What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-24 13:19:00 | La campagne de cyber-espionnage de RedJuliett frappe 75 organisations taïwanaises RedJuliett Cyber Espionage Campaign Hits 75 Taiwanese Organizations (lien direct) |
Un acteur de menace parrainé par l'État probablement lié à la Chine a été lié à une campagne de cyber-espionnage ciblant les organisations gouvernementales, universitaires, technologiques et diplomatiques à Taïwan entre novembre 2023 et avril 2024.
Le groupe INSIKT Recred Future \\ suit l'activité sous le nom de RedJuliett, le décrivant comme un cluster qui exploite Fuzhou, en Chine, pour soutenir l'intelligence de Pékin \\
A likely China-linked state-sponsored threat actor has been linked to a cyber espionage campaign targeting government, academic, technology, and diplomatic organizations in Taiwan between November 2023 and April 2024. Recorded Future\'s Insikt Group is tracking the activity under the name RedJuliett, describing it as a cluster that operates Fuzhou, China, to support Beijing\'s intelligence |
Threat | ||
|
2024-06-24 10:34:00 | Multiples acteurs de menace déploient un rat Rafel open source pour cibler les appareils Android Multiple Threat Actors Deploying Open-Source Rafel RAT to Target Android Devices (lien direct) |
Les acteurs de menaces multiples, y compris les groupes de cyber-espionnage, utilisent un outil d'administration à distance Android open source appelé Rafel Rat pour atteindre leurs objectifs opérationnels en le faisant passer pour Instagram, WhatsApp et diverses applications de commerce électronique et antivirus.
"Il offre aux acteurs malveillants une boîte à outils puissante pour l'administration et le contrôle à distance, permettant une gamme d'activités malveillantes
Multiple threat actors, including cyber espionage groups, are employing an open-source Android remote administration tool called Rafel RAT to meet their operational objectives by masquerading it as Instagram, WhatsApp, and various e-commerce and antivirus apps. "It provides malicious actors with a powerful toolkit for remote administration and control, enabling a range of malicious activities |
Tool Threat Mobile | ||
 |
2024-06-24 10:00:00 | COMMERCIAL BUSINESS COMPROMISSE (BEC): Suivi des affaires d'un acteur de menace \\ Business Email Compromise (BEC): Tracking a Threat Actor\\'s Funny Business (lien direct) |
Executive Summary
In a recent LevelBlue incident response engagement, an analyst in our managed detection and response (MDR) security operations center (SOC) responded to an alarm that was triggered by a suspicious email/inbox rule. The rule aimed to conceal responses to an internal phishing attempt from the account user, so the attacker could solicit funds from the company\'s users. According to a report by the Cybersecurity and Infrastructure Security Agency (CISA), “Email systems are the preferred attack vector for malicious phishing campaigns. Recent reporting shows 32 percent of breaches involve phishing attacks.”
What are inbox/email rules? These are automated instructions set up within an email client to manage incoming emails based on specified criteria. They can perform various actions such as moving emails to specific folders, marking them as read, forwarding them to other addresses, or even deleting them. While email rules are designed to streamline email management and improve user productivity, they can also be exploited by malicious actors. Why are they a powerful tool for attackers? They allow for the automation of malicious activities with minimal manual intervention. The MITRE ATT&CK framework classifies these techniques under ID: T1564.008 (Hide Artifacts: Email Rules) and ID: T1114 (Email Collection). By setting up rules to hide, forward, or delete specific emails, attackers can effectively manage their intrusion and avoid detection.
During the triage of the alarm, the analyst analyzed various artifacts and event logs to understand the extent of the compromise. They examined email logs and account activity to identify the initial point of entry and the methods used by the attacker. Their rapid detection of the suspicious rule and subsequent analysis of the user activity logs was crucial in uncovering the attacker’s strategy and preventing further damage.
Introduction
In this incident, the attacker used an email rule to hide responses to an internal phishing email, ensuring that the compromised user would remain unaware of the ongoing malicious activity. This approach aligns with tactics seen in the MITRE ATT&CK framework, where attackers use email rules to hide evidence of their activities and maintain persistence (T1564.008). This allows them to maintain control over compromised accounts for longer periods, increasing the potential for data exfiltration and other malicious actions.
Investigation
The Alarm
The SOC analyst received an alarm from a Microsoft Exchange data source indicating that a suspicious inbox rule had been created. They examined the event that activated the alarm and quickly discerned from the rule parameters that this was case of business email compromise (BEC).
Figure 1: Alarm for suspicious inbox rule
Below, you can see the email parameters included within the newly created inbox rule, which was later identified to be created by the malicious actor who compromised the user’s account.
Figure 2: Snippet of the raw log showing the created rule parameters
Each parameter’s function is as follows:
AlwaysDeleteOutlookRulesBlob: False – Indicates that the rule blob (a data structure used to store rules) is not set to be deleted automatically, allowing the rule to remain active and persistent
Force: False – Suggests that the rule was not forcibly applied, which might imply that the attacker wanted to avoid drawing attention by making the c |
Tool Threat | ||
 |
2024-06-24 09:18:15 | Menaces cyber et élections législatives anticipées en France : le spectre du Kremlin (lien direct) | Menaces cyber et élections législatives anticipées en France : le spectre du Kremlin APT, hacktivistes, réseaux de bots... Ces acteurs russes en première ligne pour déstabiliser notre processus démocratique - Malwares | Threat | ||
 |
2024-06-24 03:00:43 | 7 défis dans l'échelle des opérations SOC et comment les surmonter 7 Challenges in Scaling SOC Operations and How to Overcome Them (lien direct) |
Au cours des quatre dernières années, les cyberattaques ont plus que doublé.Les cybercriminels tirent parti des technologies émergentes comme l'intelligence artificielle (IA) pour faciliter des attaques plus sophistiquées.Le tumulte géopolitique a augmenté le cyber-risque.Ajoutez ces facteurs avec un désir presque ubique pour les entreprises d'élargir leurs opérations, et il est facile de comprendre les opérations du besoin de Centre d'opérations de sécurité (SOC).Cependant, la mise à l'échelle des opérations du SOC n'est pas une mince affaire, en particulier compte tenu des paysages de menace, économiques et commerciaux actuels.Il existe de nombreux défis que les gestionnaires SOC, les CISO ...
In the past four years, cyberattacks have more than doubled. Cybercriminals are leveraging emerging technologies like artificial intelligence (AI) to facilitate more sophisticated attacks. Geopolitical tumult has increased cyber risk. Couple these factors with a near-ubiquitous desire for businesses to expand their operations, and it\'s easy to understand the need for scaling Security Operations Center (SOC) operations. However, scaling SOC operations is no mean feat, especially considering the current threat, economic, and business landscapes. There are many challenges that SOC managers, CISOs... |
Threat | ||
 |
2024-06-24 00:48:56 | Analyse des attaques Coinmingler ciblant les serveurs Web coréens Analysis of CoinMiner Attacks Targeting Korean Web Servers (lien direct) |
Étant donné que les serveurs Web sont exposés à l'extérieur pour fournir des services Web à tous les utilisateurs disponibles, ils ont été des objectifs majeurs pourMenace les acteurs depuis le passé.Ahnlab Security Intelligence Center (ASEC) surveille les attaques contre des serveurs Web vulnérables qui ont des vulnérabilités non corrigées ou qui sont mal gérés, et partage les cas d'attaque qui ont été confirmés par le biais de son blog ASEC.L'ASEC a récemment identifié des cas d'attaque où une institution médicale coréenne a été ciblée, entraînant l'installation de co -miners.Le ciblé ...
Since web servers are externally exposed to provide web services to all available users, they have been major targets for threat actors since the past. AhnLab SEcurity Intelligence Center (ASEC) is monitoring attacks against vulnerable web servers that have unpatched vulnerabilities or are being poorly managed, and is sharing the attack cases that have been confirmed through its ASEC Blog. ASEC recently identified attack cases where a Korean medical institution was targeted, resulting in the installation of CoinMiners. The targeted... |
Vulnerability Threat Medical | ||
 |
2024-06-22 18:38:53 | Nouvelle campagne NetSupport livrée via des packages MSIX New NetSupport Campaign Delivered Through MSIX Packages (lien direct) |
## Instantané Xavier Mertens a identifié une nouvelle campagne NetSupport qui offre un client NetSupport malveillant via des packages MSIX.Les attaquants tirent parti de cette technique pour communiquer avec des ordinateurs infectés sans avoir besoin de développer leur propre infrastructure de commandement et de contrôle (C2). ## Description Le fichier MALICIET MSIX contient tous les composants pour télécharger et installer le client NetSupport, y compris une version portable 7ZIP utilisée pour déballer le client.Le script dans le fichier ouvre d'abord un navigateur pour afficher la page de téléchargement Chrome, vérifie alors si l'ordinateur fait partie d'un domaine Microsoft avant d'installer le client.Le client NetSupport est double compressé et le fichier de configuration révèle l'adresse IP du serveur C2, qui est en baisse pour le moment.Cette campagne représente une méthode à faible coût pour que les attaquants compromettent davantage de victimes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win32 / Seheq ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et des logiciels malveillants hôte. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magicti_TA_LearnDdoc) pour bloquerConnexions avec des domaines malveillants et des adresses IP. - Éduquer les utilisateurs à utiliser le navigateur URL du navigateur pour valider cela en cliquant sur un lien dans les résultats de recherche, ils sont arrivés dans un domaine légitime attendu. - Éduquer les utilisateurs à vérifier que le logiciel installé devrait être publié par un éditeur légitime. - Allumez [Protection en cas de nuage] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antvirus?View = O365 Worldwide & ocid = magicti_ta_learndoc) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent la plupart des variantes nouvelles et inconnues. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=O365-Worldwide & ocid = magicti_ta_learndoc) afin que Microsoft Defender pour le point final puisse bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide& ;ocid=magicti_ta_learndoc) en mode automatisé complet en mode automatisé;Pour permettre à Microsoft Defender for Endpoint de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Allumez [Tamper Protection] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=O365 worldwide & ocid = magicti_ta_learndoc) pour empêcher les attaquants d'empêcher les ser | Malware Tool Threat | ||
 |
2024-06-21 20:22:08 | Solutions viciantes pour la détection des vulnérabilités zéro-jour et des chemins d'attaque contextualisés VicOne Solutions for Detection of Zero-Day Vulnerabilities and Contextualized Attack Paths (lien direct) |
Pas de details / No more details | Vulnerability Threat | ||
|
2024-06-21 19:12:00 | Les pirates chinois déploient Spicerat et Sugargh0st dans Global Espionage Campaign Chinese Hackers Deploy SpiceRAT and SugarGh0st in Global Espionage Campaign (lien direct) |
Un acteur de menace chinois auparavant sans papiers, le nom de la menace chinoise, Sneakychef a été lié à une campagne d'espionnage ciblant principalement les entités gouvernementales à travers l'Asie et l'EMEA (Europe, Moyen-Orient et Afrique) avec des logiciels malveillants de Sugargh 0st depuis au moins août 2023.
"Sneakychef utilise des leurres qui sont des documents scannés des agences gouvernementales, dont la plupart sont liées à divers pays \\ 'Ministères
A previously undocumented Chinese-speaking threat actor codenamed SneakyChef has been linked to an espionage campaign primarily targeting government entities across Asia and EMEA (Europe, Middle East, and Africa) with SugarGh0st malware since at least August 2023. "SneakyChef uses lures that are scanned documents of government agencies, most of which are related to various countries\' Ministries |
Malware Threat | ||
|
2024-06-21 18:31:00 | L'escroquerie par e-mail sur le thème militaire répand les logiciels malveillants pour infecter les utilisateurs pakistanais Military-themed Email Scam Spreads Malware to Infect Pakistani Users (lien direct) |
Les chercheurs en cybersécurité ont fait la lumière sur une nouvelle campagne de phishing qui a été identifiée comme ciblant les personnes au Pakistan à l'aide d'une porte dérobée personnalisée.
Surnommée Phantom # Spike par Securonix, les acteurs de la menace inconnus derrière l'activité ont mis à profit les documents de phishing liés à l'armée pour activer la séquence d'infection.
"Bien qu'il existe de nombreuses méthodes utilisées aujourd'hui pour déployer des logiciels malveillants, les acteurs de la menace
Cybersecurity researchers have shed light on a new phishing campaign that has been identified as targeting people in Pakistan using a custom backdoor. Dubbed PHANTOM#SPIKE by Securonix, the unknown threat actors behind the activity have leveraged military-related phishing documents to activate the infection sequence. "While there are many methods used today to deploy malware, the threat actors |
Malware Threat | ||
 |
2024-06-21 17:09:33 | Los Angeles Unified confirme les données des étudiants volés dans le hack de compte Snowflake Los Angeles Unified confirms student data stolen in Snowflake account hack (lien direct) |
Le district scolaire unifié de Los Angeles a confirmé une violation de données après que les acteurs de la menace ont volé les données des étudiants et des employés en enfreignant le compte de flocon de neige de l'entreprise.[...]
The Los Angeles Unified School District has confirmed a data breach after threat actors stole student and employee data by breaching the company\'s Snowflake account. [...] |
Data Breach Hack Threat | ||
 |
2024-06-21 13:00:00 | Comment l'IA génératrice élargit la surface d'attaque des menaces d'initié How generative AI Is expanding the insider threat attack surface (lien direct) |
> À mesure que l'adoption de l'IA générative (Genai) monte, il en va de même pour le risque de menaces d'initiés.Cela exerce encore plus de pression sur les entreprises pour repenser les politiques de sécurité et de confidentialité.En quelques années seulement, l'intelligence artificielle (IA) a radicalement changé le monde du travail.61% des travailleurs du savoir utilisent désormais Genai Tools & # 8212;particulièrement openai & # 8217; s [& # 8230;]
>As the adoption of generative AI (GenAI) soars, so too does the risk of insider threats. This puts even more pressure on businesses to rethink security and confidentiality policies. In just a few years, artificial intelligence (AI) has radically changed the world of work. 61% of knowledge workers now use GenAI tools — particularly OpenAI’s […] |
Tool Threat | ||
 |
2024-06-21 12:00:31 | Contrôle du cloud de sécurité: pionnier de l'avenir de la gestion de la sécurité Security Cloud Control: Pioneering the Future of Security Management (lien direct) |
Les organisations sont confrontées à un défi critique aujourd'hui: les attaquants exploitent les liens les plus faibles de leurs réseaux, tels que les utilisateurs non garantis, les appareils et les charges de travail.Ce paysage de menace est compliqué par le passage des centres de données traditionnels à un environnement distribué, où la protection des données dispersées sur plusieurs points de contact devient complexe.Pour répondre à ces menaces, de nombreuses organisations recourent à [& # 8230;] 
Organizations face a critical challenge today: attackers are exploiting the weakest links in their networks, such as unsecured users, devices, and workloads. This threat landscape is complicated by the shift from traditional data centers to a distributed environment, where protecting dispersed data across multiple touchpoints becomes complex. To address these threats, many organizations resort to […] |
Threat Cloud | ||
 |
2024-06-21 06:00:00 | Kaspersky dit qu'il peut continuer à vendre des intelligences cyber-menaces malgré l'interdiction américaine Kaspersky says it can continue to sell cyber threat intelligence in spite of US ban (lien direct) |
Pas de details / No more details | Threat | ★★ | |
|
2024-06-21 02:03:23 | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns (lien direct) |
#### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T | Malware Threat Mobile | APT-C-23 | ★★ |
 |
2024-06-20 21:55:34 | Qu'est-ce que l'intelligence OT Cyber Threat? What Is OT Cyber Threat Intelligence? (lien direct) |
> Dragos est une entreprise de cybersécurité industrielle tirant parti des logiciels, des renseignements et des services professionnels pour protéger la civilisation.Le SANS Institute rend la cybersécurité ...
Le post Qu'est-ce que l'OT Cyber Threat Intelligence? = "https://www.dragos.com"> dragos .
>Dragos is an industrial cybersecurity company leveraging software, intelligence, and professional services to safeguard civilization. The SANS Institute empowers cybersecurity... The post What Is OT Cyber Threat Intelligence? first appeared on Dragos. |
Threat Industrial | ★★★ | |
 |
2024-06-20 21:48:11 | Les télécommunications frappent le plus durement par les logiciels malveillants cloud, le rapport trouve le rapport Telcos Hit Hardest by Cloud Malware, Report Finds (lien direct) |
Les sociétés de télécommunications sont ciblées par des acteurs malveillants à un rythme alarmant, selon un nouveau rapport de Netskope Threat Labs.Le rapport met en évidence une tendance préoccupante des attaquants exploitant des applications cloud populaires comme Microsoft Onedrive et Github pour livrer des logiciels malveillants aux victimes sans méfiance dans l'industrie des télécommunications.Cela suit une tendance tout aussi troublante découverte [& # 8230;]
Le post Telcos frappe le plus durement par Cloud Mahware, Le rapport trouve apparu pour la première fois sur gourou de la sécurité informatique .
Telecom companies are being targeted by malicious actors at an alarming rate, according to a new report by Netskope Threat Labs. The report highlights a concerning trend of attackers exploiting popular cloud apps like Microsoft OneDrive and GitHub to deliver malware to unsuspecting victims in the telecoms industry. This follows a similarly unsettling trend uncovered […] The post Telcos Hit Hardest by Cloud Malware, Report Finds first appeared on IT Security Guru. |
Malware Threat Prediction Cloud | ★★★ | |
|
2024-06-20 19:50:16 | Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) | ## Instantané En septembre 2022, Google Cloud a rendu compte des enquêtes de Mandiant \\ sur "UNC3886", soupçonnées de mandiant d'être un groupe de cyber-espionnage lié au chinois, après la découverte de logiciels malveillants dans les hyperviseurs Esxi.UNC3886 ciblé globalOrganisations stratégiques, exploitation des vulnérabilités dans Fortios ([CVE-2022-41328] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview)) et VMware Technologies ([CVE-2022-22948](https://security.microsoft.com/vulnerabilities/vulnerability/cve-2022-22948/overview), [cve-2023-20867] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-com20867 / Overview)), y compris une vulnérabilité zéro-jour dans VMware vcenter ([CVE-2023-34048] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-34048/aperçu)). ## Description L'UNC3886 a utilisé des mécanismes de persistance sophistiqués à travers les dispositifs de réseau, les hyperviseurs et les machines virtuelles, en utilisant des rootkits comme Reptile et Medusa, avec Medusa installé via son composant d'installation, Sealfe, pour un accès à long terme.L'acteur de menace a également déployé des logiciels malveillants personnalisés tels que MopSled et Riflespine, tirant parti des services tiers de confiance pour la commande et le contrôle.Mandiant a également oberved partage C6) De plus, Mandiant rapporte que l'acteur de menace a tenté d'étendre son accès aux appareils réseau en ciblant un serveur TACACS + en utilisant le revers de renifleur.En outre, UNC3886 les délais exploités pour exploiter l'interface de communication virtuelle (VMCI), y compris des variantes comme VirtualShine, VirtualPie et VirtualSphere, pour faciliter l'exécution de la commande et le mouvement latéral dans des environnements ciblés. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: LiNux / Reptile] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:linux/reptile.a& ;thered=-2147118004) - [Backdoor: Linux / Reptile] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description? Name = Backdoor: Linux / Reptile! Mtb & menaceID = -2147058920) - [Trojan: Win32 / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/medusa.a& threattid=-2147462289) - [Trojandownloader: sh / medusa] (https: //www.miCrosost.com/nus/wds/threets/malwaore-encycription.metcrid - Salut: Py: PyThon / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=pua:pyTHON / MEDUSA.A & AMP; NOFENID = 314289) - [Trojandownloader: sh / medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: sh / medusa.a! mtb & menaceid = -2147127030) - [Comportement: win32 / medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/medusa.a&theatid=-2147078674) - [Trojan: Msil / Medusa] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: MSIL / MEDUSA! - [Trojan: Python / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:python/medusa.c& threattid=-2147066576) - [Trojan: Bat / Medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:bat/medusa!mtb&theretid=-2147064383) ## Recommandations [CVE-2022-41328] (HTtps: //security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview) Mettez à niveau vers Fortinet Fortios version 7.2.4, 7.0.10 ou 6.4.11 pour atténuer cette vulnérabilité. [CVE-2022-22948] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-22948/overview) Passez à la dernière version de VMware vCenter Server et Cloud Foundation. [CVE | Malware Vulnerability Threat Cloud | ★★ | |
 |
2024-06-20 19:27:14 | Comment la nouvelle application Splunk pour Scout peut enrichir et accélérer vos enquêtes How the New Splunk App for Scout Can Enrich and Accelerate Your Investigations (lien direct) |
Pure Signal, l'océan des données de renseignement sur les menaces du monde \\ est maintenant disponible en tant que tableau de bord Splunk Notre mission à Team Cymru a ...
Pure Signal, the world\'s largest threat intelligence data ocean is now available as a Splunk Dashboard Our mission at Team Cymru has... |
Threat | ★★★ | |
 |
2024-06-20 17:12:20 | Piquet au travail, confronté à l'église: pourquoi les élections ont quitté le poste Picketed at work, confronted at church: Why election workers have left the job (lien direct) |
> Les assistants des élections confrontés à un harcèlement sans précédent prennent leur retraite en grand nombre, constituant une menace pour le système de vote américain.
>Election workers facing unprecedented harassment are retiring in huge numbers, posing a threat to the U.S. voting system. |
Threat | ★★★ | |
|
2024-06-20 16:00:00 | Les installations d'eau ont été averties d'améliorer la cybersécurité Water facilities warned to improve cybersecurity (lien direct) |
> Les installations d'eau des États-Unis, qui comprennent 150 000 systèmes d'eau publique, sont devenus une cible de plus en plus à risque pour les cybercriminels ces dernières années.Cette menace croissante a exigé plus d'attention et des politiques se sont concentrées sur l'amélioration de la cybersécurité.Les systèmes d'eau et d'eaux usées sont l'une des 16 infrastructures critiques aux États-Unis. La définition de l'inclusion dans ce [& # 8230;]
>United States water facilities, which include 150,000 public water systems, have become an increasingly high-risk target for cyber criminals in recent years. This rising threat has demanded more attention and policies focused on improving cybersecurity. Water and wastewater systems are one of the 16 critical infrastructures in the U.S. The definition for inclusion in this […] |
Threat | ★★★ | |
|
2024-06-20 15:54:24 | \\ 'Vortax \\' Meeting Le logiciel construit une marque élaborée, répartit les infostelleurs \\'Vortax\\' Meeting Software Builds Elaborate Branding, Spreads Infostealers (lien direct) |
Les acteurs de la menace "Markopolo" ont construit une marque convaincante et une présence sur le Web pour de faux logiciels pour fournir le dangereux voleur de macos atomique, entre autres logiciels malveillants, pour exercer des braquages de crypto-monnaie.
The "Markopolo" threat actors built a convincing brand and Web presence for fake software to deliver the dangerous Atomic macOS stealer, among other malware, to carry out cryptocurrency heists. |
Malware Threat | ★★ | |
|
2024-06-20 15:52:00 | Le cyber-espionnage chinois cible les opérateurs de télécommunications en Asie depuis 2021 Chinese Cyber Espionage Targets Telecom Operators in Asia Since 2021 (lien direct) |
Les groupes de cyber-espionnage associés à la Chine ont été liés à une campagne de longue durée qui a infiltré plusieurs opérateurs de télécommunications situés dans un seul pays asiatique au moins depuis 2021.
"Les attaquants ont placé des délais sur les réseaux d'entreprises ciblées et ont également tenté de voler des titres de compétences", a déclaré l'équipe Symantec Threat Hunter, qui fait partie de Broadcom, dans un rapport partagé avec le Hacker News
Cyber espionage groups associated with China have been linked to a long-running campaign that has infiltrated several telecom operators located in a single Asian country at least since 2021. "The attackers placed backdoors on the networks of targeted companies and also attempted to steal credentials," the Symantec Threat Hunter Team, part of Broadcom, said in a report shared with The Hacker News |
Threat | ★★ | |
 |
2024-06-20 15:00:36 | RAFEL RAT, Android Malware de l'espionnage aux opérations de ransomware Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) |
> En ce qui concerne les appareils mobiles, Android est le système d'exploitation le plus populaire et le plus utilisé avec plus de 3,9 milliards d'utilisateurs actifs dans plus de 190 pays.Les trois quarts de tous les appareils mobiles fonctionnent sur Android.Cependant, avec son adoption généralisée et son environnement ouvert vient le risque d'activité malveillante.Android Malware, un logiciel malveillant conçu pour cibler les appareils Android, constitue une menace importante pour les utilisateurs & # 8217;confidentialité, sécurité et intégrité des données.Ces programmes malveillants se présentent sous diverses formes, y compris les virus, les chevaux de Troie, les ransomwares, les logiciels espions et les logiciels publicitaires, et ils peuvent infiltrer des appareils via plusieurs vecteurs, tels que les téléchargements d'applications, les sites Web malveillants, les attaques de phishing et même [& # 8230;]
>When it comes to mobile devices, Android is the most popular and used operating system with over 3.9 billion active users in over 190 countries. Three-quarters of all mobile devices run on Android. However, with its widespread adoption and open environment comes the risk of malicious activity. Android malware, a malicious software designed to target Android devices, poses a significant threat to users’ privacy, security, and data integrity. These malicious programs come in various forms, including viruses, Trojans, ransomware, spyware, and adware, and they can infiltrate devices through multiple vectors, such as app downloads, malicious websites, phishing attacks, and even […] |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-20 14:07:45 | Netskope Threat Labs : les acteurs de la menace se concentrent sur l\'utilisation des applications cloud dans le secteur des télécommunications (lien direct) | Netskope Threat Labs : les acteurs de la menace se concentrent sur l'utilisation des applications cloud dans le secteur des télécommunications - Investigations | Threat Cloud | ★★ | |
|
2024-06-20 13:16:23 | Cybersixgill et partenaire de menace Cybersixgill and ThreatQuotient Partner to Deliver Access to Unparalleled Cyber Threat Context and Actionable Insights (lien direct) |
Cybersixgill et partenaire de menace pour offrir un accès à
Contexte cyber-menace et perspectives exploitables
Le partenariat stratégique accélère la détection, l'enquête et la réponse des menaces;Motive la prise de décision éclairée;et renforce les clients \\ 'Posture de sécurité proactive
-
revues de produits
Cybersixgill and ThreatQuotient Partner to Deliver Access to Unparalleled Cyber Threat Context and Actionable Insights Strategic Partnership Accelerates Threat Detection, Investigation and Response; Drives Informed Decision-Making; and Strengthens Customers\' Proactive Security Posture - Product Reviews |
Threat | ★★ | |
|
2024-06-20 13:00:33 | Vérifier Rapport de sécurité du cloud de Point \\: Navigation de l'intersection de la cybersécurité Check Point\\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber security (lien direct) |
> 91% considèrent l'adoption de l'intelligence artificielle comme une priorité, mettant en évidence l'évaluation de la vulnérabilité et la détection des menaces comme des avantages clés, néanmoins, seulement 61% des répondants ont reconnu que leur organisation était dans les phases de planification ou de développement de l'adoption de l'IA et de la ML pour le cyber-cyberLes résultats de l'enquête sur la sécurité révèlent un manque de sensibilisation au rôle crucial des contrôles internes et des politiques de gouvernance lorsque l'IA est impliquée de l'intelligence artificielle et de l'apprentissage automatique (IA et ML) sont reconnues comme des parties importantes de l'avenir de la cybersécurité et de la sécurité du cloud.Mais dans quelle mesure ces technologies dans les fonctions de cybersécurité sont-elles intégrées actuellement?Une enquête récente [& # 8230;]
>91% view the adoption of artificial intelligence as a priority, highlighting vulnerability assessment and threat detection as key benefits Nevertheless, only 61% of respondents acknowledged that their organization is in the planning or development phases of adopting AI and ML for cyber security Survey results reveal a lack of awareness about the crucial role of internal controls and governance policies when AI is involved Artificial Intelligence and Machine Learning (AI and ML) are recognized as important parts of the future of cyber security and cloud security. But how integrated are these technologies in cyber security functions currently? A recent survey […] |
Vulnerability Threat Cloud | ★★★ | |
 |
2024-06-20 12:30:00 | Entités diplomatiques françaises ciblées par le nobélium aligné russe French Diplomatic Entities Targeted by Russian-Aligned Nobelium (lien direct) |
L'Agence française de cybersécurité a averti que l'acteur de menace aligné russe vise des organisations publiques depuis des années
The French cybersecurity agency has warned that Russian-aligned threat actor has been targeting public organizations for years |
Threat | ★★★ | |
 |
2024-06-20 11:24:25 | Les logiciels malveillants très évasive Squidloader cible la Chine Highly Evasive SquidLoader Malware Targets China (lien direct) |
> Un acteur de menace ciblant les victimes de langue chinoise a utilisé le chargeur de logiciels malveillants Squidloader dans les attaques récentes.
>A threat actor targeting Chinese-speaking victims has been using the SquidLoader malware loader in recent attacks. |
Malware Threat | ★★★ | |
|
2024-06-20 11:15:58 | Le nouveau voleur en vol exploite des défauts logiciels pour voler la crypto, les données du navigateur New Fickle Stealer Exploits Software Flaws to Steal Crypto, Browser Data (lien direct) |
Fortiguard Labs de Fortinet \\ expose le voleur détruit, un malware utilisant plusieurs méthodes d'attaque pour voler des connexions, des détails financiers, etc.Apprenez à vous protéger de cette menace en évolution.
Fortinet\'s FortiGuard Labs exposes the Fickle Stealer, a malware using multiple attack methods to steal logins, financial details, and more. Learn how to protect yourself from this evolving threat. |
Malware Threat | ★★★ | |
 |
2024-06-20 10:29:06 | Qilin: Nous savions que notre attaque Synnovis entraînerait une crise des soins de santé dans les hôpitaux de Londres Qilin: We knew our Synnovis attack would cause a healthcare crisis at London hospitals (lien direct) |
Les cybercriminels affirment qu'ils ont utilisé un jour zéro pour vioder les systèmes du fournisseur de pathologie \\ interview Le gang de ransomware responsable de la crise actuelle des soins de santé dans les hôpitaux de Londres dit qu'il aAucun regret sur l'attaque, qui était entièrement délibéré, il a dit à le registre dans une interview.…
Cybercriminals claim they used a zero-day to breach pathology provider\'s systems Interview The ransomware gang responsible for the current healthcare crisis at London hospitals says it has no regrets about the attack, which was entirely deliberate, it told The Register in an interview.… |
Ransomware Vulnerability Threat Medical | ★★★ | |
 |
2024-06-20 10:00:14 | Projet Nap-temps: évaluation des capacités de sécurité offensive des modèles de gros langues Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models (lien direct) |
Posted by Sergei Glazunov and Mark Brand, Google Project Zero IntroductionAt Project Zero, we constantly seek to expand the scope and effectiveness of our vulnerability research. Though much of our work still relies on traditional methods like manual source code audits and reverse engineering, we\'re always looking for new approaches. As the code comprehension and general reasoning ability of Large Language Models (LLMs) has improved, we have been exploring how these models can reproduce the systematic approach of a human security researcher when identifying and demonstrating security vulnerabilities. We hope that in the future, this can close some of the blind spots of current automated vulnerability discovery approaches, and enable automated detection of "unfuzzable" vulnerabilities. Earlier this year, Meta released CyberSecEval 2 (Bhatt et al., 2024), which includes new LLM benchmarks for discovering and exploiting memory safety issues. The authors presented the following conclusion: Another theme is that none of the LLMs do very well on these challenges. For each challenge, scoring a 1.0 means the challenge has been passed, with any lower score meaning the LLM only partially succeeded. The average scores of all LLMs over all tests suggests that LLMs have a ways to go before performing well on this benchmark, and aren’t likely to disrupt cyber exploitation attack and defense in their present states. We find that, by refining the testing methodology to take advantage of modern LLM capabilities, significantly better performance in vulnerability discovery can be achieved. To facilitate effective evaluation of LLMs for vulnerability discovery, we propose below a set of guiding principles. We\'ve implemented these principles in our LLM-powered vulnerability research framework, which increased CyberSecEval2 benchmark performance by up to 20x from the original paper. This approach achieves new top scores of 1.00 on the “Buffer Overflow" tests (from 0.05) and 0.76 on the "Advanced Memory Corruption" tests (from 0.24). We have included a full example trajectory/log in Appendix A. While we have shown that principled agent design can greatly improve the performance of general-purpose LLMs on challenges in the security domain, it\'s the opinion of the Project Zero team that substantial progress is still needed before these tools can have a meaningful impact on the daily work of security researchers. | Tool Vulnerability Threat | ★★ | |
|
2024-06-20 08:30:00 | L'acteur de menace réclame les violations AMD et Apple Threat Actor Claims AMD and Apple Breaches (lien direct) |
L'acteur de menace notoire Intelbroker prétend avoir volé des données à Apple et AMD
Notorious threat actor IntelBroker is claiming to have stolen data from Apple and AMD |
Threat | ★★ | |
|
2024-06-20 07:21:24 | Splunk présente un ensemble d\'innovations visant à renforcer la détection des menaces et les opérations de cybersécurité (lien direct) | .conf24 : Splunk présente des nouvelles innovations dans le domaine de la cybersécurité pour alimenter le SOC de demain Un écosystème de cybersécurité unifié offre des capacités de visibilité complète, de détection précise et de réponse rapide aux menaces Cisco Talos fournit aux équipes en charge de la cybersécurité de la threat intelligence en temps réel - Produits | Threat | ★★★ | |
|
2024-06-19 22:10:00 | Kraken Crypto Exchange a frappé par 3 millions de dollars de vol exploitant un défaut zéro-jour Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw (lien direct) |
Crypto Exchange Kraken a révélé qu'un chercheur de sécurité sans nom a exploité un défaut zéro jour "extrêmement critique" dans sa plate-forme pour voler 3 millions de dollars d'actifs numériques et a refusé de les retourner.
Les détails de l'incident ont été partagés par le directeur de la sécurité de Kraken \\, Nick Percoco, sur X (anciennement Twitter), déclarant qu'il avait reçu une alerte du programme de prime de bogue sur un bug qui "leur a permis de
Crypto exchange Kraken revealed that an unnamed security researcher exploited an "extremely critical" zero-day flaw in its platform to steal $3 million in digital assets and refused to return them. Details of the incident were shared by Kraken\'s Chief Security Officer, Nick Percoco, on X (formerly Twitter), stating it received a Bug Bounty program alert about a bug that "allowed them to |
Vulnerability Threat | ★★★ | |
|
2024-06-19 20:43:09 | T-Mobile nie qu'il a été piraté, les liens ont divulgué des données à la violation des fournisseurs T-Mobile denies it was hacked, links leaked data to vendor breach (lien direct) |
T-Mobile a nié avoir été violé ou que le code source a été volé après qu'un acteur de menace a affirmé vendre des données volées à la société de télécommunications.[...]
T-Mobile has denied it was breached or that source code was stolen after a threat actor claimed to be selling stolen data from the telecommunications company. [...] |
Threat | ★★★ | |
|
2024-06-19 20:39:00 | Le groupe de cyber-espionnage chinois exploite Fortinet, Ivanti et VMware Zero-Days Chinese Cyber Espionage Group Exploits Fortinet, Ivanti and VMware Zero-Days (lien direct) |
L'acteur de cyber-espionnage China-Nexus lié à l'exploitation zéro-jour des défauts de sécurité dans les dispositifs de Fortinet, Ivanti et VMware a été observé en utilisant plusieurs mécanismes de persistance afin de maintenir un accès sans entrée à des environnements compromis.
"Les mécanismes de persistance englobaient les dispositifs de réseau, les hyperviseurs et les machines virtuelles, garantissant que des canaux alternatifs restent disponibles
The China-nexus cyber espionage actor linked to the zero-day exploitation of security flaws in Fortinet, Ivanti, and VMware devices has been observed utilizing multiple persistence mechanisms in order to maintain unfettered access to compromised environments. "Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available |
Vulnerability Threat | ★★★ | |
|
2024-06-19 19:28:22 | Les pirates utilisent des logiciels malveillants Big-IP F5 pour voler furtivement des données pendant des années Hackers use F5 BIG-IP Malware to Stealthily Steal Data for Years (lien direct) |
## Instantané Les analystes de Sygnia ont constaté que le groupe de cyberespionnage chinois fourmi en velours utilisait des logiciels malveillants personnalisés sur des appareils Big-IP F5 pour établir plusieurs anciensréseau. Lire la couverture de Microsoft \\ de [Plugx ici.] (Https://security.microsoft.com/intel-profiles/028c3995955a4a710d67d5d4e9a5f067355bc7ad58e5c5d1c1931e708e41b38) ## Dépissage Les attaquants ont initialement compromis les appareils Big-IP F5 en utilisant des défauts d'exécution de code distants connus, leur permettant de déployer divers logiciels malveillants, y compris Plugx, PMCD, MCDP, Samrid et Esrde.Cela a permis aux acteurs de la menace de voler furtivement des informations sensibles aux clients et financières pendant près de trois ans sans détection. Malgré les efforts d'éradication, les pirates ont redémarré le plugx avec de nouvelles configurations pour éviter la détection, en utilisant des dispositifs internes compromis comme les appareils F5 pour conserver l'accès.De plus, l'article mentionne d'autres cas d'acteurs de menace parrainés par l'État exploitant des vulnérabilités dans les appareils réseau, tels que Fortinet, Sonicwall, Barracuda et Palo Alto Networks, pour installer des logiciels malveillants personnalisés et voler des données.Ces incidents mettent en évidence la menace continue posée par des groupes de menaces sophistiqués et persistants, soulignant la nécessité d'une approche de sécurité multicouche et holistique pour détecter et atténuer ces attaques. ## Détections / requêtes de chasse ### Microsoft Dantivirus efender Microsoft Defender Antivirus détecte les composants de la menace Plugx. - [Backdoor: win32 / plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Backdoor: Win32 / Plugx) - [Trojan: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [tRojandRopper: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [Trojan: Msil / Plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Trojan: MSIL / Plugx) Microsoft Defender Antivirus détecte les composants de la menace KorPlug. - [Trojan: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/korplug!msr&Theratid=214752072) - [Backdoor: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=backdoor:win32/korplug) - [TrojandRopper: Win32 / KorPlug] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojandropper: win32 / korplug & menaceid = -2147068922) - [Trojan: VBS / Korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-enCyclopedia-Description? Name = Trojan: VBS / KorPlug! McLg & menaceID = -2147156848) ### Chasse avancée ** Chargement des lecteurs avec le caractère NBSP dans le chemin du fichier ** Identifiez les événements de charge d'image amovibles où le chemin de fichier comprend le caractère NBSP.Ce chemin de fichier peut être associé à l'activité Plugx sur le système.Exécutez la requête dans Microsoft 365 Security Center. Laissez NBSP = MAKe_string (tolong (\\ '0xa0 \'));// Caractère d'espace non révolutionnaire Laisse nbspdir = strcat (@ "\", nbsp, @ "\"); DeviceMageLoADADEVENTS |où folDerpath! Startwith "C:" // Chasse sur les médias amovibles |où le pistolet a_cs nbspdir |Project-Reorder DeviceName, nom de fichier, Folderpath, SHA1, InitiantProcessFilename ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/enable-cloud-protection-microsoft-defender-antivi | Malware Vulnerability Threat | ★★★★ | |
|
2024-06-19 19:13:51 | The Hunt: Décodage du comportement humain dans la chasse aux menaces The Hunt: Decoding Human Behavior in OT Threat Hunting (lien direct) |
> Les erreurs sont humaines.Nous les minimitons.Nous les excusons comme si nous étions une bonne exception à la règle.Notre ...
Le post la chasse: décodage du comportement humain dans la chasse aux menaces est apparu pour la première fois sur dragos .
>Mistakes are human. We downplay them. We excuse them as if we are a worthy exception to the rule. Our... The post The Hunt: Decoding Human Behavior in OT Threat Hunting first appeared on Dragos. |
Threat Industrial | ★★★ | |
 |
2024-06-19 16:43:55 | Une vulnérabilité zero-day pour Windows en vente pour 120 000 dollars (lien direct) | Pour 120 000 dollars, un pirate informatique met en vente une élévation locale de privilèges (LPE) sur les systèmes d'exploitation Windows.... | Vulnerability Threat | ★★★ | |
|
2024-06-19 15:53:00 | Void Arachne utilise Deepfakes et AI pour livrer des VPN malveillants aux utilisateurs chinois Void Arachne Uses Deepfakes and AI to Deliver Malicious VPNs to Chinese Users (lien direct) |
Les utilisateurs de langue chinois sont la cible d'un cluster d'activités de menace jamais vu auprès du nom de codé nommé Arachne qui utilise des fichiers d'installation de Windows malveillants (MSI) pour les réseaux privés virtuels (VPN) pour livrer un cadre de commandement et de contrôle (C & c)appelé winos 4.0.
"La campagne promeut également les fichiers MSI compromis intégrés avec des nudificateurs et des logiciels de génération de pornographie DeepFake, ainsi que
Chinese-speaking users are the target of a never-before-seen threat activity cluster codenamed Void Arachne that employs malicious Windows Installer (MSI) files for virtual private networks (VPNs) to deliver a command-and-control (C&C) framework called Winos 4.0. "The campaign also promotes compromised MSI files embedded with nudifiers and deepfake pornography-generating software, as well as |
Threat | ★★ | |
|
2024-06-19 15:48:55 | DISGOMOJI Malware Used to Target Indian Government (lien direct) | ## Snapshot Volexity identified a cyber-espionage campaign by a suspected Pakistan-based threat actor, "UTA0137", targeting Indian government entities using DISGOMOJI malware. This Golang-written malware, designed for Linux systems, uses the Discord messaging service for command and control, leveraging emojis for communication. ## Description DISGOMOJI malware gains initial access using Linux malware paired with decoy documents, specifically targeting users of the Indian government\'s who use a custom Linux distribution named BOSS as their daily desktop. DISGOMOJI employs various persistence mechanisms, including cron jobs and XDG autostart entries, and is capable of data exfiltration, including USB device content. Volexity also uncovered UTA0137\'s use of the DirtyPipe ([CVE-2022-0847](https://security.microsoft.com/intel-explorer/cves/CVE-2022-0847/)) privilege escalation exploit against “BOSS 9” systems which, after analysis, Volexity determined are still vulnerable to this years-old exploit. UTA0137 has improved DISGOMOJI over time, including the change to the way Discord tokens are managed by the malware, making it harder for Discord to act against the attacker\'s servers, as the client configuration can simply be updated by the attacker when required. Additionally, BleepingComputer writes about further concerns with the use of emojis instead of text, possibly allowing malware to go undetected by security software. Post-exploitation activities involve network scanning with Nmap, network tunneling with Chisel and Ligolo, and social engineering via malicious dialog boxes created with Zenity. Volexity attributes this activity to Pakistan, due to the time zone settings, language use, infrastructure links, and targeted organizations. ## Recommendations Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) 365 brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://docs.microsoft.com/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of | Malware Threat | ★★ | |
|
2024-06-19 15:45:57 | Advance Auto Parts confirme la violation des données Informations sur les employés exposés Advance Auto Parts confirms data breach exposed employee information (lien direct) |
Advance Auto Parts a confirmé qu'elle avait subi une violation de données après qu'un acteur de menace a tenté de vendre des données volées sur un forum de piratage plus tôt ce mois-ci.[...]
Advance Auto Parts has confirmed it suffered a data breach after a threat actor attempted to sell stolen data on a hacking forum earlier this month. [...] |
Data Breach Threat | ★★★ | |
|
2024-06-19 15:38:00 | AVERTISSEMENT: l'escroquerie de Markopolo \\ ciblant les utilisateurs de crypto via un faux logiciel de réunion Warning: Markopolo\\'s Scam Targeting Crypto Users via Fake Meeting Software (lien direct) |
Un acteur de menace qui passe par Alias Markopolo a été identifié comme derrière une arnaque multiplateforme à grande échelle qui cible les utilisateurs de monnaie numérique sur les réseaux sociaux avec des logiciels malveillants d'informations et propose un vol de crypto-monnaie.
Les chaînes d'attaque impliquent l'utilisation d'un prétendu logiciel de réunion virtuel nommé Vortax (et 23 autres applications) qui sont utilisés comme un conduit pour livrer des Rhadamanthys, Stealc,
A threat actor who goes by alias markopolo has been identified as behind a large-scale cross-platform scam that targets digital currency users on social media with information stealer malware and carries out cryptocurrency theft. The attack chains involve the use of a purported virtual meeting software named Vortax (and 23 other apps) that are used as a conduit to deliver Rhadamanthys, StealC, |
Malware Threat | ★★ | |
|
2024-06-19 15:06:17 | 1 million de dollars pour un 0Day QuickBook (lien direct) | Le Service Veille ZATAZ a repéré un pirate informatique prêt à mettre 1 million de dollars sur la table pour une faille QuickBooks.... | Threat | ★★ | |
 |
2024-06-19 15:00:00 | Sceau de poing distribué via une chaîne d'attaque multiple Fickle Stealer Distributed via Multiple Attack Chain (lien direct) |
Fortiguard Labs a découvert une nouvelle menace, Fickle Stealer, qui est
distribué via diverses stratégies.En savoir plus.
FortiGuard Labs has uncovered a fresh threat, Fickle stealer, which is distributed via various strategies. Read more. |
Threat | ★★★ | |
|
2024-06-19 13:00:00 | La campagne de quitte cible les citoyens chinois via de faux documents officiels Quishing Campaign Targets Chinese Citizens via Fake Official Documents (lien direct) |
Le fournisseur de renseignement du cyber-menace Cyble a observé une nouvelle campagne de phishing de code QR malveillant ciblant les citoyens chinois
Cyber threat intelligence provider Cyble observed a new malicious QR code phishing campaign targeting Chinese citizens |
Threat | ★★ | |
 |
2024-06-19 09:30:00 | Le hacktivisme évolue & # 8211;Et cela pourrait être une mauvaise nouvelle pour les organisations partout Hacktivism is evolving – and that could be bad news for organizations everywhere (lien direct) |
Le hacktivisme n'est pas nouveau, mais les lignes de plus en plus floues entre le hacktivisme traditionnel et les opérations soutenues par l'État en font une menace plus puissante
Hacktivism is nothing new, but the increasingly fuzzy lines between traditional hacktivism and state-backed operations make it a more potent threat |
Threat | ★★ | |
|
2024-06-18 20:33:27 | From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) | ## Instantané Les chercheurs de ProofPoint ont identifié une technique qui ordonne aux utilisateurs de copier et de coller des scripts PowerShell malveillants pour infecter leurs ordinateurs par des logiciels malveillants.Des acteurs de menace, dont TA571 et les acteurs derrière le cluster d'activités Clearfake, utilisent cette méthode pour fournir des logiciels malveillants, notamment Darkgate, Matanbuchus, Netsupport et divers voleurs d'informations. ## Description Proofpoint a observé cette technique dans plusieurs campagnes récentes impliquant plusieurs acteurs de menace, y compris ceux qui sont derrière Clearfake et l'acteur de menace TA571, connu pour la distribution des spams menant à des logiciels malveillants et à des infections au ransomware.La chaîne d'attaque nécessite une interaction importante des utilisateurs pour réussir, mais l'ingénierie sociale est suffisamment intelligente pour présenter à quelqu'un ce qui ressemble à un vrai problème et une solution simultanément, ce qui peut inciter un utilisateur à prendre des mesures sans considérer le risque. La campagne Clearfake est un faux cluster d'activités de mise à jour du navigateur qui compromet les sites Web légitimes avec un HTML et un JavaScript malveillants.Le script initial a ensuite chargé un deuxième script à partir d'un domaine qui a utilisé Keitaro TDS pour le filtrage.Si ce deuxième script se chargeait et passait divers chèques, et si la victime continuait de parcourir le site Web, il a été présenté avec une fausse superposition d'avertissement sur le site Web compromis.Cet avertissement leur a demandé d'installer un "certificat racine" pour afficher correctement le site Web. La campagne TA571 comprenait plus de 100 000 messages et ciblé des milliers d'organisations dans le monde.Les e-mails contenaient une pièce jointe HTML qui affichait une page ressemblant à Microsoft Word.La page a également affiché un message d'erreur qui disait l'extension «\\» word en ligne \\ 'n'est pas installée »et a présenté deux options pour continuer:« comment réparer »et« automatique ». Les charges utiles observées comprennent Darkgate, Matanbuchus, Netsupport, Amadey Loader, XMRIG et Lummma Stealer.Les acteurs de la menace expérimentent activement différentes méthodes pour améliorer l'efficacité et trouver plus de voies d'infection pour compromettre un plus grand nombre de systèmes. ## Analyse Microsoft Ces dernières années, Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises.Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont annoncés comme un logiciel malveillant en tant que service (MAAS) offrant & # 8211;Un modèle d'entreprise où les développeurs louent la charge utile de l'infostealer aux distributeurs moyennant des frais. Les voleurs d'informations sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maladucs.En règle générale, une fois que l'utilisateur télécharge et lance la charge utile malveillante, il établit des connexions de commande et de contrôle (C2) avec des domaines suspects.Une fois infecté, l'infostaler tente de collecter et finalement exfilter les informations du système, y compris les fichiers, les navigateurs, les appareils et les applications orientés sur Internet aux serveurs C2.En savoir plus [ici sur l'analyse des infostelleurs de Microsoft \\] (https://security.microsoft.com/intel-profileS / 2296D491EA381B532B24F2575F9418D4B6723C17B8A1F507D20C2140A75D16D6). - [darkgate] (https://securit | Ransomware Spam Malware Tool Threat | ★★★★ | |
|
2024-06-18 19:53:36 | Blackbaud a condamné à une amende de 6,75 millions de dollars après 2020 Ransomware Attack Blackbaud Fined $6.75M After 2020 Ransomware Attack (lien direct) |
Les acteurs de la menace ont pu violer les systèmes de Blackbaud et compromettre les données sensibles, en grande partie à cause des mauvaises pratiques de cybersécurité de l'entreprise et du manque de données cryptées, a déclaré l'AG.
Threat actors were able to breach Blackbaud\'s systems and compromise sensitive data, largely because of the company\'s poor cybersecurity practices and lack of encrypted data, the AG said. |
Ransomware Threat | ★★ |
To see everything:
Our RSS (filtrered)
