What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-12-04 09:38:54 | 4 décembre & # 8211;Rapport de renseignement sur les menaces 4th December – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 4 décembre, veuillez télécharger notre bulletin menace_intelligence.Les meilleures attaques et les violations de la recherche sur le point de contrôle offrent des faits saillants sur l'activité du groupe Cyber Av3ngers, qui a pris la responsabilité de désamortir les postes de travail à l'Aliquicipal Water Authority de Pennsylvania \\.Après l'attaque, CISA a publié un avis à ce sujet [& # 8230;]
>For the latest discoveries in cyber research for the week of 4th December, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Check Point Research provides highlights about Cyber Av3ngers group activity, which has taken responsibility on defacing workstations at Pennsylvania\'s Aliquippa municipal water authority. Following the attack, CISA has published an advisory about this […] |
Threat | ★★ | |
 |
2023-12-04 07:10:47 | Arrêt de cybersécurité du mois: Utilisation de l'IA comportementale pour écraser le détournement de la paie Cybersecurity Stop of the Month: Using Behavioral AI to Squash Payroll Diversion (lien direct) |
This blog post is part of a monthly series exploring the ever-evolving tactics of today\'s cybercriminals. Cybersecurity Stop of the Month focuses on the critical first steps in the attack chain – stopping the initial compromise-in the context of email threats. The series is designed to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The first three steps of the attack chain: stop the initial compromise. In our previous posts, we have covered these attack types: Supplier compromise EvilProxy SocGholish E-signature phishing QR code phishing Telephone-oriented attack delivery (TOAD) In this installment we examine a payroll diversion threat that Proofpoint detected during a recent threat assessment. We also cover the typical attack sequence of payroll fraud and explain how Proofpoint uses multiple signals to detect and prevent these threats for our customers. Background Business email compromise (BEC) continues to grow in popularity and sophistication. The 2022 FBI Internet Crime Report notes that BEC attacks cost U.S. businesses $2.7 billion last year. The global figure is no doubt much higher. Ransomware victims, in contrast, lost just $34 million. Payroll diversion is a form of BEC. Typically, employees who have direct access to fulfilling payroll-related requests are prime targets. In these attacks, a bad actor pretends to be an employee who needs to update their direct deposit information. The new information is for an account that the bad actor owns. Once the fraudulent request is complete, the lost funds cannot be retrieved by the business. Payroll diversion fraud isn\'t a new form of BEC, but the frequency of this type of attack is on the rise. Proofpoint continues to see this type of threat getting through the defenses of other email security tools. Across all of our October 2023 threat assessments, we found that more than 400 of these threats got past 12 other email security tools. There are a few reasons why it\'s difficult for a lot of email security tools to detect or remediate these threats. The primary reason is because they don\'t usually carry malicious payloads like attachments or URLs. They also tend to be sent from personal email services-like Google, Yahoo and iCloud-and target specific users. Notably, API-based email security tools that scan for threats post-delivery are the most susceptible to not being able to detect or remediate this type of threat. This partly comes down to how they work. In order for them to be effective, they need security and IT teams to manually populate them with a dictionary of possible display names of all employees, which is a very time-consuming effort that is hard to scale. To avoid this, many organizations simply choose to enable display name prevention for their senior executives only. But bad actors behind payroll diversion don\'t just impersonate executives, they target anyone in the organization who can access corporate funds. In our example below, an attacker took advantage of this exact weakness. The scenario Proofpoint detected a payroll diversion attempt where the attacker posed as a non-executive employee. The email was sent to the director of human resources (HR) at a 300-person company in the energy and utilities industry. The company\'s incumbent email security tool delivered the message, and its API-based post-delivery remediation tool failed to detect and retract it. The threat: How did the attack happen? Here is a closer look at how this payroll diversion scam unfolded: 1. The deceptive message: The attacker sent a request to update their direct deposit information from an account that appeared to be a legitimate employee\'s personal email account. The original malicious message delivered to the recipient\'s inbox. 2. Payroll diversion attack sequence: If the recipient had engaged, the attacker\'s goal would have been to convince them to trans | Ransomware Tool Threat | Yahoo | ★★ |
 |
2023-12-03 10:03:10 | (Déjà vu) Détecté: NonaMe cible le site Web d'Amat Palerme Detected: NoName targets the website of AMAT Palermo (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: Check-host.net/check-report/13a749b0ke81 Source: TelegramLien source: https://t.me/Noname05716eng/2601 Actor de la menace: NONAME057 (16) Pays de victime: Italie Industrie: Transport & # 038;Organisation de logistique: Amat Palerme
Category: DDoS Attack Content: Proof of downtime: check-host.net/check-report/13a749b0ke81 Source: telegram Source Link: https://t.me/noname05716eng/2601 Threat Actor: NoName057(16) Victimology Country : Italy Industry : Transportation & Logistics Organization : amat palermo |
Threat | ★ | |
|
2023-12-03 10:02:47 | Détecté: Base de données prétendument divulguée de la radio Web 63 Detected: Allegedly leaked database of WEB RADIO 63 (lien direct) |
Catégorie: Contenu de la violation de données: JONECT ACTOR prétend avoir obtenu la base de données de Webradio63, une entreprise italienne.Source: OpenWeb Source Link: https://breachforums.is/thread-italy-webradio63-it-database Menace Actor: Ashly01 VICTICOLOGIE COUNTRAL: Italie Industrie: Musique Organisation: Web Radio 63
Category: Data Breach Content: Threat actor claims to have obtained the database of webradio63, an Italian company. Source: openweb Source Link: https://breachforums.is/Thread-Italy-webradio63-it-Database Threat Actor: Ashly01 Victimology Country : Italy Industry : Music Organization : web radio 63 |
Data Breach Threat | ★ | |
|
2023-12-03 09:51:23 | Détecté: vente présumée du ministère saoudien des données de la santé Detected: Alleged sale of Saudi Ministry of Health data (lien direct) |
Catégorie: Contenu de la violation de données: Jenage Actor prétend avoir obtenu environ 27 Go de données de Prince Sultan Military Medical City (PSMMC) anciennement connues sous le nom d'hôpital militaire de Riyad qui est situé dans la ville de Riyad et qui les vend sur un forum de cybercriminalité.Source: OpenWeb Source Link: https://breachforums.is/thread-saudi-arabia-psmmc-med-sa menace acteur: BPP victimologie Pays: industrie de l'Arabie saoudite [& # 8230;]
Category: Data Breach Content: Threat actor claims to have obtained about 27 GB of Prince Sultan Military Medical City (PSMMC) data formerly known as Riyadh Military Hospital that is located in Riyadh City and is selling it on a cybercrime forum. Source: openweb Source Link: https://breachforums.is/Thread-Saudi-Arabia-psmmc-med-sa Threat Actor: Bpp Victimology Country : Saudi Arabia Industry […] |
Data Breach Threat Medical | ★ | |
|
2023-12-03 09:22:32 | Détecté: Vente présumée d'accès au LSEG (London Stock Exchange Group) Detected: Alleged sale of access to the LSEG (London Stock Exchange Group) (lien direct) |
Catégorie: Contenu alerte: JONEAT ACTOR prétend avoir obtenu l'accès au LSEG (London Stock Exchange Group) qui comprend Bitbucket, SSH, MSSQL, Pipeline & # 038;Artefactoire et le vendre sur un forum de cybercriminalité.Source: OpenWeb Source Lien: https://breachforums.is/thread-selling-cyber-niggers-london-stock-exchange-group-access menace acteur: Intelbroker victimology Pays: Royaume-Uni industrie: Organisation des services financiers: Bourse de Londres
Category: Alert Content: Threat actor claims to have obtained the access to the LSEG (London Stock Exchange Group) that includes Bitbucket, SSH, MSSQL, Pipeline & Artifactory and selling it on a cybercrime forum. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-Cyber-Niggers-London-Stock-Exchange-Group-Access Threat Actor: IntelBroker Victimology Country : UK Industry : Financial Services Organization : london stock exchange |
Threat | ★ | |
|
2023-12-03 09:10:28 | Détecté: vente présumée de l'accès à la modernisation informatique fédérale Reisystems Detected: Alleged sale of access to the Federal IT Modernization ReiSystems (lien direct) |
Catégorie: Contenu de la violation de données: Le menace acteur prétend avoir obtenu l'accès aux reisystèmes fédéraux de modernisation informatique et les vend sur un forum de cybercriminalité.Source: OpenWeb Source Link: https: //BreachForums.is/thread-selling-cyber-niggers--federal-it-modernisation-reisystems-access menace acteur: aegis victimology non défini: non défini indéfini: non défini indéfini: indéfini
Category: Data Breach Content: Threat actor claims to have obtained the access to the Federal IT Modernization ReiSystems and is selling it on a cybercrime forum. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-Cyber-Niggers-Federal-IT-Modernization-ReiSystems-Access Threat Actor: Aegis Victimology undefined : undefined undefined : undefined undefined : undefined |
Data Breach Threat | ★ | |
|
2023-12-03 08:51:29 | (Déjà vu) Détecté: le système de cyber erreurs cible le site Web de SHINE High School Detected: Cyber Error System targets the website of Shine High School (lien direct) |
Catégorie: Contenu de dégradation: Mirror: https://zone-xsec.com/mirror/id/635212 Source: Télégramme Source Link: https://t.me/cybererrorrorsystem/1038 ACTOR DE MONAGE: CYBER SYSTÈME D'ERRE: Organisation de l'éducation: SHINE HIGH SCHOOL
Category: Defacement Content: Mirror: https://zone-xsec.com/mirror/id/635212 Source: telegram Source Link: https://t.me/cybererrorsystem/1038 Threat Actor: Cyber Error System Victimology Country : India Industry : Education Organization : shine high school |
Threat | ★★ | |
|
2023-12-03 07:58:27 | Détecté: Base de données prétendument divulguée de Bharat Sanchar Nigam Limited (BSNL) Detected: Allegedly leaked Database of Bharat Sanchar Nigam Limited (BSNL) (lien direct) |
Catégorie: Contenu de la violation de données: JONECT ACTOR prétend avoir obtenu la base de données de Bharat Sanchar Nigam Limited, la 4e société de télécommunications les plus populaires.Source: OpenWeb Source Link: https://breachforums.is/thread-selling-bharat-sanchar-nigam-limited-telecom menace acteur: Perell victimology Pays: India industrie: réseau & # 038;Organisation des télécommunications: Bharat Sanchar Nigam Limited
Category: Data Breach Content: Threat actor claims to have obtained the database of Bharat Sanchar Nigam Limited, India’s 4th most popular telecommunications company. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-Bharat-Sanchar-Nigam-Limited-Telecom Threat Actor: perell Victimology Country : India Industry : Network & Telecommunications Organization : bharat sanchar nigam limited |
Data Breach Threat | ★ | |
|
2023-12-03 07:47:21 | (Déjà vu) Détecté: Java DDOS 〄 Power Prooft cible le site Web de Zefoy Detected: Java DDOS 〄 Power Proof targets the website of Zefoy (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: https://check-host.net/check-report/13a63363k9df Source: Télégramme Source Link: https://t.me/javaddos/439 Acteur de menace: Java DDOPays de victiologie: industrie non définie: Organisation du logiciel: Zefoy
Category: DDoS Attack Content: Proof of downtime: https://check-host.net/check-report/13a63363k9df Source: telegram Source Link: https://t.me/JavaDDoS/439 Threat Actor: Java DDOS 〄 Power Proof Victimology Country : undefined Industry : Software Organization : zefoy |
Threat | ★ | |
|
2023-12-03 07:41:07 | Détecté: vente présumée de la base de données des magasins de vêtements américains Detected: Alleged sale of American clothing store database (lien direct) |
Catégorie: Contenu des fuites de données: JONECT ACTOR prétend avoir la base de données d'un magasin de vêtements américain avec des clients à travers l'Amérique et l'Europe et le vend sur un forum de cybercriminalité.Source: OpenWeb Source Link: https://breachforums.is/thread-selling-57m-usa-eu-clothing-store-md5-passwords menace acteur: Agro victimology Pays: USA industrie: mode & # 038;Organisation des vêtements: indéfini
Category: Data Leak Content: Threat actor claims to have the database of a American clothing store with customers across America and Europe and is selling it on a cybercrime forum. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-57M-USA-EU-Clothing-Store-MD5-Passwords Threat Actor: Agro Victimology Country : USA Industry : Fashion & Apparel Organization : undefined |
Threat | ★ | |
|
2023-12-03 07:35:06 | (Déjà vu) Détecté: Roblox est victime de ransomware alphv Detected: Roblox falls victim to ALPHV Ransomware (lien direct) |
Catégorie: Contenu du ransomware: aucun échantillon n'a été attaché.Source: Tor Source Link: http://alphvmmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion/0536c4FD-8644-47BD-ADD8-6D7C6BC54995 MENESS
Category: Ransomware Content: No samples have been attached. Source: tor Source Link: http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion/0536c4fd-8644-47bd-add8-6d7c6bc54995 Threat Actor: ALPHV Victimology Country : USA Industry : Gaming Organization : roblox |
Ransomware Threat | ★★ | |
|
2023-12-03 07:27:44 | Détecté: Tipalti est victime de ransomwares alphv Detected: Tipalti falls victim to ALPHV Ransomware (lien direct) |
Catégorie: Contenu du ransomware: ils prétendent avoir accès à plusieurs systèmes Tipali depuis le 8 septembre 2023. et ont accèsà plus de 265 Go + de données commerciales confidentielles.Source: Tor Source Link: http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7ejksbpsa36ad.onion/0536c4fd-8644-47BD-ADD8-6D7C6BC54995 ACTOR DE MONACES: ALPHV VICTICOLOGIE PAYS: USA Industrie: Organisation de développement de logiciels: TIPALTI
Category: Ransomware Content: They claim to have access to multiple Tipali systems since September 8th 2023. And have access to over 265GB+ of confidential business data. Source: tor Source Link: http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion/0536c4fd-8644-47bd-add8-6d7c6bc54995 Threat Actor: ALPHV Victimology Country : USA Industry : Software Development Organization : tipalti |
Ransomware Threat | ★★ | |
|
2023-12-03 07:23:32 | Détecté: Base de données de site Web d'activité ukrainien qui aurait divulgué Detected: Allegedly leaked Ukrainian Business Website Database (lien direct) |
Catégorie: Contenu de la violation de données: Jenage Actor prétend avoir obtenu la base de données d'un site Web d'entreprise ukrainien.Les données revendiquées incluent des identifiants, des noms, des mots de passe, des informations IP, etc. Source: OpenWeb Source Link: https://breachforums.is/thread-selling-ukrainian-business-website-database menace acteur: spoofer victimology Pays: Ukraine Industrie:Organisation non définie: Glyanets
Category: Data Breach Content: Threat actor claims to have obtained the database of a Ukrainian Business Website. The claimed data include IDs, names, passwords, IP info, etc. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-Ukrainian-Business-Website-Database Threat Actor: Spoofer Victimology Country : Ukraine Industry : undefined Organization : glyanets |
Data Breach Threat | ★★ | |
|
2023-12-03 06:06:16 | Détecté: TRON Network prétend cibler le site Web d'Israël Detected: Tron Network claims to target israel website (lien direct) |
Catégorie: Contenu alerte: l'équipe des 177 membres et les groupes de réseau TRON prétendent cibler plusieurs sites Web israéliens.Source: Télégramme Source Lien: https://t.me/tronc2api/1564 ACTOR DE MONACE: TRON Network victimology Pays: Israël Industrie: Organisation indéfinie: Undefined
Category: Alert Content: The 177 Members Team and Tron Network groups claim to be targeting multiple Israeli websites. Source: telegram Source Link: https://t.me/tronc2api/1564 Threat Actor: Tron Network Victimology Country : Israel Industry : undefined Organization : undefined |
Threat | ★★ | |
|
2023-12-03 05:21:16 | Détecté: vente présumée de CC Sniffer Detected: Alleged sale of CC Sniffer (lien direct) |
Catégorie: Contenu malveillant: la menace acteur prétend avoir un renifleur CC multifonctionnel et également fournir un accès complet au panel et aux statistiques.Source: OpenWeb Source Link: https://forum.exploit.in/topic/234382/ ACTOR DE MONACE: MARSHALL VICTIVINE UNDEFINE
Category: Malware Content: Threat actor claims to have a multifunctional CC sniffer and also provide full access to the panel and statistics. Source: openweb Source Link: https://forum.exploit.in/topic/234382/ Threat Actor: Marshall Victimology undefined : undefined undefined : undefined undefined : undefined |
Malware Threat | ★ | |
|
2023-12-03 05:17:26 | (Déjà vu) Détecté: Garuda Cyber Operation cible le site Web d'Airsoft Factory Detected: GARUDA CYBER OPERATION targets the website of Airsoft Factory (lien direct) |
Catégorie: DDOS Attack Content: Preuve de temps d'arrêt: https://check-host.net/check-report/13a67c2ak2ce Source: télégramme Source Link: https://t.me/garuda_cyber_opération/195 Actor de menace: Garuda Cyber Operation Victime Pays: Industrie israélienne: Organisation sportive: usine Airsoft
Category: DDoS Attack Content: Proof of downtime : https://check-host.net/check-report/13a67c2ak2ce Source: telegram Source Link: https://t.me/Garuda_Cyber_Operation/195 Threat Actor: GARUDA CYBER OPERATION Victimology Country : Israel Industry : Sports Organization : airsoft factory |
Threat | ★★ | |
|
2023-12-03 04:54:13 | (Déjà vu) Détecté: Dragonforce Malaysia cible le site Web de Bardlas.co.il Detected: DragonForce Malaysia targets the website of bardlas.co.il (lien direct) |
Catégorie: Contenu de mise à facement: Group prétend avoir dégradé le site Web de Bardlas.co.il Source: Télégramme Source Lien: https://t.me/dragonforceio/1631?single Menace Actor: Dragonforce Malaysia Victigology Pays: Israel Industrie: Organisation indéfinie: Bardlas
Category: Defacement Content: Group claims to have defaced the website of bardlas.co.il Source: telegram Source Link: https://t.me/dragonforceio/1631?single Threat Actor: DragonForce Malaysia Victimology Country : Israel Industry : undefined Organization : bardlas |
Threat | ★ | |
|
2023-12-03 04:28:39 | (Déjà vu) Détecté: le système de cyber erreurs cible le site Web de Dispur College Detected: Cyber Error System targets the website of Dispur College (lien direct) |
Catégorie: Contenu de dégradation: Group prétend avoir dégradé le site Web de Dispur College Source: Télégramme Source Link: https://t.me/cyberrorrorsystem/1035 ACTEUR MONACE: SYSTÈME DE CYBER ERREUR PAYS VICMICOLOGIE: INDE INDUSTRIE: Organisation de l'éducation: Dispur College
Category: Defacement Content: Group claims to have defaced the website of Dispur College Source: telegram Source Link: https://t.me/cybererrorsystem/1035 Threat Actor: Cyber Error System Victimology Country : India Industry : Education Organization : dispur college |
Threat | ★ | |
|
2023-12-03 03:27:53 | Détecté: aurait divulgué la base de données de Baroda U.P.Banque de gramin Detected: Allegedly leaked the database of Baroda U.P. Gramin Bank (lien direct) |
Catégorie: Contenu de la violation de données: Jenage Actor annonce la vente non autorisée de l'accès au site Web BRKGB.com, qui comprend un shell Web, un accès racine FTP et des bases de données.Source: OpenWeb Source Link: https://breachforums.is/thread-selling-india-brkgb-com-baroda-bank-webshell-ftp-25gb-data menace acteur: ddarknotevil victimology Pays: Inde industrie: Banking & # 038;Organisation hypothécaire: Baroda U.P.banque de gramin
Category: Data Breach Content: Threat actor is advertising the unauthorized sale of access to the brkgb.com website, which includes a web shell, FTP root access, and databases. Source: openweb Source Link: https://breachforums.is/Thread-SELLING-India-brkgb-com-Baroda-Bank-WebShell-FTP-25GB-Data Threat Actor: Ddarknotevil Victimology Country : India Industry : Banking & Mortgage Organization : baroda u.p. gramin bank |
Data Breach Threat | ★ | |
|
2023-12-03 03:11:26 | (Déjà vu) Détecté: Java DDOS 〄 Power Proofs cible le site Web de l'Université Gadjah Mada Detected: Java DDOS 〄 Power Proof targets the website of Universitas Gadjah Mada (lien direct) |
Catégorie: DDOS Attack Content: Preuve de temps d'arrêt: https://check-host.net/check-report/13a5f6f9k372 Source: Télégramme Source Link: https://t.me/javaddos/437 Actor de menace: Java DDOS 〄 Power ProofPays de victiologie: Indonésie Industrie: Organisation de l'éducation: Universitas Gadjah Mada (UGM)
Category: DDoS Attack Content: Proof of downtime: https://check-host.net/check-report/13a5f6f9k372 Source: telegram Source Link: https://t.me/JavaDDoS/437 Threat Actor: Java DDOS 〄 Power Proof Victimology Country : Indonesia Industry : Education Organization : universitas gadjah mada (ugm) |
Threat | ★ | |
|
2023-12-03 03:00:05 | (Déjà vu) Détecté: Java DDOS 〄 Power Proofs cible le site Web d'Amazon Pay Detected: Java DDOS 〄 Power Proof targets the website of Amazon Pay (lien direct) |
Catégorie: DDOS Attack Content: Preuve de temps d'arrêt: https://check-host.net/check-report/13a5ae2bk69d Source: Télégramme Source Link: https://t.me/javaddos/433 Actor de menace: Java DDOS 〄 Power ProofPays de victiologie: États-Unis Industrie: Technologies de l'information (TI) Organisation des services: Amazon Pay
Category: DDoS Attack Content: Proof of downtime: https://check-host.net/check-report/13a5ae2bk69d Source: telegram Source Link: https://t.me/JavaDDoS/433 Threat Actor: Java DDOS 〄 Power Proof Victimology Country : USA Industry : Information Technology (IT) Services Organization : amazon pay |
Threat | ★ | |
|
2023-12-03 02:39:33 | (Déjà vu) Détecté: Java DDOS 〄 Power Proofs cible le site Web de Tokopedia Detected: Java DDOS 〄 Power Proof targets the website of Tokopedia (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: https://check-host.net/check-report/13a567a3k82a/ Source: Télégramme Source Link: https://t.me/javaddos/429 Acteur de menace: Java DDOS 〄 PowerPRÉPENCE PAYS DE VICTIOLOGIE: Indonésie Industrie: Organisation de l'industrie du commerce de détail: Tokopedia
Category: DDoS Attack Content: Proof of downtime: https://check-host.net/check-report/13a567a3k82a/ Source: telegram Source Link: https://t.me/JavaDDoS/429 Threat Actor: Java DDOS 〄 Power Proof Victimology Country : Indonesia Industry : Retail Industry Organization : tokopedia |
Threat | ★ | |
|
2023-12-03 02:34:57 | (Déjà vu) Détecté: Anonymous Arabie cible le site Web d'Alrajhi Bank Detected: Anonymous Arabia targets the website of alrajhi bank (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: https://check-host.net/check-report/13a5e658k58d Source: télégramme Source Link: https://t.me/anonymous_v7x/34 Acteur de menace: Anonymous Arabia Victime Pays:Industrie de l'Arabie saoudite: banque & # 038;Organisation hypothécaire: banque Alrajhi
Category: DDoS Attack Content: Proof of downtime: https://check-host.net/check-report/13a5e658k58d Source: telegram Source Link: https://t.me/Anonymous_v7X/34 Threat Actor: Anonymous Arabia Victimology Country : Saudi Arabia Industry : Banking & Mortgage Organization : alrajhi bank |
Threat | ★ | |
|
2023-12-03 02:09:30 | Détecté: violation de données présumée de drt.etribunals.gov.in Detected: Alleged data breach of drt.etribunals.gov.in (lien direct) |
Catégorie: Contenu de la violation de données: le groupe prétend avoir accédé à la base de données du Tribunal d'appel de la reprise de la dette en Inde et obtenu des informations détaillées sur 27 598 utilisateurs, y compris les noms, les adresses, les coordonnées, etc..Me / Anonymous_algeria / 261 ACTOR DE MONAGNE: ANONYME ALYGERIA VICTICOLOGIE PAYS: India Industrie: Organisation d'administration gouvernementale: Debts Recovery Appellate Tribunal
Category: Data Breach Content: Group claims to have accessed the database of the Debt Recovery Appellate Tribunal in India and obtained detailed information on 27,598 users, including names, addresses, contact information, etc. Source: telegram Source Link: https://t.me/Anonymous_Algeria/261 Threat Actor: Anonymous Algeria Victimology Country : India Industry : Government Administration Organization : debts recovery appellate tribunal |
Data Breach Threat | ★ | |
|
2023-12-03 01:38:42 | Détecté: la base de données universitaire de Tel Aviv aurait divulgué Detected: Academic College of Tel Aviv database allegedly leaked (lien direct) |
Catégorie: Contenu de la violation de données: le groupe prétend avoir un accès non autorisé à la base de données du College de Tel Aviv, y compris le code source et la base de données.Source: Télégramme Source Lien: https://t.me/cybertoufanbackup/69 Menace Actor: Cyber Toufan Operations victimology Pays: Israel Industrie: Education Organisation: The Academic College of Tel Aviv-Yaffo
Category: Data Breach Content: Group claims to have unauthorized access to the database of the Academic College of Tel Aviv, including the source code and database. Source: telegram Source Link: https://t.me/CyberToufanBackup/69 Threat Actor: Cyber Toufan Operations Victimology Country : Israel Industry : Education Organization : the academic college of tel aviv-yaffo |
Data Breach Threat | ★ | |
|
2023-12-02 23:32:25 | Détecté: Les écoles publiques de Bayonne sont victimes de ransomwares de verrouillage Detected: Bayonne Public Schools falls victim to LockBit Ransomware (lien direct) |
Catégorie: Ransomware Contenu: Group prétend avoir publié les données des organisations le 14 décembre 2023 Source: Tor Source Link: http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion/post/xgsbrg356wx2neuk656b95f474870 OLOGY PAYS: USA Industrie: Organisation de l'éducation: BayonneDistrict scolaire BBO
Category: Ransomware Content: Group claims to have publish the organizations data on 14 Dec, 2023 Source: tor Source Link: http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion/post/XgSBRG356wX2Neuk656b95f474870 Threat Actor: LOCKBIT 3.0 Victimology Country : USA Industry : Education Organization : bayonne school district-bboed |
Ransomware Threat | ★ | |
|
2023-12-02 18:05:15 | Détecté: aurait divulgué la base de données de la Marine Biological Association Detected: Allegedly leaked the database of The Marine Biological Association (lien direct) |
Catégorie: Contenu de la violation de données: les prétendants de groupe ont accès aux données des organisations.Taille: 101.40MB Fichier: CSV-XLSX Source: Télégramme Source Lien: https://t.me/fakesec666/4074 ACTOR DE JONE: Infinite Insight.Id Victimology Pays: Royaume-Uni Industrie: Organisation de l'industrie de la recherche: The Marine Biological Association
Category: Data Breach Content: Group claims to have access to the organizations data. Size: 101.40MB File: csv-xlsx Source: telegram Source Link: https://t.me/fakesec666/4074 Threat Actor: INFINITE INSIGHT.ID Victimology Country : UK Industry : Research Industry Organization : the marine biological association |
Data Breach Threat | ★ | |
|
2023-12-02 15:47:25 | (Déjà vu) Détecté: l'équipe de ketapang gris Hat cible le site Web du Bureau central des statistiques Detected: KETAPANG GREY HAT TEAM targets the website of Central Bureau of Statistics (lien direct) |
Catégorie: DDOS Attaque Contenu: Proté des temps d'arrêt: https://check-host.net/check-report/13a3f0fek273 Source: télégramme Source Link: https://t.me/ketapanggreyhatteamv2/726 Actor de menace: Ketapang Grey Hat Team Grey Hat Team GrayPays de victiologie: industrie israélienne: Organisation d'administration gouvernementale: Bureau central des statistiques
Category: DDoS Attack Content: proof of down time : https://check-host.net/check-report/13a3f0fek273 Source: telegram Source Link: https://t.me/KetapangGreyHatTeamV2/726 Threat Actor: KETAPANG GREY HAT TEAM Victimology Country : Israel Industry : Government Administration Organization : central bureau of statistics |
Threat | ★ | |
|
2023-12-02 14:37:41 | (Déjà vu) Détecté: NonAme cible le site Web de Montréal & # 8211; Aéroport international de Trudeau Detected: NoName targets the website of Montreal–Trudeau International Airport (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: Check-host.net/check-report/13a3635ek10d (http://check-host.net/check-report/13a3635ek10d) Serveur interne: check-host.net/check-report/ 13a36415ke2c (http://check-host.net/check-report/13a36415ke2c) Source: Télégramme Source Link: https://t.me/Noname05716/5393 Acteur de menace: non-Aame& # 038;Organisation de l'aviation: Montréal & # 8211; aéroport international de Trudeau
Category: DDoS Attack Content: Proof of downtime: check-host.net/check-report/13a3635ek10d (http://check-host.net/check-report/13a3635ek10d) Internal server: check-host.net/check-report/13a36415ke2c (http://check-host.net/check-report/13a36415ke2c) Source: telegram Source Link: https://t.me/noname05716/5393 Threat Actor: NoName057(16) Victimology Country : Canada Industry : Airlines & Aviation Organization : montreal–trudeau international airport |
Threat | ★ | |
|
2023-12-02 14:31:14 | (Déjà vu) Détecté: Noname cible le site Web du Sénat du Canada Detected: NoName targets the website of Senate of Canada (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: Check-host.net/check-report/13a3627dk85b Source: Télégramme Source Lien: https://t.me/Noname05716/5393 Actor de la menace: NONAME057 (16) Pays de victime: Canada Industry: Organisation d'administration gouvernementale: Sénat du Canada
Category: DDoS Attack Content: Proof of downtime: check-host.net/check-report/13a3627dk85b Source: telegram Source Link: https://t.me/noname05716/5393 Threat Actor: NoName057(16) Victimology Country : Canada Industry : Government Administration Organization : senate of canada |
Threat | ★ | |
|
2023-12-02 14:21:20 | Détecté: NonaME cible le site Web de la Canadian Bankers Association Detected: NoName targets the website of Canadian Bankers Association (lien direct) |
Catégorie: DDOS Attack Contenu: Preuve de temps d'arrêt: Check-host.net/check-report/13A35EEDK4E8 Source: Télégramme Source Link: https://t.me/Noname05716/5393 Actor de menace: non-Aame: Banque & # 038;Organisation hypothécaire: Association des banquiers canadiens
Category: DDoS Attack Content: Proof of downtime: check-host.net/check-report/13a35eedk4e8 Source: telegram Source Link: https://t.me/noname05716/5393 Threat Actor: NoName057(16) Victimology Country : Canada Industry : Banking & Mortgage Organization : canadian bankers association |
Threat | ★ | |
 |
2023-12-02 13:59:00 | Agent Racoon Backdoor cible les organisations au Moyen-Orient, en Afrique et aux États-Unis Agent Racoon Backdoor Targets Organizations in Middle East, Africa, and U.S. (lien direct) |
Les organisations au Moyen-Orient, en Afrique et aux États-Unis ont été ciblées par un acteur de menace inconnu pour distribuer une nouvelle porte dérobée appelée & nbsp; agent Raconon.
"Cette famille de logiciels malveillants est écrite à l'aide du .NET Framework et exploite le protocole de service de noms de domaine (DNS) pour créer un canal secret et fournir différentes fonctionnalités de porte dérobée", Palo Alto Networks Unit 42 Researcher Chema Garcia & Nbsp;
Organizations in the Middle East, Africa, and the U.S. have been targeted by an unknown threat actor to distribute a new backdoor called Agent Racoon. "This malware family is written using the .NET framework and leverages the domain name service (DNS) protocol to create a covert channel and provide different backdoor functionalities," Palo Alto Networks Unit 42 researcher Chema Garcia |
Malware Threat | ★★★ | |
|
2023-12-02 08:16:44 | Détecté: Base de données prétendument divulguée de la Commission nationale de la santé de la République de Chine du peuple Detected: Allegedly leaked database of National Health Commission of the People\\'s Republic of China (lien direct) |
Catégorie: Contenu de la violation de données: Le menace acteur prétend avoir obtenu la base de données de la République de Chine de la Commission nationale de la santé, le Département exécutif du Cabinet du Conseil d'État du peuple de la République de Chine qui est qui est qui est qui est qui est qui est qui est qui est la République de Chine qui estResponsable de formuler des politiques de santé nationales.La base de données divulguée contient (patient & # 8217; s) nom complet, carte d'identité / numéro de passeport, numéro de téléphone, physique [& # 8230;]
Category: Data Breach Content: Threat actor claims to have obtained database of National Health Commission of the People’s Republic of China, a cabinet-level executive department of the State Council of the People’s Republic of China which is responsible for formulating national health policies. The leaked database contains (Patient’s)Full Name, ID Card/Passport Number, Phone Number, Physical […] |
Data Breach Threat | ★★★ | |
|
2023-12-02 07:59:10 | Détecté: Base de données de la société de groupes de vie de luxe divulguée \\ au Vietnam Detected: Allegedly leaked Luxury living group branch company\\'s database in Vietnam (lien direct) |
Catégorie: Contenu de la violation de données: JONECT ACTOR prétend avoir obtenu une base de données entière de taille 27 Go des entreprises de succursales de Luxury Living Group Group au Vietnam.Source: OpenWeb Source Link: https://breachforums.is/thread-luxurylivinggroup-com-database-11-11-2023- Vietnam?pid=274830#pid274830 Actor de menace: Robinhouse0xc4 VICTIVERALY PAYSE: Vietnam Industrie: Luxury Goods & # 038;Organisation des bijoux: groupe de vie de luxe
Category: Data Breach Content: Threat actor claims to have obtained entire database of size 27 GB from branch companies of Luxury Living Group group in Vietnam. Source: openweb Source Link: https://breachforums.is/Thread-Luxurylivinggroup-com-Database-11-11-2023-VIETNAM?pid=274830#pid274830 Threat Actor: robinhouse0xc4 Victimology Country : Vietnam Industry : Luxury Goods & Jewelry Organization : luxury living group |
Data Breach Threat | ★ | |
|
2023-12-02 07:40:53 | Détecté: violation présumée de données de la société SDME Detected: Alleged data breach of SDME Society (lien direct) |
* Catégorie *: Contenu de la violation de données: le groupe prétend avoir acquis un accès non autorisé au format sdmesociety.in: SQL Source: Télégramme Source Lien: https://t.me/cyberrorrorsystem/1030 Acteur de menace: Système de cyber-erreIndustrie: Organisation de l'éducation: SDM Educational Society Ujire
*Category*: Data Breach Content: Group claims to have gained unauthorized access to the sdmesociety.in Format: sql Source: telegram Source Link: https://t.me/cybererrorsystem/1030 Threat Actor: Cyber Error System Victimology Country : India Industry : Education Organization : sdm educational society ujire |
Data Breach Threat | ★ | |
 |
2023-12-02 00:06:39 | Preuve de vie… Proof of life… (lien direct) |
& # 8216; Blade Runner & # 8217;& # 8211;Le film Cult Classic & # 8211;nous enseigne que les (non) traits / comportements humains peuvent être détectés avec un soi-disant test de Voight-Kampff.Cet article consiste à discuter (de ne pas encore concevoir) un test similaire à nos fins de chasse aux menaces & # 8230;La clé & # 8230; Continuer la lecture & # 8594;
‘Blade Runner’ – the cult classic movie – teaches us that the (non-)human traits/behaviors can be detected with a so-called Voight-Kampff test. This post is about discussing (not designing yet) a similar test for our threat hunting purposes… The key … Continue reading → |
Threat Technical | ★★★ | |
 |
2023-12-01 21:32:00 | Des pirates nord-coréens attaquant des macos en utilisant des documents armées North Korean Hackers Attacking macOS Using Weaponized Documents (lien direct) |
#### Description
En 2023, les acteurs de la menace nord-coréenne ont intensifié leur concentration sur MacOS par le biais de deux campagnes majeures nommées Rustbucket et Kandykorn.
RustBucket a utilisé \\ 'swiftloader, \' se faire passer pour une visionneuse PDF, pour déployer un malware de deuxième étape écrit de la rouille.Pendant ce temps, la campagne de Kandykorn a utilisé des scripts Python ciblant les ingénieurs de la blockchain, livrant un rat de porte dérobée C ++ appelé \\ 'Kandykorn \' en détournant l'application Discord sur les hôtes.L'attaque en cinq étapes contre les utilisateurs de discorde impliquait l'ingénierie sociale pour les inciter à télécharger une application Python malveillante déguisée en bot d'arbitrage crypto, distribué sous le nom de \\ 'ponts multiplateaux.zip. \' l'application, contenant des scripts de python apparemment inoffensifs, a progressé à travers des étapes impliquant l'exécution de Findertools, Sugarloader, Hloader et, finalement, exécuter Kandykorn.
La campagne Rustbucket a présenté des techniques évolutives, en utilisant une application basée sur Swift nommée SecurePDF Viewer.App, signée par "BBQ Bazaar Private Limited".Une autre variante, Crypto-Assets App.zip, signée par "Northwest Tech-Con Systems Ltd", a indiqué une infrastructure partagée, des objectifs et des tactiques avec Kandykorn Rat, soulignant la sophistication des campagnes malveillantes du macos nord-coréen.
#### URL de référence (s)
1. https://gbhackers.com/korean-macos-weaponized-ocuments/
#### Date de publication
30 novembre 2023
#### Auteurs)
Tushar Subhra Dutta
#### Description In 2023, North Korean threat actors intensified their focus on macOS through two major campaigns named RustBucket and KandyKorn. RustBucket utilized \'SwiftLoader,\' masquerading as a PDF Viewer, to deploy a Rust-written second-stage malware. Meanwhile, the KandyKorn campaign employed Python scripts targeting blockchain engineers, delivering a C++ backdoor RAT called \'KandyKorn\' by hijacking the Discord app on hosts. The five-stage attack on Discord users involved social engineering to trick them into downloading a malicious Python app disguised as a crypto arbitrage bot, distributed as \'Cross-Platform Bridges.zip.\' The app, containing seemingly harmless Python scripts, progressed through stages involving the execution of FinderTools, SUGARLOADER, HLOADER, and ultimately running KANDYKORN. he RustBucket campaign showcased evolving techniques, using a Swift-based app named SecurePDF Viewer.app, signed by "BBQ BAZAAR PRIVATE LIMITED." Another variant, Crypto-assets app.zip, signed by "Northwest Tech-Con Systems Ltd," indicated shared infrastructure, objectives, and tactics with KandyKorn RAT, underscoring the sophistication of North Korean macOS malware campaigns. #### Reference URL(s) 1. https://gbhackers.com/korean-macos-weaponized-documents/ #### Publication Date November 30, 2023 #### Author(s) Tushar Subhra Dutta |
Malware Threat | ★★ | |
 |
2023-12-01 18:59:00 | Les iPhones et les Mac obtiennent des correctifs pour deux vulnérabilités iPhones and Macs get patches for two vulnerabilities (lien direct) |
Apple a averti les clients des dernières vulnérabilités zéro-jours affectant plusieurs de ses produits, libération Une mise à jour de sécurité d'urgence jeudi.Les vulnérabilités - CVE-2023-42916 et CVE-2023-42917 - ont été découvertes par Cl & eacute; ment Lecigne du groupe d'analyse des menaces de Google et affectent l'iPhone XS et plus tard;plusieurs modèles d'iPads;et Mac exécutant MacOS Monterey, Ventura ou Sonoma.
Apple warned customers of the latest zero-day vulnerabilities affecting several of its products, releasing an emergency security update on Thursday. The vulnerabilities - CVE-2023-42916 and CVE-2023-42917 - were discovered by Clément Lecigne of Google\'s Threat Analysis Group and affect iPhone XS and later; several models of iPads; and Macs running macOS Monterey, Ventura or Sonoma. |
Vulnerability Threat Mobile | ★★★ | |
 |
2023-12-01 16:50:30 | Mémo sur les menaces du cloud: un parasite exploitant les services cloud légitimes Cloud Threats Memo: A Parasite Exploiting Legitimate Cloud Services (lien direct) |
> Les extensions de navigateur malveillant sont un vecteur d'attaque commun utilisé par les acteurs de la menace pour voler des informations sensibles, telles que les cookies d'authentification ou les informations de connexion, ou pour manipuler les transactions financières.Dans le dernier exemple d'une menace similaire, les chercheurs de Trend Micro ont découvert une extension Google Chrome malveillante (travaillant également sur des navigateurs à base de chrome tels que Microsoft [& # 8230;]
>Malicious browser extensions are a common attack vector used by threat actors to steal sensitive information, such as authentication cookies or login credentials, or to manipulate financial transactions. In the latest example of a similar threat, researchers from Trend Micro have discovered a malicious Google Chrome extension (also working on Chromium-based browsers such as Microsoft […] |
Threat Prediction Cloud | ★★ | |
|
2023-12-01 16:20:00 | Aftermath de Qakbot Takedown: atténuations et protection contre les menaces futures Qakbot Takedown Aftermath: Mitigations and Protecting Against Future Threats (lien direct) |
Le département américain de la Justice (DOJ) et le FBI ont récemment collaboré dans une opération multinationale pour démanteler le malware et le botnet de Qakbot notoires.Alors que l'opération a réussi à perturber cette menace de longue date, des préoccupations se sont produites car il semble que Qakbot puisse encore poser un danger sous une forme réduite.Cet article traite des conséquences du retrait, fournit une atténuation
The U.S. Department of Justice (DOJ) and the FBI recently collaborated in a multinational operation to dismantle the notorious Qakbot malware and botnet. While the operation was successful in disrupting this long-running threat, concerns have arisen as it appears that Qakbot may still pose a danger in a reduced form. This article discusses the aftermath of the takedown, provides mitigation |
Malware Threat | ★★★ | |
|
2023-12-01 16:19:00 | Des pirates chinois utilisant le rat de Sugargh 0st pour cibler la Corée du Sud et l'Ouzbékistan Chinese Hackers Using SugarGh0st RAT to Target South Korea and Uzbekistan (lien direct) |
Un acteur suspecté de menace chinoise a été attribué à une campagne malveillante qui cible le ministère ouzbékistan des Affaires étrangères et les utilisateurs sud-coréens avec un cheval de Troie à distance appelé & nbsp; Sugargh0st Rat.
L'activité, qui a commencé au plus tard en août 2023, tire parti de deux séquences d'infection différentes pour livrer le malware, qui est une variante personnalisée de & nbsp; gh0st rat & nbsp
A suspected Chinese-speaking threat actor has been attributed to a malicious campaign that targets the Uzbekistan Ministry of Foreign Affairs and South Korean users with a remote access trojan called SugarGh0st RAT. The activity, which commenced no later than August 2023, leverages two different infection sequences to deliver the malware, which is a customized variant of Gh0st RAT |
Malware Threat | ★★ | |
|
2023-12-01 14:00:00 | Les pirates XDSPY attaquent les sociétés militaires industrielles en Russie XDSpy hackers attack military-industrial companies in Russia (lien direct) |
Un groupe de cyberespionnage connu sous le nom de XDSPY a récemment ciblé les entreprises militaires russes industrielles, selon de nouvelles recherches.XDSPY serait un acteur de menace contrôlé par l'État, actif depuis 2011, qui attaque principalement les pays d'Europe de l'Est et les Balkans.Dans sa dernière campagne en novembre, les pirates ont tenté d'accéder aux systèmes d'un métallurgique russe
A cyberespionage group known as XDSpy recently targeted Russian military-industrial enterprises, according to new research. XDSpy is believed to be a state-controlled threat actor, active since 2011, that primarily attacks countries in Eastern Europe and the Balkans. In its latest campaign in November, hackers attempted to gain access to the systems of a Russian metallurgical |
Threat | ★★★ | |
 |
2023-12-01 10:00:31 | IT Menace l'évolution au troisième trimestre 2023. Statistiques mobiles IT threat evolution in Q3 2023. Mobile statistics (lien direct) |
Les statistiques sur les menaces mobiles pour le troisième trimestre 2023 incluent des données sur les logiciels malveillants, les logiciels publicitaires, les chevaux de Troie bancaires et les ransomwares pour les appareils Android.
Mobile threat statistics for Q3 2023 include data on malware, adware, banking Trojans and ransomware for Android devices. |
Ransomware Malware Threat Mobile Mobile | ★★★ | |
|
2023-12-01 10:00:09 | It menace l'évolution Q3 2023 IT threat evolution Q3 2023 (lien direct) |
Attaques contre une cible d'infrastructure critique en Afrique du Sud, attaque de la chaîne d'approvisionnement contre les machines Linux, le doppelganger télégramme utilisé pour cibler les personnes en Chine.
Attacks on a critical infrastructure target in South Africa, supply-chain attack on Linux machines, Telegram doppelganger used to target people in China. |
Threat | ★★ | |
|
2023-12-01 10:00:03 | Il menace l'évolution au troisième trimestre 2023. Statistiques non mobiles IT threat evolution in Q3 2023. Non-mobile statistics (lien direct) |
Les statistiques des logiciels malveillants PC pour le troisième troque incluent des données sur les mineurs, les ransomwares, les chevaux de Troie bancaires et d'autres menaces pour Windows, MacOS et l'équipement IoT.
PC malware statistics for Q3 2023 include data on miners, ransomware, banking Trojans and other threats to Windows, macOS and IoT equipment. |
Ransomware Malware Threat Studies | ★★★ | |
|
2023-12-01 09:48:42 | Cas d'utilisation du PSAT: comment un utilisateur formé a aidé à arrêter une campagne de BEC massive ciblant les agences gouvernementales américaines PSAT Use Case: How One Trained User Helped Stop a Massive BEC Campaign Targeting U.S. Government Agencies (lien direct) |
In late September 2023, an unattributed business email compromise (BEC) actor sent thousands of highly targeted messages to at least 100 customers across Proofpoint. The attacker targeted individuals who had connections to the U.S. Department of Defense.
The intended victims of the BEC campaign worked in functions such as business development, sales and procurement. The attacker likely wanted to take advantage of increased procurement activity at the end of the fiscal year.
Fortunately, a trained and security-aware employee caught the threat and reported it. That helped to protect hundreds of federal customers across the landscape.
In this blog, we\'ll examine what exactly happened so that you can see how consistent training and awareness about threats likely to target your users can protect your business-and hundreds of others like it.
The timeline-before, during and after the attack
Here\'s a closer look at the details surrounding this BEC incident:
Pre-attack:
Before the attack, end users underwent consistent security awareness and training. The training was designed to educate employees on BEC and other government themed lures, which were most likely to be seen by employees who were at risk. One of the key components of the training had been the sharing of Threat Intelligence to all employees via weekly newsletters and bi-weekly webinars.
During the attack:
In mid-September, a U.S. government-affiliated employee was the first to receive the BEC threat.
This user recognized the threat-even though the attacker had not targeted them before-because it looked like one they\'d seen in past that had focused on government bids and proposals.
The user then alerted security to the threat using the Report Phish button in their email client.
Post-attack:
Detection systems were updated in response to this employee\'s quick action.
Proofpoint blocked, alerted and pulled messages from hundreds of Proofpoint customers.
Proofpoint account and threat intelligence teams also notified dozens of other government entities that were not our customers to help protect the larger federal sector.
Follow-on attacks
After the first attack, the threat actor continued with the same tactics using a different email address.
Meanwhile, Proofpoint continued to send out alerts about this BEC threat to our customers and government partners. As a result, the threat was blocked across hundreds of Proofpoint customers and thousands of malicious messages were stopped from reaching users\' inboxes.
What we know about this threat
BEC attackers are often very strategic in their efforts to trick their intended targets. In this case, we know that the user was never targeted by this bad actor before. Additionally, we learned that:
The attacker spoofed a legitimate government user and proposal process. (The attacker spoofed the email address of a Federal Emergency Management Agency employee.)
The email was sent two weeks before the end of the U.S. government fiscal year; this is a time of high stress and high tempo throughout all government organizations and contractors.
The message contained no misspellings or other red flags signaling it might be a BEC attempt.
This incident underscores the value of consistent threat intelligence and user training and awareness. The swift action of one informed user helped Proofpoint to protect our customers from this BEC attack, as well as many other businesses and users.
Learn more
To learn about Proofpoint Security Awareness, see these resources.
Download this data sheet to find out more about Proofpoint Threat Intelligence Services.
And visit this page on the Proofpoint website to get details about our federal solutions.
In late September 2023, an unattributed business email compromise (BEC) actor sent thousands of highly targeted messages to at least 100 customers across Proofpoint. The attacker targeted individuals who had connections to the U.S. Department of Defense. The intended victims of th |
Threat | ★★★ | |
 |
2023-12-01 00:00:00 | Ouverture d'infrastructures critiques: l'état actuel de la sécurité ouverte Ran Opening Critical Infrastructure: The Current State of Open RAN Security (lien direct) |
L'architecture Open Radio Access Network (ORAN) fournit des interfaces et protocoles standardisés aux systèmes précédemment fermés.Cependant, nos recherches sur Oran démontrent la menace potentielle posée par des XAPP malveillants capables de compromettre l'ensemble du sous-système de contrôleur intelligent Ran (RIC).
The Open Radio Access Network (ORAN) architecture provides standardized interfaces and protocols to previously closed systems. However, our research on ORAN demonstrates the potential threat posed by malicious xApps that are capable of compromising the entire Ran Intelligent Controller (RIC) subsystem. |
Threat | ★★ | |
|
2023-11-30 21:42:33 | New Sugargh0st Rat cible le gouvernement ouzbékistan et la Corée du Sud New SugarGh0st RAT targets Uzbekistan government and South Korea (lien direct) |
#### Description
Cisco Talos a récemment découvert une campagne malveillante qui a probablement commencé dès août 2023, livrant un nouveau cheval de Troie à distance à distance (rat) surnommé «Sugargh0st».L'acteur de menace derrière le rat est probablement chinois et vise le ministère ouzbékistan des affaires étrangères et des utilisateurs en Corée du Sud.
Le rat est livré à travers deux chaînes d'infection qui exploitent le raccourci Windows intégré à un JavaScript malveillant pour livrer les composants à abandonner et à lancer la charge utile de Sugargh0st.Le rat est équipé de fonctionnalités personnalisées dans sa capacité de reconnaissance, y compris la recherche de clés de registre spécifiques de la connectivité de la base de données (ODBC), de chargement des fichiers de bibliothèque avec des extensions de fichiers et un nom de fonction spécifiques, et des commandes personnalisées pour faciliter les tâches d'administration à distance dirigés par le C2.Le rat peut exécuter la plupart des fonctionnalités de contrôle à distance, y compris le lancement du shell inverse, l'exécution de commandes arbitraires envoyées à partir de C2 comme chaînes à l'aide du shell de commande et accéder à l'appareil photo de la victime pour capturer l'écran et comprimer les données capturées avant de l'envoyerau serveur C2.
#### URL de référence (s)
1. https://blog.talosintelligence.com/new-sugargh0st-rat/
#### Date de publication
30 novembre 2023
#### Auteurs)
Ashley Shen
#### Description Cisco Talos recently discovered a malicious campaign that likely started as early as August 2023, delivering a new remote access trojan (RAT) dubbed “SugarGh0st.” The threat actor behind the RAT is likely Chinese-speaking and is targeting the Uzbekistan Ministry of Foreign Affairs and users in South Korea. The RAT is delivered through two infection chains that leverage Windows Shortcut embedded with malicious JavaScript to deliver the components to drop and launch the SugarGh0st payload. The RAT is equipped with customized features in its reconnaissance capability, including looking for specific Open Database Connectivity (ODBC) registry keys, loading library files with specific file extensions and function name, and customized commands to facilitate remote administration tasks directed by the C2. The RAT can execute most remote control functionalities, including launching the reverse shell, running arbitrary commands sent from C2 as strings using the command shell, and accessing the victim\'s machine camera to capture the screen and compress the captured data before sending it to the C2 server. #### Reference URL(s) 1. https://blog.talosintelligence.com/new-sugargh0st-rat/ #### Publication Date November 30, 2023 #### Author(s) Ashley Shen |
Threat | ★★★ | |
 |
2023-11-30 17:35:00 | Feds saisit \\ 'Sinbad \\' Mélangeur cryptographique utilisé par la Corée du Nord \\'s Lazarus Feds Seize \\'Sinbad\\' Crypto Mixer Used by North Korea\\'s Lazarus (lien direct) |
L'acteur de menace prolifique a blanchi des centaines de millions de dollars en monnaie virtuelle volée par le biais du service.
The prolific threat actor has laundered hundreds of millions of dollars in stolen virtual currency through the service. |
Threat | APT 38 APT 38 | ★★ |
To see everything:
Our RSS (filtrered)
