝐫𝐞: seqrite.com/seqrite-ransomwa… #Seqrite #RansomwareRecovery #CyberResilience

Windowsの「ファイバー」という仕組みでEDRのスレッド監視を迂回する高度な手口も併用しながら、専用のC2サーバーを立てず、攻撃者とマルウェアが同じクラウド上のフォルダーを"受け渡し場所"にして連絡を取り合う、いわゆる"デッドドロップ"型のスパイ活動が報告。攻撃者がそこに命令を書き込むと、マルウェアがそれを取り出して実行し、結果を同じ場所に書き戻す手口で、両者は直接の通信で繋がらないという仕組み。またアクセスが普通のクラウド利用に紛れるため、ネットワーク側では見分けにくくなります。 検知回避も多層にわたって施されており、動き出す前にホスト名で自分が解析環境にいないかを確かめ、一致すれば自ら終了。 本体の保護には三段階の復号処理を使用。復号後の実行にも工夫があり、通常マルウェアが復号したコードを動かすには新しいスレッドを作るのが定石で、セキュリティ製品はこのスレッド生成を手がかりに検知しますが、今回はこれを避け、同じスレッド内で実行先だけを切り替えるWindowsの「ファイバー」（ConvertThreadToFiber/CreateFiberEx/SwitchToFiber）を利用した手口です。 ※手口の対比（復号後のシェルコード実行）： ▼一般的な手口： 1. CreateThread等で新規スレッドを作り、開始アドレスにシェルコードのメモリ位置を指定 2. OSがスレッド生成時にカーネル側で通知を発行（PsSetCreateThreadNotifyRoutine等） 3. EDR製品がこの通知を起点に不審なスレッド生成を検知 ▼今回のRUSTCLOAKの手口： 1. VirtualAllocでメモリを確保し、復号済みシェルコードを書き込む 2. VirtualProtectで実行可能に変更 3. ConvertThreadToFiberで現在のスレッドをファイバー化（ファイバーを扱うにはスレッド自体がファイバーである必要がある） 4. CreateFiberExで、シェルコードのアドレスを紐付けたファイバーを作成 5. SwitchToFiberで実行を移す（＝シェルコードが走り出す） ファイバーの切り替えはカーネルを経由しないユーザーモード操作のためスレッド生成時のOS通知が発生せず、OSからは同一スレッドが継続しているようにしか見えなくなることから、結果的に、スレッド生成を監視するEDRの検知から外れる仕組み。 メモリ上で最終的に動くのはC2フレームワーク「Adaptix」のエージェントAZUREVEILで、標的は台湾とチェコの政府機関など、中国系の攻撃者によるものとみられています。 【要点】 ・侵入は二経路。Path AはPDFを装った.lnk→VBScript→PowerShellで暗号化コンテナをXOR復号して実行ファイル化。Path BはRust製ドロッパーが外部ファイルに頼らず単体で展開。ファイル名は台湾向けの繁体字で、被害者に表示されるおとり文書にはチェコ社会保障局の予約通知が確認されている ・三段階の復号はRC4（改変）→Base64デコード→SM4-CBCの順（SM4は中国の国家標準暗号）。中間ローダーRUSTCLOAKはRust製 ・AZUREVEILはAdaptixエージェント（64bit DLL）で36コマンドを実装。ファイル・プロセス操作、ポート転送やSOCKS経由のピボットに加え、BOF（Beacon Object File）をディスクに書かずメモリ内で実行 ・C2はAzure Blobの単一アカウント（HTTPS/443）。約124バイトの暗号化ビーコンで生存を知らせ、指令と結果を同じコンテナで受け渡す構成で、1年有効のSASトークンがハードコードされており長期アクセスを見据えたものとみられる ・帰属は中国系と中程度の確度。ただし既知の中国系APTでは未報告の手法を含むとして、特定グループには結び付けていない。報告はSeqrite Labs（活動名「Operation Dragon Weave」） 正規クラウドを受け渡し場所に使う発想自体は以前からありますが、各段に検知回避を積み重ねたうえで一体運用している点が今回の特徴です。 防御面では、問題のストレージアカウント宛て通信の遮断やファイバーの不審な遷移の監視が切り口になり得ます。報告にはIOCやMITREマッピングも掲載されています。 詳細は以下を参照： seqrite.com/blog/operation-d…

𝐓𝐫𝐮𝐬𝐭 𝐒𝐭𝐚𝐫𝐭𝐬 𝐰𝐢𝐭𝐡 𝐒𝐦𝐚𝐫𝐭𝐞𝐫 𝐃𝐚𝐭𝐚 𝐏𝐫𝐢𝐯𝐚𝐜𝐲 With the Seqrite Data Privacy Solution, Build stronger trust. Protect what matters most. 𝐊𝐧𝐨𝐰 𝐌𝐨𝐫𝐞: lnkd.in/gSvXFdgX #Seqrite #DataPrivacy #DataProtection #DataSecurity #PrivacyManagement

Experience smarter device management with Seqrite. 𝐊𝐧𝐨𝐰 𝐌𝐨𝐫𝐞: seqrite.com/mobile-device-ma… #Seqrite #MDM #MobileDeviceManagement #EnterpriseSecurity #CyberSecurity #EndpointSecurity #DeviceManagement #DigitalTransformation #BusinessSecurity #EnterpriseMobility

Operation Dragon Weave: čínská špionážní kampaň míří na Česko a Tchaj-wan Bezpečnostní výzkumníci ze společnosti Seqrite Labs popsali novou kybernetickou špionážní kampaň s krycím názvem Operation Dragon Weave, která se zaměřila na úředníky i běžné občany v České republice a na Tchaj-wanu. Mezi cíli figurují organizace ze státní správy, výzkumu, akademické sféry, technologického sektoru a finančních služeb. Útočníci rozesílají cílené phishingové (tzv. spear-phishingové) e-maily s přílohou ve formátu ZIP, jejíž otevření spustí vícestupňový infekční řetězec zakončený nasazením agenta typu command-and-control (C2). Aktivita zatím nebyla připsána žádné konkrétní známé skupině, podle hodnocení výzkumníků je však spojená s aktérem působícím z Číny.

Seqrite uncovers Operation XENOFISCAL, a spear-phishing campaign targeting Afghanistan’s Ministry of Finance with TTP overlaps with the Pakistan-linked SideCopy cluster. The attack uses a ZIP-delivered LNK & a structured chain deploying persistent XenoRAT. seqrite.com/blog/operation-x…

Operation Dragon Weave: Uncovering a China-Linked Campaign Targeting Czech Republic and Taiwan Using Azure Cloud C2 Seqrite APT Team seqrite.com/blog/operation-d… @Seqrite

Seqrite APT Team uncovers Operation Dragon Weave, a spear-phishing campaign targeting officials & citizens in the Czech Republic & Taiwan. The attack begins with a ZIP attachment & uses two delivery paths that converge on the same payload execution chain. seqrite.com/blog/operation-d…

パキスタン系APT「SideCopy」が、アフガニスタン財務省を標的とした標的型フィッシング攻撃を実施していたことが判明した。攻撃は全国34州の歳入局を狙ったもので、最終的にカスタマイズ版のXenoRATを展開して機密情報の窃取を試みる。 Seqriteによると、攻撃メールにはZIPファイルが添付され、その中のLNKファイルには「知的・心理戦セミナー参加職員一覧」を意味するパシュトー語の名称が付けられていた。実行すると州ごとの財務責任者や歳入担当者の氏名、連絡先を記載したおとり文書を表示する一方で、裏でマルウェア感染が進行する。 攻撃ではmshta.exeなど正規ツールを悪用して複数段階のペイロードを取得し、メモリ上で実行するファイルレス手法を採用。AMSIの無効化やレジストリ永続化機能も備えており、最終的にXenoRAT 1.8.7を展開する。感染後はキーロギング、画面キャプチャ、Webカメラ監視、SOCKS5トンネリングなどが可能となる。 研究者は、詳細な職員名簿を利用している点から、攻撃前に大規模な情報収集が行われたと分析している。また、SideCopyは従来のAsyncRATからオープンソースマルウェアを改変した独自ツールへ移行しており、今回もその流れに沿った活動とみられている。 gbhackers.com/sidecopy-deplo…

Seqrite reports a China-linked campaign targeting the Czech Republic and Taiwan, using two delivery paths to deploy Rust loader and AZUREVEIL C2 via Azure Blob Storage with 36 commands for in-memory, multi-stage espionage. seqrite.com/blog/operation-d…

Seqrite reports that SideCopy deployed persistent XenoRAT against Afghanistan’s Ministry of Finance and provincial finance offices via a Pashto spear-phish LNK, HTA loaders, in-memory DLLs, and robust C2. seqrite.com/blog/operation-x…

With Seqrite Malware Analysis Platform, security teams can accelerate investigations, uncover hidden #threats faster, and gain deeper visibility into suspicious files before damage is done. Learn More: lnkd.in/g_fm7X5F #Seqrite #CyberSecurity #ThreatIntelligence

Protect every device, empower every user, and stay ahead of modern #cyberthreats with Seqrite Endpoint Protection. 𝐋𝐞𝐚𝐫𝐧 𝐌𝐨𝐫𝐞: seqrite.com/endpoint-protect… #Seqrite #CyberSecurity #EndpointSecurity #RansomwareProtection #ZeroDayThreats #CloudSecurity #EnterpriseSecurity