What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-09 21:11:51 | (Déjà vu) Eldorado Ransomware: le nouvel empire doré de la cybercriminalité? Eldorado Ransomware: The New Golden Empire of Cybercrime? (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Croatie ## Instantané Des chercheurs de Group-IB ont publié un rapport sur Eldorado, un nouveau Ransomware-as-a-Service (RAAS) annoncé sur le forum Darkweb Rampware Ransomware. ## Description Eldorado propose des versions Windows et Linux du ransomware, qui est écrite en Golang.Le ransomware utilise Chacha20 pour le chiffrement des fichiers et le RSA-OAEP pour le cryptage clé.Eldorado possède également des fonctionnalités personnalisables qui permettent des attaques ciblées contre les organisations, y compris la possibilité de crypter des fichiers sur les réseaux Hared à l'aide du protocole SMB.De plus, les utilisateurs d'Eldorado peuvent personnaliser les notes de rançon et les informations d'identification d'administration. En juin 2024, 16 entreprises de divers pays et industries ont été ciblées par les ransomwares Eldorado.Les organisations aux États-Unis ont notamment été attaquées 13 fois, contribuant à plus de 80% du nombre total d'incidents.De plus, il y a eu deux attaques en Italie et une attaque supplémentaire en Croatie.Le groupe-IB rapporte également que l'industrie immobilière a été le plus ciblé (un total de trois fois) par les ransomwares d'Eldorado;Cependant, l'éducation, les services professionnels, les soins de santé, la fabrication, les télécommunications, les transports et les secteurs gouvernementaux ont également été affectés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process | Ransomware Tool Threat | ||
|
2024-07-09 20:11:45 | Décrit: ransomware Donex et ses prédécesseurs Decrypted: DoNex Ransomware and its Predecessors (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Belgique ## Instantané Les chercheurs AVAST ont identifié un défaut cryptographique dans le ransomware Donexet ses prédécesseurs, affectant les victimes ciblées aux États-Unis, en Italie et en Belgique. ## Description Le ransomware utilise un processus de chiffrement sophistiqué à l'aide de Chacha20, et Avast a fourni un décrypteur aux victimes touchées. Pendant l'exécution du ransomware, une clé de chiffrement est générée par la fonction cryptGenrandom ().Cette clé est ensuite utilisée pour initialiser la clé symétrique Chacha20 et par la suite pour chiffrer les fichiers.Une fois un fichier crypté, la clé de fichier symétrique est chiffrée par RSA-4096 et annexée à la fin du fichier.Les fichiers sont sélectionnés par leur extension et les extensions de fichiers sont répertoriées dans la configuration XML Ransomware. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déployer dans d'autres systèmes pour empêcher le mouvement latéral provenant du psexec et de l'OMM. - [Bloquez les fichiers exécutables d | Ransomware Tool Threat | ||
|
2024-07-09 19:47:09 | République de Chine du peuple (PRC) Ministère de sécurité d'État APT40 Tradecraft en action People\\'s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action (lien direct) |
#### Géolocations ciblées - États-Unis - Australie - Japon - Corée - Nouvelle-Zélande - Allemagne - Royaume-Uni ## Instantané La Cybersecurity and Infrsatructure Security Agency (CISA) a publié un avis rédigé par un certain nombre d'organisations de cybersécurité d'État sur APT40, suivis par Microsoft comme [Gingham Typhoon] (https://security.microsoft.com C04BA1F56F4F603268AAB6). ## Description APT40, également connu sous le nom de Kryptonite Panda, Leviathan et Bronze Mohawk, mène des cyber opérations pour la République de Chine du peuple (PRC) du ministère de la Sécurité des États (MSS).Le groupe a une histoire de ciblage des organisations dans divers pays, dont les États-Unis et l'Australie. APT40 mène régulièrement la reconnaissance contre les réseaux d'intérêt, notamment ceux en Allemagne, en Nouvelle-Zélande, en Corée du Sud, au Japon, en Australie, au Royaume-Uni et aux États-Unis.Cela leur permet d'identifier les appareils vulnérables, de fin de vie ou non maintenus sur les réseaux et de déployer rapidement des exploits.APT40 est apte à exploiter les vulnérabilités dès 2017. De plus, l'APT40 est en mesure de profiter rapidement des vulnérabilités nouvellement publiques dans des logiciels communs tels que Log4J ([CVE-2021-44228] (https://security.microsoft.com/Intel-Explorer / Cves / CVE-2021-44228 /)), Atlassian Confluence ([CVE-2021-26084] (https://security.microsoft.com/intel-profiles/cve-2021-26084), et MicrosoftExchange ([CVE-2021-31207] (https: //sip.security.microsoft.com/intel-profiles/cve-2021-31207?tid=72f988bf-86f1-41af-91ab-2d7cd011db47), [cve-2021-34523] (https://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves:/ CVE-2021-34523 /), [CVE-2021-34473] (https: // security.microsoft.com/intel-profiles/cve-2021-34473)). La CISA et les autres agences de déclaration évaluent que l'APT40 continuera d'exploiter les vulnérabilités nouvellement découvertes dans les heures ou les jours suivant la libération publique. APT40 exploite généralement une infrastructure vulnérable et orientée vers le public plutôt que d'employer des méthodes qui nécessitent une interaction victime, telles que les campagnes de phishing, en outre, le groupe utilise généralement des coquilles Web afin d'établir de la persistance. ## Analyse Microsoft L'acteur Microsoft suit comme [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6) est un groupe de chinois à la base de Chine.Le Typhoon Gingham est connu pour cibler principalement les industries maritimes et de la santé, mais a également été observée ciblant un certain nombre de secteurs verticaux de l'industrie, notamment le monde universitaire, le gouvernement, l'aérospatiale / l'aviation, la base industrielle de la défense, la fabrication et le transport.La plupart des organisations ciblées par Typhoon enrichies se trouvent dans la région de la mer de Chine méridionale, mais le groupe cible également les organisations aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud-Est.Gingham Typoon se concentre généralement sur l'espionnage et le vol de données.Le groupe utilise des logiciels malveillants personnalisés (Moktik, Nuveridap et Fusionblaze), Derusbi et des outils disponibles dans le commerce tels que Cobalt Strike. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: JS / MOKTIK] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=bacKDOOR: JS / MOKTIK & AMP; NOFENID = -2147086029) [HackTool: Win32 / Nuveridap] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = HackTool: Win32 / Nuveridap & menaceID = -2147276557) [Trojan | Malware Tool Vulnerability Threat Patching Legislation Industrial | APT 40 | |
 |
2024-07-09 15:35:00 | Les logiciels malveillants de Guardzoo ciblent plus de 450 militaires du Moyen-Orient GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel (lien direct) |
Le personnel militaire des pays du Moyen-Orient est la cible d'une opération de surveillance continue qui offre un outil de collecte de données Android appelé Guardzoo.
La campagne, censée avoir commencé dès octobre 2019, a été attribuée à un acteur de menace aligné par Houthi-Ira basé sur les leurres d'application, les journaux de serveurs de commandement (C2), de ciblage de l'empreinte et de l'attaque
Military personnel from Middle East countries are the target of an ongoing surveillanceware operation that delivers an Android data-gathering tool called GuardZoo. The campaign, believed to have commenced as early as October 2019, has been attributed to a Houthi-aligned threat actor based on the application lures, command-and-control (C2) server logs, targeting footprint, and the attack |
Malware Tool Threat Mobile | ||
 |
2024-07-09 15:00:00 | Sécuriser les outils du développeur: vulnérabilités de code non corrigées dans GOGS (2/2) Securing Developer Tools: Unpatched Code Vulnerabilities in Gogs (2/2) (lien direct) |
Découvrez les vulnérabilités de code critiques que nous avons découvertes dans GOGS, une solution d'hébergement de code source.Ce suivi couvre la façon dont les défauts moins graves peuvent encore avoir un impact critique.
Learn about critical code vulnerabilities we discovered in Gogs, a source code hosting solution. This follow-up covers how less severe flaws can still have a critical impact. |
Tool Vulnerability | ||
 |
2024-07-09 13:49:10 | À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation? As AI advances, cyber threats increase. Are businesses prepared to handle the situation? (lien direct) |
À mesure que l'IA avance, les cyber-menaces augmentent.Les entreprises sont-elles prêtes à gérer la situation?Kyocera avertit que les outils d'IA pourraient donner aux attaquants un avantage injuste dans le développement et la réalisation de campagnes de ransomwares
-
rapports spéciaux
As AI advances, cyber threats increase. Are businesses prepared to handle the situation? Kyocera warns that AI tools could give attackers an unfair advantage in developing and carrying out ransomware campaigns - Special Reports |
Ransomware Tool | ||
 |
2024-07-09 13:00:25 | Développement et hiérarchisation d'un arriéré d'ingénierie de détection basé sur Mitre ATT & CK Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK (lien direct) |
Comment un SOC peut gérer efficacement les priorités lors de l'écriture de la logique de détection pour diverses techniques d'attr & # 38; CK et quels outils peuvent aider.
How a SOC can efficiently manage priorities when writing detection logic for various MITRE ATT&CK techniques and what tools can help. |
Tool | ||
 |
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ||
 |
2024-07-09 06:00:54 | Prendre Microsoft à l'école: Pourquoi une université de haut niveau a choisi la défense en profondeur avec Proofpoint Taking Microsoft to School: Why a Top University Chose Defense-in-Depth with Proofpoint (lien direct) |
Today more than ever, companies across the country are facing tighter budgets and resource constraints. Universities and schools are no exception. For many, maintaining suboptimal IT tools to save money isn\'t just a matter of prudence-it\'s a necessity. So, why would a top university brave the long and complex educational procurement process just to augment their existing Microsoft email security? This is what one of our newest customers did. Their story echoes those of thousands of Microsoft customers of all sizes, who in the last year augmented their Microsoft security with Proofpoint to create a defense-in-depth approach. While keeping their identity anonymous, we wanted to share their story and the insights they learned along the way. Redefining acceptable risks As part of a larger agreement with Microsoft, the university had spent years using their native email security to protect more than 40,000 mailboxes belonging to students and staff. For much of that time, the university\'s security team dealt with multiple obstacles. Microsoft\'s lack of integrations, its inflexible email controls and its highly manual incident analysis were just a few. The security team recognized that as attacks grew more serious, they needed more layers of security to capture missed threats. The university was already grappling with increasing amounts of internally directed business email compromise (BEC) messages. These emails came from accounts that were compromised by malicious phishing emails that had been delivered to users\' inboxes. On top of that, students and faculty were receiving thousands of additional advanced attacks per week. And the security team had to triage all of them manually. They experienced: Advanced social engineering threats Multi-layered phishing messages Multifactor authentication (MFA) bypass attacks Telephone-oriented attack delivery (TOAD) attacks Without consistent quarantine controls, in-depth threat intelligence and automated remediation, the team could not contain their expanding attack surface. Their threat visibility and productivity were further undermined by subpar reporting and integrations between other tools, such as SIEM and endpoint protection. When these issues were raised with Microsoft, its support team was slow to respond and follow up. It was clear that Microsoft could not stop these escalating attacks. So, the university turned to Proofpoint. Why Augment: Comparing Microsoft and Proofpoint With many years of Microsoft experience, the university had high expectations of Proofpoint to prove its business value. They wanted to be sure that Proofpoint would be a worthwhile addition to the school\'s existing security program. What follows are three key areas in which Proofpoint improved their security posture during the evaluation period. Continuous Detection and Superior Efficacy: Proofpoint Wins Unlike Proofpoint, Microsoft can\'t detect many modern email threats like BEC and advanced phishing attacks. Our data shows that more than 63% of the threats missed by Microsoft-but detected by Proofpoint-are credential phishing. This is largely due to Microsoft\'s restricted URL-detection capabilities, which limit the sandboxing for links to post-delivery, payload-only threats. This means a user must click on a link to trigger Microsoft\'s dynamic analysis. In the case of our customer, this puts the university and students at significant risk and frequently leads to compromised accounts. Phishing links are one of the fastest-growing threat tactics. That is why Proofpoint offers continuous detection for URL threats throughout the email lifecycle. Eighty percent of the URL threats we condemn are stopped before users can interact with them. Our predictive URL analysis and new, industry-first predelivery URL hold and sandboxing make this possible. Together, they greatly reduce the chances that a user might acti | Malware Tool Threat Technical | ||
 |
2024-07-08 21:25:26 | \\ 'Cloudsorcerer \\' exploite les services cloud dans la campagne de cyber-espionnage \\'CloudSorcerer\\' Leverages Cloud Services in Cyber-Espionage Campaign (lien direct) |
L'arme principale d'APT \\ d'Apt \\ est un outil de logiciel malveillant qui peut modifier le comportement en fonction du processus dans lequel il s'exécute.
The newly discovered APT\'s main weapon is a malware tool that can change behavior depending on the process in which it is running. |
Malware Tool Cloud | ||
|
2024-07-08 15:06:59 | Faits saillants hebdomadaires, 8 juillet 2024 Weekly OSINT Highlights, 8 July 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme de cyberattaques sophistiquées dirigés par des groupes APT alignés par l'État et des cybercriminels motivés par l'État, exploitant des vulnérabilités comme [CVE-2021-40444] (https://sip.security.microsoft.com/Intel-Profiles / CVE-2021-40444) et [CVE-2023-1389] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-1389/) pour déployer des logiciels spy et des botnets.Des acteurs parrainés par l'État tels que la tribu transparente de Kimsuky et Pakistan de la Corée du Nord se sont concentrés sur l'espionnage, le ciblage du monde universitaire et le personnel militaire avec des logiciels malveillants comme Translatext et Caprarat.Pendant ce temps, des groupes à motivation financière comme le déploiement de la pruche ont mené de vastes campagnes de logiciels malveillants.Les réseaux sociaux et les menaces basés sur le téléphone étaient également proéminents, les attaques tirant parti des applications Android, du phishing SMS et du contenu généré par l'IA sur des plateformes comme YouTube. ## Description 1. ** [Exploitation de CVE-2021-40444 dans les attaques récentes] (https: // sip.security.microsoft.com/intel-explorer/articles/15df6ab5)**: Fortiguard Labs a identifié des attaques exploitant la vulnérabilité CVE-2021-40444Microsoft Office pour déployer les logiciels espions Merkspy.Le vecteur initial est un document Word malveillant qui, à l'ouverture, déclenche le téléchargement d'un fichier HTML contenant ShellCode intégré pour charger MerkSpy dans les processus système. 2. ** [Copycop Influence Network Ciblers 2024 Élections américaines] (https://sip.security.microsoft.com/intel-explorer/articles/fc24601e) **: enregistré les rapports futurs que le réseau Copycop lié à la russe utilise un générateur générateurAI pour créer de faux sites Web et des personnages pour influencer les élections américaines de 2024.Ce réseau emploie des fesses profondes et des contenus générés par l'IA pour cibler les dirigeants politiques de l'UE et de l'Ukraine, tirant parti de points de vente conservateurs et d'hôtes basés aux États-Unis pour obscurcir ses origines. 3. ** [Déplacement de la pruche \\ est étenduCampagne de distribution de logiciels malveillants] (https://sip.security.microsoft.com/intel-explorer/articles/7b39eb7e) **:Krakenlabs a découvert une campagne à grande échelle en dépassant la pruche, en distribuant des logiciels malveillants comme Redline et Amadey via des fichiers compressés imbriqués.Ce groupe motivé financièrement a utilisé des techniques d'obscurcissement sophistiquées et des organisations ciblées dans le monde entier, avec une activité importante retracée en Europe de l'Est. 4. ** [La nouvelle extension de Chrome de Kimsuky \\ cible le monde universitaire sud-coréen] (https://sip.security.microsoft.com/intel-explorer/articles/c58faf92) **: Zscaler KneareLabz a identifié le groupe nord-coréen APT Group APT GroupKimsuky (Emerald Sleet) utilisant une nouvelle extension chromée, tradlaxt, pour voler des données aux universitaires sud-coréens.Le malware, distribué via un fichier de leurre, rassemble des informations sensibles et communique avec un serveur C2, ciblant les chercheurs axés sur la Corée du Nord. 5. ** [Mises à jour de la campagne Caprarat de Transparent Tribe \'s] (https://sip.security.microsoft.com/intel-explorer/articles/d62a3110) **: Sentinellabs a trouvé de nouveaux packages Android Caprarat liés au Pakistan-Tribu transparent aligné, ciblant le gouvernement indien et le personnel militaire.Les APK mis à jour, déguisés en applications de navigation vidéo, ont augmenté la compatibilité avec les appareils Android plus récents et continuent l'accent du groupe \\ sur la surveillance et la collecte de données. 6. ** [BOTNETS EXPLOITIONS LINUX Cloud serveurs] (https://sip.security.Microsoft.com/intel-explorer/articles/36146b72)**: Fortiguard Labs observés de botnets comme instables e | Malware Tool Vulnerability Threat Mobile Cloud | APT 36 | ★★★ |
 |
2024-07-08 14:00:00 | Enhardi et évolutif: un instantané des cyber-menaces auxquelles l'OTAN est confrontée à l'OTAN Emboldened and Evolving: A Snapshot of Cyber Threats Facing NATO (lien direct) |
Written by: John Hultquist
As North Atlantic Treaty Organization (NATO) members and partners gather for a historic summit, it is important to take stock of one of its most pressing challenges-the cyber threat. The Alliance faces a barrage of malicious cyber activity from all over the globe, carried out by emboldened state-sponsored actors, hacktivists, and criminals who are willing to cross lines and carry out activity that was previously considered unlikely or inconceivable. In addition to military targets, NATO must consider the risks that hybrid threats like malicious cyber activity pose to hospitals, civil society, and other targets, which could impact resilience in a contingency. The war in Ukraine is undoubtedly linked to escalating cyber threat activity, but many of these threats will continue to grow separately and in parallel. NATO must contend with covert, aggressive malicious cyber actors that are seeking to gather intelligence, preparing to or currently attacking critical infrastructure, and working to undermine the Alliance with elaborate disinformation schemes. In order to protect its customers and clients, Google is closely tracking cyber threats, including those highlighted in this report; however, this is just a glimpse at a much larger and evolving landscape. Cyber Espionage NATO\'s adversaries have long sought to leverage cyber espionage to develop insight into the political, diplomatic, and military disposition of the Alliance and to steal its defense technologies and economic secrets. However, intelligence on the Alliance in the coming months will be of heightened importance. This year\'s summit is a transition period, with the appointment of Mark Rutte as the new Secretary General and a number of adaptations expected to be rolled out to shore up the Alliance\'s defense posture and its long-term support for Ukraine. Successful cyber espionage from threat actors could potentially undermine the Alliance\'s strategic advantage and inform adversary leadership on how to anticipate and counteract NATO\'s initiatives and investments. NATO is targeted by cyber espionage activity from actors around the world with varying capabilities. Many still rely on technically simple but operationally effective methods, like social engineering. Others have evolved and elevated their tradecraft to levels that distinguish themselves as formidable adversaries for even the most experienced defenders. APT29 (ICECAP) Publicly attributed to the Russian Foreign Intelligence Services (SVR) by several governments, APT29 is heavily focused on diplomatic and political intelligence collection, principally targeting Europe and NATO member states. APT29 has been involved in multiple high-profile breaches of technology firms that were designed to provide access to the public sector. In the past year, Mandiant has observed APT29 targeting technology companies and IT service providers in NATO member countries to facilitate third-party and software supply chain compromises of government and poli |
Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 29 APT 28 | ★★★ |
 |
2024-07-08 13:00:24 | Point de contrôle & # 8211;Partenariat ISC2 traverse les 4 000 heures de jalon de formation Check Point – ISC2 Partnership Cross the 4,000 Hours of Training Milestone (lien direct) |
> L'éducation et la collaboration sont des piliers importants de l'avancement et de la résilience dans la cybersécurité.Reflétant sur le parcours depuis 2020, le partenariat entre Check Point Mind et ISC2 dans le cadre du programme Ciso Academy, qui fait partie des services mondiaux Infinity de Check Point \\ (ou «IG»), a atteint une étape importante pour équiper les professionnels de la cybersécurité avec des professionnels de la cybersécurité avecLes outils et les connaissances nécessaires pour naviguer et sécuriser leur environnement numérique.Jusqu'à présent, le voyage que notre collaboration a commencé par une vision pour transcender les obstacles d'apprentissage traditionnels dans l'éducation à la cybersécurité.En incorporant les certifications CISSP et CCSP estimées par ISC2 \\ dans nos offres éducatives, nous avons commencé notre mission pour élever [& # 8230;]
>Education and collaboration are important pillars of advancement and resilience in cybersecurity. Reflecting on the journey since 2020, the partnership between Check Point MIND and ISC2 under the CISO Academy program, part of Check Point\'s Infinity Global Services (or “IGS”), has achieved a significant milestone in equipping cyber security professionals with the tools and knowledge needed to navigate and secure their digital environment. The Journey So Far Our collaboration began with a vision to transcend traditional learning barriers in cyber security education. By incorporating ISC2\'s esteemed CISSP and CCSP certifications into our educational offerings, we began our mission to elevate […] |
Tool | ★★★ | |
|
2024-07-08 13:00:00 | Utiliser et comprendre sonarqube pour la couverture du code Using and Understanding SonarQube for Code Coverage (lien direct) |
Une métrique critique pour évaluer l'efficacité de vos efforts de test de code est la couverture du code.Sonarqube, une puissante solution d'analyse de code statique, s'intègre parfaitement aux outils de couverture de code, ce qui permet aux développeurs d'écrire un code plus propre, plus sécurisé et soigneusement testé.
One critical metric to gauge the effectiveness of your code testing efforts is code coverage. SonarQube, a powerful static code analysis solution, integrates seamlessly with code coverage tools, empowering developers to write cleaner, more secure, and thoroughly tested code. |
Tool | ★★ | |
 |
2024-07-08 12:56:52 | Ai ne peut pas être notre seule défense contre les cyber-menaces générées par l'AI-AI AI Can\\'t Be Our Only Defense Against AI-Generated Cyber Threats (lien direct) |
> Cette semaine en cybersécurité des éditeurs du magazine Cybercrime & # 8211;Lisez l'histoire complète dans Sécurité Boulevard Sausalito, Californie & # 8211;Le 8 juillet 2024 des utilisateurs occasionnels aux sociétés internationales, les gens affluent vers des outils d'intelligence artificielle pour stimuler leur productivité.Mais ils ne sont pas les
>This week in cybersecurity from the editors at Cybercrime Magazine – Read the Full Story in Security Boulevard Sausalito, Calif. – Jul. 8, 2024 From casual users to international corporations, people are flocking to artificial intelligence tools to boost their productivity. But they\'re not the |
Tool | ★★★ | |
|
2024-07-08 12:06:12 | Comment empêcher l'usurpation par e-mail avec DMARC How to Prevent Email Spoofing with DMARC (lien direct) |
Email-based attacks are the number one attack vector for cybercriminals. These attacks do not always require a high level of technical sophistication to carry out. And because the human factor is involved, there is almost no doubt they will endure as a favored tactic. One way bad actors can greatly increase their chances of a successful attack is when they can make a recipient believe that they are interacting with a person or a brand that they know or trust. “Email spoofing” plays a critical role in helping to create this illusion. In this blog post, we\'ll explain how email spoofing works, why it causes havoc, and how DMARC can protect your business. How bad actors use email spoofing When an attacker uses email spoofing, they are forging the sending address so that the message appears to come from a legitimate company, institution or person. Bad actors use spoofed domains to initiate attacks like phishing, malware and ransomware, and business email compromise (BEC). Here is a closer look at these strategies. Phishing attacks. A bad actor sends a spoofed email, pretending to be from a legitimate source like a bank, government agency or a known company. Their aim is to get the recipient to reveal sensitive information, like login credentials, financial information or personal data. Malware. Spoofed email can contain malicious attachments or links. When a user clicks on them, they trigger the delivery of viruses, ransomware, spyware or other types of malicious software. These tools help attackers to steal data, disrupt operations or take control of systems. Business email compromise (BEC). Many threat actors use spoofed email to trick employees, partners or customers into transferring money or giving up sensitive information. It can be a lucrative endeavor. Consider a recent report from the FBI\'s Internet Crime Complaint Center, which notes that losses from BEC attacks in 2023 alone were about $2.9 billion. Negative effects of email spoofing When an attacker spoofs legitimate domains and uses them in attacks, the negative repercussions for companies can be significant. Imagine if your best customer believed that they were communicating with you, but instead, they were interacting with an attacker and suffered a significant financial loss. Unfortunately, these scenarios play out daily. And they can lead to the following issues, among others. The loss of trust If attackers succeed in their efforts to spoof a company\'s domain and use it to send phishing emails or other malicious communications, recipients may lose trust in that business. When users receive spoofed emails that appear to come from a brand they trust, they may become wary of future communications from that brand. They will lose confidence in the company\'s ability to protect their information. Damage to brand image As noted earlier, a spoofed domain can tarnish a company\'s brand image and reputation. If recipients fall victim to phishing or other scams that involve spoofed domains, they may associate the business or brand with fraudulent or unethical behavior. Financial losses Spoofed domain attacks can result in financial losses for companies in two main ways. Direct financial losses. Such losses can occur when attackers use spoofed domains to carry out fraudulent activities like the theft of sensitive data or unauthorized transactions. Indirect financial losses. These losses take the form of costs associated with attack mitigation. They can stem from incident investigation, the implementation of security improvements, and efforts designed to help repair the company\'s damaged reputation. Customer dissatisfaction Customers who are victims of spoofed domain attacks may experience frustration and anger. They may be motivated to write negative reviews of a company or issue complaints. Certainly, their level of customer satisfaction will take a hit. Over time, repeated incidents of spoofing attacks | Ransomware Spam Malware Tool Threat Legislation Technical | ★★ | |
 |
2024-07-08 00:00:00 | Les 10 premiers risques de sécurité de l'IA devraient connaître The Top 10 AI Security Risks Every Business Should Know (lien direct) |
Avec chaque semaine apportant des nouvelles d'une autre avance d'IA, cela devient de plus en plus important pour les organisations de comprendre les risques avant d'adopter des outils d'IA.Cet examen de 10 domaines clés de préoccupation identifiés par les risques Open Worldwide Application Security Project).
With every week bringing news of another AI advance, it\'s becoming increasingly important for organizations to understand the risks before adopting AI tools. This look at 10 key areas of concern identified by the Open Worldwide Application Security Project (OWASP) flags risks enterprises should keep in mind through the back half of the year. |
Tool | ||
|
2024-07-05 21:45:05 | New Orcinius Trojan utilise la piétinement VBA pour masquer l'infection New Orcinius Trojan Uses VBA Stomping to Mask Infection (lien direct) |
## Instantané L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape. ## Description L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape.La méthode d'infection initiale du malware est une feuille de calcul Excel qui apparaît comme un calendrier italien avec trois feuilles de calcul discutant des cycles de facturation dans diverses villes.La feuille de Spreasds, contenant une macro VBA modifiée via \\ 'vba piétinant \', détruit le code source d'origine et laisse uniquement le code P compilé.Cet obscurcissement signifie que la visualisation de la macro ne révèle rien ou une version inoffensive du code, qui s'active lorsque le fichier est ouvert ou fermé.Lors de l'exécution, la macro effectue plusieurs actions: il vérifie et écrit des clés de registre pour masquer les avertissements, énumére l'exécution de fenêtres à l'aide d'Enumthreadwindows, établit la persistance en écrivant une clé de HkeStaruPitems, contacts URL codés pour télécharger des charges utiles supplémentaires à l'aide de wscript.shell, et surveille l'entrée du clavier via SetWindowShooKex.Le malware fait référence \\ 'synaptics.exe \' et \\ 'cache1.exe, \' le liant à d'autres menaces comme Remcos, AgentTesla, Neshta et HtmldRopper, qui se masquait comme \\ 'synaptics.exe \'et peut être trouvé sur Virustotal.Pendant l'analyse, les pages des URL énumérées n'étaient pas disponibles.Sonicwall a publié des signatures pour protéger les clients de l'exploitation potentielle par Orcinius. ## Recommandations Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-05 17:13:56 | Groupe APT Turtle Sea Sea Turtle APT Group (lien direct) |
#### Industries ciblées
- Informatique
- Infrastructure de communication
## Instantané
Cyberthint a publié un rapport sur Sea Turtle, suivi par Microsoft en tant que [poussière marbrée] (https://security.microsoft.com/intel-profiles/7f72165846c43e3b70b5d918e206a09d073fa5d73ce2b371907da708d8a317) Turquie.
## Description
Également connue sous le nom de Kurma, le silicium et le loup cosmique, le groupe est actif depuis 2017. Leurs activités s'alignent sur les intérêts stratégiques turcs, ciblant les organisations en Europe et au Moyen-Orient.Le groupe cible une gamme d'industries et d'organisations, notamment des prestataires de services Internet (FAI), des fournisseurs de services informatiques, des médias et des sociétés de télécommunications, redirigeant souvent le trafic et obtenant un accès non autorisé.
En 2023, le groupe a été observé à l'aide de CPanel, une plate-forme d'hébergement Web, pour établir un accès non autorisé à un système cible, éventuellement en exploitant des vulnérabilités de jour zéro.De plus, Sea Turtle a développé une infrastructure de protocole sécurisée avec des comptes compromis et autorisés pour se donner la capacité de se déplacer latéralement sans détection.Ils utilisent également des canaux de communication de porte dérobée, en utilisant notamment l'outil SnappyTCP pour l'exfiltration des données.
## Analyse Microsoft
Microsoft suit Sea Turtle as Marbant Dust, un acteur qui a principalement ciblé les fournisseurs d'influstructure Internet et de télécommunications pour détourner la circulation à destination de clients en aval spécifiques, notamment des institutions gouvernementales intéressantes pour le gouvernement turc, afin de les compromettre et de les surveiller.La poussière marbrée semble se concentrer sur les opérations d'espionnage et a volé des références aux victimes.Dans les campagnes précédentes, la poussière marbrée a exploité les applications vulnérables orientées sur Internet comme moyen d'obtenir un premier accès aux fournisseurs d'infrastructures qu'il a ciblés.
## Les références
[Sea Turtle Apt Group] (https://cyberthint.io/sea-turtle-apt-group-analysis/).Cybernthe (consulté en 2024-07-05)
[Poussière marbrée] (https://security.microsoft.com/intel-profiles/7f72165846c43e3b70b5d918e206a09d073fa5d7d73ce2b371907da708d8a317).Microsoft (consulté en 2024-07-05)
#### Targeted Industries - Information Technology - Communications Infrastructure ## Snapshot Cyberthint published a report on Sea Turtle, tracked by Microsoft as [Marbled Dust](https://security.microsoft.com/intel-profiles/7f72165846c43e3b70b5d918e206a09d073fa5d7d73ce2b371907da708d8a317), a cyber espionage group originating in Turkey. ## Description Also known as Teal Kurma, SILICON, and Cosmic Wolf, the group has been active since 2017. Their activities align with Turkish strategic interests, targeting organizations in Europe and the Middle East. The group targets a range of industries and organizations, including internet service providers (ISPs), IT service providers, media, and telecommunications companies, often redirecting traffic and gaining unauthorized access. In 2023, the group was observed using cPanel, a web hosting platform, to establish unauthorized access to a target system, possibly by exploiting zero-day vulnerabilities. Additionally, Sea Turtle developed secure protocol infrastruture with compromised, authorized accounts to give themselves the ability to move laterally without detection. They also use backdoor communication channels, notably employing the SnappyTCP tool for exfiltration of data. ## Microsoft Analysis Microsoft tracks Sea Turtle as Marbled Dust, an actor who has primarily targeted internet and telecommunications infrustructure providers to hijack traffic bound for specific downstream customers, notably government instituions of interest to the Turkish government, in |
Tool Vulnerability Threat | ★★★ | |
|
2024-07-05 14:00:00 | Les rapports SOC 2 sont-ils suffisants pour la gestion des risques des fournisseurs? Are SOC 2 Reports Sufficient for Vendor Risk Management? (lien direct) |
Les rapports SOC 2 sont un outil précieux pour évaluer la sécurité des fournisseurs, mais ils ne devraient pas être la seule pièce du puzzle.
SOC 2 reports are a valuable tool for evaluating vendor security, but they shouldn\'t be the only piece of the puzzle. |
Tool | ★★★ | |
 |
2024-07-05 10:59:20 | Obtenez des outils avancés de blocage d'annonces et de données supérieures pour seulement 11 $ jusqu'au 7/21 Get Advanced Ad Blocking and Superior Data Privacy Tools for Just $11 Until 7/21 (lien direct) |
Bloquer les fenêtres contextuelles, les bannières et les publicités vidéo tout en vous protégeant des trackers d'activités, des tentatives de phishing, des sites Web frauduleux et d'autres types de logiciels malveillants avec Adguard.
Block popups, banners and video ads while also protecting yourself from activity trackers, phishing attempts, fraudulent websites and other types of malware with AdGuard. |
Malware Tool | ★★ | |
|
2024-07-05 09:59:47 | CVE-2024-6387 & # 8211;Regresshion Discur Code Exécution Vulnérabilité observée dans OpenSSH CVE-2024-6387 – regreSSHion Remote Code Execution vulnerability seen in OpenSSH (lien direct) |
> Plus tôt cette semaine, le lundi 1er juillet, une régression de sécurité (CVE-2006-5051) a été publiée dans le serveur d'OpenSSH (SSHD).Fondamentalement, il y a une condition de course qui peut conduire SSHD à gérer certains signaux de manière dangereuse.L'inquiétude est qu'un attaquant distant non authentifié puisse le déclencher en ne s'authentifiez pas dans un délai défini.Qu'est-ce que OpenSSH?OpenSSH est l'outil de connectivité Premier pour la connexion à distance à l'aide du protocole SSH.Il crypte tout le trafic pour éliminer les écoutes, le détournement de connexion et d'autres attaques.De plus, OpenSSH fournit une vaste suite de capacités de tunneling sécurisées, plusieurs méthodes d'authentification et [& # 8230;]
>Earlier this week, on Monday, July 1st, a security regression (CVE-2006-5051) was published in OpenSSH’s server (sshd). Basically, there is a race condition that can lead sshd to handle some signals in an unsafe manner. The worry is that an unauthenticated, remote attacker may be able to trigger it by failing to authenticate within a set period. What is OpenSSH? OpenSSH is the premier connectivity tool for remote login using the SSH protocol. It encrypts all traffic to eliminate eavesdropping, connection hijacking, and other attacks. In addition, OpenSSH provides an extensive suite of secure tunneling capabilities, several authentication methods, and […] |
Tool Vulnerability | ★★★ | |
|
2024-07-04 13:00:00 | Outils de productivité logicielle détournés pour livrer des infostelleurs Software Productivity Tools Hijacked to Deliver Infostealers (lien direct) |
Les programmes inoffensifs de Little Windows transportaient des logiciels malveillants bon marché pendant des semaines, exposant les clients du fournisseur de logiciel basé en Inde au vol de données.
Innocuous little Windows programs were carrying cheap malware for weeks, exposing customers of the India-based software vendor to data theft. |
Malware Tool | ★★★ | |
|
2024-07-03 17:09:55 | Des pirates attaquant les serveurs de nuages Linux pour obtenir un contrôle complet Hackers Attacking Linux Cloud Servers to Gain Complete Control (lien direct) |
## Instantané Les chercheurs en sécurité de Fortiguard Labs ont récemment observé des botnets exploitant des serveurs de cloud Linux pour prendre le contrôle et le stockage des opérations d'acteurs de menace.Cette tendance implique l'exploitation de diverses vulnérabilités par des botnets comme Unstable et Condi. ** Pour plus de tendances dans les logiciels malveillants de Linux, voir Microsoft \'s [Tendances OSINT récentes dans Linux Malware] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ** ## Description Unstable, une variante de Mirai Malware, utilise la vulnérabilité de Jaws Webserver RCE ([CVE-2016-20016] (https://security.microsoft.com/intel-explorer/cves/cve-2016-20016/)) comme entréeindiquer.La configuration de Botnet \\ est codée XOR et prend en charge treize architectures.Il analyse les vulnérabilités, les forces brutes utilisant des références à code dur et emploie à partir de neuf méthodes pour attaquer avec DDOStechniques. Condi DDOS BOTNET exploite les vulnérabilités dans TP-Link Archer AX21 ([CVE-2023-1389] (https://security.microsoft.com/intel-explorer/cves/cve-2023-1389/))et infecte des appareils pour distribuer des logiciels malveillants.Fortiguard Labs a identifié deux adresses IP principales impliquées dans ces attaques: une source d'attaque et un serveur C2 et un stockage de logiciels malveillants.Le botnet utilise divers outils DOS pour différentes architectures Linux et se connecte au serveur de commande et de contrôle (C2) pour collecter et transmettre des informations sur les processus en cours d'exécution. De plus, les logiciels malveillants de Skibidi exploitent les vulnérabilités dans CVE-2023-1389 et Ivanti Connect Secure ([CVE-2024-21887] (https://security.microsoft.com/intel-explorer/cves/2024-2187/))).Il utilise un script pour extraire l'architecture Linux appropriée pour l'attaque et utilise des tactiques comme la forking de processus, le codage des chaînes et la manipulation du nom de processus pour échapper à la détection.Le logiciel malveillant se connecte au serveur C2, surveille les événements système et renvoie les rapports aux attaquants. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Virus: W97M / Unstable] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-description?name=virus:w97m/unstable.a& threatId=-2147375861) - [BackDoor: Linux / Mirai] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backDoor:Linux/Mirai& ;thereatid=-2147248713) - [Trojan: Linux / Mirai] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:linux/Mirai&Thereatid=-2147239801) - [Trojandownloader: Linux / Mirai] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojandownOader:linux/Mirai&Theretid=-2147226081) ## Recommandations Microsoft vous recommande de valider l'applicabilité avant de mettre en œuvre dans votre propre environnement: [CVE-2023-1389] (https://security.microsoft.com/intel-explorer/cves/cve-2023-1389/) • [Tenable] (https://www.tenable.com/security/research/tra-2023-11) Mentionne TP-Link a publié le micrologiciel version 1.1.4 build 20230219 qui résout le problème en supprimant le rappel vulnérable. [CVE-2024-21887] (https://security.microsoft.com/intel-explorer/cves/cve-2024-21887/) • Au 4 juin, 2024, [Ivanti] (https://forums.ivanti.com/s/article/kb-cve-2023-46805-authentication-bypass-cve-2024-21887-command-injection-for--Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways? Language = EN_US) a fourni un correctif pour Ivanti Connect Secure et Ivanti Secure (version 22.2R3).Suivez le Guide [du vendeur \\ »(https://forums.ivanti.com/s/article/how-to-the-complete-upgrade-guide) pour passer à une version corrigée. ## Les références [Les pirates attaquant les serveurs Cloud Linux pour obtenir | Malware Tool Vulnerability Threat Prediction Cloud | ★★★ | |
 |
2024-07-03 15:24:52 | Strike de Cobalt: l'opération internationale de l'application des lois s'attaque aux utilisations illégales de \\ 'Swiss Army Knife \\' Pentest Tool Cobalt Strike: International law enforcement operation tackles illegal uses of \\'Swiss army knife\\' pentesting tool (lien direct) |
Pas de details / No more details | Tool Legislation | ★★★ | |
|
2024-07-03 15:23:00 | Flaw Microsoft Mshtml exploité pour livrer l'outil de logiciel spymétrique Merkspy Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool (lien direct) |
Des acteurs de menace inconnus ont été observés à l'exploitation d'une faille de sécurité désormais réglée dans Microsoft MSHTML pour livrer un outil de surveillance appelé Merkspy dans le cadre d'une campagne ciblant principalement les utilisateurs au Canada, en Inde, en Pologne et aux États-Unis.
"Merkspy est conçu pour surveiller clandestinement les activités des utilisateurs, capturer des informations sensibles et établir la persistance sur les systèmes compromis", Fortinet Fortiguard
Unknown threat actors have been observed exploiting a now-patched security flaw in Microsoft MSHTML to deliver a surveillance tool called MerkSpy as part of a campaign primarily targeting users in Canada, India, Poland, and the U.S. "MerkSpy is designed to clandestinely monitor user activities, capture sensitive information, and establish persistence on compromised systems," Fortinet FortiGuard |
Tool Threat | ★★★ | |
 |
2024-07-03 10:25:37 | CISA met à jour le guide MTS avec des outils améliorés pour l'évaluation de la résilience dans les infrastructures maritimes CISA updates MTS Guide with enhanced tools for resilience assessment in maritime infrastructure (lien direct) |
> L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a amélioré son guide d'évaluation de la résilience du système de transport marin (MTS ...
>The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has enhanced its Marine Transportation System Resilience Assessment Guide (MTS... |
Tool | ★★★ | |
|
2024-07-03 10:00:00 | Plongeon profonde dans la sécurité de la blockchain: vulnérabilités et mesures de protection Deep Dive into Blockchain Security: Vulnerabilities and Protective Measures (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Blockchain technology, renowned for its decentralized and immutable nature, promises enhanced security for various applications. However, like any technology, it is not without vulnerabilities. This in-depth examination explores the security aspects of blockchain, identifies common vulnerabilities, and outlines the measures needed to secure blockchain applications effectively. Security Aspects of Blockchain Technology Decentralization Blockchain\'s distributed nature reduces reliance on a central authority, making it resistant to centralized attacks. Every participant (node) maintains a copy of the entire blockchain, ensuring data integrity and availability. This decentralized structure enhances the robustness of the network against single points of failure and external attacks. Cryptographic Security Blockchain relies heavily on cryptographic algorithms for securing transactions and controlling the creation of new units. Hash functions and digital signatures are fundamental components that ensure data integrity and authentication. These cryptographic techniques create a secure environment where transactions are verified and validated before being permanently recorded. Immutability Once data is written to a block and added to the chain, it is nearly impossible to alter retroactively. This immutability ensures a reliable and tamper-proof record of transactions, making it an invaluable feature for applications requiring high levels of data integrity and transparency. Consensus Mechanisms Mechanisms such as Proof of Work (PoW) and Proof of Stake (PoS) ensure that all participants agree on the state of the blockchain. These consensus algorithms prevent double-spending and other types of fraud by requiring participants to perform specific actions (such as solving complex mathematical problems) to validate transactions and add new blocks. Common Blockchain Vulnerabilities 51% Attack A 51% attack occurs when a single entity controls more than 50% of the network’s mining or staking power, enabling it to manipulate the blockchain. The attacker can reverse transactions, double-spend coins, and halt new transactions. An example is the 2018 Bitcoin Gold attack, where over $18 million was double-spent due to such an attack. Smart Contract Vulnerabilities Bugs and vulnerabilities in smart contract code can lead to significant financial losses. Exploits such as re-entrancy attacks and integer overflow can drain funds from smart contracts. The DAO hack in 2016 is a notable example, where a re-entrancy vulnerability led to the loss of $60 million in Ether. Sybil Attack In a Sybil attack, an attacker creates multiple fake identities (nodes) to gain a disproportionate influence on the network. This can disrupt consensus algorithms, manipulate voting mechanisms, and flood the network with false data. The Tor network has experienced Sybil attacks aimed at de-anonymizing users by controlling a significant portion of exit nodes. Phishing and Social Engineering Attackers use deception to trick individuals into revealing private keys or sensitive information. Such attacks can result in loss of funds, unauthorized access to wallets, and compromised accounts. In 2020, a phishing attack targeted Ledger wallet user, resulting in the theft of cryptocurrency assets. Routing Attacks Attackers intercept and manipulate network traffic between blo | Hack Tool Vulnerability | ★★★ | |
|
2024-07-02 21:54:47 | Capratube Remix - Transparent Tribe \\'s Android Spyware ciblant les joueurs, les passionnés d'armes CapraTube Remix - Transparent Tribe\\'s Android Spyware Targeting Gamers, Weapons Enthusiasts (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Sentinellabs a identifié quatre nouveaux packages Android Caprarat (APK) liés au groupe soupçonné d'état pakistanais, Transparent Tribe (AKA APT 36, Operation C-Major).Ces APK continuent le modèle du groupe d'intégration de logiciels espions dans les applications de navigation vidéo, mais ont introduit de nouveaux thèmes pour cibler les joueurs mobiles, les amateurs d'armes et les utilisateurs de Tiktok.La fonctionnalité de ces APK malveillants est la même;Cependant, le code a été mis à jour pour un meilleur ciblage des appareils Android plus récents. ## Description La tribu transparente (également connue sous le nom d'APT 36) cible principalement le gouvernement indien et le personnel militaire par le biais d'attaques d'ingénierie sociale.Transparent Tribe a précédemment armé les APK, notamment lors d'une campagne de septembre 2023 surnommée ["The Capratube Campaign"] (https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-micmics-youtube-to-hijack-Android-Phones /) où des APK malveillants ont été utilisés pour usurper l'identité de YouTube.Cette dernière campagne poursuit cette technique avec des prétextes d'ingénierie sociale mis à jour, une compatibilité accrue avec les versions plus anciennes du système d'exploitation Android (OS) et le ciblage élargi des versions Android plus récentes. Les nouvelles versions Caprarat utilisent WebView pour lancer des URL sur YouTube ou un site de jeu mobile appelé CrazyGames \ [. \] Com.Les URL sont obscurcies pour éviter la détection, et les applications invitent les utilisateurs à accorder plusieurs autorisations risquées, notamment: l'accès à l'emplacement GPS, lire et envoyer des SMS, lire des contacts, autoriser l'enregistrement audio et d'écran, le stockage de lecture et l'accès en écriture, d'utiliser la caméra etafficher l'historique des appels et passer des appels.Notamment, la nouvelle campagne Caprarat ne demande pas de persissions pour demander des packages d'installation, d'obtenir des comptes ou d'authentifier des comptes.Les analystes de Sentinellabs affirment que cela peut se passer de l'utilisation de Caprarat comme porte dérobée à un outil de surveillance davantage. D'autres modifications significatives de cette variante Caprarat comprennent une compatibilité accrue avec Android Oreo (8.0) et plus, assurant un fonctionnement en douceur sur les appareils Android modernes.Les versions précédentes nécessitaient Android Lollipop (5.1), ce qui est moins compatible avec les appareils actuels. La classe TCHPClient de Caprarat \\ stimule ses capacités malveillantes, collectant et envoyez des données au serveur C2 via des paramètres spécifiés.Le même nom d'hôte et l'adresse IP du serveur C2 est utilisé, lié aux activités précédentes de Transparent Tribe \\. Selon Sentinelabs, les mises à jour minimales du code Caprarat suggèrent l'accent mis sur la fiabilité et la stabilité et s'alignent sur le ciblage cohérent du groupe et l'armée indien par le groupe, qui est peu susceptible d'utiliser des versions obsolètes d'Android et peut être attirée par lesDe nouveaux thèmes APK, tels que les jeux mobiles et les armes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menace comme le folMALWODIQUE-LA LABILAGE: * [Trojan: Androidos / Androrat] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-desCription? Name = Trojan: Androidos / Androrat.A! Rfn & menaceID = -2147198280) * ## Recommandations ** Recommandations de Sentinelabs ** Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres malwares similaires en évaluant toujours les autorisations demandées par une application pour déterminer si elles sont nécessaires à la fonction prévue de l'application.Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres ma | Malware Tool Threat Mobile | APT 36 | ★★ |
|
2024-07-02 16:41:02 | Hemlock Unfurling: un nouveau groupe de menaces utilise une campagne de bombes en cluster pour distribuer des logiciels malveillants Unfurling Hemlock: New threat Group Uses Cluster Bomb Campaign to Distribute Malware (lien direct) |
#### Targeted Geolocations - United States - Germany ## Snapshot During a review of last year\'s malware campaigns, KrakenLabs discovered a campaign where hundreds of thousands of malicious files were distributed using a "malware cluster bomb" technique. ## Description These findings were based on reports about malware like Amadey and Redline, indicating a massive, multi-month campaign likely orchestrated by a single group. This group, dubbed \'Unfurling Hemlock,\' utilized a complex nesting strategy within compressed cabinet files to distribute malware. The infection method involved compressed files named “WEXTRACT.EXE.MUI,” with layers of nested compressed files each containing malware samples. This technique led to the distribution of over 50,000 files worldwide, primarily featuring stealers like Redline, RisePro, and Mystic Stealer, and loaders such as Amadey and SmokeLoader. Despite the samples appearing from various sources, many were traced back to Eastern European hosting services, suggesting a centralized origin. Unfurling Hemlock\'s campaign aimed to maximize infection rates and financial gain by employing utilities to obfuscate malware, disable defenses, and enhance infection success. The group\'s operations seemed financially motivated, leveraging widespread malware distribution and possible partnerships with other cybercriminals for pay-per-infection schemes. The malware execution followed a specific order, where nested files unpacked malware samples, which then executed sequentially to ensure maximum infection impact. This method resulted in multiple malware strains infecting a single victim, posing significant risks to organizations. KrakenLabs\' analysis included over 2,100 samples, revealing distinct patterns and operational structures, confirming the campaign\'s extensive reach and sophistication. They observed multiple distribution methods, including email and compromised websites, and identified numerous command and control (C2) servers linked to the malware. The primary targets of this campaign were companies and private institutions across various countries, with a significant number of uploaded samples originating from the United States and Germany. Interestingly, Russia was also a notable source, despite typical avoidance of CIS countries by regional cybercriminals. KrakenLabs emphasized that while the malware itself was not highly sophisticated, the extensive distribution and redundancy in infection strategies posed substantial threats. The team also noted the potential for similar techniques to gain popularity among other threat actors in the future. ## Additional Analysis Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ### **Redline** First observed in 2020, threat actors using Redline have leveraged the information stealer because of its availability and flexibility. It allows attackers to collect credentials from web browsers, cryptocurrency wallets, and applications, including passwords, cookies, browser history, and credit card information. Additionally, attackers can gather location information, screenshots, usernames, operating system details, User Account Control (UAC) settings, anti-virus tools, and file information from compromised devices. Redline is often advertised as a Malware-as-a-Service (MaaS) on a number of cybercriminal platforms like the dark web and Telegram, increasing its availability to both sophisticated and unsophisticated threat actors. ### RisePro According to [Security Week](https://www.securityweek.com/new-risepro-infostealer-increasingly-popular-among-cybercriminals/), RisePro was first detected in December 2022 being sold on Russian Market, but a sharp increase of activity surroundin | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-02 15:00:00 | Sécuriser les outils du développeur: vulnérabilités de code non corrigées dans GOGS (1/2) Securing Developer Tools: Unpatched Code Vulnerabilities in Gogs (1/2) (lien direct) |
Nous avons découvert 4 vulnérabilités de code critiques dans GOGS, une solution d'hébergement de code source, qui sont toujours non corrigées.Lisez les détails et comment vous protéger.
We discovered 4 critical code vulnerabilities in Gogs, a source code hosting solution, which are still unpatched. Read about the details and how to protect yourself. |
Tool Vulnerability | ★★★ | |
|
2024-07-02 13:00:49 | Deepbrand Clustering & # 8211;Une évolution de la prévention de l'usurpation des marques DeepBrand Clustering – an Evolution in Brand Spoofing Prevention (lien direct) |
> phishing reste une composante importante du paysage cyber-menace en raison de sa simplicité, de son efficacité et de son adaptabilité.Il s'agit d'une pratique trompeuse dans laquelle les acteurs menacés se présentent en tant qu'entités légitimes dans le but d'extraire des informations sensibles d'individus sans méfiance.La prévalence du phishing est attribuée à son exécution à faible coût et à un taux de réussite élevé, d'autant plus que la communication numérique devient plus intégrale de la vie quotidienne.Les tactiques de phishing ont évolué, avec des variations comme la lance-phishing, la baleine, le smirs et plus encore.Il continue d'être un outil supérieur pour les cybercriminels car il exploite l'élément le plus vulnérable des systèmes de sécurité: la psychologie humaine.Le phishing est ainsi [& # 8230;]
>Phishing remains a significant component of the cyber threat landscape due to its simplicity, effectiveness, and adaptability. It is a deceptive practice in which threat actors pose as legitimate entities in an effort to extract sensitive information from unsuspecting individuals. The prevalence of phishing is attributed to its low-cost execution and high success rate, especially as digital communication becomes more integral to daily life. Phishing tactics have evolved, with variations like spear-phishing, whaling, smishing, and more. It continues to be a top tool for cybercriminals because it exploits the most vulnerable element of security systems: human psychology. Phishing is so […] |
Tool Threat | ★★★ | |
|
2024-07-02 10:00:00 | Naviguer dans le paysage de la cybersécurité: une plongée profonde dans des stratégies efficaces SIEM Navigating the Cybersecurity Landscape: A Deep Dive into Effective SIEM Strategies (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Comprehending and effectively addressing cybersecurity threats is paramount to organizational security. As artificial intelligence continues to evolve, how companies respond to cybersecurity threats and how they take proactive steps to mitigate them will factor heavily into profitability, reputation and long-term success. Within this context, Security Information and Event Management (SIEM) emerges as a critical tool for fortifying your defense against cyber threats. This deep dive aims to guide you through the foundational concepts, the pivotal role of SIEM in cybersecurity, and strategies to ensure its effectiveness. SIEM stands at the forefront, offering a centralized solution for monitoring, analyzing, and responding to security events across your network. This article is designed to be your guide, providing insights into the components of SIEM, the challenges it addresses, and most importantly, how to wield it effectively. Understanding the Foundations To effectively navigate the cybersecurity landscape, a solid understanding of the foundations of SIEM is essential. SIEM is a comprehensive security management approach that involves the collection, analysis, and response to security events. It comprises various components, including: Log management Real-time monitoring And incident response. Recognizing the roots of SIEM is critical as it has evolved in response to the ever-changing cyber threat landscape. As you embark on this exploration, consider how the foundational aspects of SIEM align with your organization\'s security objectives and operational requirements. One of the primary challenges in modern cybersecurity is dealing with the sheer volume and complexity of security events. SIEM directly addresses this challenge by providing a centralized platform for collecting and normalizing data from diverse sources. This facilitates efficient analysis, allowing you to decipher patterns and anomalies effectively. As you delve into the world of SIEM, consider how these foundational aspects align with your organization\'s specific security goals and operational needs. The Role of SIEM in Cyber Defense Now that you have a foundational understanding, let\'s delve into how SIEM contributes to your organization\'s cyber defense. Real-time monitoring and analysis form the backbone of SIEM. Imagine having the capability to detect and respond to security incidents as they occur, providing a proactive defense against potential threats. This is precisely what SIEM offers – continuous monitoring of your network for abnormal activities and potential security breaches. Beyond real-time monitoring, SIEM plays a pivotal role in incident response and threat detection. It empowers you to identify patterns and correlations in security events, enabling you to discern genuine threats from false alarms. Additionally, SIEM serves compliance and reporting purposes, helping you meet regulatory requirements and providing insights into your organization\'s overall security posture. As you integrate SIEM into your cybersecurity strategy, consider these key roles and how they align with your organization\'s specific security goals. Components of Effective SIEM Strategies To implement SIEM effectively, you need to consider the key components that make up a robust strategy. The first step is data collection and log management. Your SIEM solution should seaml | Tool Threat | ★★★ | |
 |
2024-07-02 07:00:00 | Graftcp – Un petit tool capable de proxifier n\'importe quel programme (lien direct) | Graftcp est un outil Linux qui permet de rediriger les connexions TCP de n'importe quel programme vers un proxy SOCKS5 ou HTTP en utilisant ptrace. Simple et efficace, il fonctionne même avec les programmes en Go statique. | Tool | ★★★ | |
|
2024-07-02 06:00:50 | Élection 2024 Le volume de spam politique mobile saute 3x par rapport à 2022 Midterms Election 2024 Mobile Political Spam Volume Jumps 3X Compared with 2022 Midterms (lien direct) |
U.S. voters\' appetite for digital information about the 2024 presidential election is growing. But as they consume news via digital media, including from mobile messaging channels, they must keep in mind that cybercriminals may be impersonating the sources that they trust. Research helps to explain why attackers are so focused on exploiting users via these channels. Most U.S. adults (60%) prefer to get their news through digital media. An even higher percentage (86%) will often or sometimes consume news via a smartphone, tablet or computer. And most of the U.S. voting population (97%) has access to mobile messaging. Many users have a high level of trust in mobile messaging. However, the effects of smishing, impersonation, unwanted spam and excessive political messaging puts this trust at risk. And while many voters today are aware of fake news and political impersonation in social media, they may not know that there\'s a heightened risk for harm from mobile messaging and email-based impersonation tactics. Election-related smishing tactics on the rise The use of mobile-based political messaging has skyrocketed as a way for campaigns and legitimate organizations and interest groups to reach voters. At the same time, bad actors are aggressively using the mobile messaging channel for impersonation, smishing, fraud and unwanted spam. Proofpoint research shows that U.S. smishing (text message-based phishing) attacks have increased more than 7% over the past nine months compared with the prior nine months. We compared the reported mobile political spam volumes for the first five months of the 2024 presidential election year to volumes in the same period of the 2022 midterm election year. The volumes in 2024 were 3X greater than those in 2022. Unwanted political messaging skyrockets after Trump guilty verdict In the 48-hour period after the guilty verdict in former President Donald J. Trump\'s “hush money” trial, Proofpoint threat engineers saw a 240% increase in subscriber reports of unwanted political messaging. Report volumes reached into the tens of millions. A sample of a Top 10 by volume, unwanted political message after the guilty verdict. A graph that shows the relative change in unwanted political messages after the guilty verdict. Simple steps to avoid risk This election season, voters need to proactively protect themselves against impersonation attacks. And mobile operators need to protect their end users, too. In fact, we must all maintain a healthy level of skepticism. We need to approach unsolicited messages across mobile, email and social media with extreme caution-especially when a sender asks us to take urgent action. To reduce your risk of exposure to malicious mobile messaging, follow some best practices. Do not open message attachments. And do not click on sent links. Instead, if you want to access a known website, enter the URL in your device\'s browser. Be sure to thoroughly examine all election-related digital messages to confirm that they do not pose a risk. How Proofpoint can help Proofpoint is committed to reducing the risk of fraud and unwanted messaging that falls outside acceptable use policies to help protect trust in the mobile channel. We have the world\'s most extensive threat intelligence. And we protect over 1.6 billion email and mobile accounts. For mobile network operators, we are uniquely positioned to provide automated and predictive mobile messaging protection with offerings from Cloudmark, a Proofpoint company. As a platform for mobile messaging security, it can be deployed in the operator\'s network or accessed in the cloud. When it is installed in the mobile operator\'s network, it serves as a high-performance, carrier-grade security and anti-fraud tool. It delivers a powerful, feature-rich foundation with granular controls for fine-tuning. When the platform is accessed in the cloud, our platform seamlessly protects | Spam Malware Tool Threat Mobile Cloud Commercial | ★★★★ | |
|
2024-07-01 22:38:42 | Proofpoint nomme Harry Labana en tant que vice-président directeur et directeur général de l'archivage, de la conformité et du risque numérique Proofpoint Appoints Harry Labana as SVP and GM of Archiving, Compliance and Digital Risk (lien direct) |
Nous sommes ravis d'annoncer que Harry Labana a été nommé SVP et GM de Proofpoint \\ de l'archivage, de la conformité et du risque numérique, avec effet immédiat. Harry est un leader technologique chevronné et dynamique avec une expérience éprouvée de la construction de produits les plus performants et des équipes R & D pour façonner des solutions de pointe.Avec plus de 25 ans d'expérience en tant que cadre supérieur de l'industrie informatique, Harry a fait du succès dans l'élaboration de stratégie, d'aller aux plans du marché, de lancements de produits et de stimuler la croissance des entreprises avec des portefeuilles de 1 milliard de dollars, une croissance rapide des entreprises privées et des programmes informatiques complexes de premier plan. Harry apporte une perspective unique à ce rôle, ayant travaillé à la fois le côté des fournisseurs et en tant que client d'entreprise.Dans son dernier rôle en tant que directeur général de Goldman Sachs, Harry était responsable de l'ingénierie des solutions d'entreprise et de travail, en mettant l'accent sur les risques numériques et en façonnant une expérience de travail final plus forte dans l'espace de travail de plus en plus collaboratif d'aujourd'hui.Avant cela, il a occupé des postes de senior chez Workspot, VMware, CloudVolumes, Citrix, AppSense et a été consultant en technologie senior divers dans des organisations de services financiers tels que Deutsche Bank, Lehman Brother, Barclays Capital et Dow Jones. Commentant sa nomination, Harry a déclaré: «Le point de preuve est fiable par certaines des principales organisations du monde en tant que partenaire de cybersécurité et de conformité de choix.Je crois que la modernisation de la façon dont les organisations pensent à l'archivage conforme et moderne est essentiel car les utilisateurs finaux utilisent de plus en plus une multitude d'outils de collaboration et les organisations doivent suivre le rythme pour sécuriser l'avenir de la communication commerciale.Proofpoint est uniquement positionné pour aider les organisations dans ce voyage, et je suis honoré de rejoindre un leader à l'avant-garde de l'innovation de la cybersécurité dans sa mission de protéger les gens et de défendre les données. » Mayank Choudhary, EVP et GM, protection de l'information, sécurité du cloud &Le groupe de produits de conformité chez Proofpoint a ajouté: «Proofpoint continue d'investir et d'innover sur ses solutions de conformité et d'archivage, et nous sommes ravis de nous associer à Harry car il apporte une richesse d'expérience précieuse et d'expertise dans la croissance de cet espace.Nous sommes convaincus que sa passion centrée sur le client et son solide contexte de leadership continueront de poursuivre la mission de Proofpoint \\ pour fournir des solutions de cybersécurité et de conformité centrées sur l'homme qui traitent de certains des risques les plus difficiles auxquels sont confrontés les organisations aujourd'hui. » Les solutions de conformité et d'archivage de ProofPoint \\ continuent d'acquérir une reconnaissance de l'industrie, avec & nbsp; Gartner & Reg;Noming Proofpoint Point a Representative Vendor & NBSP; dans le Gartner Market Guide pour la gouvernance des communications numériques 2023 [1]. Pour plus d'informations sur les solutions de conformité et d'archivage de ProofPoint \\, veuillez visiter: https://www.proofpoint.com/us/solutions/enable-intelligent-compliance & nbsp; [1] Gartner, & NBSP; 2023 Guide du marché pour la gouvernance des communications numériques, & NBSP; Michael Hoeck, 13 novembre 2023: & NBSP; 2023 Guide du marché pour la gouvernance des communications numériques Gartner est une marque et une marque de service enregistrés, de Gartner, Inc. et / ou de ses affiliés aux États-Unis et à l'étranger et sont utilisés ici avec permission.Tous droits réservés. Gartner n'approuve aucun fournisseur, produit ou service représenté dans ses publications de recherche et ne conseille pas aux utilisateurs de la t | Tool Cloud | ★ | |
 |
2024-07-01 17:54:27 | La nouvelle campagne de logiciels malveillants usurpe l'identité d'outils d'IA pour tromper les utilisateurs New Malware Campaign Impersonates AI Tools To Trick Users (lien direct) |
Malware Tool | ★★★ | ||
 |
2024-07-01 16:57:26 | L'évolution des attaques de phishing: au-delà du courrier électronique et comment protéger votre organisation The Evolution of Phishing Attacks: Beyond Email and How to Protect Your Organization (lien direct) |
> L'évolution des attaques de phishing: au-delà des e-mails, les attaques de phishing sont depuis longtemps synonymes d'e-mail, mais le paysage des cyber-starts a évolué de façon spectaculaire.Aujourd'hui, le phishing ne se limite pas aux boîtes de réception par e-mail;Il a imprégné divers canaux de communication, notamment SMS, WhatsApp et des outils de collaboration comme Microsoft Teams, Slack et Zoom.Ce changement nécessite une approche complète [& # 8230;]
The Post l'évolution des attaques de phishing: Au-delà des e-mails et comment protéger votre organisation est apparu pour la première fois sur slashnext .
>The Evolution of Phishing Attacks: Beyond Email Phishing attacks have long been synonymous with email, but the landscape of cyberthreats has evolved dramatically. Today, phishing is not confined to email inboxes; it has permeated various communication channels, including SMS, WhatsApp, and collaboration tools like Microsoft Teams, Slack and Zoom. This shift necessitates a comprehensive approach […] The post The Evolution of Phishing Attacks: Beyond Email and How to Protect Your Organization first appeared on SlashNext. |
Tool | ★★★ | |
 |
2024-07-01 16:37:09 | Le Veracode CLI: Test de fin à la fin avec statique, conteneur et balayage dynamique The Veracode CLI: End to End Testing with Static, Container, and Dynamic Scanning (lien direct) |
Dans ce blog, nous allons examiner l'outil Veracode CLI.Disponible pour Windows, MacOS et Linux, le Veracode binaire imaginatif peut effectuer une variété de fonctions à travers le SDLC.
L'installation de l'outil est facile, suivez simplement les étapes de la documentation.Une fois installé, vous pouvez explorer toutes les CLI les fonctions vous-même à l'aide:
Veracode helpto commence, vous devez configurer l'authentification en utilisant:
Veracode Configurey Vous devez saisir votre ID API Veracode et votre secret API (vous pouvez les générer dans l'interface utilisateur Web Veracode ou utiliser des appels API).
En supposant que nous ayons un code d'application, la première étape la plus évidente pourrait être d'effectuer une analyse d'analyse statique.Pour obtenir les résultats les plus précis, Veracode scanne des artefacts de déploiement, plutôt que le code source (il y a de très bonnes raisons qui dépassent la portée de ce blog).Le premier travail consiste donc à emballer le code de numérisation.
Dans notre exemple, nous allons utiliser une application Java de démonstration appelée Verademo.C'est…
In this blog, we\'re going to examine the Veracode CLI tool. Available for Windows, MacOS, and Linux, the imaginatively named binary veracode can perform a variety of functions across the SDLC. Installing the tool is easy, just follow the steps in the documentation. Once installed, you can explore all the cli the functions yourself using: veracode helpTo get started, you\'ll need to configure the authentication using: veracode configureYou need to input your Veracode API ID and API secret (you can generate these in the Veracode Web UI or using API calls). Assuming we have some application code, the most obvious first step might be to perform a Static Analysis scan. To get the most accurate results, Veracode scans deployment artifacts, rather than source code (there are some really good reasons for this that are beyond the scope of this blog). So the first job is to package the code for scanning. In our example, we\'re going to use a demo Java application called verademo. It\'s… |
Tool | ★★ | |
 |
2024-07-01 13:05:00 | Démasquer le rat Rafel: comprendre la menace Unmasking Rafel RAT: Understanding the Threat (lien direct) |
> Dans le paysage en constante évolution des menaces de cybersécurité, une menace qui a émergé avec un impact significatif est Rafel Rat (Trojan d'accès à distance).En tant qu'outil insidieux utilisé par les cybercriminels, Rafel Rat présente un risque grave pour les appareils Android, ce qui rend essentiel pour les individus et les organisations de comprendre son fonctionnement et de prendre [& # 8230;]
>In the ever-evolving landscape of cybersecurity threats, one menace that has emerged with significant impact is Rafel RAT (Remote Access Trojan). As an insidious tool used by cybercriminals, Rafel RAT poses a severe risk to Android devices, making it essential for individuals and organizations to understand its workings and take […] |
Tool Threat Mobile | ★★★ | |
 |
2024-07-01 13:00:00 | Chatgpt 4 peut exploiter 87% des vulnérabilités d'une journée ChatGPT 4 can exploit 87% of one-day vulnerabilities (lien direct) |
> Depuis l'utilisation généralisée et croissante de Chatgpt et d'autres modèles de grande langue (LLM) ces dernières années, la cybersécurité a été une préoccupation majeure.Parmi les nombreuses questions, les professionnels de la cybersécurité se sont demandé à quel point ces outils ont été efficaces pour lancer une attaque.Les chercheurs en cybersécurité Richard Fang, Rohan Bindu, Akul Gupta et Daniel Kang ont récemment réalisé une étude à [& # 8230;]
>Since the widespread and growing use of ChatGPT and other large language models (LLMs) in recent years, cybersecurity has been a top concern. Among the many questions, cybersecurity professionals wondered how effective these tools were in launching an attack. Cybersecurity researchers Richard Fang, Rohan Bindu, Akul Gupta and Daniel Kang recently performed a study to […] |
Tool Vulnerability Threat Studies | ChatGPT | ★★★ |
|
2024-07-01 11:03:12 | MerkSpy: Exploiting CVE-2021-40444 to Infiltrate Systems (lien direct) | #### Targeted Geolocations - India - North America ## Snapshot FortiGuard Labs Threat Research identified recent attacks exploiting the [CVE-2021-40444](https://security.microsoft.com/intel-profiles/CVE-2021-40444) vulnerability in Microsoft Office to deploy the spyware payload known as “MerkSpy.” ## Description The initial vector for this attack is a Microsoft Word document masquerading as a job description for a software developer position. Opening the document triggers the exploitation of CVE-2021-40444, a remote code execution vulnerability within the MSHTML component used by Internet Explorer in Microsoft Office. After the successful exploitation, the malicious document initiates the download of a HTML file from a remote server, which conceals JavaScript and embedded shellcode. This shellcode decodes the downloaded content to execute an injector responsible for loading the MerkSpy spyware into memory and integrating it with active system processes. The extracted payload is protected with VMProtect. Its primary function is seamlessly injecting the MerkSpy spyware into crucial system processes. This spyware operates covertly within systems, capturing sensitive information and exfiltrating data to remote servers controlled by malicious actors. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/Znyonm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Znyonm&threatId=-2147076851) ##### Endpoint detection and response (EDR) Alerts with the following titles in the security center can indicate threat activity on your network: - Possible exploitation of CVE-2021-40444 (requires Defender Antivirus as the Active AV) The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Suspicious Behavior By Office Application (detects the anomalous process launches that happen in exploitation of this CVE, and other malicious behavior) - Suspicious use of Control Panel item ## Recommendations Apply the following mitigations to reduce the impact of this threat and follow-on actions taken by attackers. - Apply the security updates for [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444). Comprehensive updates addressing the vulnerabilities used in this campaign are available through the [September 2021 security updates](https://msrc.microsoft.com/update-guide/). While there are workarounds listed for customers, in [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444) scenarios where patching is not yet feasible, we recommend customers to apply the patch for this vulnerability and act on the secure configurations highlighted in this report at the soonest time possible. - Run the latest version of your operating systems and applications. Turn on automatic updates or deploy the latest security updates as soon as they become available. - Use a supported platform, such as Windows 10, to take advantage of regular security updates. - Turn on [cloud-delivered protection](https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?view=o365-worldwide) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block the majority of new and unknown variants. - Turn on [tamper protection](https://docs.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide) in Microsoft Defender for Endpoint, to prevent malicious changes to security settings. - Run [EDR in block mode](https://docs. | Malware Tool Vulnerability Threat Patching | ★★★ | |
|
2024-07-01 10:57:31 | Faits saillants hebdomadaires, 1er juillet 2024 Weekly OSINT Highlights, 1 July 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. Key themes include the proliferation of Remote Access Trojans (RATs) like Remcos and XWorm, as well as the deployment of ransomware in espionage campaigns by groups such as ChamelGang. The use of phishing, malicious documents, and social engineering tactics are prevalent attack vectors, often leading to the installation of malware, as seen with Fickle Stealer and StrelaStealer. Threat actors range from nation-state groups, including Chinese and Russian espionage teams targeting government and critical infrastructure, to cybercriminals employing Phishing-as-a-Service platforms like ONNX Store to target financial institutions. The targets of these attacks are diverse, encompassing telecom operators, government entities, academic institutions, and private sector organizations across various regions, highlighting the global and multifaceted nature of current cyber threats. ## Description 1. **[Chinese Espionage Group Targets Telecom Operators](https://sip.security.microsoft.com/intel-explorer/articles/e2de6dd7):** Symantec\'s Threat Hunter Team identified a prolonged espionage campaign by Chinese groups targeting telecom operators in an Asian country using tools like Coolclient and Rainyday. The attackers aimed to steal credentials and implant backdoors, suggesting motives ranging from intelligence gathering to infrastructure disruption. 2. **[Remcos RAT Distributed via Malicious Word Documents](https://sip.security.microsoft.com/intel-explorer/articles/f5983b2e):** Forcepoint analysts discovered the distribution of Remcos RAT through Word documents with shortened URLs, exploiting the Equation Editor vulnerability. The malware enables full system control for espionage and data theft, highlighting the importance of recognizing evolving cybercriminal tactics. 3. **[WordPress Plugins Compromised with Malicious PHP Scripts](https://sip.security.microsoft.com/intel-explorer/articles/d443398b):** Wordfence identified a threat actor tampering with five WordPress plugins to create new admin accounts and inject SEO spam. This breach affected over 35,000 websites, emphasizing the need for robust security measures and vigilant monitoring of plugin updates. 4. **[SugarGh0st Malware Campaign by SneakyChef](https://sip.security.microsoft.com/intel-explorer/articles/f1334283):** Cisco Talos uncovered "SneakyChef" using SugarGh0st malware to target government agencies in EMEA and Asia, employing decoy documents from foreign ministries. The group\'s infection chain involves SFX RAR files, with tactics suggesting a Chinese-speaking origin. 5. **[ChamelGang Uses Ransomware for Cyberespionage](https://sip.security.microsoft.com/intel-explorer/articles/b24f9fda):** SentinelLabs and Recorded Future reported on ChamelGang\'s use of CatB ransomware to target global high-profile organizations. The group, likely Chinese, uses ransomware to mislead attribution efforts and facilitate data exfiltration. 6. **[P2Pinfect Rust-based Malware Evolution](https://sip.security.microsoft.com/intel-explorer/articles/2238375c):** Cado Security highlighted the evolution of P2Pinfect, a Rust-based malware spreading via Redis with a botnet for pushing updated binaries. The malware includes a worm, miner, and ransomware payloads, demonstrating ongoing development for profit and network expansion. 7. **[UAC-0184 Targets Ukraine with XWorm RAT](https://sip.security.microsoft.com/intel-explorer/articles/1d853438):** CRIL reported on UAC-0184\'s malware campaign using XWorm RAT to target Ukrainian entities. The attack employs malicious LNK files and DLL sideloading to establish remote access, reflecting the group\'s evolving tactics. 8. **[Xctdoor Malware Targets Korean Companies](https://sip.security.microsoft.com/intel-explorer/articles/df357951):** AhnLab identified attacks on Korean companies using Xctdoor malware, initially infiltrating systems via an ERP update server. | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-28 18:19:52 | Campagne soutenue en utilisant des outils d'espionnage chinois cible les opérateurs de télécommunications Sustained Campaign Using Chinese Espionage Tools Targets Telcos (lien direct) |
## Instantané
L'équipe de Hunter de menace de Symantec a identifié une campagne d'espionnage soutenue ciblant les opérateurs de télécommunications dans un seul pays asiatique.Les attaquants, en utilisant des outils associés aux groupes d'espionnage chinois, ont placé des délais sur les réseaux d'entreprises ciblées et ont tenté de voler des informations d'identification.
## Description
La campagne, en cours depuis au moins 2021, a impliqué l'utilisation de logiciels malveillants personnalisés tels que CoolClient, Quickheal et Rainyday, tous liés aux acteurs d'espionnage chinois.En plus des délais personnalisés, les attaquants ont utilisé des logiciels malveillants, des outils de balayage de port et des techniques de vol d'identification.Les outils utilisés dans cette campagne ont des associations solides avec plusieurs groupes chinois, notamment Fireant, Needleminer et Firefly, tous largement considérés comme opérant depuis la Chine.Le motif ultime de la campagne d'intrusion reste incertain, avec des possibilités, y compris la collecte de renseignements sur le secteur des télécommunications, l'écoute ou la création d'une capacité perturbatrice contre les infrastructures critiques dans le pays ciblé.
## Les références
["Campagne soutenue en utilisant des outils d'espionnage chinois cible les opérateurs de télécommunications"] (https://symantec-enterprise-blogs.security.com/thereat-intelligence/telecoms-espionage-asia) symantec.(consulté en 2024-06-20)
## Snapshot The Threat Hunter Team at Symantec identified a sustained espionage campaign targeting telecom operators in a single Asian country. The attackers, using tools associated with Chinese espionage groups, placed backdoors on the networks of targeted companies and attempted to steal credentials. ## Description The campaign, ongoing since at least 2021, involved the use of custom malware such as Coolclient, Quickheal, and Rainyday, all linked to Chinese espionage actors. In addition to the custom backdoors, the attackers employed keylogging malware, port scanning tools, and credential theft techniques. The tools used in this campaign have strong associations with multiple Chinese groups, including Fireant, Needleminer, and Firefly, all widely considered to be operating from China. The ultimate motive of the intrusion campaign remains unclear, with possibilities including intelligence gathering on the telecoms sector, eavesdropping, or building a disruptive capability against critical infrastructure in the targeted country. ## References ["Sustained Campaign Using Chinese Espionage Tools Targets Telcos"](https://symantec-enterprise-blogs.security.com/threat-intelligence/telecoms-espionage-asia) Symantec. (accessed 2024-06-20) |
Malware Tool Threat | ★★★ | |
 |
2024-06-28 17:51:58 | Qualité sur la quantité: la clé Genai contre-intuitive Quality Over Quantity: the Counter-Intuitive GenAI Key (lien direct) |
> 
Cela est de près de deux ans depuis le lancement d'Openai, ce qui entraîne une sensibilisation et un accès accrus à la sensibilisation et à l'accès à des outils d'IA génératifs ....
> 
It’s been almost two years since OpenAI launched ChatGPT, driving increased mainstream awareness of and access to Generative AI tools....
|
Tool | ChatGPT | ★★★ |
|
2024-06-28 17:46:36 | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT (lien direct) |
## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-06-28 10:15:00 | Google contrecarre plus de 10 000 tentatives de l'opérateur d'influence chinoise Google Thwarts Over 10,000 Attempts by Chinese Influence Operator (lien direct) |
Google a mis en garde contre les niveaux élevés d'activité de l'opérateur de l'influence chinoise Dragon Bridge, qui expérimente de plus en plus d'outils d'IA génératifs pour créer du contenu
Google warned of high levels of activity from Chinese influence operator Dragon Bridge, which is increasingly experimenting with generative AI tools to create content |
Tool | ★★★ | |
|
2024-06-27 20:00:39 | (Déjà vu) Sneakychef Espionage Group cible les agences gouvernementales avec Sugargh0st et plus de techniques d'infection SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques (lien direct) |
#### Géolocations ciblées - Asie centrale - Moyen-Orient - Asie du sud - Europe du Nord - Amérique du Nord - L'Europe de l'Est - Europe du Sud - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux ## Instantané Cisco Talos a récemment identifié un nouvel acteur de menace, "sneakychef", utilisant des logiciels malveillants de Sugargh0st dans une campagne datant d'août 2023. ## Description [Ciblant initialement la Corée du Sud et l'Ouzbékistan] (https://security.microsoft.com/intel-explorer/articles/08b2afef), "sneakychef" a élargi son objectif pour inclure des pays en EMEA et en Asie.Le groupe utilise des documents gouvernementaux numérisés, en particulier des ministères des affaires étrangères et des ambassades, pour attirer les victimes. "Sneakychef" cible un large éventail d'agences gouvernementales et a utilisé des documents leurres imitant le ministère des Affaires étrangères de l'Angola, du Turkménistan, du Kazakhstan, de l'Inde et de la Lettonie, entre autres.La campagne usurpe également les documents de la conférence de recherche.Récemment, une campagne Sugargh0st a ciblé un [États-UnisOrganisation de l'IA] (https: // security.microsoft.com/intel-explorer/articles/a67a621d), indiquant la large adoption du malware \\. Malgré les divulgations, "sneakychef" continue to Utilisez des domaines C2 anciens et nouveaux.Leur chaîne d'infection implique des fichiers SFX RAR, qui déposent des composants malveillants sur les systèmes des victimes.Le processus implique un document de leurre, un chargeur de DLL, un SCRYPTED SUCARGH0ST et un script VB, similaire aux méthodes précédemment divulguées. Une chaîne d'infection supplémentaire utilisant des fichiers SFX RAR a été découverte, soutenant la théorie selon laquelle "sneakychef" est probablement chinois.Cette affirmation est basée sur la langue utilisée et l'utilisation du groupe Gh0st Rat, populaire parmi les pirates de langue chinois. ## Recommandations Recommandations pour protéger contre les attaques de phishing Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger des attaques qui tirent parti des références volées en activant des politiques concernant les appareils conformes ou l'adresse IP de confiance nécessitentmens. - configurehttps: //learn.microsoft.com/azure/active-directory/conditional-access/concept-continuse-access-evaluation? Ocid = magicti_ta_learndoc [ConÉvaluation de l'accès en tinous] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_Learndoc), y compris ceux utilisés dans cette campagne de phishing. - Surveillez les activités suspectes ou anormales et recherchez | Ransomware Spam Malware Tool Threat Conference | ★★ | |
|
2024-06-27 19:05:45 | Groupes de cyberespionnage de Chamelgang & Friends attaquant une infrastructure critique avec ransomware ChamelGang & Friends Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
## Instantané Sentinellabs et enregistré Future ont publié un rapport sur les groupes de cyberespionnage à l'aide de ransomwares.Le rapport détaille les activités de Chamelgang, un acteur de menace chinois présumé, connu pour utiliser des ransomwares CATB pour cibler les organisations de haut niveau dans le monde.En outre, le rapport met en évidence un cluster d'activités séparé et non attribué à l'aide de BestCrypt et Microsoft Bitlocker qui a des objectifs similaires. ## Description Chamelgang, également appelée Camofei, a été observée ciblant les organisations gouvernementales et les entités d'infrastructures critiques de 2021 à 2023. Le groupe utilise des techniques sophistiquées pour l'accès initial, la reconnaissance, le mouvement latéral et l'exfiltration des données.Notamment, en novembre 2022, Chamelgang a compromis 192 ordinateurs à la présidence du Brésil, en utilisant des outils de reconnaissance standard pour cartographier le réseau et recueillir des informations sur les systèmes critiques.Ils ont ensuite déployé des ransomwares CATB, laissant des billets de rançon avec une adresse ProtonMail et une adresse de paiement Bitcoin. Les chercheurs ont également analysé un deuxième groupe d'activités, qui ressemble à des intrusions antérieures à l'aide d'artefacts qui ont été liés à d'autres groupes de menaces chinois et nord-coréens.Encore une fois, ces activités impliquaient souvent des ransomwares ou d'autres outils de chiffrement des données. La recherche souligne comment les acteurs du cyberespionnage utilisent stratégiquement les ransomwares pour les gains financiers, les perturbations ou pour induire les efforts d'attribution induit en erreur.En utilisant des ransomwares, ces acteurs peuvent entraîner une identification par erreur de leurs opérations comme liées à l'espionnage financièrement.De plus, les groupes APT pourraient acheter des ransomwares des cybercriminels pour induire une attribution insensée. Ransomware offre une couverture pour l'exfiltration des données, qui est au cœur des opérations de cyberespionnage.Cette mauvaise attribution permet aux pays contradictoires de refuser le parrainage de l'État, attribuant des actions à des criminels indépendants.La mauvaise hutte de ces activités en tant qu'opérations criminelles peut entraîner des conséquences stratégiques, en particulier dans les attaques contre le gouvernement ou les infrastructures critiques. Sur le plan opérationnel, le ransomware profite aux groupes APT en détruisant des artefacts liés à l'intrusion et à l'attribution, en compliquant les efforts de défense.Le besoin urgent de restaurer les données affectées et les systèmes peuvent détourner l'attention des activités malveillantes en cours. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win64 / catb] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win64/catb.a& ;theretid=-2147057624) * - * [TrojandRopper: Win64 / Catb] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=tRojandRopper: Win64 / Catb & menaceID = -2147128826) * - * [Trojan: XML / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:xml/CobaltStrike& ;thereatid=-2147191933) * - * [Trojan: win64 / cobaltstrike] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:win64/cobaltstrike& ;theatid=-2147206144)* - * [Backdoor: Win32 / Cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Backdoor: Win32 / CobalTstrike & menaceID = -2147179418) * - * [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backdoor:win64/cobaltstrike & menaceID = -2147180169) * - * [hacktool: win32 / cobaltstrike] | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-27 17:17:13 | P2pinfect malware évolue, ajoute des capacités de ransomware et de cryptomiminage P2Pinfect Malware Evolves, Adds Ransomware and Cryptomining Capabilities (lien direct) |
## Snapshot Cado Security researchers report new versions of rust-based malware P2Pinfect. ## Description The malware initially spread via Redis and a limited SSH spreader, with no clear objective other than spreading. P2Pinfect gains initial access by exploiting the replication features in Redis, turning discovered open Redis nodes into follower nodes of the attacker server. It also abuses Redis config commands to write a cron job to the cron directory. The main payload of P2Pinfect is a worm that scans the internet for more servers to infect and features a basic SSH password sprayer. The botnet, a notable feature of P2Pinfect, acts as a peer-to-peer network for pushing out updated binaries. The main binary of P2Pinfect has undergone a rewrite, now entirely written using tokio, an async framework for rust, and packed with UPX. Additionally, the malware now drops a secondary binary at /tmp/bash for health checking. The miner payload embedded in P2Pinfect becomes active after approximately five minutes, and the ransomware payload, called rsagen, is downloaded and executed upon joining the botnet. The ransomware encrypts files and appends .encrypted to the end of the file name, with a ransom note titled "Your data has been locked!.txt". The attacker has made around 71 XMR, equivalent to roughly £9,660, but the mining pool only shows 1 worker active at 22 KH/s, suggesting another wallet address may be in use. The command to start the ransomware was issued directly by the malware operator, and the download server may be an attacker-controlled server used to host additional payloads. P2Pinfect also includes a usermode rootkit that hides specific information and bypasses checks when a specific environment variable is set. There is speculation that P2Pinfect may be a botnet for hire, as evidenced by the delivery of the ransomware payload from a fixed URL and the separation of the miner and ransomware wallet addresses. However, the distribution of rsagen could also be evidence of initial access brokerage. Overall, P2Pinfect continues to evolve with updated payloads and defensive features, demonstrating the malware author\'s ongoing efforts to profit from illicit access and further spread the network. The ransomware\'s impact is limited due to its initial access vector being Redis, which has restricted permissions and limited data storage capabilities. ## Recommendations # Recommendations to protect against RaaS Microsoft recommends the following mitigations to reduce the impact of RaaS threats. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) , so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Microsoft Defender customers | Ransomware Malware Tool Threat Cloud | ★★ |
To see everything:
Our RSS (filtrered)
