Nitrogen Dropping Cobalt Strike – A Combination of 'Chemical Elements'

The Nitrogen ransomware group has expanded its operations from North America to Africa and Europe since September 2024. They utilize malvertising tactics, disguising malicious payloads as legitimate software like WinSCP. The group employs DLL sideloading for initial access, followed by Cobalt Strike for lateral movement and post-exploitation activities. The analysis reveals their use of a compromised host as a pivot system and attempts to cover tracks by clearing Windows logs. The investigation uncovered Cobalt Strike configurations through pattern analysis, byte-level XOR decryption, and custom YARA rules. Crash dump analysis using Windows Error Reporting artifacts and WinDBG proved crucial in identifying in-memory indicators of Cobalt Strike beacons and related structures.

Pulse ID: 68152a24acebea26273bad51
Pulse Link: https://otx.alienvault.com/pulse/68152a24acebea26273bad51
Pulse Author: AlienVault
Created: 2025-05-02 20:25:08

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

Finding Minhook in a sideloading attack – and Sweden too

A threat actor campaign targeting multiple locations was observed in late 2023 and early 2024. Initially focused on the Far East, it later shifted to Sweden. The attacks used DLL sideloading techniques, employing the Minhook library to detour Windows API calls. The clean loader was obtained from infected systems rather than being part of the sideloading package. Components were signed with a compromised digital signature. The final payload was Cobalt Strike. Three sideloading scenarios were identified: MiracastView, PrintDialog, and SystemSettings. The Swedish connection revealed an installer with components from previous scenarios and the use of an expired digital signature from a Korean game developer.

Pulse ID: 68138a216574269c2912f720
Pulse Link: https://otx.alienvault.com/pulse/68138a216574269c2912f720
Pulse Author: AlienVault
Created: 2025-05-01 14:50:09

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Apple torpediert #Sideloading: EU-Kommission sieht weitere #DMA-Verstöße | Mac & i https://www.heise.de/news/Apple-torpediert-Sideloading-EU-Kommission-sieht-weitere-DMA-Verstoesse-10360074.html #DigitalMarketsAct

Apple und Meta wegen Verstößen gegen EU-Digitalgesetzgebung mit Geldstrafen belegt
Die Europäische Kommission hat Apple mit 500 Millionen Euro und Meta mit 200 Millionen Euro belegt. Es ha
https://www.apfeltalk.de/magazin/feature/apple-und-meta-wegen-verstoessen-gegen-eu-digitalgesetzgebung-mit-geldstrafen-belegt/
#Feature #Tellerrand #AppStore #Apple #BigTech #Datenschutz #DigitalMarketsAct #DigitaleRegulierung #DMA #EU #Kartellrecht #Meta #Sideloading #Strafzahlung #Trump #Wettbewerb

Apple e Meta: stangata DMA con multa da 700 milioni di euro
#Antitrust #AppStore #Apple #BigTech #DigitalMarketsAct #DMA #Economia #Facebook #Gatekeeper #Instagram #Meta #Multe #Notizie #Privacy #Regolamentazione #Sanzioni #Sideloading #TechNews #Tecnologia #UE

https://www.ceotech.it/apple-e-meta-stangata-dma-con-multa-da-700-milioni-di-euro/

Google Play Protect si potenzia per un Android più sicuro
#Aggiornamento #Android #App #AppFinanziarie #BadgeVerificato #CyberSecurity #Google #GooglePlayProtect #GooglePlayStore #Malware #Notizie #Novità #PlayProtect #PlayStore #Protezione #Sicurezza #Sideloading #TechNews #Tecnologia #VPN

https://www.ceotech.it/google-play-protect-si-potenzia-per-un-android-piu-sicuro/

Sideloading-Frage vorerst geklärt: Brasilianisches Gericht stärkt Apple den Rücken
Apple kann erst einmal aufatmen: Ein brasilianisches Gericht hat die Verpflichtung zur Einführung von Sideloading vorübergehend aufgeho
https://www.apfeltalk.de/magazin/news/sideloading-frage-vorerst-geklaert-brasilianisches-gericht-staerkt-apple-den-ruecken/
#News #Services #AppStore #Apple #Brasilien #Cade #Datenschutz #DigitalMarketsAct #EpicGames #Gerichtsurteil #Regulierung #Sideloading #Wettbewerb

Apple na razie nie musi włączać sideloadingu w tym kraju

Apple na razie nie musi umożliwiać użytkownikom w Brazylii korzystania z sideloadingu, czyli instalowania aplikacji spoza App Store.

Jak donosi 9to5Mac, brazylijski sąd tymczasowo zawiesił wcześniejsze orzeczenie, które nakazywało firmie Apple wprowadzenie takiej opcji w tym kraju.

Decyzja ta jest wynikiem trwającego sporu między brazylijskim rządem a Apple. Wcześniej lokalne władze regulacyjne naciskały na otwarcie ekosystemu Apple, argumentując, że sideload zwiększy konkurencję i da konsumentom więcej możliwości wyboru. Z kolei Apple sprzeciwia się temu, powołując się na kwestie bezpieczeństwa i prywatności – według firmy sideload mógłby narazić użytkowników na złośliwe oprogramowanie i inne zagrożenia.

Aplikacje bez danych „handlowca” usunięte z App Store w UE

Dzięki najnowszemu orzeczeniu sądu Apple może na razie zachować obecny model App Store w Brazylii. Jest to jednak rozwiązanie tymczasowe, a przyszłość tej sprawy wciąż pozostaje otwarta – możliwe są dalsze kroki prawne lub zmiany w przepisach.

Sprawa w Brazylii odzwierciedla szerszą, globalną debatę na temat kontroli dużych firm technologicznych nad ich ekosystemami. Podobne dyskusje toczą się na przykład w Unii Europejskiej, gdzie ustawa o rynkach cyfrowych (DMA) zmusiła Apple do pewnych zmian. Jak ostatecznie rozwinie się sytuacja w Brazylii, dowiemy się w najbliższych miesiącach.

Mac App Store przestaje działać na starszych wersjach macOS

#Apple verliert #Sideloading-Klage in Brasilien, "Fortnite" kommt | Mac & i https://www.heise.de/news/Apple-verliert-Sideloading-Klage-in-Brasilien-Fortnite-kommt-10311216.html #AppStore #AppleAppStore

Google Play Protect: pausa temporanea per sideloading
#Aggiornamento #Android #App #Google #GooglePlayProtect #GooglePlayStore #Malware #Notizie #Novità #Pausa #PlayProtect #PlayStore #Scansione #Sicurezza #Sideloading #TechNews #Tecnologia #Test

https://www.ceotech.it/google-play-protect-pausa-temporanea-per-sideloading/

Global Pressure Mounts for Apple as Brazilian Court Demands iOS Sideloading Within 90 Days – Source: www.techrepublic.com https://ciso2ciso.com/global-pressure-mounts-for-apple-as-brazilian-court-demands-ios-sideloading-within-90-days-source-www-techrepublic-com/ #rssfeedpostgeneratorecho #SecurityonTechRepublic #SecurityTechRepublic #CyberSecurityNews #thirdpartyapps #Cybersecurity #International #sideloading #Technology #AppleiOS #Mobility #Security #Software #Brazil #Apple #Apps

#Brazil Orders #Apple To Allow #iOS #Sideloading Within 90 Days

https://valorinternational.globo.com/law/news/2025/03/06/circuit-court-reinstates-antitrust-ruling-against-apple.ghtml

If Europe can do it, so can Brazil!

Apple must allow app sideloading in Brazil within 90 days, judge orders

https://www.engadget.com/apps/apple-must-allow-app-sideloading-in-brazil-within-90-days-judge-orders-130037196.html?src=rss

Apple devra bien autoriser le sideloading au Brésil http://dlvr.it/TJNPgB #Apple #Sideloading

Breaking News: #iOS still doesn't do #Sideloading, even in the EU. Who knew that the groundbreaking, earth-shattering Digital Markets Act wasn't a magic wand? #Apple must be too busy polishing their walled garden to notice. So keep dreaming, hobbyists and EU dwellers, because sideloading on iOS is still as fictional as unicorns and truly open ecosystems.
https://doesioshavesideloadingyet.com/ #DigitalMarketsAct #WalledGarden #TechNews #HackerNews #ngated

Does iOS Have Sideloading Yet? No — https://doesioshavesideloadingyet.com/
#HackerNews #iOS #sideloading #Apple #privacy #technology #news

I’m already noticing elements in nyx for insta stop working. #sideloading