SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-05-05 00:00:00	BSIDESSF 2024 Écritures: Streets plus sûrs (Web / inverse) BSidesSF 2024 Writeups: Safer Streets (Web / reversing) (lien direct)	This is a write-up for Safer Streets. I apparently wrote this in more “note to self” style, not blog style, so enjoy! First, browse the application. You should be able to create an error: $ curl \'http://localhost:8080/display?name=test\' Error in script /app/server.rb: No such file or directory @ rb_sysopen - /app/data/test Note that has a image/jpeg content-type, so it might confuse the browser. That issue grants access to two primitives: a) Read any file via path traversal b) The full path to the server For example: $ curl -s \'http://localhost:8080/display?name=../server.rb\' \| head -n20 require \'json\' require \'sinatra\' require \'pp\' require \'singlogger\' require \'open3\' ::SingLogger.set_level_from_string(level: ENV[\'log_level\'] \|\| \'debug\') LOGGER = ::SingLogger.instance() # Ideally, we set all these in the Dockerfile set :bind, ENV[\'HOST\'] \|\| \'0.0.0.0\' set :port, ENV[\'PORT\'] \|\| \'8080\' SAFER_STREETS_PATH = ENV[\'SAFER_STREETS\'] \|\| \'/app/safer-streets\' SCRIPT = File.expand_path(__FILE__) LOGGER.info("Checking for required binaries...") if File.exist?(SAFER_STREETS_PATH) LOGGER.info("* Found `safer-streets` binary: #{ SAFER_STREETS_PATH }") [...] You can grab the safer-streets binary as well: $ curl -s \'http://localhost:8080/display?name=../../../app/safer-streets\' \| file - /dev/stdin: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=fa512a55e0fbc8c4ad80483379826183f29ce161, for GNU/Linux 3.2.0, with debug_info, not stripped Inspecting the Ruby code shows an shell-injection issue if you control the output of safer-streets: system("/usr/bin/report-infraction --node=\'#{result[\'node\']}\' --img=\'#{photo}\'") You can reverse or mess with the binary to dis	Threat		★★★
	2024-05-05 00:00:00	BSIDESSF 2024 Écritures: ne peut pas donner (exploitation CGI) BSidesSF 2024 Writeups: Can\\'t Give In (CGI exploitation) (lien direct)	The premise of the three challenges cant-give-in, cant-give-in-secure, and cant-give-in-securer are to learn how to exploit and debug compiled code that\'s loaded as a CGI module. You might think that\'s unlikely, but a surprising number of enterprise applications (usually hardware stuff - firewalls, network “security” appliances, stuff like that) is powered by CGI scripts. You never know! This challenge was inspired by one of my co-workers at GreyNoise asking how to debug a CGI script. I thought it\'d be cool to make a multi-challenge series in case others didn\'t know! This write-up is intended to be fairly detailed, to help new players understand their first stack overflow! Part 1: cant-give-in The vulnerability First, let\'s look at the vuln! All three challenges have pretty similar vulnerabilities, but here\'s what the first looks like: char *strlength = getenv("CONTENT_LENGTH"); if(!strlength) { printf("ERROR: Please send data!"); exit(0); } int length = atoi(strlength); read(fileno(stdin), data, length); if(!strcmp(data, "password=MyCoolPassword")) { printf("SUCCESS: authenticated successfully!"); } else { printf("ERROR: Login failed!"); } The way CGI works - a fact that I\'d forgotten since learning Perl like 20 years ago - is that the headers are processed by Apache and sent to the script as environmental variables, and the body (ie, POST data) is sent on stdin. In that script, we read the Content-Length from a variable, then read that many bytes of the POST body into a static buffer. That\'s a fairly standard buffer overflow, with the twist that it\'s in a CGI application! We can demonstrate the issue pretty easily by running the CGI directly (I\'m using dd to produce 200 characters without cluttering up the screen):	Tool Vulnerability Threat		★★★
	2024-05-05 00:00:00	BSIDESSF 2024 Rédactions: Turing complète (inversion / exploitation) BSidesSF 2024 Writeups: Turing Complete (Reversing / exploitation) (lien direct)	This is a write-up for turing-complete, turing-incomplete, and turing-incomplete64 from the BSides San Francisco 2024 CTF! turing-complete is a 101-level reversing challenge, and turing-incomplete is a much more difficult exploitation challenge with a very similar structure. turing-incomplete64 is a 64-bit version of turing-incomplete, which isn\'t necessarily harder, but is different. Let\'s look at the levels! turing-complete My ideas doc said “Turing Machine?” from a long time ago. I don\'t really remember what I was thinking, but what I decided was to make a simple reversing challenge with a finite tape and 4 operations - go left, go right, read, and write. All commands and responses are binary (1s and 0s), which is hinted at by the instructions being a series of binary bits. The actual main loop, in C, is quite simple: uint8_t tape[128]; // ...write the flag to the tape... for(;;) { uint8_t a = r(); if(a == 2) break; uint8_t b = r(); if(b == 2) break; if(a == 0 && b == 0) { ptr++; } else if(a == 0 && b == 1) { ptr--; } else if(a == 1 && b == 0) { printf("%08b",	Threat		★★★
	2024-05-04 21:52:07	Les cyberattaques de la Russie contre l'Allemagne condamnées par l'UE et l'OTAN Russia’s cyberattacks against Germany condemned by EU and NATO (lien direct)	hackers russes ne ralentissent pas dans les cyberattaques. L'attaque présumée s'est produite contre le Parti social-démocrate (SPD).Leurs comptes de messagerie ont été compromis dans l'attaque. Cette saga de piratage a commencé il y a plus de deux ans pendant la guerre russe-Ukraine et elle a progressivement augmenté au cours du temps. comment il a commencé Un groupe appelé APT28, également connu sous le nom de Fancy Bear, qui aurait des liens avec le gouvernement russe, a été accusé d'avoir fait de nombreuses cyberattaques partout dans le monde, y compris en Allemagne et quelques entités tchèques. Ils ont trouvé un Vulnérabilité Dans Microsoft Outlook et l'utiliser pour entrer dans les e-mails SPD. La vulnérabilité, un CVE-2023-23397 zéro-jour, est un bogue d'escalade de privilège essentiel dans Outlook qui pourrait permettre aux attaquants d'accéder aux hachages net-ntlmv2, puis de les utiliser pour s'authentifier à l'aide d'une attaque de relais. Le gouvernement allemand dit que non seulement le SPD mais aussi les entreprises allemandes en défense et en aérospatiale. Il comprenait également des objectifs de technologie de l'information, ainsi que des choses liées à la guerre en Ukraine. Ces cyberattaques ont commencé vers mars 2022, après que la Russie ait envahi l'Ukraine. Le gouvernement allemand a allégué que le service de renseignement militaire de la Russie, Gru, était derrière ces attaques. Ils ont même convoqué un diplomate russe en réponse à ces accusations. La Russie a nié les allégations La Russie a nié les allégations et appelé les accusations comme & # 8220; non fondée et sans fondement & # 8221;. Le gouvernement dirigé par Poutine a nié des cyber-incidences similaires aux actes parrainés par l'État dans le passé. L'Occident a été rigide dans son récit de l'implication de la Russie dans les cyberattaques depuis des décennies maintenant. pas le premier rodéo Récemment, le ministre australien des Affaires étrangères a rejoint d'autres pays en disant que l'APT28, qui serait lié à la Russie, était derrière certaines cyberattaques. Ce n'est pas la première fois que les pirates russes sont accusés d'espionnage de l'Allemagne. En 2020, Angela Merkel, qui était la chancelière de l'Allemagne à l'époque, a accusé la Russie de l'espionner. Un incident majeur imputé aux pirates russes a été en 2015 lorsqu'ils ont attaqué le Parlement de l'Allemagne, ce qui l'a fait fermer pendant des jours.	Hack Vulnerability Threat	APT 28	★★★
	2024-05-04 10:17:34	Les pirates iraniens se présentent en tant que journalistes pour pousser les logiciels malveillants de porte dérobée Iranian hackers pose as journalists to push backdoor malware (lien direct)	L'acteur de menace soutenu par l'État iranien suivi comme APT42 utilise des attaques d'ingénierie sociale, notamment en se faisant passer pour des journalistes, pour violer les réseaux d'entreprise et les environnements cloud des cibles occidentales et du Moyen-Orient.[...] The Iranian state-backed threat actor tracked as APT42 is employing social engineering attacks, including posing as journalists, to breach corporate networks and cloud environments of Western and Middle Eastern targets. [...]	Malware Threat Cloud	APT 42	★★★
	2024-05-03 22:08:47	Plus d'un milliard d'appareils Android ont installé ces applications vulnérables Over A Billion Android Devices Have These Vulnerable Apps Installed (lien direct)	Les chercheurs en sécurité de l'équipe Microsoft Threat Intelligence ont révélé une vulnérabilité affiliée à la traversée de chemin surnommée le Stream Stream & # 8221 & # 8220;Attaquez dans plusieurs applications Android populaires. Cette vulnérabilité pourrait permettre à une application malveillante de remplacer les fichiers arbitraires dans le répertoire d'accueil de l'application vulnérable. Dans un rapport publié mercredi, Dimitrios Valsamaras de l'équipe Microsoft Threat Intelligence a dit , & # 8220; Les implications de ce modèle de vulnérabilité incluent l'exécution de code arbitraire et le vol de jeton, selon une implémentation d'application. & # 8221; Il a ajouté: «L'exécution de code arbitraire peut fournir à un acteur de menace un contrôle total sur le comportement d'une application.Pendant ce temps, le vol de jeton peut fournir à un acteur de menace un accès aux comptes et aux données sensibles de l'utilisateur. » La découverte a affecté plusieurs applications vulnérables dans le Google Play Store, représentant plus de quatre milliards d'installations. Deux des applications trouvées vulnérables au problème comprenaient le gestionnaire de fichiers Xiaomi Inc. (com.mi. Android.globalFileExplorer), qui compte plus de 1 milliard d'installations, et WPS Office (CN.WPS.MOFFICE_ENG), qui a plus que500 millions de téléchargements. Le système d'exploitation Android applique l'isolement en attribuant à chaque application ses propres données et espace mémoire dédiées, en particulier le composant du fournisseur de contenu et sa classe \\ 'fileprovider \', qui facilite les données sécurisées et le partage de fichiers avec d'autres applications installées. Lorsqu'il est implémenté de manière incorrecte, il pourrait introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture / écriture dans le répertoire personnel d'une application. & # 8220; Ce modèle basé sur les fournisseurs de contenu fournit un mécanisme de partage de fichiers bien défini, permettant à une application de service de partager ses fichiers avec d'autres applications de manière sécurisée avec un contrôle à grain fin, & # 8221;Valsamaras noté. & # 8220; Cependant, nous avons fréquemment rencontré des cas où l'application consommatrice ne valide pas le contenu du fichier qu'il reçoit et, le plus préoccupant, il utilise le nom de fichier fourni par la demande de service pour mettre en cache le reçueFichier dans le répertoire de données interne de l'application consommatrice. & # 8221; L'exécution du code malveillant peut être obtenue en permettant à un acteur de menace d'avoir le contrôle total sur le comportement d'une application et de la faire communiquer avec un serveur sous leur contrôle pour accéder aux données sensibles. Dans le cadre de la politique de divulgation responsable de Microsoft \\, la société a partagé ses conclusions avec les développeurs d'applications Android qui ont été affectées par Dirty Stream.Par exemple, les équipes de sécurité de Xiaomi, Inc. et WPS ont déjà enquêté et résolu le problème. Cependant, la société estime que davantage de demandes pourraient être affectées et probablement compromises en raison de la même faiblesse de sécurité.Par conséquent, il recommande que tous les développeurs analysent ses recherches et s'assurent que leurs produits ne sont pas affectés. & # 8220; Nous prévoyons que le modèle de vulnérabilité pourrait être trouvé dans d'autres applications.Nous partageons cette recherche afin que les développeurs et les éditeurs puissent vérifier leurs applications pour des problèmes similaires, réparer	Vulnerability Threat Mobile		★★★
	2024-05-03 21:17:42	Zloader apprend de vieilles astuces ZLoader Learns Old Tricks (lien direct)	## Instantané Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Zloader, un cheval de Troie bancaire modulaire et ses nouvelles tactiques d'évasion. Consultez la rédaction de Microsoft \\ sur Zloader [ici] (https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72Aff789). ## Description Zloader, également connu sous le nom de Terdot, Deloader ou Silent Night, est un cheval de Troie modulaire dérivé du code source Zeus divulgué.Après près de deux ans d'absence, Zloader a refait surface en septembre 2023 avec une nouvelle version incorporant des modifications de ses méthodes d'obscurcissement, de son algorithme de génération de domaine (DGA) et de la communication réseau.Récemment, il a réintroduit un mécanisme anti-analyse rappelant le code Zeus 2.x d'origine.Cette fonction limite l'exécution binaire de Zloader \\ vers le système infecté, un trait qui avait été abandonné par de nombreuses souches de logiciels malveillants dérivées du code source divulgué jusqu'à ce développement récent. ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win64 / Zloader - Trojan: Win32 / Zloader ## Les références [Zloader apprend de vieilles astuces] (https://www.zscaler.com/blogs/security-research/zloader-learns-Old-Tricks # Indicateurs de COMPROMISE - IOCS-).Zscaler (consulté (2024-05-03) [Zloader] (https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Microsoft (consulté en 2024-05-03) # Zlzloadoader ## Snapshot Researchers at Zscaler have published a report about the evolution of ZLoader, a modular banking trojan, and its new evasion tactics. Check out Microsoft\'s write-up on ZLoader [here](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789). ## Description ZLoader, also known as Terdot, DELoader, or Silent Night, is a modular Trojan derived from leaked ZeuS source code. After nearly two years of absence, ZLoader resurfaced in September 2023 with a new version incorporating changes to its obfuscation methods, domain generation algorithm (DGA), and network communication. Recently, it has reintroduced an anti-analysis mechanism reminiscent of the original ZeuS 2.x code. This feature limits ZLoader\'s binary execution to the infected system, a trait that had been abandoned by many malware strains derived from the leaked source code until this recent development. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win64/ZLoader - Trojan:Win32/ZLoader ## References [ZLoader Learns Old Tricks](https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks#indicators-of-compromise--iocs-). Zscaler (accessed (2024-05-03) [ZLoader](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789). Microsoft (accessed 2024-05-03) # ZLZLoaderoader	Malware Threat		★★★
	2024-05-03 20:21:03	Nouveau Goldoon Botnet ciblant les appareils D-Link New Goldoon Botnet Targeting D-Link Devices (lien direct)	## Instantané Fortiguard Labs a identifié l'émergence du botnet "Goldoon", qui cible les appareils D-Link en exploitant la vulnérabilité CVE-2015-2051.Cela permet aux attaquants de prendre le contrôle complet des systèmes vulnérables et de lancer d'autres attaques, notamment le déni de service distribué (DDOS). ## Description L'infiltration initiale de Botnet \\ implique l'exploitation de CVE-2015-2051 pour télécharger un fichier "dropper" à partir d'une URL spécifique, qui télécharge ensuite le fichier botnet à l'aide d'une touche XOR pour décrypter des chaînes spécifiques.Le script "dropper" est programmé pour télécharger, exécuter automatiquement et nettoyer les fichiers potentiellement malveillants sur diverses architectures de système Linux.Après l'exécution, le script supprime le fichier exécuté puis se supprime pour effacer toute trace de son activité. Une fois exécuté, Goldoon établit une connexion persistante avec son serveur de commande et de contrôle (C2) et attend que les commandes lancent des comportements connexes, y compris diverses attaques de déni de service.Le logiciel malveillant contient 27 méthodes différentes liées à diverses attaques, constituant une menace significative pour les organisations affectées.Ces méthodes comprennent les inondations ICMP, les inondations TCP, les inondations UDP, les inondations DNS, le contournement HTTP, les inondations HTTP et l'attaque DDOS Minecraft. ## Les références "[Nouveau Goldoon Botnet ciblant les appareils D-Link] (https://www.fortinet.com/blog/thereat-research/new-goldoon-botnet-targeting-d-kink-devices)" Fortiguard Labs.(Consulté en 2024-05-03) ## Snapshot FortiGuard Labs has identified the emergence of the "Goldoon" botnet, which targets D-Link devices by exploiting the CVE-2015-2051 vulnerability. This allows attackers to gain complete control of vulnerable systems and launch further attacks, including distributed denial-of-service (DDoS). ## Description The botnet\'s initial infiltration involves the exploitation of CVE-2015-2051 to download a file "dropper" from a specific URL, which then downloads the botnet file using an XOR key to decrypt specific strings. The "dropper" script is programmed to automatically download, execute, and clean up potentially malicious files across various Linux system architectures. After execution, the script removes the executed file and then deletes itself to erase any trace of its activity. Once executed, Goldoon establishes a persistent connection with its Command and Control (C2) server and waits for commands to launch related behaviors, including various denial-of-service attacks. The malware contains 27 different methods related to various attacks, posing a significant threat to affected organizations. These methods include ICMP Flooding, TCP Flooding, UDP Flooding, DNS Flooding, HTTP Bypass, HTTP Flooding, and Minecraft DDoS Attack. ## References "[New Goldoon Botnet Targeting D-Link Devices](https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices)" FortiGuard Labs. (Accessed 2024-05-03)	Malware Vulnerability Threat		★★★
	2024-05-03 20:14:15	Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct)	## Instantané Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes. En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) ##Description Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système). Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle. Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés. Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces. ## Recommandations La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server \|Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) ## Les références ["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03). ## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to	Ransomware Malware Tool Vulnerability Threat Technical		★★★
	2024-05-03 18:23:00	Webinaire dirigé par des experts - Découvrir les dernières tactiques DDOS et apprendre à riposter Expert-Led Webinar - Uncovering Latest DDoS Tactics and Learn How to Fight Back (lien direct)	Dans le paysage numérique en évolution rapide d'aujourd'hui, la menace de déni de service distribué (DDOS) est plus importante que jamais.À mesure que ces cybermenaces se développent en sophistication, les comprendre et les contrer devient cruciale pour toute entreprise qui cherche à protéger sa présence en ligne. Pour répondre à ce besoin urgent, nous sommes ravis d'annoncer notre prochain webinaire, "Découvrir la contemporaine In today\'s rapidly evolving digital landscape, the threat of Distributed Denial of Service (DDoS) attacks looms more significant than ever. As these cyber threats grow in sophistication, understanding and countering them becomes crucial for any business seeking to protect its online presence. To address this urgent need, we are thrilled to announce our upcoming webinar, "Uncovering Contemporary	Threat		★★★
	2024-05-03 18:05:00	Les pirates abusent de plus en plus de l'API de graphe Microsoft pour les communications de logiciels malveillants furtifs Hackers Increasingly Abusing Microsoft Graph API for Stealthy Malware Communications (lien direct)	Les acteurs de la menace ont de plus en plus armé et NBSP; Microsoft Graph API & nbsp; à des fins malveillantes & nbsp; dans le but de l'évasion & nbsp; détection. Cet & nbsp; est fait & nbsp; pour "faciliter les communications avec l'infrastructure de commandement et de contrôle (C & c) hébergé sur Microsoft Cloud Services", l'équipe de chasseurs de menace Symantec, qui fait partie de Broadcom, & nbsp; dit & nbsp; dans un rapport partagé avec le Hacker News Hacker New. Threat actors have been increasingly weaponizing Microsoft Graph API for malicious purposes with the aim of evading detection. This is done to "facilitate communications with command-and-control (C&C) infrastructure hosted on Microsoft cloud services," the Symantec Threat Hunter Team, part of Broadcom, said in a report shared with The Hacker News.	Malware Threat Cloud		★★★
	2024-05-03 16:19:34	Le bogue Gitlab Critical sous Exploit permet la prise de contrôle du compte, avertit CISA Critical GitLab Bug Under Exploit Enables Account Takeover, CISA Warns (lien direct)	Patch maintenant: les cyberattaques exploitent le CVE-2023-7028 (CVSS 10) pour retirer et verrouiller les utilisateurs des comptes GitLab, voler le code source, etc. Patch now: Cyberattackers are exploiting CVE-2023-7028 (CVSS 10) to take over and lock users out of GitLab accounts, steal source code, and more.	Threat		★★★
	2024-05-03 15:07:00	NSA, alerte du FBI sur les pirates coréens de N. coréens usurpés des e-mails provenant de sources de confiance NSA, FBI Alert on N. Korean Hackers Spoofing Emails from Trusted Sources (lien direct)	Le gouvernement américain a publié jeudi un nouvel avertissement de conseil en cybersécurité des acteurs de la menace nord-coréenne \\ 'tentatives d'envoyer des courriels et NBSP; d'une manière qui les fait paraître comme ils sont & nbsp; des parties légitimes et fiables. Le & nbsp; Joint Bulletin & nbsp; a été publié & nbsp; par la National Security Agency (NSA), le & NBSP; Federal Bureau of Investigation (FBI) et le Département d'État. "Le The U.S. government on Thursday published a new cybersecurity advisory warning of North Korean threat actors\' attempts to send emails in a manner that makes them appear like they are from legitimate and trusted parties. The joint bulletin was published by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Department of State. "The	Threat		★★
	2024-05-03 11:47:35	L'OTAN et l'UE condamnent les cyberattaques de la Russie contre l'Allemagne, la Tchéche NATO and EU condemn Russia\\'s cyberattacks against Germany, Czechia (lien direct)	L'OTAN et l'Union européenne, avec des partenaires internationaux, ont officiellement condamné une campagne de cyber-espionnage à long terme contre les pays européens menés par le groupe de menaces russes APT28.[...] NATO and the European Union, with international partners, formally condemned a long-term cyber espionage campaign against European countries conducted by the Russian threat group APT28. [...]	Threat	APT 28	★★★
	2024-05-02 21:51:39	Microsoft confirme qu'il ne peut pas corriger Windows 10 KB5034441 & # 8220; 0x80070643 Erreur Microsoft Confirms It Cannot Fix Windows 10 KB5034441 “0x80070643 Error (lien direct)	Le 9 janvier 2024, Microsoft avait informé qu'une vulnérabilité de contournement de démarrage bitlocker sécurisé suivie sous ID & # 8220; CVE-2024-20666 »pourrait permettre aux acteurs de menace de contourner le chiffrement BitLocker pour accéder aux données cryptées, à condition qu'ils obtiennentAccès physique à un PC non corrigé. Pour y remédier, la société a ensuite publié des mises à jour cumulatives, KB503441 (sur Windows 10) et kb5034440 (sur Windows 11) Dans l'environnement de récupération de Windows (winre). Cependant, l'installation de la mise à jour KB5034441 a commencé à afficher le message d'erreur & # 8220; 0x80070643 & # 8211;Error_install_failure & # 8221;, qui indiquait une taille de partition Winre insuffisante. Les appareils & # 8220; tentant d'installer la mise à jour de l'environnement de récupération de Windows de janvier 2024 (KB5034441) peuvent afficher une erreur liée à la taille de la partition de l'environnement de récupération.Nous travaillons sur une résolution et fournirons une mise à jour dans une version à venir, & # 8221;Microsoft a déclaré dans une mise à jour du tableau de bord Health Windows en janvier 2024. La société a même confirmé que les appareils Windows sans environnement de récupération configurés n'ont pas besoin d'installer la mise à jour KB5034441 et peuvent ignorer l'erreur. Cependant, Microsoft a maintenant reconnu que, au moins sur Windows 10, une résolution automatique pour ce problème n'a pas été disponible dans une future mise à jour Windows, et la seule façon de résoudre ce problème est de terminer l'installation manuellement. Dans une mise à jour du tableau de bord Health Windows, Microsoft.-2024-windows-re-update-might-fail-to-install "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> dit : Résolution : La résolution automatique de ce numéro sera disponible dans une future mise à jour Windows.Des étapes manuelles sont nécessaires pour terminer l'installation de cette mise à jour sur les appareils qui connaissent cette erreur. La partition Winre nécessite 250 mégaoctets d'espace libre.Les appareils qui n'ont pas d'espace libre suffisant devront augmenter la taille de la partition via une action manuelle.Pour obtenir des conseils sur la réalisation de ce changement, passez en revue les ressources suivantes: Un script de code peut être utilisé pour étendre la taille de partition.Un exemple de script a été fourni dans la documentation pour ajouter un package de mise à jour à Winre.Voir étendez la partition de Windows re . Les conseils pour modifier manuellement la taille de la partition Winre peuvent en outre être trouvés dans KB5028997: Instructions pour redimensionner manuellement votre partition pour installer la mise à jour Winre. L'achèvement de ces étapes manuelles permettra à l'installation de cette mise à jour de réussir. On January	Vulnerability Threat	TYPEFRAME	★★
	2024-05-02 19:30:20	Un opérateur rusé: le grand pare-feu de Metring Meerkat et China \\ A Cunning Operator: Muddling Meerkat and China\\'s Great Firewall (lien direct)	## Instantané InfoBlox a publié une analyse d'un groupe d'acteur de menace surnommé Mouddling Meerkat, soupçonné d'être un acteur de l'État-nation affilié à la Chine, menant des opérations sophistiquées et de longue date via le système de noms de domaine (DNS). ## Description L'approche de Muddling Meerkat \\ se concentre sur le détournement du trafic Internet grâce à des techniques de manipulation DNS sophistiquées, principalement en générant un vaste volume de requêtes DNS largement distribuées via des résolveurs DNS ouverts.Cette tactique leur permet d'exercer un contrôle sur le trafic Internet, en le dirigeant en fonction de leurs objectifs.Contrairement aux attaques conventionnelles sur le déni de service visant à provoquer des perturbations de service, l'objectif principal de Meerkat \\ en boucle semble être la manipulation et la redirection du trafic Internet, mettant en évidence un motif stratégique plutôt que perturbateur. Leurs activités, qui ont commencé au moins dès octobre 2019, démontrent une approche soutenue et méthodique du groupe.Le niveau d'expertise affiché dans la manipulation du DNS indique une compréhension profonde de l'infrastructure réseau et des protocoles DNS, reflétant une opération sophistiquée et bien ressourcée.Cette évolution soulève des préoccupations importantes concernant les perturbations potentielles des infrastructures Internet et souligne l'importance de mettre en œuvre des mesures de sécurité robustes pour contrer efficacement de telles menaces. En tirant parti de la manipulation du DNS, en embroutant Meerkat peut potentiellement relancer le trafic Internet pour atteindre divers objectifs, tels que la surveillance, la collecte d'informations ou même la censure.Cette capacité constitue une menace significative non seulement pour les utilisateurs individuels, mais aussi pour les organisations et même les réseaux entiers.La nature complexe de leurs opérations suggère un adversaire bien organisé et hautement qualifié, capable d'exécuter des cyber campagnes complexes avec précision et persistance. ## Recommandations InfoBlox note que les indicateurs de domaine inclus dans leur publication ne sont pas des indicateurs de compromis;Ce sont plutôt des indicateurs d'activité et ne sont pas nécessairement malveillants.Bien que l'étendue des domaines ciblées par Mouddling Meerkat soit probablement beaucoup plus importante, les domaines indicateurs notés n'organisent aucun site Web, n'hébergez pas de contenu illégal ou sont garés.Par conséquent, ils peuvent probablement être bloqués sans impact. ## Les références [Un opérateur rusé: Moue Meerkat et China \'s Great Firewall] (https://blogs.infoblox.com/thereat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall/).InfoBlox (consulté le 05-02-2024) ## Snapshot Infoblox published an analysis of a threat actor group dubbed Muddling Meerkat, suspected to be a nation-state actor affiliated with China, conducting sophisticated and long-running operations through the Domain Name System (DNS). ## Description Muddling Meerkat\'s approach centers around hijacking internet traffic through sophisticated DNS manipulation techniques, primarily by generating an extensive volume of DNS queries distributed widely via open DNS resolvers. This tactic allows them to exert control over internet traffic, directing it according to their objectives. Unlike conventional denial-of-service attacks aimed at causing service disruptions, Muddling Meerkat\'s primary goal appears to be the manipulation and redirection of internet traffic, highlighting a strategic rather than disruptive motive. Their activities, which began at least as early as October 2019, demonstrate a sustained and methodical approach by the group. The level of expertise displayed in DNS manipulation indicates a profound understanding of network infrastructure and DNS protocols, reflecting a sophisticated and well-re	Threat		★★★
	2024-05-02 19:13:15	Les pirates peuvent réinitialiser votre mot de passe gitlab et le remettre sur leur e-mail Hackers Can Reset Your Gitlab Password and Get It On Their Email (lien direct)	L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploité connu sur la base de preuves d'exploitation active trouvées dans la plate-forme DevOps Gitlab. La vulnérabilité a été suivie comme cve-2023-7028 (Score CVSS: 10) permet à un acteur de menace de déclencher des e-mails de réinitialisation du mot de passe à envoyer des adresses e-mail arbitraires et non vérifiées, en fin de compte de reprise du compte sans interaction utilisateur. De plus, l'exploitation réussie de la vulnérabilité pourrait également conduire à des attaques de chaîne d'approvisionnement en insérant du code malveillant dans des environnements CI / CD (intégration continue / déploiement continu). Bien que ceux qui ont l'authentification à deux facteurs (2FA) activé sont vulnérables à la réinitialisation du mot de passe, ils ne sont cependant pas vulnérables à la prise de contrôle des comptes, car leur deuxième facteur d'authentification est requis pour se connecter. Par conséquent, il est essentiel de patcher les systèmes où les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire. Le bogue CVE-2023-7028 découvert dans Gitlab Community Edition (CE) et Enterprise Edition (EE) affectent toutes les versions de 16.1 avant 16.1.6, 16.2 avant 16.2.9, 16.3 avant 16.3.7, 16.4Avant 16.4.5, 16.5 avant 16.5.6, 16.6 avant 16.6.4 et 16.7 avant 16.7.2. La faille a été traitée dans les versions Gitlab 16.7.2, 16.6.4 et 16.5.6, et les correctifs ont été recouverts aux versions 16.1.6, 16.2.9 et 16.3.7. gitLab a a dit Il n'a détecté aucun abus de vulnérabilité CVE-2023-7028 sur les plateformes gérées parGitLab, y compris Gitlab.com et GitLab Dédié des instances. Cependant, le service de surveillance des menaces, la ShadowServer Foundation, a trouvé plus de 5 300 cas de serveurs Gitlab exposés à des attaques de rachat de compte zéro clique en janvier (les correctifs de sécurité de la semaine ont été publiés), un nombre qui n'a diminué que de 55 seulement 55% à partir de mardi. La CISA a confirmé que la vulnérabilité CVE-2023-7028 était activement exploitée dans les attaques et a demandé aux agences fédérales américaines de sécuriser leurs systèmes jusqu'au 22 mai 2024, ou de supprimer l'utilisation du produit si les atténuations ne sont pas disponibles.	Ransomware Vulnerability Threat		★★★
	2024-05-02 18:28:56	Gardz s'associe à Superops Guardz Partners with SuperOps (lien direct)	Guardz s'associe à Superops pour offrir une cybersécurité optimisée par MSPS pour leurs clients SMB Superops et Guardz protègent les MSP et les entreprises fortifiantes au milieu de la montée de la menace de cybersécurité alarmante - nouvelles commerciales Guardz Partners with SuperOps to Offer MSPs Optimized Cybersecurity for their SMB Clients SuperOps and Guardz are safeguarding MSPs and fortifying businesses amidst the alarming cybersecurity threat surge - Business News	Threat		★
	2024-05-02 18:05:03	Dropbox Breach expose les informations d'identification des clients, les données d'authentification Dropbox Breach Exposes Customer Credentials, Authentication Data (lien direct)	L'acteur de menace est passé dans l'environnement de production de signes Dropbox et a accédé aux e-mails, aux mots de passe et autres PII, ainsi qu'aux informations API, OAuth et MFA. Threat actor dropped in to Dropbox Sign production environment and accessed emails, passwords, and other PII, along with APIs, OAuth, and MFA info.	Threat		★★
	2024-05-02 15:49:00	Dropbox révèle la violation du service de signature numérique affectant tous les utilisateurs Dropbox Discloses Breach of Digital Signature Service Affecting All Users (lien direct)	Le fournisseur de services de stockage cloud Dropbox & nbsp; mercredi divulgué & nbsp; que le panneau Dropbox (anciennement Hellosign) a été violé par des acteurs de menace non identifiés, qui & nbsp; accédé les courriels, les noms d'utilisateur et les paramètres de compte général associés à tous les utilisateurs du produit de signature numérique. La société, dans & nbsp; un dépôt auprès de la Securities and Exchange Commission des États-Unis, a déclaré qu'elle avait pris connaissance du " Cloud storage services provider Dropbox on Wednesday disclosed that Dropbox Sign (formerly HelloSign) was breached by unidentified threat actors, who accessed emails, usernames, and general account settings associated with all users of the digital signature product. The company, in a filing with the U.S. Securities and Exchange Commission (SEC), said it became aware of the "	Threat Cloud		★★★
	2024-05-02 15:24:21	La violation d'une entreprise de reconnaissance faciale révèle un danger caché de biométrie The Breach of a Face Recognition Firm Reveals a Hidden Danger of Biometrics (lien direct)	Outabox, une entreprise australienne qui a scanné des visages pour les bars et les clubs, a subi une violation qui montre les problèmes de don de donner aux entreprises vos données biométriques. Outabox, an Australian firm that scanned faces for bars and clubs, suffered a breach that shows the problems with giving companies your biometric data.	Threat		★★★★
	2024-05-02 12:18:16	Les agences mondiales de cybersécurité émettent une alerte sur la menace des systèmes OT d'activité hacktiviste pro-russe Global cybersecurity agencies issue alert on threat to OT systems from pro-Russia hacktivist activity (lien direct)	> Les agences mondiales de cybersécurité émettent une alerte critique concernant la menace immédiate pour les systèmes de technologie opérationnelle (OT) posés par ... >Global cybersecurity agencies issue a critical alert regarding the immediate threat to operational technology (OT) systems posed by...	Threat Industrial		★★★★
	2024-05-02 11:03:00	Podcast Spotlight: comment l'IA est de remodeler le paysage cyber-menace Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape (lien direct)	L'animateur Paul Roberts parle avec Jim Broome, le CTO et président de DirectDefense sur l'évolution des menaces de cybersécurité et comment les technologies comme l'IA remodeler le paysage de la cybersécurité et le travail des défenseurs et des prestataires de services de sécurité gérés (MSSP). Le post Cliquez sur l'icône ci-dessous pour écouter. Host Paul Roberts speaks with Jim Broome, the CTO and President of DirectDefense about the evolution of cybersecurity threats and how technologies like AI are reshaping the cybersecurity landscape and the work of defenders and Managed Security Service Providers (MSSPs). The post Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape...Read the whole entry... »Click the icon below to listen.	Threat		★★
	2024-05-02 03:20:36	Cybersécurité: la bataille des esprits Cybersecurity: The Battle of Wits (lien direct)	Avec la cybersécurité, les champs de bataille numériques s'étendent sur la vaste étendue d'Internet.D'un côté, nous avons des adversaires de plus en plus sophistiqués et rusés.De l'autre, des praticiens de cybersécurité qualifiés qui sont désespérés de protéger à tout prix leurs entreprises.Une vérité fondamentale sonne claire: c'est une bataille d'esprit continue et implacable.Tout comme les mercenaires modernes, les mauvais acteurs sont armés d'un arsenal d'outils et de menaces sophistiqués, à la recherche continue de tout bink dans l'armure de sécurité à exploiter.Leurs objectifs vont du gain financier et de la fraude ... With cybersecurity, the digital battlegrounds stretch across the vast expanse of the internet. On the one side, we have increasingly sophisticated and cunning adversaries. On the other, skilled cybersecurity practitioners who are desperate to protect their companies\' assets at all costs. One fundamental truth rings clear: it\'s an ongoing and relentless battle of wits. Much like modern-day mercenaries, bad actors are armed with an arsenal of sophisticated tools and threats , continually looking for any chinks in the security armor to exploit. Their objectives range from financial gain and fraud...	Tool Threat		★★
	2024-05-01 23:25:26	Les logiciels malveillants ciblent les routeurs pour voler les mots de passe des demandes Web Malware Targets Routers To Steal Passwords From Web Requests (lien direct)	Les chercheurs ont récemment suivi un nouveau malware, "Sweetfish", qui cible les équipements de mise en réseau, en particulier les petits routeurs de bureau / bureau à domicile (SOHO), pour voler le matériel d'authentification trouvé dans les demandes Web qui transitent le routeur de la locale adjacenteréseau régional (LAN). Lumen Technologies & # 8217;Black Lotus Labs, qui a examiné les logiciels malveillants, a déclaré que la seiche crée un tunnel proxy ou VPN via un routeur compromis pour exfiltrer les données en contournant l'analyse basée sur la connexion anormale, puis utilise des informations d'identification volées pour accéder aux ressources ciblées. Le malware a également la capacité d'effectuer un détournement HTTP et DNS pour les connexions aux adresses IP privées, qui sont normalement associées aux communications dans un réseau interne. Les chercheurs déclarent que la plate-forme de logiciels malveillants de secteur offre une approche zéro clique pour capturer les données des utilisateurs et des appareils derrière le bord du réseau ciblé. «Toutes les données envoyées sur les équipements réseau infiltrés par ce malware sont potentiellement exposés.Ce qui rend cette famille de logiciels malveillants si insidie-the-cuttlefish-malware / "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> avertir dans un article de blog . «La seiche est en attente, reniflant passivement les paquets, n'agissant que lorsqu'il est déclenché par un ensemble de règles prédéfini.Le renifleur de paquets utilisé par la seiche a été conçu pour acquérir du matériel d'authentification, en mettant l'accent sur les services publics basés sur le cloud. »	Malware Threat Cloud Technical	APT 32	★★★★
	2024-05-01 21:59:02	Impacts offensants et défensifs de l'Ai \\ AI\\'s Offensive & Defensive Impacts (lien direct)	Michael Sikorski, qui dirige les renseignements et l'ingénierie des menaces, partage des prédictions sur les implications à proximité et à long terme de l'AI \\ pour les cyberattaques et la défense. Michael Sikorski, who leads Threat Intelligence and Engineering, shares predictions on AI\'s near and long-term implications for cyberattacks and defense.	Threat		★★
	2024-05-01 20:56:45	La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct)	## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées	Ransomware Malware Tool Threat		★★
	2024-05-01 20:17:03	Google augmente la prime jusqu'à 450 000 $ pour les bogues RCE dans certaines applications Android Google Increases Bounty Up To $450,000 For RCE Bugs In Some Android Apps (lien direct)	Google propose désormais une prime allant jusqu'à 450 000 $ pour signaler les vulnérabilités d'exécution du code distant (RCE) dans certaines applications Android. Pour ceux qui ne le savent pas, RCE est une cyberattaque par laquelle un attaquant peut exécuter à distance du code malveillant sur un ordinateur cible, peu importe où il est situé, afin de déployer des logiciels malveillants supplémentaires ou de voler des données sensibles. Auparavant, la récompense pour la déclaration des vulnérabilités RCE dans l'application de niveau 1 était de 30 000 $, ce qui a maintenant augmenté jusqu'à 10 fois à 300 000 $ Ces modifications ont été apportées au programme de récompenses de vulnérabilité mobile (Mobile VRP) lancée en 2023, qui se concentre sur les applications Android de premier parti développées ou entretenues par Google. L'objectif de ce programme est «d'atténuer les vulnérabilités dans les applications Android de première partie, et ainsi protéger les utilisateurs et leurs données» en «reconnaissant les contributions et le travail acharné des chercheurs qui aident Google à améliorer la posture de sécurité de notre premier-des applications Android de fête. » Depuis le lancement du VRP mobile, Google a reçu plus de 40 rapports de bogues de sécurité valides, pour lesquels il a payé près de 100 000 $ en récompenses aux chercheurs en sécurité. En arrivant au niveau 1, la liste des applications dans SCOPE comprend Google Play Services, l'Android Google Search App (AGSA), Google Cloud et Gmail. Google souhaite désormais également que les chercheurs en sécurité accordent une attention particulière aux défauts qui pourraient conduire au vol de données sensibles.Pour les exploits qui nécessitent une interaction à distance ou sans utilisateur, les chercheurs seraient payés 75 000 $ De plus, le géant de la technologie paiera 1,5 fois le montant total de récompense pour des rapports de qualité exceptionnels qui incluent un patch proposé ou une atténuation efficace de la vulnérabilité, ainsi qu'une analyse de cause profonde qui aide à trouver d'autres variantes similaires du problème.Cela permettrait aux chercheurs de gagner jusqu'à 450 000 $ pour un exploit RCE dans une application Android de niveau 1 Cependant, les chercheurs obtiendraient la moitié de la récompense des rapports de bogues de faible qualité que ne fournissent pas: Une description précise et détaillée du problème Un exploit de preuve de concept Un exemple d'application sous la forme d'un apk Une explication étape par étape de la façon de reproduire la vulnérabilité de manière fiable Une analyse claire et une démonstration de l'impact de la vulnérabilité Catégorie 1) Remote / pas d'interaction utilisateur 2) L'utilisateur doit suivre un lien qui exploite l'application vulnérable 3) L'utilisateur doit installer une application malveillante ou une application de victime est configurée de manière non défaut 4) L'attaquant doit être sur le même réseau (par exemple MITM) a) Exécution de code arbitraire 300 000 $ 150 000 $ 15 000 $ 9 000 $ b) Vol de données sensibles * 75 000 $ 37 500 $ 9 000 $ 6 000 $ c) Autres vulnérabilités 24 000 $ 9 000 $ 4 500 $ 2 400 $ & nbsp; «Quelques modifications supplémentaires et plus petites ont également été apportées à nos règles.Par exemple, le modificateur 2x pour les SDK est désormais cuit dans les récompenses régulières.Cela devrait augmenter les récompenses globales et rendre les décisions de panel plus faciles », a déclaré l'ingénieur de la sécuri	Malware Vulnerability Threat Mobile Cloud		★★
	2024-05-01 19:46:49	Attaque "Stream Dirty": découvrir et atténuer un modèle de vulnérabilité commun dans les applications Android “Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps (lien direct)	## Snapshot Microsoft discovered a path traversal-affiliated vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application\'s home directory. The implications of this vulnerability pattern include arbitrary code execution and token theft, depending on an application\'s implementation. Arbitrary code execution can provide a threat actor with full control over an application\'s behavior. Meanwhile, token theft can provide a threat actor with access to the user\'s accounts and sensitive data. We identified several vulnerable applications in the Google Play Store that represented over four billion installations. We anticipate that the vulnerability pattern could be found in other applications. We\'re sharing this research so developers and publishers can check their apps for similar issues, fix as appropriate, and prevent introducing such vulnerabilities into new apps or releases. As threats across all platforms continue to evolve, industry collaboration among security researchers, security vendors, and the broader security community is essential in improving security for all. Microsoft remains committed to working with the security community to share vulnerability discoveries and threat intelligence to protect users across platforms. After discovering this issue, we identified several vulnerable applications. As part of our responsible disclosure policy, we notified application developers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) and worked with them to address the issue. We would like to thank the Xiaomi, Inc. and WPS Office security teams for investigating and fixing the issue. As of February 2024, fixes have been deployed for the aforementioned apps, and users are advised to keep their device and installed applications up to date. Recognizing that more applications could be affected, we acted to increase developer awareness of the issue by collaborating with Google to publish an article on the Android Developers website, providing guidance in a high-visibility location to help developers avoid introducing this vulnerability pattern into their applications. We also wish to thank Google\'s Android Application Security Research team for their partnership in resolving this issue. In this post, we continue to raise developer and user awareness by giving a general overview of the vulnerability pattern, and then focusing on Android share targets, as they are the most prone to these types of attacks. We go through an actual code execution case study where we demonstrate impact that extends beyond the mobile device\'s scope and could even affect a local network. Finally, we provide guidance to users and application developers and illustrate the importance of collaboration to improve security for all. ## Activity Overview ### Data and file sharing on Android The Android operating system enforces isolation by assigning each application its own dedicated data and memory space. To facilitate data and file sharing, Android provides a component called a content provider, which acts as an interface for managing and exposing data to the rest of the installed applications in a secure manner. When used correctly, a content provider provides a reliable solution. However, improper implementation can introduce vulnerabilities that could enable bypassing of read/write restrictions within an application\'s home directory. The Android software development kit (SDK) includes the [FileProvider](https://developer.android.com/reference/androidx/core/content/FileProvider) class, a subclass of ContentProvider that enables file sharing between installed applications. An application that needs to share its files with other applications can declare a FileProvider in its app manifest and declare the specific paths to share. Every file provider has a property called authority, which identifies it system-wide, and can b	Tool Vulnerability Threat Studies Mobile Technical		★★★
	2024-05-01 19:01:06	Muddywater Campaign abuse d'agents Atera MuddyWater Campaign Abusing Atera Agents (lien direct)	#### Targeted Geolocations - Israel - India - Algeria - Italy - Egypt - Türkiye #### Targeted Industries - Transportation Systems - Aviation - Information Technology - Healthcare & Public Health - Government Agencies & Services - General Public Services - Federal ## Snapshot Researchers at HarfangLab have been monitoring a campaign by Iran-based threat group MuddyWater, tracked by Microsoft as [Mango Sandstorm](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340), characterized by the use of Remote Monitoring and Management (RMM) tools. Microsoft tracks this actor as Mango Sandstorm, [read more about them here](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340). ## Description According to HarfangLab, MuddyWater has been utilizing legitimate RMM software in its attacks since at least 2021, but has been monitoring this campaign using Atera Agent since October 2023. Leveraging Atera\'s free trial offers, the agents seen in this campaign have been registered using both compromised enterprise and personal email accounts. The infection chain in this campaign begins with the deployment of spearphishing emails. These emails are highly tailored to the victim organization and contain malicious attachments or links. Upon interaction, MuddyWater leverages free file sharing sites to host the RMM software, in this case Atera Agent, giving the group remote access and control over compromised systems. The group likely does not rely on the Subsequently, the group is able to execute commands, conduct reconnaissance, and move laterally across the network facilitating the deployment of additional malware payloads enabling the group to maintain persistence and exfiltrate sensitive data. ## Microsoft Analysis Microsoft Threat Intelligence has identified that this campaign is likely attributed to the actor Microsoft tracks as Mango Sandstorm, an Iranian nation-state actor with ties to Iran\'s Ministry of Intelligence and Security (MOIS). In past operations, Mango Sandstorm has primarily, but not exclusively, sought to collect information assessed to have strategic value, typically from organizations in the aviation, education, defense, energy, government, and telecommunications sectors in the Middle East and North Africa. Mango Sandstorm tends to favor spearphishing attacks. In this and prior campaigns, the group has been observed using commercial RMM tools to achieve persistence in a target environment. Mango Sandstorm has been identified attempting to deliver Atera, SimpleHelp, RPort, N-able Advanced Monitoring Agent, Splashtop, Syncro, and AnyConnect. ## Detections As tools used in these types of campaigns might have legitimate uses, they are not typically detected as malicious, and proactive hunting is recommended. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of activity associated with Mango Sandstorm\'s operations. - Use the Attack Simulator in Microsoft Defender for Office 365 to organize realistic, yet safe, simulated phishing and password attack campaigns in your organization by training end users against clicking URLs in unsolicited messages and disclosing their credentials. Training should include checking for poor spelling and grammar in phishing emails or the application\'s consent screen as well as spoofed app names, logos and domain URLs appearing to originate from legitimate applications or companies. Note: Attack Simulator testing currently only supports phishing emails containing links. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that contain exploits and host malware. - Harden internet-facing assets and identify and se	Malware Tool Threat Medical Commercial		★★★
	2024-05-01 17:57:24	Les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels avec des entretiens d'embauche de faux North Korean Threat Actors Target Software Developers With Phony Job Interviews (lien direct)		Threat		★★
	2024-05-01 17:16:01	Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine Muddling Meerkat Group Suspected of Espionage via Great Firewall of China (lien direct)	> Par deeba ahmed découvre le "Mouddling Meerkat", un acteur de menace lié à la Chine manipulant le DNS.InfoBlox Research révèle un groupe sophistiqué avec une expertise DNS profonde et des liens potentiels avec le grand pare-feu.Apprenez leurs tactiques et comment rester protégés. Ceci est un article de HackRead.com Lire le post original: Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine >By Deeba Ahmed Uncover the "Muddling Meerkat," a China-linked threat actor manipulating the DNS. Infoblox research reveals a sophisticated group with deep DNS expertise and potential ties to the Great Firewall. Learn their tactics and how to stay protected. This is a post from HackRead.com Read the original post: Muddling Meerkat Group Suspected of Espionage via Great Firewall of China	Threat		★★★
	2024-05-01 17:11:23	Nord Security présente Nordstellar Nord Security introduces NordStellar (lien direct)	Les créateurs de NordVPN lance Nordstellar, une nouvelle plateforme de gestion de l'exposition aux menaces pour les entreprises ● Nordstellar permet aux entreprises de réduire les temps de détection des fuites de données et de minimiser les risques pour une organisation ● Pendant plusieurs années, la plate-forme a été utilisée et testée comme un outil interne, désormais mis à la disposition du public ● C'est la troisième solution B2B par Nord Security, y compris un gestionnaire de mots de passe pour les entreprises - Nordpass, et une solution de sécurité d'accès au réseau - Nordlayer ● Cette année, la société a également lancé Saily - un service ESIM - revues de produits The creators of NordVPN launches NordStellar, a new threat exposure management platform for businesses ● NordStellar allows companies to cut down on data leak detection times and minimize risk to an organization ● For several years, the platform was used and tested as an internal tool, now made available to the public ● It\'s the third B2B solution by Nord Security, including a password manager for businesses - NordPass, and a network access security solution - NordLayer ● This year, the company also launched Saily - an eSIM service - Product Reviews	Tool Threat		★★
	2024-05-01 14:00:00	Uncharmed: Untangling Iran\'s APT42 Operations (lien direct)	Written by: Ofir Rozmann, Asli Koksal, Adrian Hernandez, Sarah Bock, Jonathan Leathery APT42, an Iranian state-sponsored cyber espionage actor, is using enhanced social engineering schemes to gain access to victim networks, including cloud environments. The actor is targeting Western and Middle Eastern NGOs, media organizations, academia, legal services and activists. Mandiant assesses APT42 operates on behalf of the Islamic Revolutionary Guard Corps Intelligence Organization (IRGC-IO). APT42 was observed posing as journalists and event organizers to build trust with their victims through ongoing correspondence, and to deliver invitations to conferences or legitimate documents. These social engineering schemes enabled APT42 to harvest credentials and use them to gain initial access to cloud environments. Subsequently, the threat actor covertly exfiltrated data of strategic interest to Iran, while relying on built-in features and open-source tools to avoid detection. In addition to cloud operations, we also outline recent malware-based APT42 operations using two custom backdoors: NICECURL and TAMECAT. These backdoors are delivered via spear phishing, providing the attackers with initial access that might be used as a command execution interface or as a jumping point to deploy additional malware. APT42 targeting and missions are consistent with its assessed affiliation with the IRGC-IO, which is a part of the Iranian intelligence apparatus that is responsible for monitoring and preventing foreign threats to the Islamic Republic and domestic unrest. APT42 activities overlap with the publicly reported actors CALANQUE (Google Threat Analysis Group), Charming Kitten (ClearSky and CERTFA), Mint Sandstorm/Phosphorus (Microsoft), TA453 (Proofpoint), Yellow Garuda (PwC), and ITG18 (	Malware Tool Threat Cloud	Yahoo APT 35 APT 42	★★
	2024-05-01 13:00:45	Prolonger la protection des sases au navigateur Extending SASE Protection Into the Browser (lien direct)	> Si vous souhaitez protéger vos travailleurs distants, l'un des meilleurs endroits pour démarrer est le navigateur Web.C'est le portail principal vers notre journée de travail pour accéder à tout, des fichiers aux applications SaaS ou simplement à parcourir le Web.C'est pourquoi nous avons récemment ajouté une protection significative de navigateur à l'accès à l'harmonie sur Internet.Que vous cherchiez à empêcher les attaques de phishing, la réutilisation des mots de passe d'entreprise ou des fuites numériques, nous vous sommes couverts.Soutenu par ThreatCloud AI, la technologie de prévention des menaces de Check Point \\, la sécurité du navigateur d'accès Internet, la sécurité des navigateurs améliore la sécurité de votre main-d'œuvre à distance et à bureau.Fonctionnalités principales de sécurité du navigateur Prise en charge de la sécurité du navigateur [& # 8230;] >If you want to protect your remote workers one of the best places to start is the web browser. It\'s the primary portal to our workday for accessing everything from files to SaaS applications or just browsing the web. That\'s why we recently added significant browser protection to Harmony SASE Internet Access. Whether you\'re looking to prevent phishing attacks, reuse of corporate passwords, or digital leaks, we\'ve got you covered. Backed by ThreatCloud AI, Check Point\'s industry-leading threat prevention technology, Internet Access Browser Security improves the security of your remote and in-office workforce. Browser Security Main Features Browser Security supports […]	Threat Cloud		★★★
	2024-05-01 10:00:00	Histoires du SOC & # 8211;Combattre les escroqueries «alertes de sécurité» Stories from the SOC – Combating “Security Alert” Scams (lien direct)	Executive Summary The “Security Alert” scam is a prevalent tech-support fraud that threatens both Windows and Apple users. It exploits the trust of users by masquerading as an official support site, using fake pop-up warnings to lure users into dialing scam phone numbers by conveying a sense of urgency. The ultimate goal is gaining remote access to the user’s system and pilfering personal data to extort money. Combating a “Security Alert” scam is difficult on many fronts because most of the time attackers leverage newly registered domains, which means there is a lack of malicious OSINT (open-source intelligence), and they are able to bypass traditional detection methods. To gain remote access, attackers need the end user to call into a fraudulent support team to install a Remote Desktop Protocol (RDP) tool. An endpoint detection and response (EDR) tool might not catch the initial intrusion as such tools are also used for legitimate business reasons. The most successful way to combat phishing/scams is by end-user education and communication with the IT department. In a recent incident, a fake “Microsoft Security Alert” domain targeted one of our Managed Endpoint Security with SentinelOne customers, causing alarm for the end users and IT staff, but fortunately, the end user did not fall into the trap of calling the fraudulent number. The customer immediately contacted their assigned Threat Hunter for support and guidance, and the Threat Hunter was able to quickly utilize the security measures in place, locate multiple domains, and report them to the Alien Labs threat intelligence team. AT&T Cybersecurity was one of the first cybersecurity companies to alert on the domains and share the information via the Open Threat Exchange (OTX) threat intelligence sharing community, helping other organizations protect against it. Investigation Initial Alarm Review Indicators of Compromise (IOCs) The initial security layers failed to raise alarms for several reasons. First, the firewalls did not block the domain because it was newly registered and therefore not yet on any known block lists. Second, the platform did not create any alarms because the domain’s SSL certificates were properly configured. Finally, the EDR tool did not alert because no downloads were initiated from the website. The first indication of an issue came from an end user who feared a hack and reported it to the internal IT team. Utilizing the information provided by the end user, the Threat Hunter was able to locate the user\'s asset. Sniffing the URL data revealed a deceptive “Microsoft Security Alert” domain and a counterfeit McAfee website. These were detected largely because of improvements recommended during the customer\'s monthly meetings with the Threat Hunter, including a recommendation to activate the SentinelOne Deep Visibility browser extension, which is the tool that was instrumental in capturing URL information with greater accuracy after all the redirects. Figure I – Fake Microsoft Support page Figure 2 – Fake McAfee page Artifact (Indicator of Compromise) IOC Fake McAfee Page bavareafastrak[.]org Website Hosting Scam Pages Galaxytracke[.]com Zip file hash Tizer.zip - 43fb8fb69d5cbb8d8651af075059a8d96735a0d5 Figure 3 – Indicators of compromise Expanded Investigation Events Search With the understanding that the e	Hack Tool Threat		★★
	2024-05-01 01:13:37	Les acteurs de la menace nord-coréenne utilisent de faux entretiens d'embauche pour cibler les développeurs North Korean Threat Actors Use Fake Job Interviews to Target Developers (lien direct)	#### Industries ciblées - Informatique ## Instantané L'équipe de recherche sur les menaces de Securonix a surveillé une nouvelle campagne d'attaque en génie social en cours (Dev # Popper), probablement associée aux acteurs de la menace nord-coréenne qui ciblent les développeurs utilisant de fausses interviews pour livrer un rat à base de python.Les attaquants se présentent en tant qu'enquêteurs d'emploi légitimes et ont mis en place de faux entretiens d'embauche pour les développeurs.Au cours des entretiens, les acteurs de la menace demandent aux développeurs d'effectuer des tâches qui impliquent le téléchargement et l'exécution de logiciels à partir de sources qui semblent légitimes, comme Github. ## Description Les attaquants adaptent leur approche pour apparaître aussi crédible que possible, souvent en imitant les entreprises réelles et en reproduisant les processus d'entretien réels, en exploitant l'engagement et la confiance professionnels du développeur dans le processus de demande d'emploi.Le logiciel contenait une charge utile JS de nœud malveillant qui, une fois exécuté, a compromis le système du développeur \\.L'attaque implique plusieurs étapes, y compris l'utilisation d'un package NPM malveillant, l'exécution de la commande, le téléchargement de la charge utile et l'exécution du code Python, permettant finalement à l'attaquant d'interagir à distance avec la machine de la victime. ## Recommandations La source recommande: - sensibiliser au fait que les gens sont des cibles d'attaques d'ingénierie sociale tout comme la technologie est l'exploitation.Rester plus vigilant et la sécurité continue, même dans des situations à forte stress, est essentiel pour prévenir complètement le problème. - Surveillez l'utilisation de langages de script non défaut tels que Python sur les points de terminaison et les serveurs qui ne devraient normalement pas l'exécuter.Pour aider à cela, tirez parti de l'exploitation de l'exploitation supplémentaire au niveau du processus tel que Sysmon et PowerShell Logging pour une couverture de détection de journaux supplémentaire. Les clients de Microsoft 365 Defender peuvent également activer [Réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference#block-execuable-files-À partir de l'intervalle à moins, ils-meet-a-prévalence-âge ou de la liste-critère) des règles pour durcir leurs environnements contre des techniques comme celles utilisées dans cette attaque.Ces règles peuvent être configurées par tous les clients Microsoft Defender Antivirus et pas seulement ceux qui utilisent la solution EDR. - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de fiducie.Référence # Block-Execuable-Files de running-inless-they-meet-a-prévalence-âge-ou-trusted-list-criterion) - [Block JavaScript ou VBScript en lançant du contenu exécutable téléchargé.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=O365 Worldwide # Block-Javascript-Or-Vbscript-From-Launching-Downed-Téléchargé-Contant) - [Exécution de blocs de scripts potentiellement obscurcis.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide# Block-Exécution-Obfuscated-Scripts) ## Les références [https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associated-with-north-korean-thereat-ctors//www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associed-with-north-korean-threat-acteurs/) #### Targeted Industries - Information Technology ## Snapshot The Securonix Threat Research Team has been monitoring a new ongoing social engineeri	Threat		★★
	2024-04-30 19:22:43	ALERTE NOUVELLES: Cybersixgill dévoile \\ 'Intelligence tierce \\' pour livrer une menace spécifique au fournisseur Intel News alert: Cybersixgill unveils \\'Third-Party Intelligence\\' to deliver vendor-specific threat intel (lien direct)	Tel Aviv, Israël & # 8211;30 avril 2024 & # 8211; Cybersixgill, Le fournisseur de données mondiales de cyber-menace, casséNouveau terrain aujourd'hui en introduisant son module d'intelligence tiers. LeUn nouveau module fournit une cybersécurité et des menaces spécifiques aux fournisseurs pour les organisations \\ 'Teams de sécurité, permettant & # 8230;(Plus…) Tel Aviv, Israel – April 30, 2024 – Cybersixgill, the global cyber threat intelligence data provider, broke new ground today by introducing its Third-Party Intelligence module. The new module delivers vendor-specific cybersecurity and threat intelligence to organizations\' security teams, enabling … (more…)	Threat		★★
	2024-04-30 16:17:33	CrowdStrike a nommé le seul choix des clients \\ 'en 2024 Gartner & Reg;«Voix du client» pour la gestion de la surface d'attaque externe CrowdStrike Named the Only Customers\\' Choice in 2024 Gartner® “Voice of the Customer” for External Attack Surface Management (lien direct)	À mesure que les adversaires deviennent plus rapides et plus furtifs, ils recherchent sans relâche des actifs vulnérables à exploiter.Pendant ce temps, votre empreinte numérique se développe, ce qui rend de plus en plus difficile de suivre tous vos actifs.Il n'est pas étonnant que 76% des violations en 2023 ne soient dues à des actifs inconnus et non gérés par Internet.Dans ce contexte, il est plus critique que [& # 8230;] As adversaries become faster and stealthier, they relentlessly search for vulnerable assets to exploit. Meanwhile, your digital footprint is expanding, making it increasingly challenging to keep track of all of your assets. It\'s no wonder 76% of breaches in 2023 were due to unknown and unmanaged internet-facing assets. Against this backdrop, it’s more critical than […]	Threat		★★
	2024-04-30 14:00:00	Protection des ransomwares et stratégies de confinement: conseils pratiques pour le durcissement et la protection des infrastructures, des identités et des points de terminaison Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints (lien direct)	Written by: Matthew McWhirt, Omar ElAhdan, Glenn Staniforth, Brian Meyer Multi-faceted extortion via ransomware and/or data theft is a popular end goal for attackers, representing a global threat targeting organizations in all industries. The impact of a successful ransomware event can be material to an organization, including the loss of access to data, systems, and prolonged operational outages. The potential downtime, coupled with unforeseen expenses for restoration, recovery, and implementation of new security processes and controls can be overwhelming.Since the initial launch of our report in 2019, data theft and ransomware deployment tactics have continued to evolve and escalate. This evolution marks a shift from manual or script-based ransomware deployment to sophisticated, large-scale operations, including: Weaponizing Trusted Service Infrastructure (TSI): Adversaries are increasingly abusing legitimate infrastructure and security tools (TSI) to rapidly propagate malware or ransomware across entire networks. Targeting Virtualization Platforms: Attackers are actively focusing on the virtualization layer, aiming to mass-encrypt virtual machines (VMs) and other critical systems at scale. Targeting Backup Data / Platforms: Threat actors are exploiting misconfigurations or security gaps in backup systems to either erase or corrupt data backups, severely hindering recovery efforts. Based upon these newer techniques, it is critical that organizations identify the span of the attack surface, and align proper security controls and visibility that includes coverage for protecting: Identities Endpoints Network Architectures Remote Access Platforms Trusted Service Infrastructure (TSI) Cascading weaknesses across these layers create opportunities for attackers to breach an organization\'s perimeter, gain initial access, and maintain a persistent foothold within the compromised network. In our updated report,	Ransomware Malware Tool Threat		★★★
	2024-04-30 13:23:45	BlackBerry présente Cylance Assistant, le niveau supérieur de cybersécurité avec des capacités d\'IA générative (lien direct)	Des informations faciles à comprendre livrées à la demande pour renforcer la cyber-résilience. BlackBerry Limited annonce la mise à disposition générale de Cylance Assistant, véritable conseiller en cybersécurité basé sur l'IA générative qui a pour objectif d'aider les organisations à accélérer la prise de décision et à arrêter plus de menaces plus rapidement avec moins de ressources. Cylance Assistant regroupe un ensemble de fonctionnalités avancées exploitant la puissance de l'IA de Cylance pour en faire (...) - Produits	Threat		★★★
	2024-04-30 12:14:48	Détection du vol de données du navigateur à l'aide des journaux d'événements Windows Detecting browser data theft using Windows Event Logs (lien direct)	Publié par Will Harris, Chrome Security Team Le modèle de processus sandboxé de Chrome \\ de se défend bien contre le contenu Web malveillant, mais il existe des limites à la façon dont l'application peut se protéger des logiciels malveillants déjà sur l'ordinateur.Les cookies et autres informations d'identification restent un objectif de grande valeur pour les attaquants, et nous essayons de lutter contre cette menace continue de plusieurs manières, notamment en travaillant sur des normes Web comme dbsc Cela aidera à perturber l'industrie du vol de cookies car l'exfiltration de ces cookies n'aura plus de valeur. Lorsqu'il n'est pas possible d'éviter le vol d'identification et de cookies par malware, la prochaine meilleure chose est de rendre l'attaque plus observable par antivirus, d'agents de détection de terminaux ou d'administrateurs d'entreprise avec des outils d'analyse de journaux de base. Ce blog décrit un ensemble de signaux à utiliser par les administrateurs système ou les agents de détection de point de terminaison qui devraient signaler de manière fiable tout accès aux données protégées du navigateur d'une autre application sur le système.En augmentant la probabilité d'une attaque détectée, cela modifie le calcul pour les attaquants qui pourraient avoir un fort désir de rester furtif et pourraient les amener à repenser ces types d'attaques contre nos utilisateurs. arrière-plan Les navigateurs basés sur le chrome sur Windows utilisent le DPAPI (API de protection des données) pour sécuriser les secrets locaux tels que les cookies, le mot de passe, etc.La protection DPAPI est basée sur une clé dérivée des informations d'identification de connexion de l'utilisateur et est conçue pour se protéger contre l'accès non autorisé aux secrets des autres utilisateurs du système ou lorsque le système est éteint.Étant donné que le secret DPAPI est lié à l'utilisateur connecté, il ne peut pas protéger contre les attaques de logiciels malveillants locaux - l'exécution de logiciels malveillants en tant qu'utilisateur ou à un niveau de privilège plus élevé peut simplement appeler les mêmes API que le navigateur pour obtenir le secret DPAPI. Depuis 2013, Chromium applique l'indicateur CryptProtect_Audit aux appels DPAPI pour demander qu'un journal d'audit soit généré lorsque le décryptage se produit, ainsi que le marquage des données en tant que détenue par le navigateur.Parce que tout le stockage de données crypté de Chromium \\ est soutenu par une clé sécurisée DPAPI, toute application qui souhaite décrypter ces données, y compris les logiciels malveillants, devrait toujours générer de manière fiable un journal d'événements clairement observable, qui peut être utilisé pour détecter ces typesd'attaques. Il y a trois étapes principales impliquées dans le profit de ce journal: Activer la connexion sur l'ordinateur exécutant Google Chrome, ou tout autre navigateur basé sur le chrome. Exporter les journaux des événements vers votre système backend. Créer une logique de détection pour détecter le vol. Ce blog montrera également comment la journalisation fonctionne dans la pratique en la testant contre un voleur de mot de passe Python. Étape 1: Activer la connexion sur le système Les événements DPAPI sont connectés à deux endroits du système.Premièrement, il y a le 4693 Événement qui peut être connecté au journal de sécurité.Cet événement peut être activé en activant "Audit l'activité DPAPI" et les étapes pour ce faire sont d	Malware Tool Threat		★★
	2024-04-30 12:05:17	Semperis prolonge la détection des attaques basée sur la ML avec une orientation spécialisée sur les risques d'identité Semperis Extends ML-Based Attack Detection with Specialised Identity Risk Focus (lien direct)	Identity Runtime Protection (IRP), la première offre de la plate-forme Semperis Lightning ™, fusionne l'apprentissage automatique avec une expertise de sécurité d'identité inégalée pour détecter et arrêter les techniques d'attaque les plus réussies Semperis annonce leLibération de Lightning Identity Runtime Protection (IRP), une nouvelle offre de détection et de réponse des menaces d'identité (ITDR) qui utilise des modèles d'apprentissage automatique développés par des experts en sécurité d'identité pour détecter les modèles d'attaque généralisés et réussis tels que (...) - revues de produits Identity Runtime Protection (IRP), the first offering in the Semperis Lightning™ platform, merges deep machine learning with unmatched identity security expertise to detect and stop the most successful attack techniques Semperis announce the release of Lightning Identity Runtime Protection (IRP), a new identity threat detection and response (ITDR) offering that uses machine learning models developed by identity security experts to detect widespread and successful attack patterns such as (...) - Product Reviews	Threat		★★★
	2024-04-30 10:03:21	Ruviki – Quand le Kremlin réécrit Wikipedia à sa sauce (lien direct)	La Russie a remplacé Wikipedia par une encyclopédie sous contrôle de l'État, clone de la version russe originale mais lourdement censurée. Ruwiki, l'encyclopédie libre, a été bannie au profit de Ruviki, sa copie expurgée de tout contenu dérangeant pour le gouvernement.	Threat		★★★★
	2024-04-30 09:10:30	CrowdStrike nommé le premier rapport du leader dans l'industrie \\ de l'INDUST CrowdStrike Named Overall Leader in Industry\\'s First ITDR Comparative Report (lien direct)	Les rapports d'analystes de la première détection et de la réponse de l'identité de l'industrie (ITDR) nomment CrowdStrike un leader global et une «force de cyber industrie».Dans KuppingerCole Leadership Compass, la détection et la réponse des menaces d'identité (ITDR) 2024: IAM rencontre le SOC, Crowdstrike a été nommé leader dans chaque catégorie - produit, innovation, marché et classement global - et positionné le plus haut [& # 8230;] The industry\'s first identity detection and response (ITDR) analyst report names CrowdStrike an Overall Leader and a “cyber industry force.” In KuppingerCole Leadership Compass, Identity Threat Detection and Response (ITDR) 2024: IAM Meets the SOC, CrowdStrike was named a Leader in every category - Product, Innovation, Market and Overall Ranking - and positioned the highest […]	Threat Commercial		★★★
	2024-04-30 09:00:40	Détection et réponse gérées en 2023 Managed Detection and Response in 2023 (lien direct)	Le rapport couvre les tactiques, les techniques et les outils le plus souvent déployés par les acteurs de la menace, la nature des incidents détectés et leur distribution entre les clients MDR. The report covers the tactics, techniques and tools most commonly deployed by threat actors, the nature of incidents detected and their distribution among MDR customers.	Tool Threat		★★
	2024-04-30 08:46:45	Sentinélone révolutionne la cybersécurité avec Purple Ai SentinelOne Revolutionizes Cybersecurity with Purple AI (lien direct)	L'analyste de la sécurité de l'IA transforme radicalement les enquêtes et la réponse aux menaces avec une chasse simple, en un clic, des requêtes suggérées et des rapports générés en auto, permettant aux équipes de sécurité de fournir de nouveaux niveaux de défense, d'épargne et d'efficacité Il y a un an, Sentinelone a présenté la première plate-forme générative alimentée par AI pour la cybersécurité.Maintenant, la société innove à nouveau avec la disponibilité générale de l'IA violette, un analyste de sécurité transformateur de l'IA conçu pour déverrouiller le complet (...) - revues de produits AI security analyst radically transforms threat investigations and response with simple, one-click hunting, suggested queries, and auto-generated reports, empowering security teams to deliver new levels of defense, savings, and efficiencies A year ago, SentinelOne introduced the first generative AI-powered platform for cybersecurity. Now the company is again breaking new ground with the general availability of Purple AI, a transformative AI security analyst designed to unlock the full (...) - Product Reviews	Threat		★★
	2024-04-30 08:36:49	Petites entreprises, grands risques : la protection des mots de passe doit être une priorité (lien direct)	Dans le monde interconnecté d'aujourd'hui, les petites entreprises sont de plus en plus ciblées par des cyberattaques. Avec une expertise et des ressources limitées, ces structures ont souvent du mal à se défendre contre les menaces complexes. Cependant, en intégrant dans leur organisation des process de protection des mots de passe plus forts, elles peuvent améliorer leur sécurité de façon significative et protéger leurs données sensibles. A l'occasion de la journée mondiale du mot de passe le 2 mai (...) - Points de Vue	Threat		★★
	2024-04-30 08:33:11	Découvrez le côté obscur des DLL (Dynamic Link Library) (lien direct)	>En bref :Le chargement latéral de DLL (Dynamic Link Library) est une technique permettant d'exécuter des charges virales malveillantes dans une DLL masquée en exploitant le processus d'exécution d'une application légitime.Des groupes de malware, tels que les groupes APT chinois et les malwares Darkgate, exploitent sur le terrain une vulnérabilité de chargement latéral de DLL Zero-Day [...]	Malware Vulnerability Threat		★★★
	2024-04-30 07:28:52	SilobReaker améliore les offres avec collection et alerte en AI-A-A-Alect pour SEC 8-K 1.05 Silobreaker enhances offerings with AI-enhanced collection and alerting for SEC 8-K 1.05 filings (lien direct)	La source de données nouvellement ajoutée et l'intelligence étendue permettent aux utilisateurs d'avoir un aperçu opportun des dépôts clés des incidents de cybersécurité. société de technologie de sécurité et de renseignement sur les menaces, Silobreaker a annoncé aujourd'hui l'ajout de collecte automatique, d'analyse améliorée par l'IA et d'alerte sur les dépôts d'incident de cybersécurité 8-K effectués à la Securities and Exchange Commission américaine (SEC).Cette amélioration de la plate-forme de silobreaker permet aux organisations de rester informés de la cybersécurité critique (...) - revues de produits Newly added data source and expanded intelligence empowers users with timely insight into key cybersecurity incident filings. Security and threat intelligence technology company, Silobreaker today announced the addition of automatic collection, AI-enhanced analysis, and alerting on 8-K cybersecurity incident filings made to the US Securities and Exchange Commission (SEC). This enhancement to the Silobreaker platform empowers organisations to stay informed about critical cybersecurity (...) - Product Reviews	Threat		★★

Last update at: 2024-06-18 06:10:33
See our sources.

To see everything: Our RSS (filtrered)