What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-19 22:16:33 | CSA Updates Cloud Security Certificate, Training (lien direct) | Latest version of CSA's Cloud Security Knowledge Certificate provides a comprehensive catalog of the essential skills cybersecurity professionals need to master. | |||
 |
2024-07-19 16:30:00 | Protéger les identités personnelles et d'entreprise avec des renseignements identitaires Safeguard Personal and Corporate Identities with Identity Intelligence (lien direct) |
Découvrez les menaces critiques qui peuvent avoir un impact sur votre organisation et les mauvais acteurs derrière eux des experts des menaces de Cybersixgill.Chaque histoire met en lumière les activités souterraines, les acteurs de la menace impliqués et pourquoi vous devriez vous soucier, ainsi que ce que vous pouvez faire pour atténuer les risques. & NBSP;
Dans le paysage cyber-menace actuel, la protection des identités personnelles et d'entreprise est devenue vitale.
Learn about critical threats that can impact your organization and the bad actors behind them from Cybersixgill\'s threat experts. Each story shines a light on underground activities, the threat actors involved, and why you should care, along with what you can do to mitigate risk. In the current cyber threat landscape, the protection of personal and corporate identities has become vital. |
Threat | ||
|
2024-07-19 14:59:00 | Le groupe pro-houthis cible les organisations d'aide au yémen avec un logiciel espion Android Pro-Houthi Group Targets Yemen Aid Organizations with Android Spyware (lien direct) |
Un groupe de menaces pro-houthis présumé a ciblé au moins trois organisations humanitaires au Yémen avec un logiciel espion Android conçu pour récolter des informations sensibles.
Ces attaques, attribuées à un cluster d'activités, nommé Oilalpha, impliquent un nouvel ensemble d'applications mobiles malveillantes qui viennent avec leur propre infrastructure de soutien, a déclaré le groupe insikt de Future \\.
Cibles de la campagne en cours
A suspected pro-Houthi threat group targeted at least three humanitarian organizations in Yemen with Android spyware designed to harvest sensitive information. These attacks, attributed to an activity cluster codenamed OilAlpha, entail a new set of malicious mobile apps that come with their own supporting infrastructure, Recorded Future\'s Insikt Group said. Targets of the ongoing campaign |
Threat Mobile | ★★★ | |
|
2024-07-19 14:25:00 | Résumé du webinaire "Les dirigeants de l'IA renversent leurs secrets" Summary of "AI Leaders Spill Their Secrets" Webinar (lien direct) |
Aperçu de l'événement
Le webinaire "les leaders de l'IA renverse leurs secrets", organisé par Sigma Computing, a présenté des experts en IA éminents partageant leurs expériences et stratégies de réussite dans l'industrie de l'IA.Le panel comprenait Michael Ward de Sardine, Damon Bryan de Hyperfinity et Stephen Hillian de l'astronome, modéré par Zalak Trivedi, Sigma Computing \'s Product Manager.
Haut-parleurs clés et leurs
Event Overview The "AI Leaders Spill Their Secrets" webinar, hosted by Sigma Computing, featured prominent AI experts sharing their experiences and strategies for success in the AI industry. The panel included Michael Ward from Sardine, Damon Bryan from Hyperfinity, and Stephen Hillian from Astronomer, moderated by Zalak Trivedi, Sigma Computing\'s Product Manager. Key Speakers and Their |
★★ | ||
 |
2024-07-19 13:00:15 | CrowdStrike Falcon flaw sends Windows computers into chaos worldwide (lien direct) | >George Kurtz, CEO of the software firm, said a fix is being deployed and the issue is not due to a cyberattack. | |||
|
2024-07-19 13:00:00 | Ransomware Has Outsized Impact on Gas, Energy & Utility Firms (lien direct) | Attackers are more likely to target critical infrastructure industries and, when they do, they cause more disruption and ask higher ransoms, with the median payment topping $2.5 million. | |||
|
2024-07-19 12:54:00 | APT41 Infiltre les réseaux en Italie, en Espagne, à Taïwan, en Turquie et au Royaume-Uni. APT41 Infiltrates Networks in Italy, Spain, Taiwan, Turkey, and the U.K. (lien direct) |
Plusieurs organisations opérant dans les secteurs mondiaux de l'expédition et de la logistique, des médias et du divertissement, de la technologie et de l'automobile en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni sont devenus la cible d'une "campagne soutenue" par le piratage prolifique de l'APT41 basé en Chine.groupe.
"APT41 a réussi à infiltrer et à maintenir un accès prolongé et non autorisé à de nombreuses victimes \\ 'réseaux depuis
Several organizations operating within global shipping and logistics, media and entertainment, technology, and automotive sectors in Italy, Spain, Taiwan, Thailand, Turkey, and the U.K. have become the target of a "sustained campaign" by the prolific China-based APT41 hacking group. "APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since |
APT 41 | ★★★ | |
|
2024-07-19 12:43:00 | Solarwinds Patches 11 défauts critiques dans le logiciel du gestionnaire de droits d'accès SolarWinds Patches 11 Critical Flaws in Access Rights Manager Software (lien direct) |
SolarWinds a abordé un ensemble de défauts de sécurité critiques ayant un impact sur son logiciel de gestion des droits d'accès (ARM) qui pourrait être exploité pour accéder aux informations sensibles ou exécuter du code arbitraire.
Sur les 11 vulnérabilités, sept sont évalués en gravité et portent un score CVSS de 9,6 sur 10,0.Les quatre faiblesses restantes ont été évaluées en gravité, chacune ayant un CVSS
SolarWinds has addressed a set of critical security flaws impacting its Access Rights Manager (ARM) software that could be exploited to access sensitive information or execute arbitrary code. Of the 11 vulnerabilities, seven are rated Critical in severity and carry a CVSS score of 9.6 out of 10.0. The remaining four weaknesses have been rated High in severity, with each of them having a CVSS |
Vulnerability | ★★★ | |
 |
2024-07-19 12:29:14 | How ITDR and Deceptions Can Defend Against the Exploitation of Software Vulnerabilities (lien direct) | It seems like once or twice a year threat researchers discover a massive and often internet-exposed software vulnerability that allows cybercriminals to gain control of a vulnerable computer. Attackers can then use the computer as a foothold that leads to serious damage in a targeted organization. Do you remember Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) or Dirty Pipe (CVE-2022-0847)? Recently, regreSSHion (CVE-2024-6387) joined the list of vulnerabilities with “elegant” names and large potential impact. It was discovered and disclosed by the Qualys Threat Research Unit. RegreSSHion: a new OpenSSH software vulnerability RegreSSHion is a vulnerability in the OpenSSH security service. OpenSSH is an open-source tool that enables secure system administration, file transfers and other communication over the internet or untrusted networks. It is found in many Unix-based operating systems like Mac and Linux. Qualys states in its vulnerability disclosure blog that regreSSHion, if exploited, could lead to a full system takeover. Attackers could use the compromised system to exploit other vulnerable systems within a company, bypassing critical security mechanisms. The depth of this impact, combined with the massive breadth of its public availability, creates a global challenge. Qualys estimates that there are more than 14 million potentially vulnerable OpenSSH server instances on the internet. It also estimates that about 700,000 external internet-facing instances are vulnerable. That is a large number. So, let the patching begin, right? That way, we can all move on to the next security challenge. But wait-not so fast. Patching takes time-meanwhile, attackers can bypass security controls Even the best IT teams can take a long time to patch vulnerabilities. For some teams, the work can stretch into months, years or even longer. This extended exposure time is a serious problem. Threat actors can scan the internet to look for vulnerable systems, just like security researchers do. How can businesses protect themselves in the pre-patching phase? Should they use log-based monitoring, firewalls or agent-based EDR or XDR security systems to detect and stop intrusions? These security measures are not sufficient. Keep in mind that regreSSHion provides bad actors with root-based system privileges on the infected host. That means that they likely can turn off or bypass security controls that operate on or via the host. This is a fundamental weakness of local security controls. They are both visible and available for manipulation by malicious actors who have gained system administrative privileges. ITDR security systems, including deception-based detections, provide defense-in-depth So, what can your business do during the vulnerable period between the public announcement of a CVE, such as RegreSSHion, and when your IT teams can find and patch vulnerable systems? After all, it is during this critical time that the vulnerability is also known and findable by adversaries. This is where an ITDR solution in general and deception-based security controls in particular can come into play-and can truly shine. Signature or behavior-based detection systems need telemetry to detect a threat actor's presence. And they must be active to collect data and execute analysis. However, as noted earlier, once they have root system administrative privileges, attackers can, in many cases, simply disable or bypass these systems. Deceptions work differently. Tools like Proofpoint Shadow can deploy authentic-looking resources-like files, accounts and services-throughout the enterprise. These resources serve as lures for threat actors who want to use them to move laterally and escalate privileges. When they attempt to do that, a silent detection alert is triggered and forensic data is sent to the incident response team. With deceptions, there is nothing for a | |||
 |
2024-07-19 12:16:16 | Investigation prompts European hosting companies to suspend accounts linked to Russian disinfo (lien direct) | Pas de details / No more details | |||
 |
2024-07-19 11:50:05 | La violation de données médicale a un impact sur 12,9 millions d'individus MediSecure Data Breach Impacts 12.9 Million Individuals (lien direct) |
> Les informations personnelles et de santé de 12,9 millions ont été volées dans une attaque de ransomware chez le fournisseur de services de prescription numérique australienne Mediseecure.
>The personal and health information of 12.9 million was stolen in a ransomware attack at Australian digital prescription services provider MediSecure. |
Ransomware Data Breach | ||
 |
2024-07-19 11:50:03 | Alertes de vulnérabilité de vigilance - Apache Httpd: fuite de mémoire via HTTP / 2 RST FRAME, analysé le 19/10/2023 Vigilance Vulnerability Alerts - Apache httpd: memory leak via HTTP/2 RST Frame, analyzed on 19/10/2023 (lien direct) |
Un attaquant peut créer une fuite de mémoire d'Apache Httpd, via HTTP / 2 RST Frame, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can create a memory leak of Apache httpd, via HTTP/2 RST Frame, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ★★★ | |
 |
2024-07-19 10:54:39 | Détail mandiant et google tag APT41 Cyber Campagne ciblant les industries mondiales Mandiant and Google TAG detail APT41 cyber campaign targeting global industries (lien direct) |
> La société de renseignement sur les menaces Mandiant en collaboration avec le groupe d'analyse des menaces de Google (TAG) a observé une campagne soutenue par le ...
>Threat intelligence firm Mandiant in collaboration with Google\'s Threat Analysis Group (TAG) observed a sustained campaign by the... |
Threat | APT 41 | ★★★ |
|
2024-07-19 10:34:26 | Crowdsstrike Oopsie plante des postes de travail Windows à travers le monde Crowdstrike oopsie crashes Windows workstations across the world (lien direct) |
Pas de details / No more details | ★★★★ | ||
 |
2024-07-19 10:25:51 | L\'IA, un maillon essentiel pour sécuriser la chaîne d\'approvisionnement logicielle et des données (lien direct) | 2024 s'impose comme l'année du changement où les équipes DevSecOps utilisent de plus en plus l'IA pour automatiser les processus de sécurité, notamment en s'éloignant des modèles “shift-left”. | ★★★ | ||
|
2024-07-19 10:07:42 | Parcourir les courriels Courriel 4 sur 122 Précédent Suivant change-formatchange-format Objet : Panne causée par Crowdstrike - analyse de CyberArk (lien direct) | Parcourir les courriels Courriel 4 sur 122 Précédent Suivant change-formatchange-format Objet : Panne causée par Crowdstrike - analyse de Omer Grossman, CIO de CyberArk - Points de Vue | ★★★ | ||
 |
2024-07-19 10:04:44 | Perturbations de Crowdsstrike & # 8211;Assurer la continuité des activités CrowdStrike Disruptions – Ensuring Business Continuity (lien direct) |
> Au cours des dernières heures, des perturbations majeures sur la plate-forme Falcon de Crowdsstrike ont provoqué des impacts de productivité importants en raison de documents inaccessibles.La mise à jour Crowdsstrike Falcon a conduit à A & # 8220; Écran bleu de la mort & # 8221;À l'échelle mondiale, impactant l'impact sur les opérations commerciales qui dépendent de cette technologie.Ce problème nécessite une attention immédiate pour atténuer les défaillances potentielles du système.Ces perturbations mettent en évidence notre dépendance à l'égard des logiciels clés et de la nature critique de la planification de la continuité des activités.Les employés confrontés à ces problèmes ne sont pas en mesure d'effectuer des tâches essentielles, soulignant la nécessité de stratégies de sécurité et de continuité multicouches robustes.Des événements comme celle-ci soulignent l'importance de maintenir la continuité des activités élevées [& # 8230;]
>In the last few hours, major disruptions on CrowdStrike’s Falcon platform causing significant productivity impacts due to inaccessible documents have been reported. The CrowdStrike Falcon update has led to a “blue screen of death” globally, severely impacting business operations dependent on this technology. This issue requires immediate attention to mitigate potential system failures. These disruptions highlight our dependency on key software and the critical nature of business continuity planning. Employees facing these issues are unable to perform essential tasks, emphasizing the need for robust, multi-layered security and continuity strategies. Events like this stress the importance of keeping business continuity high […] |
★★★ | ||
|
2024-07-19 09:37:00 | Wazirx Crypto-monnricy Exchange perd 230 millions de dollars en majeure violation de sécurité WazirX Cryptocurrency Exchange Loses $230 Million in Major Security Breach (lien direct) |
L'échange indien de crypto-monnaie Wazirx a confirmé que c'était l'objectif d'une violation de sécurité qui a conduit au vol de 230 millions de dollars d'actifs de crypto-monnaie.
"Une cyberattaque s'est produite dans l'un de nos portefeuilles [multi-signatures] impliquant une perte de fonds supérieurs à 230 millions de dollars", a indiqué la société dans un communiqué."Ce portefeuille a été exploité en utilisant les services de la garde des actifs numériques de Liminal \\ et
Indian cryptocurrency exchange WazirX has confirmed that it was the target of a security breach that led to the theft of $230 million in cryptocurrency assets. "A cyber attack occurred in one of our [multi-signature] wallets involving a loss of funds exceeding $230 million," the company said in a statement. "This wallet was operated utilizing the services of Liminal\'s digital asset custody and |
★★★ | ||
 |
2024-07-19 09:33:00 | La faille Crowdsstrike provoque des pannes informatiques mondiales CrowdStrike Fault Causes Global IT Outages (lien direct) |
Un problème lié à une mise à jour du capteur Falcon de la plate-forme de sécurité de CrowdStrike \\ a eu un impact sur les systèmes d'exploitation Microsoft Windows, provoquant des pannes informatiques mondiales
An issue related to an update to CrowdStrike\'s security platform Falcon Sensor has impacted Microsoft Windows Operating Systems, causing global IT outages |
★★★ | ||
|
2024-07-19 09:13:42 | Les choix d\'OpenAI pour GPT-4o mini (lien direct) | Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a fait l'objet d'arbitrages. | ★★★ | ||
 |
2024-07-19 07:00:00 | Music for Programming – Boostez votre concentration avec des playlists instrumentales spéciales coding (lien direct) | Music for Programming est un site proposant des playlists spécialement conçues pour booster la productivité et la concentration des développeurs lors de leurs sessions de codage. Découvrez comment ces sélections musicales sans paroles peuvent vous aider à entrer dans un état de flux optimal. | ★★★ | ||
 |
2024-07-19 05:59:19 | La Corée du Nord probablement derrière le retrait de l'Indian Crypto Exchange Wazirx North Korea likely behind takedown of Indian crypto exchange WazirX (lien direct) |
La société interrompt les transactions après avoir vu 230 millions de dollars disparaître Indian Crypto Exchange Wazirx a révélé qu'il avait perdu des actifs virtuels d'une valeur de plus de 230 millions de dollars après une cyberattaque qui a depuis été liée à la Corée du Nord.…
Firm halts trades after seeing $230 million disappear Indian crypto exchange WazirX has revealed it lost virtual assets valued at over $230 million after a cyber attack that has since been linked to North Korea.… |
★★★ | ||
|
2024-07-19 05:09:48 | Le gang d'attaque de Pékin Volt Typhoon était un faux drapeau dans le complot d'emploi: Chine Beijing\\'s attack gang Volt Typhoon was a false flag inside job conspiracy: China (lien direct) |
géré par la NSA, le FBI et les cinq nations Eyes, qui ont trompé les chercheurs de l'INFOSEC, apparemment La Chine a affirmé que le gang Volt Typhoon, que cinq nations Eyes accusent d'être un attaquant soutenu par Beijingqui cible les infrastructures critiques, a en fait été composée par la communauté du renseignement américain.…
Run by the NSA, the FBI, and Five Eyes nations, who fooled infosec researchers, apparently China has asserted that the Volt Typhoon gang, which Five Eyes nations accuse of being a Beijing-backed attacker that targets critical infrastructure, was in fact made up by the US intelligence community.… |
Guam | ★★★ | |
 |
2024-07-19 03:25:01 | La campagne de Nuget malveille Malicious NuGet campaign uses homoglyphs and IL weaving to fool devs (lien direct) |
## Instantané
Les chercheurs en inversion deslabs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et des tisser pour tromper les développeurs.Initialement, ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes à l'aide de tissage Il, puis exploité les intégrations MSBuild de NuGet \\ pour assurer l'exécution du code malveillant lors des constructions de projet.
## Description
RenversingLabs a suivi la campagne malveillante ciblant Nuget depuis août 2023. Utilisant initialement des scripts PowerShell, les attaquants ont déménagé pour injecter un initialiseur de module et des téléchargeurs malveillants en binaires .NET légitimes via le tissage Il, une technique modifiant le code après la compilation.Les acteurs de la menace ont également usurpé l'identité du package légitime "guna.ui2.winforme" en modifiant le code et en le publiant comme "gSO A.UI3.wi-nf օ rms ", exploitant un nom de préfixe réservé sur le référentiel NuGet. Les chercheurs de réversion deslabs ont identifié environ 60 packages et 290 versions de package dans le cadre de cette campagne, qui ont été supprimées de la plate-forme NuGet. Cette campagne a mis en évidence de nouvelles techniques telles que BinaryLe correctif des DLL et l'utilisation d'homoglyphes dans les attaques de typosquat.
## Les références
[La campagne de Nuget malveillante utilise des homoglyphes et il tissage pour tromper les développeurs] (HTTPs: //www.reversingLabs.com/blog/malicious-nuget-campaign-uses-homoglyphs-and-il-waving-to-fool-devs).Inversion des laboratoires (consulté en 2024-07-18)
## Droits d'auteur
**&copie;Micro-microOsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot ReversingLabs researchers found a malicious NuGet campaign where threat actors used homoglyphs and IL weaving to deceive developers. Initially, they inserted obfuscated downloaders into legitimate PE binary files using IL weaving, and later exploited NuGet\'s MSBuild integrations to ensure execution of malicious code during project builds. ## Description ReversingLabs has tracked the malicious campaign targeting NuGet since August 2023. Initially using PowerShell scripts, attackers moved to injecting a module initializer and malicious downloaders into legitimate .NET binaries via IL weaving, a technique altering code post-compilation. The threat actors also impersonated the legitimate "Guna.UI2.WinForms" package by modifying the code and publishing it as "Gսոa.UI3.Wіnfօrms", exploiting a reserved prefix name on the NuGet repository. ReversingLabs researchers identified approximately 60 packages and 290 package versions as part of this campaign, all of which have been removed from the NuGet platform. This campaign highlighted new techniques such as binary patching of DLLs and the use of homoglyphs in typosquatting attacks. ## References [Malicious NuGet campaign uses homoglyphs and IL weaving to fool devs](https://www.reversinglabs.com/blog/malicious-nuget-campaign-uses-homoglyphs-and-il-weaving-to-fool-devs). Reversing Labs (accessed 2024-07-18) ## Copyright **© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited. |
Threat Patching | ★★★ | |
 |
2024-07-19 00:00:00 | Play Ransomware Group \\'s New Linux Variant cible ESXi, montre des liens avec un PUMA prolifique Play Ransomware Group\\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) |
Trend Micro Threat Hunters a découvert que le groupe de ransomwares de jeu a déployé une nouvelle variante Linux qui cible les environnements ESXi.Lisez notre entrée de blog pour en savoir plus.
Trend Micro threat hunters discovered that the Play ransomware group has been deploying a new Linux variant that targets ESXi environments. Read our blog entry to know more. |
Ransomware Threat Prediction | ★★★ | |
 |
2024-07-18 23:45:57 | Avertissement contre la distribution des logiciels malveillants déguisés en fissures logicielles (perturbe l'installation de V3 Lite) Warning Against the Distribution of Malware Disguised as Software Cracks (Disrupts V3 Lite Installation) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment introduit les dangers du malware déguisé en programmes de crack à travers un postintitulé & # 8220; Distribution de logiciels malveillants sous le couvert de versions Cracked MS Office (XMRIG, Orcusrat, etc.) & # 8221;.[1] Les souches de logiciels malveillants déguisées en programmes de crack sont principalement distribuées via des plates-formes de partage de fichiers, des blogs et des torrents, conduisant à l'infection de plusieurs systèmes.Ces systèmes infectés sont continuellement gérés par les acteurs de la menace par le biais de mises à jour périodiques.Dans ce cas, il a été confirmé que l'acteur de menace avait installé différent ...
AhnLab SEcurity intelligence Center (ASEC) has previously introduced the dangers of malware disguised as crack programs through a post titled “Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)”. [1] Malware strains disguised as crack programs are primarily distributed through file-sharing platforms, blogs, and torrents, leading to the infection of multiple systems. These infected systems are continually managed by threat actors through periodic updates. In this case, it was confirmed that the threat actor installed different... |
Malware Threat | ★★★ | |
|
2024-07-18 23:42:32 | Les groupes hacktivistes «Cyber Army \\'s Cyber Army» et «Hacknet» lancent des attaques DDOS sur les sites Web français;Avant l'assaut pendant les Jeux olympiques de Paris Hacktivist Groups “People\\'s Cyber Army” And “HackNeT” Launch Trial DDoS Attacks on French Websites; prior to the Onslaught during Paris Olympics (lien direct) |
#### Géolocations ciblées
- France
## Instantané
Des chercheurs de Cyble Research and Intelligence Labs (CRIL) ont publié un rapport sur les attaques de déni de service distribué (DDOS) lancées par la Cyber Army et Hacknet du peuple, deux groupes hacktivistes russes.Les attaques ont ciblé les sites Web français dans la tête des Jeux olympiques de Paris.
## Description
Les groupes Hacktivist ont publié des captures d'écran dans leur chaîne Telegram le 23 juin 2024, affirmant que des attaques DDOS réussies sur un certain nombre de sites Web français.Dans les articles des groupes de télégrammes de groupes et des sites Web des victimes, la Cyber Army et Hacknet de People \\ ont annoncé que les sites Web du festival La Rochelle Cinema (Festival-Larochelle \ [. \] Org) et les FrançaisLe Palace Cultural and Exibition Center (grand-père [.fr]) a été victime.
Selon Cyble, la cyber-armée de la Russie du peuple est apparue pour la première fois en mars 2022 lorsque la chaîne télégramme du groupe \\ a été lancée.Le groupe à motivation politique collabore souvent avec d'autres pirates pro-russes.Hacknet, actif depuis février 2023, collabore également avec d'autres groupes Hactivist pour mener des attaques à motivation politique.Cyble note que les cibles de Hacknet \\ sont généralement des organisations ukraines et des membres de l'OTAN, entre autres.
## Les références
[Les groupes hacktiviste «Cyber Army \'s Cyber Army» et «Hacknet» lancent des attaques DDOS sur les sites Web français;Avant l'assaut pendant les Jeux olympiques de Paris] (https://cyble.com/blog/hacktivist-groups-peoples-cyber-army-and-hacknet-launch-trial-ddos-attacks-on-french-websites-prior-to-to--le-consulté-duur-Paris-Olympics /).Cyble (consulté en 2024-07-18)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
#### Targeted Geolocations - France ## Snapshot Researchers from Cyble Research and Intelligence Labs (CRIL) released a report on distributed denial of service (DDoS) attacks launched by the People\'s Cyber Army and HackNeT, two Russian hacktivist groups. The attacks targeted French websites in the leadup to the Paris Olympics. ## Description The hacktivist groups posted screenshots to their Telegram channel on June 23, 2024, claiming successful DDoS attacks on a number of French websites. In posts to the groups\' Telegram accounts and the victims\' websites, People\'s Cyber Army and HackNeT announced that the websites of Festival La Rochelle Cinema (festival-larochelle\[.\]org) and the French Palace Cultural and Exibition Center (grandpalais[.fr]) were victimized. According to Cyble, the People\'s Cyber Army of Russia first appeared in March 2022 when the group\'s Telegram channel was launched. The politically motivated group often collaborates with other pro-Russian hackers. HackNeT, active since February 2023, also collaborates with other hactivist groups to conduct politically motivated attacks. Cyble notes that HackNeT\'s targets are typically Ukraian organizations and NATO members, among others. ## References [Hacktivist Groups “People\'s Cyber Army” And “HackNeT” Launch Trial DDoS Attacks on French Websites; prior to the Onslaught during Paris Olympics](https://cyble.com/blog/hacktivist-groups-peoples-cyber-army-and-hacknet-launch-trial-ddos-attacks-on-french-websites-prior-to-the-onslaught-during-paris-olympics/). Cyble (accessed 2024-07-18) ## Copyright **© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibited. |
★★★★ | ||
|
2024-07-18 23:35:29 | Qui vas-tu appeler?AndroxGH0st Busters! Who You Gonna Call? AndroxGh0st Busters! (lien direct) |
## Instantané
Les chercheurs en cybersécurité du SANS Internet Storm Center ont identifié AndroxGH0ST, un logiciel malveillant en rédaction de python ciblant les fichiers .env dans les applications Web Laravel.Ce malware fait partie d'une opération de botnet de vol d'identification qui abuse de diverses fonctions, notamment la numérisation de vulnérabilité, le protocole de transfert de courrier simple (SMTP), les API et le déploiement de shell Web.
## Description
Les vulnérabilités clés exploitées par AndroxGH0ST incluent [CVE-2017-9841] (https: //security.microsoft.com/intel-explorer/cves/cve-2017-9841/), une vulnérabilité d'exécution de code distant (RCE) dans Phpunit, [CVE-2018-15133] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2018-15133 /),La Laravel App Key Deerialization RCE, et [CVE-2021-41773] (https://security.microsoft.com/intel-explorer/cves/cve-2021-41773/), une vulnérabilité de Traversal et RCE répertoire dans l'Apache httpserveur.Dans les attaques observées, AndroxGH0ST scanne des fichiers .env exposés et envoie des demandes de post HTTP malveillantes pour exploiter ces vulnérabilités.En cas de succès, le malware télécharge des fichiers malveillants supplémentaires, configure de fausses pages Web pour un accès persistant et exfiltre des données sensibles.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [HackTool: Python / Agent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:python/agent)
- [Trojan: Linux / Dakkatoni] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojandropper:linux/dakkatoni)
- [Trojan: php / webshell] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:php/webshell)
- [PUA: Linux / Coinmin] (https://www.microsoft.com/en-us/wdsi/atherets/mAlware-SencyClopedia-Description? Name = PUA: Linux / Coinmin)
## Recommandations
En plus de corriger les vulnérabilités exploitées connues dans les systèmes orientés Internet, y compris CVE-2017-9841, CVE-2018-15133 et CVE-2021-41773, la source recommande:
- Analyses du système de fichiers: analysez régulièrement le système de fichiers du serveur \\ pour les fichiers PHP inconnus, en particulier dans le répertoire racine ou / fournisseur / phpunit / phpunit / src / util / php.
- Surveiller les demandes sortantes: examiner les demandes de GET sortantes sur les sites d'hébergement de fichiers tels que GitHub, Pastebin, etc., en particulier lors de l'accès à un fichier .php.
## Les références
[Qui vas-tu appeler?AndroxGH0st Busters!\ [Journal invité \]] (https://isc.sans.edu/diary/rss/31086) Sans Internet Storm Center (consulté le 2024-07-18)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Cybersecurity researchers at the SANS Internet Storm Center identified AndroxGh0st, a Python-scripted malware targeting .env files in Laravel web applications. This malware is part of a credential stealing botnet operation that abuses various functions, including vulnerability scanning, Simple Mail Transfer Protocol (SMTP), APIs, and web shell deployment. ## Description Key vulnerabilities exploited by AndroxGh0st include [CVE-2017-9841](https://security.microsoft.com/intel-explorer/cves/CVE-2017-9841/), a Remote Code Execution (RCE) vulnerability in PHPUnit, [CVE-2018-15133](https://security.microsoft.com/intel-explorer/cves/CVE-2018-15133/), the Laravel App Key Deserialization RCE, and [CVE-2021-41773](https://security.microsoft.com/intel-explorer/cves/CVE-2021-41773/), a directory traversal and RCE vulnerability in the Apache HTTP server. In observed attacks, AndroxGh0st scan |
Malware Vulnerability Threat Patching | ★★★ | |
|
2024-07-18 22:33:53 | CISA Publishes Resiliency Playbook for Critical Infrastructure (lien direct) | The manual provides guidance on how to improve the resiliency of critical infrastructure. | |||
|
2024-07-18 22:12:12 | TAG-100 utilise des outils open source dans la campagne d'espionnage mondiale suspectée, compromettant deux corps intergouvernementaux en Asie-Pacifique TAG-100 Uses Open-Source Tools in Suspected Global Espionage Campaign, Compromising Two Asia-Pacific Intergovernmental Bodies (lien direct) |
#### Géolocations ciblées - États-Unis - Taïwan - Cuba - France - Italie - Japon - Malaisie - Bolivie - Océanie - L'Amérique centrale et les Caraïbes - Amérique du Sud - Asie de l'Est #### Industries ciblées - Services financiers - agences et services gouvernementaux - Diplomatie / relations internationales - économique et commerce - Organisation intergouvernementale - Diplomatie / relations internationales - Organisation non gouvernementale - Organisation religieuse ## Instantané Le groupe insikt de Future \\ de Future a découvert de nouvelles activités de cyber par le groupe TAG-100, ciblant les organisations du secteur du gouvernement, intergouvernemental et du secteur privé dans le monde.Le groupe INSIKT évalue que le groupe a probablement un motif de cyber-espionnage. ## Description TAG-100 utilise des outils d'accès à distance open source et exploite les périphériques orientés Internet pour l'accès initial.Le groupe a été observé en tirant parti de Pantegana, Sparkrat, Leslieloader et [Cobalt Strike] (https: //security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).TAG-100 exploite également rapidementVulnérabilités dans les appareils sur Internet.En mars et avril 2024, le groupe a été observé en exploitant [CVE-2024-3400] (https://security.microsoft.com/intel-profiles/cve-2024-3400) dans les réseaux de Palo Alto2019-9621] (https://security.microsoft.com/intel-explorer/cves/cve-2019-9621/) dans la suite de collaboration Zimbra. Le ciblage des appareils sur Internet permet aux attaquants d'accéder aux réseaux cibles grâce à des produits qui ont diminué la visibilité des équipes de sécurité et des solutions, réduisant le risque de découverte après l'infiltration. En mai 2024, le groupe a probablement compromis les organisations dans au moins dix pays.Insikt Group a identifié ce qui suit comme des organisations importantes: - Organisations intergouvernementales avec siège social en Asie du Sud-Est et en Océanie - Ministères des affaires étrangères pour les pays d'Asie du Sud-Est, d'Amérique du Sud et des Caraïbes - Une ambassade aux États-Unis pour un pays d'Asie du Sud-Ouest - Un certain nombre d'organisations religieuses aux États-Unis et à Taïwan - Une association professionnelle de l'industrie financière basée aux États-Unis - Une entreprise de tests et d'assemblage semi-conducteurs à Taiwan Bien que le groupe INSIKT ne soit pas en mesure d'attribuer l'activité de Tag-110 \\ pour le moment, le ciblage répété du groupe \\ des organisations diplomatiques, religieuses et inter-gouvernementales est conforme à un motif d'espionnage.De plus, plusieurs cibles de cette activité sont conformes à celles historiquement ciblées par les groupes chinois parrainés par l'État.Le groupe Insikt continue d'étudier cette activité. ## Analyse Microsoft Microsoft a observé [typhon de soie] (HTTPS: //security.microsoft.com/intel-profiles/4fe46ed1e8116901052cca3df4c03fca1c56b72c3aaaa769b3907ebb7dcbf875d) et Mulberry Typhoon, deuxActeurs de menace de l'État-nation chinois, exploitant CVE-2024-3400.En avril 2024, le typhon de soie a été observé par Microsoft et [Volexity] (https://www.volexity.com/blog/2024/04/12/zero-king-exploitation-of-unauthenticated-remOte-Code-Exécution-Vulnerabilité dans l'HobalProtect-CVE-2024-3400 /) Exploiter CVE-2024-3400 pour obtenir un accès initial aux réseaux cibles.Le typhon de soie se concentre sur RecOnzesance et la collecte de données en recherchant des sites Web ouverts pour les données divulguées sur l'infrastructure ciblée ainsi que pour exploiter les vulnérabilités zéro-jours.Le groupe cible généralement les soins de santé, l'enseignement supérieur, les entrepreneurs de défense, les groupes de réflexion politiques et les organisations non gouvernementales aux États-U | Tool Vulnerability Threat Medical | ★★★ | |
|
2024-07-18 21:43:20 | Des accusations de Solarwinds ont été lancées hors du tribunal dans la victoire légale contre SEC SolarWinds Charges Tossed Out of Court in Legal Victory Against SEC (lien direct) |
Le juge rejette les réclamations contre Solarwinds pour les mesures prises après la violation de ses systèmes, mais permet à l'affaire de poursuivre des anomalies présumées avant l'incident.
Judge dismisses claims against SolarWinds for actions taken after its systems had been breached, but allows the case to proceed for alleged misstatements prior to the incident. |
★★★ | ||
 |
2024-07-18 21:14:01 | GCP-2024-035 (lien direct) | Published: 2024-06-12Updated: 2024-07-18Description Description Severity Notes 2024-07-18 Update: Added patch versions for Ubuntu node pools on GKE and added a patch version for version 1.27 on Container-Optimized OS node pools. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26584 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26584 | |||
|
2024-07-18 21:14:01 | GCP-2024-030 (lien direct) | Published: 2024-05-15Updated: 2024-07-18Description Description Severity Notes 2024-07-18 Update: Added patch versions for Ubuntu node pools on GKE The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2023-52620 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2023-52620 | |||
|
2024-07-18 21:14:01 | GCP-2024-044 (lien direct) | Published: 2024-07-16Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-36972 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-36972 | |||
|
2024-07-18 21:14:01 | GCP-2024-033 (lien direct) | Published: 2024-06-10Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS nodes:CVE-2022-23222 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2022-23222 | |||
|
2024-07-18 21:14:01 | GCP-2024-039 (lien direct) | Published: 2024-06-28Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26923 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-26923 | |||
|
2024-07-18 21:14:01 | GCP-2024-041 (lien direct) | Published: 2024-07-08Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2023-52654CVE-2023-52656 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2023-52654 CVE-2023-52656 | |||
|
2024-07-18 21:14:01 | GCP-2024-028 (lien direct) | Published: 2024-05-13Updated: 2024-05-22Description Description Severity Notes 2024-05-22 Update: Added patch versions for Ubuntu The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26581 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26581 | |||
|
2024-07-18 21:14:01 | GCP-2024-027 (lien direct) | Published: 2024-05-08Updated: 2024-05-09, 2024-05-15Description Description Severity Notes 2024-05-15 Update: Added patch versions for GKE Ubuntu node pools. 2024-05-09 Update: Corrected severity from Medium to High and clarified that GKE Autopilot clusters in the default configuration are not impacted. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26808 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26808 | |||
|
2024-07-18 21:14:01 | GCP-2024-026 (lien direct) | Published: 2024-05-07Updated: 2024-05-09Description Description Severity Notes 2024-05-09 Update: Corrected severity from Medium to High. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26643 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26643 | |||
|
2024-07-18 21:14:01 | GCP-2024-042 (lien direct) | Published: 2024-07-15Updated: 2024-07-18Description Description Severity Notes 2024-07-18 Update: Clarified that Autopilot clusters in the default configuration aren't impacted. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26809 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-26809 | |||
|
2024-07-18 21:14:01 | GCP-2024-038 (lien direct) | Published: 2024-06-26Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26924 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-26924 | |||
|
2024-07-18 21:14:01 | GCP-2024-029 (lien direct) | Published: 2024-05-14Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26642 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26642 | |||
|
2024-07-18 21:14:01 | GCP-2024-045 (lien direct) | Published: 2024-07-17Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26925 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-26925 | |||
|
2024-07-18 21:14:01 | GCP-2024-036 (lien direct) | Published: 2024-06-18Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS nodes:CVE-2024-26584 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26584 | |||
|
2024-07-18 21:14:01 | GCP-2024-034 (lien direct) | Published: 2024-06-11Updated: 2024-07-10Description Description Severity Notes 2024-07-10 Update: Added patch versions for Container-Optimized OS nodes running minor version 1.26 and 1.27 and added patch versions for Ubuntu nodes. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS nodes:CVE-2024-26583 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26583 | |||
|
2024-07-18 21:14:01 | GCP-2024-043 (lien direct) | Published: 2024-07-16Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26921 For instructions and more details, see the following bulletins: GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin High CVE-2024-26921 | |||
|
2024-07-18 21:14:01 | GCP-2024-024 (lien direct) | Published: 2024-04-25Updated: 2024-07-18Description Description Severity Notes 2024-07-18 Update: Added patch versions for Ubuntu node pools on GKE The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-26585 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-26585 | |||
|
2024-07-18 21:14:01 | GCP-2024-018 (lien direct) | Published: 2024-03-12Updated: 2024-04-04, 2024-05-06Description Description Severity Notes 2024-05-06 Update: Added patch versions for GKE Ubuntu node pools. 2024-04-04 Update: Corrected minimum versions for GKE Container-Optimized OS node pools. The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2024-1085 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2024-1085 | |||
|
2024-07-18 21:14:01 | GCP-2024-017 (lien direct) | Published: 2024-03-06Description Description Severity Notes The following vulnerabilities were discovered in the Linux kernel that can lead to a privilege escalation on Container-Optimized OS and Ubuntu nodes:CVE-2023-3611 For instructions and more details, see the following bulletins: GKE security bulletin GKE on VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GKE on Bare Metal security bulletin High CVE-2023-3611 |
To see everything:
