SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-06-17 00:43:16	Analyse du cas d'attaque Installation de VPN douce sur le serveur ERP coréen Analysis of Attack Case Installing SoftEther VPN on Korean ERP Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert un cas d'attaque où un acteur de menace a attaqué le serveur ERPd'une société coréenne et installé un serveur VPN.Dans le processus de compromis initial, l'acteur de menace a attaqué le service MS-SQL et a ensuite installé un shell Web pour maintenir la persistance et contrôler le système infecté.Ils ont ensuite finalement installé Softether VPN pour utiliser le système infecté en tant que serveur VPN.1. Les services proxy et VPN proxy et VPN sont des technologies qui ... AhnLab SEcurity intelligence Center (ASEC) has recently discovered an attack case where a threat actor attacked the ERP server of a Korean corporation and installed a VPN server. In the initial compromise process, the threat actor attacked the MS-SQL service and later installed a web shell to maintain persistence and control the infected system. They then ultimately installed SoftEther VPN to utilize the infected system as a VPN server. 1. Proxy and VPN Services Proxy and VPN are technologies that...	Threat
	2024-06-14 07:57:42	Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (1) Linux Defense Evasion Techniques Detected by AhnLab EDR (1) (lien direct)	Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisations distinctes responsables de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.En tant que tels, les acteurs de la menace utilisent des techniques d'évasion de défense à la suite du compromis initial pour contourner la détection des produits de sécurité.La forme la plus simple consiste à contourner le ... Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions but also firewalls, APT defense solutions, and products such as EDR. Even in general user environments without separate organizations responsible for security, most of them have basic security products installed. As such, threat actors use defense evasion techniques following the initial compromise to bypass the detection of security products. The simplest form is bypassing the...	Threat		★★
	2024-06-13 07:44:20	Botnet installant des logiciels malveillants à benerat Botnet Installing NiceRAT Malware (lien direct)	1.Présentation Ahnlab Security Intelligence Center (ASEC) a confirmé que la tendance des botnets depuis 2019 a été continuellement utilisée pour installer des logiciels malveillants Ninerat.Un botnet est un groupe d'appareils infectés par des logiciels malveillants et contrôlés par un acteur de menace.Parce que les acteurs de la menace ont principalement lancé des attaques DDOS à l'aide de botnets dans le passé, Nitol et d'autres souches de logiciels malveillants utilisées dans les attaques DDOS ont été perçues comme les souches clés qui forment des botnets.Récemment, cependant, des souches de logiciels malveillants tels que Nanocore et Emotet qui effectuent des comportements malveillants ... 1. Overview AhnLab Security intelligence Center (ASEC) confirmed that botnets trending since 2019 have been continuously used to install NiceRAT malware. A botnet is a group of devices infected by malware and controlled by a threat actor. Because threat actors mainly launched DDoS attacks using botnets in the past, Nitol and other malware strains used in DDoS attacks were perceived as the key strains that form botnets. Recently, however, malware strains such as NanoCore and Emotet that perform malicious behaviors...	Malware Threat		★★
	2024-06-13 07:06:14	KeyLogger installé à l'aide de la vulnérabilité de l'éditeur d'équation de MS Office (Kimsuk) Keylogger Installed Using MS Office Equation Editor Vulnerability (Kimsuky) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a identifié les détails du groupe de menaces Kimsuky qui exploitait récemment une vulnérabilité (CVE-2017-11882) Dans l'éditeur d'équation inclus dans MS Office (Eqnedt32.exe) pour distribuer un Keylogger.L'acteur de menace a distribué le Keylogger en exploitant la vulnérabilité pour exécuter une page avec un script malveillant intégré avec le processus MSHTA.La page à laquelle Mshta se connecte est http://xxxxxxxxxx.xxxxxx.xxxxxxx.com/images/png/error.php et utilise le nom de fichier error.php.Comme le montre la figure 2, le & # 8220; introuvable & # 8221;Le message le fait ... AhnLab SEcurity intelligence Center (ASEC) has identified the details of the Kimsuky threat group recently exploiting a vulnerability (CVE-2017-11882) in the equation editor included in MS Office (EQNEDT32.EXE) to distribute a keylogger. The threat actor distributed the keylogger by exploiting the vulnerability to run a page with an embedded malicious script with the mshta process. The page that mshta connects to is http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php and uses the file name error.php. As shown in Figure 2, the “Not Found” message makes it...	Vulnerability Threat		★★★
	2024-06-12 04:24:10	Attaques contre Linux SSH Services détectés par Ahnlab EDR Attacks Against Linux SSH Services Detected by AhnLab EDR (lien direct)	Secure Shell (SSH) est un protocole standard pour les connexions terminales sécurisées et est généralement utilisé pour contrôler les Linux distantsSystèmes.Contrairement au système d'exploitation Windows que les utilisateurs individuels utilisent pour les ordinateurs de bureau, les systèmes Linux remplissent principalement le rôle des serveurs fournissant le Web, la base de données, le FTP, le DNS et d'autres services.Bien sûr, Windows prend également en charge ces services en tant que serveur.Pour Windows et Linux, les exécuter en tant que serveur nécessite un outil pour les contrôler à distance.Windows a un protocole de bureau à distance (RDP) pour ... Secure SHell (SSH) is a standard protocol for secure terminal connections and is generally used for controlling remote Linux systems. Unlike Windows OS that individual users use for desktops, Linux systems mainly fulfill the role of servers providing web, database, FTP, DNS, and other services. Of course, Windows also supports these services as a server. For both Windows and Linux, running them as a server requires a tool to remotely control them. Windows has a Remote Desktop Protocol (RDP) for...	Tool		★★
	2024-06-12 04:20:20	Bondnet utilisant des bots mineurs comme C2 Bondnet Using Miner Bots as C2 (lien direct)	Bondnet est devenu le public pour la première fois dans un rapport d'analyse publié par GuardiCore en 20171 et Bondnet & # 8217;S Backdoor a été couvert dans un rapport d'analyse sur le mineur XMRIG ciblant les serveurs SQL publiés par le rapport DFIR en 20222. Il n'y a eu aucune information sur les activités de l'actrice de Bondnet Threat, mais il a été confirmé qu'ils avaient poursuivi leurs attaques jusqu'à ce queCes derniers temps.Ahnlab Security Intelligence Center (ASEC) a trouvé à travers l'analyse des systèmes infectés par des mineurs BondNet que le Bondnet menace ... Bondnet first became known to the public in an analysis report published by GuardiCore in 20171 and Bondnet’s backdoor was covered in an analysis report on XMRig miner targeting SQL servers released by DFIR Report in 20222. There has not been any information on the Bondnet threat actor’s activities thereon, but it was confirmed that they had continued their attacks until recent times. AhnLab SEcurity Intelligence Center (ASEC) found through analyzing systems infected with Bondnet miners that the Bondnet threat...	Threat		★★
	2024-06-11 01:06:56	Smalltiger malware utilisés contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used Against South Korean Businesses (Kimsuky and Andariel) (lien direct)	Ahnlab Security Intelligence Center (ASEC) répond à des cas récemment découverts qui utilisent les logiciels malveillants Smalltiger pour attaquerEntreprises sud-coréennes.La méthode d'accès initial n'a pas encore été identifiée, mais l'acteur de menace a distribué Smalltiger dans les entreprises & # 8217;Systèmes pendant la phase de mouvement latérale.Les entrepreneurs de la défense sud-coréens, les constructeurs de pièces automobiles et les fabricants de semi-conducteurs sont quelques-uns des objectifs confirmés.Les attaques ont été trouvées pour la première fois en novembre 2023 et les souches de logiciels malveillants trouvés à l'intérieur des systèmes affectés ... AhnLab SEcurity intelligence Center (ASEC) is responding to recently discovered cases that are using the SmallTiger malware to attack South Korean businesses. The method of initial access has not yet been identified, but the threat actor distributed SmallTiger into the companies’ systems during the lateral movement phase. South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers are some of the confirmed targets. The attacks were first found in November 2023, and the malware strains found inside the affected systems...	Malware Threat		★★
	2024-06-11 00:56:03	REMCOS RAT Distribué en tant que fichier UUencoding (UUe) Remcos RAT Distributed as UUEncoding (UUE) File (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que Remcos Rat était distribué via des dossiers Uuencoding (UUE)comprimé à l'aide de Power Archiver.L'image ci-dessous montre un e-mail de phishing distribuant le téléchargeur Remcos Rat.Les destinataires doivent être vigilants car les e-mails de phishing sont déguisés en e-mails concernant l'importation / exportation des expéditions ou des devis.1. Uue L'acteur de menace distribue un script VBS codé à l'aide de la méthode UUe via une pièce jointe.La méthode UUE, abréviation du codage Unix-to-Unix, est une méthode utilisée pour échanger des données ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that Remcos RAT is being distributed via UUEncoding (UUE) files compressed using Power Archiver. The image below shows a phishing email distributing the Remcos RAT downloader. Recipients must be vigilant as phishing emails are disguised as emails about importing/exporting shipments or quotations. 1. UUE The threat actor distributes a VBS script encoded using the UUE method through an attachment. The UUE method, short for Unix-to-Unix Encoding, is a method used to exchange data...	Threat		★★★
	2024-06-11 00:44:51	Attaques aptes utilisant le stockage cloud APT Attacks Using Cloud Storage (lien direct)	Ahnlab Security Intelligence Center (ASEC) a partagé des cas d'attaques dans lesquels les acteurs de la menace utilisent des services de cloud telsEn tant que Google Drive, OneDrive et Dropbox pour collecter des informations utilisateur ou distribuer des logiciels malveillants.[1] [2] [3] & # 160; Les acteurs de la menace télécharge principalement des scripts malveillants, des souches de logiciels malveillants de rat et des documents de leurre sur les serveurs cloud pour effectuer des attaques.Les fichiers téléchargés fonctionnent systématiquement et effectuent divers comportements malveillants.Le processus du premier fichier de distribution à l'exécution des logiciels malveillants de rat est le suivant: dans tel ... AhnLab SEcurity intelligence Center (ASEC) has been sharing cases of attacks in which threat actors utilize cloud services such as Google Drive, OneDrive, and Dropbox to collect user information or distribute malware. [1][2][3] The threat actors mainly upload malicious scripts, RAT malware strains, and decoy documents onto the cloud servers to perform attacks. The uploaded files work systematically and perform various malicious behaviors. The process from the first distribution file to the execution of RAT malware is as follows: In such...	Malware Threat Cloud		★★
	2024-06-07 01:32:53	Scams en ligne: que devrions-nous faire à ce sujet? Online Scams: So What Should We Do About It? (lien direct)	Ahnlab Security Intelligence Center (ASEC) a publié la série d'escroqueries en ligne pour informer les lecteurs du jamais-Commer des escroqueries.La prévention et le blocage sont les deux mesures les plus importantes pour atténuer les dommages infligés par les escroqueries.Divers fournisseurs de sécurité soutiennent les fonctionnalités pour détecter et bloquer les dommages causés par les escroqueries, les fraudes financières et le phishing.Cependant, les produits de sécurité ne peuvent à eux seuls pas bloquer toutes les escroqueries.Pour éviter les escroqueries, les utilisateurs doivent prendre une prudence plus prudente individuellement, prévoir les signes des escroqueries et répondre de manière appropriée .... AhnLab SEcurity intelligence Center (ASEC) has been publishing the Online Scams series to inform the readers about the ever-evolving scams. Prevention and blocking are the two most important measures to mitigate the damage inflicted by scams. Various security providers are supporting features to detect and block the damage from scams, financial frauds, and phishing. However, security products alone cannot block all the scams. To prevent scams, users must take extra caution individually, foresee the signs of scams, and respond appropriately....			★★
	2024-06-05 04:33:42	Les acteurs de la menace \\ 'peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors\\' Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct)	Les types de cyberattaques incluent non seulement les attaques avancées de menace persistante (APT) ciblant quelques entreprises ou organisations spécifiques, mais maisAnalyse également des attaques ciblant plusieurs serveurs aléatoires connectés à Internet.Cela signifie que les infrastructures des acteurs de la menace peuvent devenir les cibles de la cyberattaque aux côtés des entreprises, des organisations et des utilisateurs personnels.AHNLAB Security Intelligence Center (ASEC) a confirmé un cas dans lequel un serveur proxy de l'attaquant de Coinming, est devenu la cible d'une attaque de numérisation de la menace de menace de ransomware. Types of cyberattack include not only Advanced Persistent Threat (APT) attacks targeting a few specific companies or organizations but also scan attacks targeting multiple random servers connected to the Internet. This means that the infrastructures of threat actors can become the targets of cyberattack alongside companies, organizations, and personal users. AhnLab SEcurity intelligence Center (ASEC) has confirmed a case in which a CoinMiner attacker’s proxy server became a target of a ransomware threat actor’s Remote Desktop Protocol (RDP) scan attack....	Ransomware Threat		★★
	2024-06-05 02:17:12	Avertissement contre les e-mails de phishing provoquant l'exécution des commandes via la pâte (CTRL + V) Warning Against Phishing Emails Prompting Execution of Commands via Paste (CTRL+V) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les fichiers de phishing étaient distribués par e-mails.Les fichiers de phishing (HTML) ont joint aux e-mails invitent les utilisateurs à coller directement (Ctrl + V) et à exécuter les commandes.L'acteur de menace a envoyé des e-mails sur le traitement des frais, les révisions d'instructions de fonctionnement, etc. pour inciter les destinataires à ouvrir les pièces jointes.Lorsqu'un utilisateur ouvre le fichier HTML, un arrière-plan et un message déguisé en MS Word apparaissent.Le message indique à l'utilisateur de cliquer sur & # 8220; comment réparer & # 8221; ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that phishing files are being distributed via emails. The phishing files (HTML) attached to the emails prompt users to directly paste (CTRL+V) and run the commands. The threat actor sent emails about fee processing, operation instruction reviews, etc. to prompt recipients to open the attachments. When a user opens the HTML file, a background and a message disguised as MS Word appear. The message tells the user to click the “How to fix”...	Threat		★★
	2024-06-05 02:03:46	Attaques ciblant les serveurs MS-SQL détectés par Ahnlab EDR Attacks Targeting MS-SQL Servers Detected by AhnLab EDR (lien direct)	Les serveurs MS-SQL sont l'un des principaux vecteurs d'attaque utilisés lors du ciblage des systèmes Windows car ils utilisent des mots de passe simpleset sont ouverts publiquement à Internet externe.Les acteurs de la menace trouvent des serveurs MS-SQL mal gérés et les scanner avant d'effectuer des attaques de force brute ou de dictionnaire pour se connecter avec les privilèges de l'administrateur.Une fois que les acteurs de la menace ont atteint ce point, ils utilisent ensuite divers moyens pour installer des logiciels malveillants et prendre le contrôle des systèmes infectés.Ahnlab Security Intelligence Center (ASEC) moniteurs ... MS-SQL servers are one of the main attack vectors used when targeting Windows systems because they use simple passwords and are open publicly to the external Internet. Threat actors find poorly managed MS-SQL servers and scan them before carrying out brute force or dictionary attacks to log in with administrator privileges. Once the threat actors have reached this point, they then utilize various means to install malware and gain control over the infected systems. AhnLab SEcurity intelligence Center (ASEC) monitors...	Malware Threat		★★★
	2024-05-30 05:22:02	XMRIG COINMINER installé via un émulateur de jeu XMRig CoinMiner Installed via Game Emulator (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment constaté que XMRIG Coinminner est distribué via un émulateur de jeu. &# 160; des cas similaires ont été introduits dans les articles de blog ASEC précédents plusieurs fois comme indiqué ci-dessous.1. Canal de distribution Le Coinmin a été distribué sur un site Web qui fournit un émulateur de jeu pour une console de jeu bien connue.Lorsqu'un utilisateur clique sur le bouton de téléchargement sur le côté droit de la page Web, un fichier compressé contenant l'émulateur de jeu est téléchargé.Recherche de l'émulateur de jeu ... AhnLab SEcurity intelligence Center (ASEC) recently found that XMRig CoinMiner is being distributed through a game emulator. Similar cases were introduced in previous ASEC Blog posts multiple times as shown below. 1. Distribution Channel The CoinMiner was found to be distributed on a website that provides a game emulator for a well-known gaming console. When a user clicks the download button on the right side of the webpage, a compressed file containing the game emulator is downloaded. Searching the game emulator...			★★
	2024-05-30 05:18:58	XWORM V5.6 MALWOWIRS DISTRIBURÉS VIALEMENT XWorm v5.6 Malware Being Distributed via Webhards (lien direct)	Tout en surveillant les sources de distribution de logiciels malveillants en Corée, Ahnlab Security Intelligence Center (ASEC) a récemment découvert que leXworm V5.6 Malware déguisé en jeux pour adultes est en cours de distribution via des webards.Les webards et les torrents sont des plateformes couramment utilisées pour la distribution des logiciels malveillants en Corée.1. Les attaquants de vue d'ensemble utilisent normalement des souches de logiciels malveillants facilement disponibles telles que NJRAT et RAT UDP et les déguisent en programmes normaux, y compris des jeux ou du contenu pour adultes pour la distribution.Des cas similaires ont été introduits dans le blog ASEC précédent ... While monitoring the distribution sources of malware in Korea, AhnLab SEcurity intelligence Center (ASEC) recently found that the XWorm v5.6 malware disguised as adult games is being distributed via webhards. Webhards and torrents are platforms commonly used for the distribution of malware in Korea. 1. Overview Attackers normally use easily obtainable malware strains such as njRAT and UDP RAT and disguise them as normal programs including games or adult content for distribution. Similar cases were introduced in previous ASEC Blog...	Malware		★★
	2024-05-30 05:12:51	Analyse des cas d'attaque APT utilisant Dora Rat contre les sociétés coréennes (Andariel Group) Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert les cas d'attaque Andariel APT contre les sociétés coréennes et les instituts.Les organisations ciblées comprenaient des établissements d'enseignement et des entreprises de fabrication et de construction en Corée.Keylogger, Infostaler et des outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques.L'acteur de menace a probablement utilisé ces souches de logiciels malveillants pour contrôler et voler des données des systèmes infectés.Les attaques avaient des souches de logiciels malveillants identifiées dans les cas passés d'Andariel, dont le plus notable est Nestdoor, un ... AhnLab SEcurity intelligence Center (ASEC) has recently discovered Andariel APT attack cases against Korean corporations and institutes. Targeted organizations included educational institutes and manufacturing and construction businesses in Korea. Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks. The threat actor probably used these malware strains to control and steal data from the infected systems. The attacks had malware strains identified in Andariel group’s past cases, the most notable of which is Nestdoor, a...	Malware Tool Threat		★★
	2024-05-30 04:36:51	Distribution de logiciels malveillants sous le couvert de versions fissurées de MS Office (XMRIG, Orcusrat, etc.) Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) (lien direct)	par le biais d'un article intitulé & # 8220; rat orcus distribué déguisé en hangul processeur de mots crack & # 8221;[1], Ahnlab Security Intelligence Center (ASEC) a précédemment révélé un cas d'attaque dans lequel un acteur de menace distribuait des rats et des co -minoirs aux utilisateurs coréens.Jusqu'à récemment, l'attaquant a créé et distribué diverses souches de logiciels malveillants, tels que les téléchargeurs, Coinmin, Rat, Proxy et Antiav.De nombreux systèmes en Corée du Sud ont tendance à être infectés par des souches de logiciels malveillants qui sont distribuées sous le couvert de versions fissurées de programmes légitimes, tels que le traitement de texte hangul ou les outils d'activation pour Windows ou Microsoft Office.Les acteurs de la menace ont mis à niveau leurs logiciels malveillants en ajoutant une autre couche à ce processus, qui s'inscrit au planificateur de tâches dans le système infecté.Après la tâche ... Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until recently, the attacker created and distributed various malware strains, such as downloaders, CoinMiner, RAT, Proxy, and AntiAV. Numerous systems in South Korea tend to become infected by malware strains that are distributed under the guise of cracked versions of legitimate programs, such as Hangul Word Processor or activation tools for Windows or Microsoft Office. Threat actors have been upgrading their malware by adding another layer to this process, which is registering to the Task Scheduler in the infected system. After task...	Malware Tool Threat		★★
	2024-05-20 01:08:29	Escroqueries en ligne: n'importe qui peut tomber pour les escroqueries Online Scams: Anyone Can Fall for Scams (lien direct)	personne n'est à l'abri des escroqueries.En fait, les escroqueries ciblant les sociétés et les organisations emploient des scénarios d'attaque méticuleusement sociaux.Contrairement à la solution de ciblage des individus ou des escroqueries en ligne, de telles attaques conçoivent des scénarios de phishing adaptés basés sur des informations précédemment collectées sur la cible.En tant que tel, il n'est pas facile pour l'organisation victime de reconnaître l'arnaque.Cet article explorera les e-mails des e-mails commerciaux (BEC) et les e-mails de phishing de lance, qui sont tous deux des exemples d'arnaque principaux ciblant les sociétés et les organisations, avec un ... spécifique No one is safe from scams. In fact, scams targeting corporations and organizations employ meticulously social-engineered attack scenarios. Unlike smishing targeting individuals or online shopping scams, such attacks design tailored phishing scenarios based on previously collected information about the target. As such, it is not easy for the victim organization to recognize the scam. This post will explore the business email compromise (BEC) and spear phishing emails, both of which are primary scam examples targeting corporations and organizations, with specific...			★★
	2024-05-16 01:02:40	Vipersoftx utilise Tesseract basé sur l'apprentissage en profondeur pour exfiltrater des informations ViperSoftX Uses Deep Learning-based Tesseract to Exfiltrate Information (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaquants de Vipersoftx utilisant Tesseract pour exfiltrat les utilisateurs & # 8217;Fichiers d'image.Vipersoftx est une souche malveillante responsable de la résidence sur les systèmes infectés et de l'exécution des attaquants & # 8217;commandes ou voler des informations liées à la crypto-monnaie.Le logiciel malveillant nouvellement découvert cette fois utilise le moteur OCR open-source Tesseract.Tesseract extrait des textes d'images utilisant des techniques d'apprentissage en profondeur.Le malware utilisé dans l'attaque lit les images stockées sur les systèmes infectés et extrait les chaînes à l'aide de l'outil Tesseract.Si le ... AhnLab SEcurity intelligence Center (ASEC) has recently discovered ViperSoftX attackers using Tesseract to exfiltrate users’ image files. ViperSoftX is a malware strain responsible for residing on infected systems and executing the attackers’ commands or stealing cryptocurrency-related information. The malware newly discovered this time utilizes the open-source OCR engine Tesseract. Tesseract extracts texts from images using deep learning techniques. The malware used in the attack reads images stored on the infected systems and extracts strings using the Tesseract tool. If the...	Malware Tool		★★★
	2024-05-14 01:20:42	Distribution de Danabot Malware via des fichiers Word détectés par Ahnlab EDR Distribution of DanaBot Malware via Word Files Detected by AhnLab EDR (lien direct)	Il existe deux types de documents malveillants qui sont distribués par e-mail récemment: ces éditeurs d'équation exploitant et les notamment les notammentURL de liaison externe.Ce message décrira le flux d'infection du malware Danabot qui est distribué via des documents contenant des liens externes, cette dernière méthode, ainsi que le processus de preuve et de détection avec le diagramme AHNLAB EDR & # 8217; & # 160; & # 160; La figure 1 montre le contenu d'un e-mail de spam avec un document Word joint qui contient un lien externe.Comme vous pouvez ... There are two types of malicious documents that are distributed via email recently: those exploiting equation editor and those including external link URLs. This post will describe the infection flow of the DanaBot malware that is distributed through documents containing external links, the latter method, as well as the evidence and detection process with the AhnLab EDR product’s diagram. Figure 1 shows the content of a spam email with a Word document attached that contains an external link. As you can...	Spam Malware		★★
	2024-05-14 01:10:25	Accès initial aux serveurs Web IIS détectés par Ahnlab EDR Initial Access to IIS Web Servers Detected by AhnLab EDR (lien direct)	dans la société Internet moderne, on peut facilement obtenir des informations sur les appareils du monde entier connectés à InternetUtilisation des moteurs de recherche de réseau et de périphériques tels que Shodan.Les acteurs de la menace peuvent utiliser ces moteurs de recherche pour adopter des comportements malveillants tels que la collecte d'informations sur les cibles d'attaque ou effectuer des attaques de balayage de port contre tous les appareils.L'acteur de menace utilise les informations collectées pour trouver des faiblesses dans le système cible et tenter l'accès initial.En fin de compte, ils sont capables d'atteindre ... In the modern Internet society, one can easily obtain information on devices all over the world connected to the Internet using network and device search engines such as Shodan. Threat actors can use these search engines to engage in malicious behaviors such as collecting information on attack targets or performing port scanning attacks against any devices. The threat actor utilizes the information collected to find weaknesses in the target system and attempt initial access. Ultimately, they are able to attain...	Threat		★★
	2024-05-13 01:48:46	Escroqueries romanes exhortant l'investissement de la pièce Romance Scams Urging Coin Investment (lien direct)	L'équipe d'analyse mobile de Ahnlab & # 8217;amis à l'étranger ou partenaires romantiques.Ils exploitent ce lien pour solliciter de l'argent sous couvert d'investissements de crypto-monnaie.Une arnaque romantique est un type de fraude qui implique une manipulation émotionnelle pour solliciter de l'argent par divers moyens.Alors que les escroqueries romanes précédentes impliquaient principalement des demandes directes d'argent après avoir gagné de l'affection, les escroqueries actuelles ont élargi leur portée pour inclure de faux échanges de crypto-monnaie, des banques et des achats en ligne ... AhnLab’s Mobile Analysis Team has confirmed cases of romance scams where perpetrators establish rapport by posing as overseas friends or romantic partners. They exploit this connection to solicit money under the guise of cryptocurrency investments. A romance scam is a type of fraud that involves emotional manipulation to solicit money through various means. While previous romance scams mostly involved direct requests for money after gaining affection, current scams have expanded their scope to include fake cryptocurrency exchanges, banks, and online shopping...	Threat Mobile		★★★
	2024-05-13 01:00:30	MALWORED DISTRIBUTÉE MATÉRIAUX liés à la violation du droit d'auteur (bête ransomware, Vidar Infostealer) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct)	Ahnlab Security Intelligence Center (ASEC) couvrait continuellement un malware déguisé en avertissements de violation en droit d'auteur et curricuMoyens de distribution de ransomwares et d'infostateurs.La distribution d'une nouvelle souche de logiciels malveillants a été identifiée sur la base d'un avertissement de violation du droit d'auteur récent, et il sera couvert ici.1. Présentation du contenu de l'e-mail reste largement inchangé, mais un changement dans la méthode de livraison de logiciels malveillants a été confirmé.Auparavant, des fichiers compressés avec les mots de passe définis ont été joints aux e-mails, ... AhnLab SEcurity Intelligence Center (ASEC) has been continuously covering malware disguised as copyright violation warnings and resumes as a means of distributing ransomware and Infostealers. The distribution of a new malware strain has been identified based on a recent copyright infringement warning, and it will be covered here. 1. Overview The content of the email remains largely unchanged, but a change in the method of delivering malware has been confirmed. Previously, compressed files with passwords set were attached to emails,...	Ransomware Malware		★★★
	2024-05-08 01:16:38	CHM malware volant les informations utilisateur distribuées en Corée CHM Malware Stealing User Information Being Distributed in Korea (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert les circonstances d'une souche malveillante CHM qui vole les informations utilisateur étantdistribué aux utilisateurs coréens.Le CHM distribué est un type qui a été constamment distribué dans divers formats tels que LNK, DOC et Onenote du passé.Un léger changement dans le processus d'opération a été observé dans les échantillons récents.Le flux d'exécution global est illustré à la figure 1. Le malware est un type qui utilise plusieurs scripts pour finalement envoyer ... AhnLab SEcurity intelligence Center (ASEC) has recently discovered circumstances of a CHM malware strain that steals user information being distributed to Korean users. The distributed CHM is a type that has been constantly distributed in various formats such as LNK, DOC, and OneNote from the past. A slight change to the operation process was observed in the recent samples. The overall execution flow is shown in Figure 1. The malware is a type that uses multiple scripts to ultimately send...	Malware		★★★
	2024-05-08 00:59:58	Cas de distribution de logiciels malveillants liant le site Web de jeu illégal ciblant le serveur Web coréen Case of Malware Distribution Linking to Illegal Gambling Website Targeting Korean Web Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ... AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as...	Malware Tool Threat		★★
	2024-05-08 00:33:38	Remcosrat distribué à l'aide de la stéganographie RemcosRAT Distributed Using Steganography (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié le remcosrat distribué à l'aide de la technique de stéganographie.Les attaques commencent par un document Word en utilisant la technique d'injection de modèle, après quoi un RTF qui exploite une vulnérabilité dans l'éditeur d'équation (Eqnedt32.exe) est téléchargé et exécuté.Le fichier RTF télécharge un VBScript avec le & # 8220; .jpg & # 8221;Extension de fichier à partir du C2 et un autre VBScript de & # 8220; Paste.ee & # 8221;, un service similaire à & # 8220; Pastebin & # 8221;où on peut télécharger du texte gratuitement.Le VBScript téléchargé est obscurci avec ... AhnLab SEcurity intelligence Center (ASEC) has recently identified RemcosRAT being distributed using the steganography technique. Attacks begin with a Word document using the template injection technique, after which an RTF that exploits a vulnerability in the equation editor (EQNEDT32.EXE) is downloaded and executed. The RTF file downloads a VBScript with the “.jpg” file extension from the C2 and another VBScript from “paste.ee”, a service similar to “Pastebin” where one can upload text for free. The downloaded VBScript is obfuscated with...	Vulnerability		★★★
	2024-05-07 01:14:46	Scams en ligne: sont-ils toutes des escroqueries?Distinguer le légitime de l'arnaque Online Scams: Are These All Scams? Distinguishing the Legit from the Scam (lien direct)	avec l'avancement de la technologie d'arnaque, la détermination de l'authenticité d'un site uniquement basé sur l'apparence est devenue extrêmement difficile.Dans le passé, il a été possible d'identifier les contrefaçons en observant soigneusement les écarts tels que la taille du logo, la mise en page, le libellé, le domaine, etc., que les escrocs ont souvent négligé lors de la création de sites Web ou de courriels spoofed.Cependant, les escrocs modernes produisent désormais des conceptions et un contenu d'une telle sophistication qu'ils ressemblent étroitement aux sites Web et aux e-mails authentiques.La technologie de copie de site Web a progressé au point où il est ... With the advancement of scamming technology, determining the authenticity of a site solely based on appearance has become exceedingly difficult. In the past, it was possible to identify fakes by carefully observing discrepancies such as logo size, layout, wording, domain, etc., which scammers often overlooked when creating spoofed websites or emails. However, modern scammers now produce designs and content of such sophistication that they closely resemble genuine websites and emails. Website copying technology has advanced to the point where it is...			★★★
	2024-05-07 00:50:55	Fichier LNK déguisé en certificat distribuant des logiciels malveillants Rokrat LNK File Disguised as Certificate Distributing RokRAT Malware (lien direct)	Ahnlab Security Intelligence Center (ASEC) a confirmé la distribution continue des fichiers de raccourci (* .lnk) detailles anormales qui diffusent des logiciels malveillants de type porte-porte.Les fichiers de raccourcis récemment confirmés (* .lnk) visent les utilisateurs sud-coréens, en particulier ceux liés à la Corée du Nord.Les noms de fichiers LNK confirmés sont les suivants: les fichiers LNK confirmés contiennent une commande pour exécuter PowerShell via CMD, et leur type est similaire au type trouvé dans & # 8220; ROKRAT MALWWare distribué via des fichiers LNK (* .lnk): redeedes (redeedes (Scarcruft) & # 8221; ... AhnLab SEcurity intelligence Center (ASEC) has confirmed the continuous distribution of shortcut files (.LNK) of abnormal sizes that disseminate backdoor-type malware. The recently confirmed shortcut files (.LNK) are found to be targeting South Korean users, particularly those related to North Korea. The confirmed LNK file names are as follows: The confirmed LNK files contain a command to execute PowerShell via CMD, and their type is similar to the type found in “RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)”...	Malware		★★
	2024-05-02 00:15:52	Analyse des attaques de TargetCompany \\ contre les serveurs MS-SQL (Mallox, Bluesky Ransomware) Analysis of TargetCompany\\'s Attacks Against MS-SQL Servers (Mallox, BlueSky Ransomware) (lien direct)	While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of theTargetCompany Ransomware Group Installation du ransomware Mallox.Le groupe Ransomware TargetCompany cible principalement les serveurs MS-SQL mal gérés pour installer le ransomware Mallox.Bien que ces attaques soient en cours depuis plusieurs années, nous allons ici décrire la corrélation entre les logiciels malveillants nouvellement identifiés et les cas d'attaque antérieurs impliquant la distribution du Coinmin Tor2Mine et des ransomwares bluesky.Semblable aux cas précédents, cette attaque a ciblé mal ... While monitoring attacks targeting MS-SQL servers, AhnLab SEcurity intelligence Center (ASEC) recently identified cases of the TargetCompany ransomware group installing the Mallox ransomware. The TargetCompany ransomware group primarily targets improperly managed MS-SQL servers to install the Mallox ransomware. While these attacks have been ongoing for several years, here we will outline the correlation between the newly identified malware and previous attack cases involving the distribution of the Tor2Mine CoinMiner and BlueSky ransomware. Similar to previous cases, this attack targeted improperly...	Ransomware Malware		★★
	2024-04-24 00:09:33	Distribution de l'infostaler à base d'électron Distribution of Infostealer Made With Electron (lien direct)	Ahnlab Security Intelligence Center (ASEC) a découvert une souche d'infosteller fabriquée avec un électron.Electron est un cadre qui permet de développer des applications à l'aide de JavaScript, HTML et CSS.Discord et Microsoft Vscode sont des exemples majeurs d'applications faites avec un électron.Les applications faites avec des électrons sont emballées et généralement distribuées au format d'installation du système d'installation scriptable Nullsoft (NSIS).L'acteur de menace de ce cas d'attaque a appliqué ce format d'installation au malware.[1] CAS # 1 Lorsque l'on exécute le malware, l'électron ... AhnLab SEcurity intelligence Center (ASEC) has discovered an Infostealer strain made with Electron. Electron is a framework that allows one to develop apps using JavaScript, HTML, and CSS. Discord and Microsoft VSCode are major examples of applications made with Electron. Apps made with Electron are packaged and usually distributed in Nullsoft Scriptable Install System (NSIS) installer format. The threat actor in this attack case applied this installer format to the malware. [1] Case #1 When one runs the malware, the Electron...	Malware Threat		★★
	2024-04-22 01:35:57	Cas de phishing sous le couvert de la page de connexion du portail coréen Phishing Case Under the Guise of Korean Portal Login Page (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution de fichiers de phishing identiques à la connexion du site Web de portail coréenécrans.Les cas qui se font l'identité de plusieurs sites Web de portail coréen, les marques de logistique et d'expédition et les pages de connexion WebMail ont été très courantes du passé.* Dans les images de comparaison gauche / droite utilisée dans ce post, le côté gauche montre la page de phishing et le côté droit montre la page normale.La figure 1 montre des captures d'écran de la page de phishing qui se font l'identité de la page de connexion Naver et ... AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of phishing files identical to Korean portal website login screens. Cases impersonating multiple Korean portal websites, logistics and shipping brands, and webmail login pages have been very common from the past. * In the left/right comparison images used in this post, the left side shows the phishing page and the right side shows the normal page. Figure 1 shows screenshots of the phishing page impersonating the Naver login page and...			★★
	2024-04-18 07:46:32	Analyse du rat nautique utilisé dans les attaques contre les systèmes Linux Analysis of Pupy RAT Used in Attacks Against Linux Systems (lien direct)	Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat .... Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT....	Malware Threat	APT 35	★★
	2024-04-15 01:12:41	Package «totalement inattendu» Packware à l'aide du plug-in Modified Notepad ++ (Wikiloader) “Totally Unexpected” Package Malware Using Modified Notepad++ Plug-in (WikiLoader) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié la distribution d'une version modifiée de & # 8220;mimetools.dll & # 8221;, un plug-in.Le fichier malveillant mimetools.dll en question a été inclus dans le fichier d'installation du package d'une certaine version du package Notepad ++ et déguisé en fichier de package légitime.Comme indiqué dans l'image ci-dessous, MiMetools est un module pour effectuer un codage Base64 et d'autres tâches.Il est inclus par défaut et ne nécessite pas que l'utilisateur l'ajoute manuellement .... AhnLab SEcurity intelligence Center (ASEC) has recently identified the distribution of a modified version of “mimeTools.dll”, a default Notepad++ plug-in. The malicious mimeTools.dll file in question was included in the package installation file of a certain version of the Notepad++ package and disguised as a legitimate package file. As shown in the image below, mimeTools is a module for conducting Base64 encoding and other tasks. It is included by default and does not require the user to add it manually....	Malware		★★
	2024-04-11 00:36:25	Metasploit Meterpreter installé via Redis Server Metasploit Meterpreter Installed via Redis Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que le Metasploit Meterpreter Backdoor a été installé via le service Redis.Redis est une abréviation du serveur de dictionnaire distant, qui est un stockage de structure de données en mémoire open source qui est également utilisé comme base de données.Il est présumé que les acteurs de la menace ont abusé des paramètres inappropriés ou exécuté des commandes par le biais d'attaques de vulnérabilité.Redis est utilisé à diverses fins, les principaux étant la gestion de session, le courtier de messages et les files d'attente.Autant de systèmes partout ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that the Metasploit Meterpreter backdoor has been installed via the Redis service. Redis is an abbreviation of Remote Dictionary Server, which is an open-source in-memory data structure storage that is also used as a database. It is presumed that the threat actors abused inappropriate settings or ran commands through vulnerability attacks. Redis is used for various purposes with the main ones being session management, message broker, and queues. As many systems all over...	Vulnerability Threat		★★★
	2024-04-08 05:47:42	Les acteurs de la menace piratent les chaînes YouTube pour distribuer des infostelleurs (Vidar et Lummac2) Threat Actors Hack YouTube Channels to Distribute Infostealers (Vidar and LummaC2) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert qu'il y avait un nombre croissant de cas où les acteurs de la menace utilisentYouTube pour distribuer des logiciels malveillants.Les attaquants ne créent pas simplement des canaux YouTube et distribuent des logiciels malveillants - ils volent des canaux bien connus qui existent déjà pour atteindre leur objectif.Dans l'un des cas, le canal ciblé comptait plus de 800 000 abonnés.Les acteurs de la menace qui abusent de YouTube distribuent principalement des infostelleurs.L'infostaler Redline qui a été distribué via YouTube en 2020 aussi ... AhnLab SEcurity intelligence Center (ASEC) recently found that there are a growing number of cases where threat actors use YouTube to distribute malware. The attackers do not simply create YouTube channels and distribute malware-they are stealing well-known channels that already exist to achieve their goal. In one of the cases, the targeted channel had more than 800,000 subscribers. The threat actors who abuse YouTube are mainly distributing Infostealers. The RedLine Infostealer that was distributed via YouTube in 2020 as well...	Malware Hack Threat		★★★
	2024-04-08 04:47:55	Escroqueries en ligne: je voulais juste gagner beaucoup d'argent facilement Online Scams: I Just Wanted to Make a Lot of Money Easily (lien direct)	Les escroqueries d'investissement en ligne de nos jours ne sont plus un problème limité à des nations spécifiques, devenant désormais un problème social répandu.autour du globe.Les escrocs (criminels) trompent leurs victimes par des moyens illégaux et immoraux, extorquant des actifs financiers, notamment des espèces et des actifs virtuels.Ils font généralement partie d'un syndicat criminel structuré, où ils conçoivent des scénarios sophistiqués pour commettre & # 8220; transnational & # 8221;crimes de fraude.Tout le monde peut être victime de son expertise et de sa persuasion lisse, quel que soit l'âge, le revenu ou l'intelligence.Le ... Online investment scams these days are no longer an issue limited to specific nations, now becoming a social issue prevalent around the globe. Scammers (criminals) deceive their victims through illegal and immoral means, extorting financial assets including cash and virtual assets from them. They are usually a part of a structured criminal syndicate, where they devise sophisticated scenarios to commit “transnational” fraud crimes. Anyone can fall victim to their expertise and slick persuasion, regardless of age, income, or intelligence. The...			★★
	2024-04-04 01:13:01	Rhadamanthys Malware déguisé en programme d'installation de groupware (détecté par MDS) Rhadamanthys Malware Disguised as Groupware Installer (Detected by MDS) (lien direct)	Récemment, Ahnlab Security Intelligence Center (ASEC) a découvert la distribution de Rhadamanthygroupware.L'acteur de menace a créé un faux site Web pour ressembler au site Web d'origine et exposé le site aux utilisateurs en utilisant la fonctionnalité publicitaire dans les moteurs de recherche.Le blog ASEC a précédemment couvert les logiciels malveillants distribués via ces fonctionnalités publicitaires des moteurs de recherche dans l'article intitulé & # 8220; Hé, ce n'est pas le bon site! & # 8221;Distribution des logiciels malveillants exploitant Google ADS Suivi [1].Le malware dans ... Recently, AhnLab SEcurity intelligence Center (ASEC) discovered the distribution of Rhadamanthys under the guise of an installer for groupware. The threat actor created a fake website to resemble the original website and exposed the site to the users using the ad feature in search engines. ASEC Blog has previously covered malware distributed through such ad features of search engines in the article titled “Hey, This Isn’t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking [1]. The malware in...	Malware Threat		★★
	2024-04-01 01:12:13	"Hé, ce n'est pas le bon site!"Distribution des logiciels malveillants exploitant le suivi des annonces Google “Hey, This Isn\\'t the Right Site!” Distribution of Malware Exploiting Google Ads Tracking (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment détecté une tension de logiciels malveillants distribuée en utilisant le suivi de Google ADS Googlefonctionnalité.Les cas confirmés montrent que les logiciels malveillants sont distribués en se déguisant comme un programme d'installation pour des groupes de groupes populaires tels que Notion et Slack.Une fois les logiciels malveillants installés et exécutés, il télécharge des fichiers malveillants et des charges utiles du serveur de l'attaquant.Vous trouverez ci-dessous la liste des noms de fichiers qui ont été découverts jusqu'à présent.Ce type de logiciels malveillants est ... AhnLab SEcurity intelligence Center (ASEC) has recently detected a malware strain being distributed by using the Google Ads tracking feature. The confirmed cases show that the malware is being distributed by disguising itself as an installer for popular groupware such as Notion and Slack. Once the malware is installed and executed, it downloads malicious files and payloads from the attacker’s server. Below is the list of the file names that have been discovered so far. This type of malware is...	Malware		★★
	2024-03-26 02:04:48	Malware déguisé en programme d'installation de la coréenne Public Institution (Kimsuky Group) Malware Disguised as Installer from Korean Public Institution (Kimsuky Group) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert le groupe Kimsuky distribuant des logiciels malveillants déguisés en installateur d'un coréeninstitution publique.Le malware en question est un compte-gouttes qui crée la porte dérobée Endoor, qui a également été utilisée dans l'attaque couverte dans le post précédent, «TrollAgent qui infecte les systèmes lors du processus d'installation du programme de sécurité (groupe Kimsuky)».[1] Bien qu'il n'y ait aucun enregistrement du compte-gouttes utilisé dans les attaques réelles, il y avait un cas d'attaque qui impliquait la porte dérobée ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the Kimsuky group distributing malware disguised as an installer from a Korean public institution. The malware in question is a dropper that creates the Endoor backdoor, which was also used in the attack covered in the previous post, “TrollAgent That Infects Systems Upon Security Program Installation Process (Kimsuky Group)”. [1] While there are no records of the dropper being used in actual attacks, there was an attack case that involved the backdoor created...	Malware		★★
	2024-03-21 04:19:08	Avertissement contre l'infostaler déguisé en installateur Warning Against Infostealer Disguised as Installer (lien direct)	Le malware STALC déguisé en installateur est distribué en masse.Il a été identifié comme étant téléchargé via Discord, Github, Dropbox, etc. Compte tenu des cas de distribution en utilisant des itinéraires similaires, il devrait rediriger les victimes à plusieurs reprises à partir d'une page Web malveillante déguisée en page de téléchargement pour un certain programme à l'URL de téléchargement.Stealc est un infostecteur qui extorque une variété d'informations clés telles que le système, le navigateur, le portefeuille de crypto-monnaie, la discorde, le télégramme et les données du client par courrier.Le ... The StealC malware disguised as an installer is being distributed en masse. It was identified as being downloaded via Discord, GitHub, Dropbox, etc. Considering the cases of distribution using similar routes, it is expected to redirect victims multiple times from a malicious webpage disguised as a download page for a certain program to the download URL. StealC is an Infostealer that extorts a variety of key information such as system, browser, cryptocurrency wallet, Discord, Telegram, and mail client data. The...	Malware		★★★
	2024-03-19 23:12:21	InfostElers Extorting des informations d'identification du compte du navigateur Web détecté par Ahnlab EDR Infostealers Extorting Web Browser Account Credentials Detected by AhnLab EDR (lien direct)	Les navigateurs Web sont certains des programmes les plus couramment et fréquemment utilisés par les utilisateurs de PC.Les utilisateurs utilisent généralement des navigateurs pour rechercher des informations, envoyer et recevoir des e-mails et utiliser des services Web tels que les achats.C'est le cas pour les utilisateurs individuels et les employés qui mènent des activités dans les entreprises.Pour utiliser ces services, les utilisateurs sont généralement tenus de se connecter à leurs propres comptes.Comme la connexion à chaque fois pour utiliser chaque service est gênante, la plupart des navigateurs Web prennent en charge la connexion automatique .... Web browsers are some of the programs most commonly and frequently used by PC users. Users generally use browsers to look up information, send and receive emails, and use web services such as shopping. This is the case for both individual users and employees conducting business in companies. To use these services, users are generally required to log in to their own accounts. As logging in every time to use each service is inconvenient, most web browsers support auto login....			★★
	2024-03-19 02:53:38	Escroqueries en ligne: chantage, tromperies et victimes Online Scams: Blackmails, Deceptions, and Victims (lien direct)	l'escroquerie de sextorsion est définie comme le crime de victimes de chantage utilisant leurs informations sensibles pour infliger une grande détresse psychologique et extorquereux.Les victimes souffrent non seulement de pertes financières immédiates, mais aussi d'immenses chocs et de terreur, certains au point d'avoir leur vie quotidienne gravement touchée.Le contenu de définition de la définition est défini comme le crime de tromper les autres par des moyens immoraux pour les gains financiers, le vol de la propriété intellectuelle ou l'accès non autorisé aux actifs.Les escrocs (criminels, attaquants) utilisent principalement des canaux directs tels que ... Sextortion scam is defined as the crime of blackmailing victims using their sensitive information to inflict great psychological distress and extort them. Victims not only suffer from immediate financial losses but also immense shock and terror, some to the point of having their daily lives severely impacted. Contents DefinitionScamming is defined as the crime of deceiving others via immoral means for financial gains, stealing intellectual property, or unauthorized access to assets. Scammers (criminal, attacker) mostly utilize direct channels such as...			★★
	2024-03-19 02:27:37	Cryptowire avec clé de décryptage incluse CryptoWire with Decryption Key Included (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution de Cryptowire, une ransomware qui était autrefois virale dans2018. Cryptowire est principalement distribué via des e-mails de phishing et est fabriqué à l'aide du script AutOIT.Les principales fonctionnalités du ransomware copies et se collent dans le chemin «C \ Program Files \ Common Files» et enregistre un calendrier au planificateur de tâches pour maintenir la persistance.& # 160;& # 160;Le logiciel malveillant explore les environnements réseau locaux et connectés pour étendre le processus de chiffrement des fichiers, enregistre les données comme domaincheck.txt dans ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of CryptoWire, a ransomware that was once viral in 2018. CryptoWire is mainly distributed via phishing emails and is made using Autoit script. Main Features The ransomware copies and pastes itself in the path “C\Program Files\Common Files,” and registers a schedule to the task scheduler to maintain persistence. The malware explores the local and connected network environments to expand the file encryption process, saves the data as domaincheck.txt in...	Ransomware Malware		★★★
	2024-03-19 01:50:49	Andariel Group exploitant les solutions de gestion des actifs coréens (Meshagent) Andariel Group Exploiting Korean Asset Management Solutions (MeshAgent) (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaques continues d'Andariel Group & # 8217;.Il est à noter que des installations de Meshagent ont été trouvées dans certains cas.Les acteurs de la menace exploitent souvent Meshagent ainsi que d'autres outils de gestion à distance similaires car il offre diverses fonctionnalités de télécommande.Le groupe Andariel a exploité les solutions de gestion des actifs coréens pour installer des logiciels malveillants tels que Andarloader et ModelOader, qui sont les logiciels malveillants utilisés dans les cas précédents.En commençant par l'agent Innix dans le passé, le groupe ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the Andariel group’s continuous attacks on Korean companies. It is notable that installations of MeshAgent were found in some cases. Threat actors often exploit MeshAgent along with other similar remote management tools because it offers diverse remote control features. The Andariel group exploited Korean asset management solutions to install malware such as AndarLoader and ModeLoader, which are the malware used in the previous cases. Starting with Innorix Agent in the past, the group...	Malware Tool Threat		★★
	2024-03-18 04:50:37	Techniques d'évasion de défense détectées par Ahnlab EDR Defense Evasion Techniques Detected by AhnLab EDR (lien direct)	Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware, mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisation distincte responsable de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.Par exemple, la plupart des utilisateurs avec le dernier système d'exploitation Windows ont automatiquement un produit anti-malware tel que Microsoft Defender installé.Comme la plupart des utilisateurs ont de nos jours la sécurité ... Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions, but also firewalls, APT defense solutions and products such as EDR. Even in general user environments without separate organization responsible for security, most of them have basic security products installed. For example, most of the users with latest Windows OS automatically have anti-malware product such as Microsoft Defender installed. As most users nowadays have security...			★★
	2024-03-14 00:38:40	Arnaque en ligne: fraude par téléphone Online Scam: Fraud Through My Phone (lien direct)	l'appareil numérique que nous utilisons le plus dans notre vie quotidienne est le téléphone portable.Il est utilisé dans un large éventail d'activités quotidiennes telles que la communication, la recherche, le shopping, la paiement, la vérification de l'identité et l'investissement.Certaines personnes ne possèdent pas d'ordinateurs personnels, mais presque tout le monde de nos jours a des téléphones portables.Les escrocs visent les téléphones mobiles car ils sont les appareils les plus répandus et les plus utilisés.Ils utilisent un subterfuge et des escroqueries pour voler notre argent, nos informations et nos autorisations.Contenu ce texte ... The digital device that we use the most in our daily lives is mobile phone. It is used in a wide range of daily activities such as communication, searching, shopping, making payment, verifying identity, and investing. Some people do not own personal computers, but almost everyone these days have mobile phones. Scammers aim for mobile phones because they are the most widespread, most utilized devices. They use subterfuge and scams to steal our money, information, and permissions. Contents These Text...	Mobile		★★
	2024-03-12 00:47:25	InfostEaler déguisé en Adobe Reader Installer Infostealer Disguised as Adobe Reader Installer (lien direct)	AhnLab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infosteur déguisé en installateur du lecteur Adobe.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Comme le montre la figure 1, le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. As shown in the Figure 1, the fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user...	Threat		★★
	2024-03-11 00:17:09	Distribution du malware MSIX Disguisé en notion d'installation Distribution of MSIX Malware Disguised as Notion Installer (lien direct)	un malware MSIX déguisé en tant que installateur de notion est distribué.Le site Web de distribution ressemble à celui de la page d'accueil de la notion réelle.& # 160;L'utilisateur obtient un fichier nommé & # 8216; notion-x86.msix & # 8217;En cliquant sur le bouton de téléchargement.Ce fichier est un programme d'installation de l'application Windows et il est signé avec un certificat valide.& # 160;L'utilisateur obtient la fenêtre contextuelle suivante lors de l'exécution du fichier.En cliquant sur le bouton Installer, la notion est installée sur le PC et est infectée par des logiciels malveillants.& # 160;Lors de l'installation, ... An MSIX malware disguised as the Notion installer is being distributed. The distribution website looks similar to that of the actual Notion homepage. The user gets a file named ‘Notion-x86.msix’ upon clicking the download button. This file is Windows app installer, and it is signed with a valid certificate. The user gets the following pop-up upon running the file. Upon clicking the Install button, Notion is installed on the PC and is infected with malware. Upon installing,...	Malware		★★
	2024-03-06 08:56:56	Microsoft Windows Security Update Advisory (CVE-2024-21338) (lien direct)	aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ... Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are...	Vulnerability Threat	APT 38	★★
	2024-03-06 01:26:31	Z0miner exploite les serveurs Web coréens pour attaquer le serveur WebLogic z0Miner Exploits Korean Web Servers to Attack WebLogic Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a trouvé de nombreux cas d'acteurs de menace attaquant les serveurs coréens vulnérables.Ce post présente l'un des cas récents dans lesquels l'acteur de menace \\ 'z0min \' a attaqué des serveurs coréens Weblogic.Z0miner a été présenté pour la première fois par Tencent Security, un fournisseur de services Internet chinois.https://s.tencent.com/research/report/1170.html (ce lien n'est disponible qu'en chinois.) Ces acteurs de menace ont une histoire de distribution de mineurs contre les serveurs vulnérables (Atlassian Confluence, Apache ActiveMq, Log4J, etc.), et ils étaient fréquemment mentionnés dans l'ASEC ... AhnLab SEcurity intelligence Center (ASEC) has found numerous cases of threat actors attacking vulnerable Korean servers. This post introduces one of the recent case in which the threat actor \'z0Miner\' attacked Korean WebLogic servers. z0Miner was first introduced by Tencent Security, a Chinese Internet service provider. https://s.tencent.com/research/report/1170.html (This link is only available in Chinese.) These threat actors have a history of distributing miners against vulnerable servers (Atlassian Confluence, Apache ActiveMQ, Log4J, etc.), and they were frequently mentioned in the ASEC...	Threat		★★★

Last update at: 2024-06-17 09:11:01
See our sources.

To see everything: Our RSS (filtrered)