What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-25 20:14:43 | FrostyGoop malware attack cut off heat in Ukraine during winter (lien direct) | ## Instantané Le fournisseur de cybersécurité Dragos a identifié l'utilisation de FrostyGoop, un logiciel malveillant Windows lié aux groupes de menaces russes, dans une cyberattaque de janvier 2024 qui a perturbé le chauffage dans plus de 600 immeubles d'appartements à Lviv, en Ukraine.Le malware cible les systèmes de contrôle industriel (ICS) à l'aide du protocole Modbus TCP Communications. ## Description Les attaquants ont accédé initial au réseau de la victime près d'un an plus tôt en exploitant une vulnérabilité dans un routeur Mikrotik exposé à Internet.Ils ont maintenu l'accès à l'aide d'une volet en ligne, ont volé des informations d'identification des utilisateurs et ont finalement détourné les contrôleurs de systèmes de chauffage du district \\, rétrogradant leur firmware pour échapper à la détection. Parce que le réseau du fournisseur de victimes n'a pas été segmenté, les pirates ont pivoté pour compromettre le réseau interne et déployé le malware Frostygoop.FrostyGoop est des logiciels malveillants spécifiques aux ICS écrits dans Golang qui interagissent directement avec ICS à l'aide de Modbus TCP sur le port 502. Le malware a ensuite envoyé des commandes via le réseau Ethernet interne aux contrôleurs enco, que le fournisseur utilisait pour gérer les chaudières et les pompes de chauffage. Selon Dragos, l'incident est à noter car FrostyGoop est la première souche malveillante ICS axée sur l'abus du protocole Modbus, qui est l'un des protocoles ICS les plus populaires. ### Analyse supplémentaire Dragos n'a pas attribué l'attaque, mais d'autres chercheurs en cybersécurité rapportent que le TTPS correspond à l'activité de l'acteur de menace basé en Russie [Seashell Blizzard] (https://security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01eeeeeE3D9EE3048078288E5201BB) (aka Sandworm, APT44, Iridium).La Russie cible agressivement les infrastructures critiques ukrainiennes avec les deux CYberattaques et missiles.Par exemple, en avril, l'équipe d'intervention d'urgence informatique de l'Ukraine \\ (CER-UA) a indiqué que [Seashell Blizzard avait ciblé] (https://therecord.media/frostygoop-malware-ukraine-heat) près de 20 installations énergétiques dans les installations énergétiques de dansL'Ukraine au printemps, potentiellement pour amplifier l'impact des missiles russes intenses et des grèves de drones sur les infrastructures critiques. ## Recommandations Dragos recommande aux organisations de mettre en œuvre les 5 contrôles critiques SANS pour la cybersécurité OT de classe mondiale.Il s'agit notamment de la réponse aux incidents ICS, de l'architecture défendable, de la visibilité et de la surveillance du réseau ICS, de l'accès à distance sécurisé et de la gestion des vulnérabilités basée sur les risques.De plus, Dragos fournit les recommandations suivantes: 1. Réponse des incidents ICS Compte tenu de la complexité et de la nature ciblée de l'attaque de Frostygoop, un plan de réponse aux incidents robuste est crucial.Ce plan devrait intégrer des réponses spécialisées pour les environnements OT, car ces systèmes ont souvent des exigences de continuité opérationnelle qui remplacent les systèmes informatiques traditionnels.Pour FrostyGoop, qui interagit directement avec ICS via les commandes MODBUS, le plan de réponse doit inclure des procédures pour isoler rapidement les appareils affectés, analyser le trafic réseau pour les commandes MODBUS non autorisées et restaurer des opérations de système précises.La formation et les exercices réguliers spécifiques aux attaques MODBUS et ICS ciblées assureront également la préparation et la gestion efficace des incidents. 2. Architecture défendable Cette attaque met en évidence le manque de segmentation adéquate du réseau et la présence de contrôleurs exposés à Internet.Pour lutter contre les menaces comme FrostyGoop, une architecture défendable doit être mise en œuvre, en pri | Malware Vulnerability Threat Industrial | ||
|
2024-07-25 20:11:02 | Nombre croissant de menaces tirant parti de l'IA Growing Number of Threats Leveraging AI (lien direct) |
## Instantané Symantec a identifié une augmentation des cyberattaques utilisant des modèles de grande langue (LLM) pour générer du code malveillant pour télécharger diverses charges utiles. En savoir plus sur la façon dont Microsoft s'est associé à OpenAI pour [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef). ## Description Les LLM, conçues pour comprendre et créer du texte de type humain, ont des applications, de l'assistance à l'écriture à l'automatisation du service client, mais peuvent également être exploitées à des fins malveillantes.Les campagnes récentes impliquent des e-mails de phishing avec du code pour télécharger des logiciels malveillants comme Rhadamanthys, Netsupport et Lokibot.Ces attaques utilisent généralement des scripts PowerShell générés par LLM livrés via des fichiers .lnk malveillants dans des fichiers zip protégés par mot de passe.Un exemple d'attaque impliquait un e-mail de financement urgent avec un tel fichier zip, contenant des scripts probablement générés par un LLM.Les recherches de Symantec \\ ont confirmé que les LLM comme Chatgpt peuvent facilement produire des scripts similaires.La chaîne d'attaque comprend l'accès initial via des e-mails de phishing, l'exécution des scripts générés par LLM et le téléchargement final de la charge utile.Symantec met en évidence la sophistication croissante des attaques facilitées par l'IA, soulignant la nécessité de capacités de détection avancées et de surveillance continue pour se protéger contre ces menaces en évolution. ## Analyse Microsoft Microsoft a identifié des acteurs comme [Forest Blizzard] (https://security.microsoft.com/Intel-Profiles / DD75F93B2A771C9510DCEEC817B9D34D868C2D1353D08C8C1647DE067270FDF8), [EMERDD Sleet] (HTTP EE4ED596D8AE16F942F442B895752AD9F41DD58E), [Crimson Sandstorm] (https://sip.security.microsoft.com/intel-profiles/34E4ACFE2868D450AC93C5C3E6D2DF021E2801BDB3700DD8F172D602DF6DA046), [CHARCOAL TYPHOON] ( 3DB3D52D0495410EFD39D506AAD9A4) et [Typhoon de saumon] (https://security.microsoft.com/intel-profiles/5323e9969bf361e48bc236a53189 6) Tirer parti des LLMautomatiseret optimiser la génération de scripts;Cependant, certains de ces acteurs ont exploité les LLM de d'autres manières, notamment la reconnaissance, la recherche sur la vulnérabilité, l'ingénierie sociale et la traduction des langues.En savoir plus sur la façon dont ces acteurs interagissent et utilisent les LLM sur le [Microsoft Security Blog] (https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of--of-Les acteurs de la menace à l'âge-ai /). ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Msil / Lazy *] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:mil/lazy.beaa!mtb) - [* Trojan: Win32 / Oyster *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/oyster!mtb) - [* Trojan: JS / Nemucod! MSR *] (https://www.microsoft.com/en-us/wdsi/atherets/Malware-encyClopedia-description?name=trojan:js/neMucod!msr) - [* Trojan: PowerShell / Malgent *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encycopedia-description?name=trojan:powershell/malgent!MSR) - [* Trojan: win32 / winlnk *] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Winlnk.al) - [* Trojan: Win32 / Rhadamanthys *] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-description?name=trojan:win32/rhadamanthyslnk.da!Mtb) - [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) - [* Trojan: js / obfuse.nbu *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=trojan:js/obfuse.nbu) - [* Trojan: Win32 / Lokibot *] (https://www.mi | Malware Vulnerability Threat | ChatGPT | |
 |
2024-07-25 19:46:46 | L'explorateur Internet de Microsoft \\ est relancé pour attirer les victimes de Windows Microsoft\\'s Internet Explorer Gets Revived to Lure in Windows Victims (lien direct) |
Bien que IE ait été officiellement à la retraite en juin 2022, la vulnérabilité s'est accélérée en janvier 2023 et est devenue forte depuis.
Though IE was officially retired in June 2022, the vulnerability ramped up in January 2023 and has been going strong since. |
Vulnerability | ||
 |
2024-07-25 13:59:00 | Les chercheurs révèlent une vulnérabilité de fonction confuse dans Google Cloud Platform Researchers Reveal ConfusedFunction Vulnerability in Google Cloud Platform (lien direct) |
Les chercheurs en cybersécurité ont divulgué une vulnérabilité d'escalade des privilèges impactant le service de fonctions cloud de Google Cloud Platform \\ qu'un attaquant pourrait exploiter pour accéder à d'autres services et données sensibles de manière non autorisée.
Tenable a donné à la vulnérabilité le nom ConfusedFunction.
"Un attaquant pourrait dégénérer ses privilèges sur le compte de service de construction de cloud par défaut et
Cybersecurity researchers have disclosed a privilege escalation vulnerability impacting Google Cloud Platform\'s Cloud Functions service that an attacker could exploit to access other services and sensitive data in an unauthorized manner. Tenable has given the vulnerability the name ConfusedFunction. "An attacker could escalate their privileges to the Default Cloud Build Service Account and |
Vulnerability Threat Cloud | ||
 |
2024-07-25 13:05:25 | Les mises à jour de liaison résolvent les vulnérabilités DOS de haute sévérité BIND Updates Resolve High-Severity DoS Vulnerabilities (lien direct) |
> Les dernières mises à jour de sécurité de liaison abordent des vulnérabilités exploitables à distance menant au déni de service.
>The latest BIND security updates address remotely exploitable vulnerabilities leading to denial-of-service. |
Vulnerability | ||
 |
2024-07-25 13:00:05 | Protéger votre application cloud contre les risques inconnus Protecting Your Cloud Application Against Unknown Risks (lien direct) |
> Les mesures de sécurité des indigènes cloud sont principalement axées sur la sauvegarde contre les menaces identifiables, l'utilisation de technologies innovantes comme les mégadonnées et l'IA pour surveiller et préempter les attaques potentielles.Malgré ces efforts, cependant, aucun système ne peut jamais être complètement imperméable aux menaces.Même avec des protections de pointe en place, la sécurité du cloud n'est jamais vraiment assez bonne s'il reste des vulnérabilités non identifiées.Dans cet article, nous explorons comment l'application Web de nouvelle génération de CloudGuard peut aider à atténuer ces risques inconnus et à renforcer votre posture de sécurité globale.Les experts en sécurité se concentrent sur les indicateurs de risque connus.Notre industrie se concentre généralement sur l'examen des voies potentielles pour l'exploitation par [& # 8230;]
>Cloud native security measures are primarily focused on safeguarding against identifiable threats, employing innovative technologies like big data and AI to monitor and preempt potential attacks. Despite these efforts, however, no system can ever be completely impervious to threats. Even with state-of-the-art protections in place, cloud security is never truly good enough if there remain unidentified vulnerabilities. In this article, we explore how CloudGuard‘s next-generation Web Application and API Protection can help mitigate these unknown risks and strengthen your overall security posture. Security experts focus on known risk indicators. Our industry typically focuses on examining potential avenues for exploitation by […] |
Vulnerability Cloud | ||
|
2024-07-25 11:17:00 | Le défaut de moteur Docker critique permet aux attaquants de contourner les plugins d'autorisation Critical Docker Engine Flaw Allows Attackers to Bypass Authorization Plugins (lien direct) |
Docker avertit un défaut critique ayant un impact sur certaines versions de Docker Engine qui pourraient permettre à un attaquant de contourner les plugins d'autorisation (AUTHZ) dans des circonstances spécifiques.
Suivi en CVE-2024-41110, la vulnérabilité d'escalade de contournement et de privilège comporte un score CVSS de 10,0, indiquant une gravité maximale.
"Un attaquant pourrait exploiter un contournement à l'aide d'une demande d'API avec un ensemble de longueur de contenu
Docker is warning of a critical flaw impacting certain versions of Docker Engine that could allow an attacker to sidestep authorization plugins (AuthZ) under specific circumstances. Tracked as CVE-2024-41110, the bypass and privilege escalation vulnerability carries a CVSS score of 10.0, indicating maximum severity. "An attacker could exploit a bypass using an API request with Content-Length set |
Vulnerability Threat | ||
|
2024-07-25 11:00:00 | CISA prévient les vulnérabilités exploitables dans le logiciel populaire Bind 9 DNS CISA Warns of Exploitable Vulnerabilities in Popular BIND 9 DNS Software (lien direct) |
L'Internet Systems Consortium (ISC) a publié des correctifs pour aborder plusieurs vulnérabilités de sécurité dans la suite logicielle du Domain Domain (BIND) 9 de noms de domaine (DNS) de Berkeley qui pourrait être exploitée pour déclencher une condition de déni de service (DOS).
"Un acteur de cybermenace pourrait exploiter l'une de ces vulnérabilités pour provoquer une condition de déni de service", la cybersécurité américaine et
The Internet Systems Consortium (ISC) has released patches to address multiple security vulnerabilities in the Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) software suite that could be exploited to trigger a denial-of-service (DoS) condition. "A cyber threat actor could exploit one of these vulnerabilities to cause a denial-of-service condition," the U.S. Cybersecurity and |
Vulnerability Threat | ||
 |
2024-07-25 06:04:58 | 3 Conseils pour créer un programme efficace de sensibilisation à la sécurité pour vos employés 3 Tips to Build an Effective Security Awareness Program for Your Employees (lien direct) |
There are three cybersecurity truths that have stood the test of time (so far). Most breaches involve the human element. The latest Data Breach Investigations Report (DBIR) from Verizon notes that more than three-quarters (76%) of all breaches involve a human element. Phishing is one of the most common tactics for gaining initial access to a business. The DBIR says phishing was the second-most used tactic in 2023, right after stolen credentials. (Notably, credentials are often lost in phishing attacks first.) People are willing to take risks. That\'s why they often fall victim to attacks-because they take risky actions, like clicking on links and opening attachments from people they don\'t know. Research for our 2024 State of the Phish report shows that 68% of people do this. Given these truths, a human-centric security strategy is critical to protecting an organization. And mitigating human risk should be an important foundational pillar. This approach to cybersecurity recognizes that while technological solutions are essential, they are not sufficient on their own. Human behavior must be addressed directly. If you build an awareness program that is guided by threat intelligence and gives users the tools to respond to phishing attacks, you can attain quantifiable results. In this blog, we\'ll discuss three tips that you can use right now to build your security awareness training program in a way that empowers your employees to change their behavior. Tip 1: Prioritize high-risk user groups Human-centric cybersecurity starts with having visibility into who presents the greatest risk to your business. Often, the actions of a very small percentage of employees are the root cause of most security incidents. When you understand who presents the most risk, you can maximize your program\'s impact by improving the resilience of these individuals. For our 2024 State of the Phish report, we asked information security professionals who they believe represent the greatest risk to their organizations. The top group were the users who had access to critical data (privileged users). A chart that shows users who represent risk within companies. (Source: 2024 State of the Phish report from Proofpoint.) Privilege risk is one key factor in quantifying total human risk. It considers the amount of damage that could result from a successful attack. However, you must also consider: Attack risk, which demonstrates that the more a person has been attacked in the recent past, the higher the probability that they will be attacked in the near future. Vulnerability risk, which evaluates the probability that an attack would be successful if a person is attacked. For this risk factor, it is important to track both real and simulated user behaviors such as actual URL clicks within live email and performance against security awareness knowledge assessments and phishing simulations. Proofpoint makes it easy to quantify human risk and identify who represents the greatest risk to your business. Instead of manually tracking human risk across the three key risk factors of privilege, attack and vulnerability, our customers can use Proofpoint Nexus People Risk Explorer (NPRE). With NPRE, each person receives a user risk score based on their behavior and identity information. Users are automatically grouped based on their scores. With user risk insights from NPRE, you can easily prioritize which groups need the most attention and decide how to best deliver your training to maximize its impact. A view of the dashboard for Nexus People Risk Explorer. Tip 2: Keep your program agile The threat landscape impacts every business differently. Comparing a financial services company to a manufacturing company may show that the former is targeted more often with ransomware than supply-chained based BEC attacks. It is important to keep your program agile so that you can easily adjust | Ransomware Data Breach Tool Vulnerability Threat Cloud | ||
|
2024-07-24 23:34:10 | Onyx Sleet utilise une gamme de logiciels malveillants pour recueillir l'intelligence pour la Corée du Nord Onyx Sleet uses array of malware to gather intelligence for North Korea (lien direct) |
#### Targeted Geolocations - India - Korea - United States - Southeast Asia - North America #### Targeted Industries - Information Technology - Defense Industrial Base - Government Agencies & Services ## Snapshot On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet\'s activity to assess changes following the indictment. First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. ## Activity Overview ### Who is Onyx Sleet? Onyx Sleet conducts cyber espionage primarily targeting military, defense, and technology industries, predominately in India, South Korea, and the United States. This threat actor has historically leveraged spear-phishing as a means of compromising target environments; however, in recent campaigns, they have mostly exploited N-day vulnerabilities, leveraging publicly available and custom exploits to gain initial access. In October 2023, Onyx Sleet [exploited the TeamCity CVE-2023-42793 vulnerability](https://security.microsoft.com/intel-explorer/articles/b4f39b04) [as a part of a targeted attack](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-42793/overview). Exploiting this vulnerability enabled the threat actor to perform a remote code execution attack and gain administrative control of the server. Onyx Sleet develops and uses a spectrum of tools that range from custom to open source. They have built an extensive set of custom remote access trojans (RATs) that they use in campaigns, and routinely developed new variants of these RATs to add new functionality and implement new ways of evading detection. Onyx Sleet often uses leased virtual private servers (VPS) and compromised cloud infrastructure for command-and-control (C2). Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, and TDrop2. **Affiliations with other threat actors originating from North Korea** Onyx Sleet has demonstrated affiliations with other North Korean actors, indicating its integration with a broader network of North Korean cyber operations. Microsoft has observed [an overlap](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) between Onyx Sleet and [Storm-0530](https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/). Both groups were observed operating within the same infrastructure and were involved in the development and use of ransomware in attacks in late 2021 and 2022. **Onyx Sleet targets** In pursuit of its primary goal of intelligence collection, Onyx Sleet has focused on targeting entities in the defense and energy industries, predominately in India, South Korea, and the United States. Recent att | Ransomware Malware Tool Vulnerability Threat Industrial Cloud Technical Commercial | APT 38 | |
|
2024-07-24 21:16:52 | Distribution of AsyncRAT Disguised as Ebook (lien direct) | ## Instantané Les recherches à l'AHNLAB Security Intelligence Center (ASEC) ont identifié une nouvelle méthode de distribution de logiciels malveillants asyncrat à travers des livres électroniques armés. ## Description Ces livres électroniques, qui semblent inoffensifs, contiennent une icône frauduleuse qui indique un fichier LNK avec un code malveillant.De plus, il existe un fichier TXT avec un script PowerShell caché, des fichiers vidéo compressés et un ebook réel.Lorsque le fichier LNK est exécuté, il déclenche le script PowerShell caché dans le fichier RM.TXT, qui cache ensuite le dossier de logiciel malveillant du téléchargeur et exécute un script obscurci.Ce script peut lancer le vrai malware à partir de faux fichiers vidéo s'il détecte certains produits de sécurité.La charge utile asyncrat est conçue avec des mécanismes anti-détection, de la persistance et des capacités d'exfiltration des données.Il est distribué par diverses méthodes, y compris des fichiers déguisés sur les sites de partage et les e-mails de phishing, ce qui en fait une menace polyvalente et dangereuse.Le malware se précipita comme des processus légitimes et utilise des techniques d'obscurcissement pour échapper à la détection. L'asyncrat n'est pas le seul logiciel malveillant du voleur d'informations observé dans les livres électroniques.Comme asyncrat, [vipersoftx] (https://security.microsoft.com/intel-explorer/articles/8084ff7b) et [cve-2024-38112] (https://www.trendmicro.com/en_us/research/24/G / CVE-2024-38112-VOID-BANSHEE.HTML # NEW_TAB) Utilisez PowerShell pour exfiltrer les données et éviter la détection. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-senceclopedia-description? Name = Trojan: win32 / winlnk) - [Trojan: Msil / Agenttesla] (https://www.microsoft.com/en-us/wdsi/Therets/malware-secdcopedia-description? name = trojan: MSIL / AgentTesla) - [Backdoor: Msil / asyncrat.ad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:mil/asyncrat.ad) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/en-us/defenderofice-365/mdo-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre de nouvelles menaces et des variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=magicti_ta_learndoc) et [supprimer le courrier envoyé] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge?ocid=Magicti_TA_LearnDoc) en réponse à l'intelligence de menace nouvellement acquise. - Allumez [les pièces jointes sûres] (https://learn.microsoft.com/en-us/defender-office-365/safe-attachments-policies-configure?ocid=Magicti_ta_learndoc) pour vérifier les pièces jointes vers le courrier électronique déstant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftLe dé | Ransomware Spam Malware Tool Vulnerability Threat Prediction | ||
|
2024-07-24 20:05:33 | Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android (lien direct) | ## Instantané
Les chercheurs de l'ESET ont découvert un exploit zéro-jour qui cible Telegram pour Android, qui est apparu à la vente à un prix non spécifié dans un poste de forum souterrain du 6 juin 2024. Utilisation de l'exploit pour abuser d'une vulnérabilité que ESET a nommé "EvilVideo", CVE-2024-7014, les attaquants pourraient partager des charges utiles Android malveillantes via des canaux télégrammes, des groupes et des discussions.
## Description
L'exploit semble s'appuyer sur le fait que l'acteur de menace puisse créer une charge utile qui affiche une application Android en tant qu'aperçu multimédia et non comme une pièce jointe binaire.Une fois partagé dans le chat, la charge utile malveillante apparaît comme une vidéo de 30 secondes.Par défaut, les fichiers multimédias reçus via Telegram sont définis pour télécharger automatiquement.Cela signifie que les utilisateurs avec l'option activée téléchargeront automatiquement la charge utile une fois qu'ils ouvriront la conversation où il a été partagé.Si l'utilisateur essaie de lire la «vidéo», Telegram affiche un message qu'il n'est pas en mesure de le jouer et suggère d'utiliser un lecteur externe.Si l'utilisateur exploite le bouton ouvert dans le message affiché, il sera invité à installer une application malveillante déguisée en lecteur externe.Pendant ce temps, l'application malveillante en question a déjà été téléchargée comme le fichier vidéo apparent avec l'extension .APK.L'application malveillante elle-même n'est pas modifiée pour poser en tant que fichier multimédia;Cependant, probablement en raison de la vulnérabilité exploitée, l'application apparaît comme un fichier vidéo.La vulnérabilité a affecté toutes les versions de Telegram pour Android jusqu'à 10.14.4, mais a été corrigé à partir de la version 10.14.5.
ESET a également découvert le même forum souterrain annonçant un "FUD)" Android Cryptor-as-a-A-Service ".
## Recommandations
Appliquez ces atténuations pour réduire l'impact de cette menace.
- Utilisez des solutions mobiles telles que [Microsoft Defender pour le point de terminaison sur Android] (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint-android) pour détecter une activité malveillante.
- Ne jamais cliquer sur les liens inconnus reçus via des annonces, des messages SMS, des e-mails ou des sources non fiables similaires.
- Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues.
- Évitez d'accorder des autorisations SMS, un accès à l'auditeur de notification ou un accès à l'accessibilité à toute application sans comprendre pourquoi la demande en a besoin.Ce sont des autorisations puissantes qui ne sont pas généralement nécessaires.
- Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil.
Selon ESET, la vulnérabilité a été fixée au 11 juillet 2024. ESET mentionne également que l'option télégramme pour automatiquement les fichiers downlaod peut être désactivée manuellement.
## Les références
[Tapes maudits: exploiter la vulnérabilité Evilvideo sur Telegram pour Android] (https://www.welivesecurity.com/en/eset-research/cursed-tapes-expoiting-evilvideo-vulnerabilité-telegram-android/).Nous live la sécurité (consultée en 2024-07-24)
[CVE-2024-7014 Détail] (https://nvd.nist.gov/vuln/detail/cve-2024-7014).NVD (consulté en 2024-07-24)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot ESET researchers discovered a zero-day exploit that targets Telegram for Android, which appeared for sale for an unspecified price in an underground forum post from June 6, 2024. Using the expl |
Vulnerability Threat Mobile | ||
|
2024-07-24 17:29:00 | Télégramme App Flaw exploité pour répandre les logiciels malveillants cachés dans des vidéos Telegram App Flaw Exploited to Spread Malware Hidden in Videos (lien direct) |
Un défaut de sécurité zéro-jour dans l'application mobile de Telegram \\ pour Android appelé Evilvideo a permis aux attaquants de déguisé des vidéos inoffensives.
L'exploit est apparu à la vente à un prix inconnu dans un forum souterrain le 6 juin 2024, a déclaré Eset.Après la divulgation responsable le 26 juin, la question a été abordée par Telegram dans la version 10.14.5 publiée le 11 juillet.
"
A zero-day security flaw in Telegram\'s mobile app for Android called EvilVideo made it possible for attackers to malicious files disguised as harmless-looking videos. The exploit appeared for sale for an unknown price in an underground forum on June 6, 2024, ESET said. Following responsible disclosure on June 26, the issue was addressed by Telegram in version 10.14.5 released on July 11. " |
Malware Vulnerability Threat Mobile | ||
 |
2024-07-24 17:14:31 | NetRise rapporte que les risques logiciels invisibles dans l'équipement de réseautage sont 200 fois plus élevés que prévu NetRise reports unseen software risks in networking equipment are 200 times higher than expected (lien direct) |
> Nouvelles recherches de NETRISE analyse les compositions logicielles, les risques de vulnérabilité et les risques non-CVE qui existent dans le logiciel de ...
>New research from NetRise analyzes software compositions, vulnerability risks, and non-CVE risks that exist in the software of... |
Vulnerability | ||
|
2024-07-24 11:26:00 | CISA ajoute Twilio Authy et IE Flaws pour exploiter la liste des vulnérabilités CISA Adds Twilio Authy and IE Flaws to Exploited Vulnerabilities List (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté deux défauts de sécurité à son catalogue connu sur les vulnérabilités exploitées (KEV), sur la base des preuves d'une exploitation active.
Les vulnérabilités sont énumérées ci-dessous -
CVE-2012-4792 (score CVSS: 9.3) - Vulnérabilité de Microsoft Internet Explorer
CVE-2024-39891 (score CVSS: 5.3) - divulgation d'informations Twilio Authy
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added two security flaws to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation. The vulnerabilities are listed below - CVE-2012-4792 (CVSS score: 9.3) - Microsoft Internet Explorer Use-After-Free Vulnerability CVE-2024-39891 (CVSS score: 5.3) - Twilio Authy Information Disclosure |
Vulnerability | ||
 |
2024-07-24 10:59:51 | Flaw SmartScreen Windows permettant le vol de données dans l'attaque de voleur majeure Windows SmartScreen Flaw Enabling Data Theft in Major Stealer Attack (lien direct) |
New Stealer Campaign exploite Windows SmartScreen Vulnerabilité (CVE-2024-21412) & # 8211;Cette attaque à grande échelle cible les utilisateurs de Windows, le vol de mots de passe, la navigation & # 8230;
New Stealer Campaign Exploits Windows SmartScreen Vulnerability (CVE-2024-21412) – This large-scale attack targets Windows users, stealing passwords, browsing… |
Vulnerability | ||
 |
2024-07-24 10:00:00 | Navigation du champ de mines: cybersécurité pour les organisations à but non lucratif Navigating the Minefield: Cybersecurity for Non-Profit Organizations (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity threats cast an ominous shadow over organizations across all sectors. While the world often associates these risks with profit-driven businesses, non-profit organizations are equally vulnerable targets. And the stakes are alarmingly high. Recent data shows that about 6 cyber-attacks happen every 4 minutes and attacks like the 2022 one on the International Committee of the Red Cross (ICRC) send shivers across non-profits. To make things even worse, limited resources and backup resources mean a successful breach could prove catastrophic. Hence, non-profit cybersecurity is a particularly important issue. Understanding the Cybersecurity Risks for Nonprofits Non-profit organizations face unique cybersecurity risks that stem from their distinct operational models and resource constraints. They frequently handle sensitive information, including donor and beneficiary details, which makes them attractive targets for cybercriminals. Another significant factor is the general lack of robust cybersecurity measures within many nonprofit organizations. In fact, data shows that more than 84% of nonprofit organizations don’t have a cybersecurity plan. This makes them a prime target for many malicious players. Additionally, many nonprofit organizations struggle to allocate sufficient resources to cybersecurity due to limited budgets and competing priorities. Much like the security of small business savings accounts suffers from lower budgets, non-profits are also prone to thinking reactively, instead of taking a proactive stance towards their own cyber fortress. For example, some non-profits don’t have the resources to invest in identity theft protection, cybersecurity consultancy, and even pen-testing tools to use in-house. Cybercriminals are well aware of this vulnerability and are increasingly targeting nonprofits. Some charity organizations also often underestimate their risk level, falsely believing they are unlikely targets for cyberattacks. This complacency can lead to a lack of preparedness and awareness, further increasing their vulnerability. Common Cybersecurity Risks for Nonprofits There are many types of cyber threats and attacks that affect non-profit organizations. Here are some of the most common: Data Breaches Nonprofits are goldmines when it comes to data. A data breach typically occurs when cybercriminals exploit vulnerabilities in an organization’s cybersecurity defenses. This could be through hacking efforts, phishing scams, or even physical access to insecure storage locations. There have even been cases of scammers presenting themselves as SAP consultants, requiring n | Ransomware Data Breach Malware Tool Vulnerability Threat | ||
 |
2024-07-24 03:17:06 | Le double impact de l'IA sur les réseaux électriques: efficacité et vulnérabilité The Dual Impact of AI on Power Grids: Efficiency and Vulnerability (lien direct) |
L'intelligence artificielle (IA) est devenue une solution prometteuse pour moderniser les réseaux électriques.La technologie, aux côtés d'autres mises à niveau comme la connectivité de l'Internet des objets (IoT), pourrait rendre les infrastructures énergétiques plus fiables et durables.Cependant, les réseaux électriques d'IA présentent également des risques de cybersécurité importants.Les attaques contre les infrastructures critiques deviennent de plus en plus courantes.Alors que les autorités énergétiques augmentent leurs investissements dans l'IA, ils devraient prêter attention à ces risques pour permettre une transformation technologique plus sûre.L'état actuel des réseaux électriques de l'IA L'utilisation de l'IA dans les réseaux électriques est encore un nouveau concept ...
Artificial intelligence (AI) has emerged as a promising solution to modernize power grids. The technology, alongside other upgrades like Internet of Things (IoT) connectivity, could make energy infrastructure more reliable and sustainable. However, AI power grids also pose significant cybersecurity risks. Attacks against critical infrastructure are becoming more common. As energy authorities ramp up their investments in AI, they should pay attention to these risks to enable a safer tech transformation. The Current State of AI Power Grids The use of AI in power grids is still a new concept... |
Vulnerability | ||
|
2024-07-23 20:53:33 | (Déjà vu) UAC-0063 Attaque des institutions de recherche en Ukraine: Hatvibe + Cherryspy + CVE-2024-23692 UAC-0063 attacks research institutions in Ukraine: HATVIBE + CHERRYSPY + CVE-2024-23692 (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Computer Emergency Response Team of Ukraine (CERT-UA) released reporting on an attack by UAC-0063 against a research institution in Ukraine perpetrated in July 2024. ## Description The attackers accessed an employee\'s email account and sent a compromised email with a macro-embedded document to multiple recipients. When opened, this document created and executed another document and scheduled a task to run the HATVIBE malware. The attackers then used remote control to download a Python interpreter and the CHERRYSPY malware to the victim\'s computer. UAC-0063, linked to the Russian APT28 group, was also detected using a similar attack vector in Armenia. In June 2024, the group exploited a vulnerability in the HFS HTTP File Server ([CVE-2024-23692](https://security.microsoft.com/intel-explorer/cves/CVE-2024-23692/)) to install the HATVIBE backdoor, demonstrating their use of varied initial compromise methods. The attack succeeded due to the institution\'s lack of two-factor authentication, admin privileges for user accounts, and insufficient security policies to block macros and specific executables. ## Additional Analysis Both CHERRYSPY and HATVIBE have previously been used by UAC-0063 to target Ukranian organizations. [In April 2023](https://cert.gov.ua/article/4697016?fbclid=IwAR1B5gj0v-Ve9Q5299ydM5lrInLuKVmvPRosQkUucq6YzcjuTgVnM_x3LjQ), the threat group sent spear-phishing emails to government organizations in Ukraine, likely from the previously compromised email of the Embassy of Tajikistan. ## Recommendations Microsoft recommends the implementation multifactor authentication (MFA) to reduce the impact of this threat and mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate [conditional access](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview?ocid=magicti_ta_learndoc) policies. Conditional access policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office 365](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically identify and block malicious websites, including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focus | Malware Vulnerability Threat | APT 28 | |
|
2024-07-23 17:58:57 | Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m | Ransomware Malware Tool Vulnerability Threat Mobile | ||
|
2024-07-23 16:21:16 | Les attaquants exploitent \\ 'Evilvideo \\' Telegram Zero-Day pour cacher des logiciels malveillants Attackers Exploit \\'EvilVideo\\' Telegram Zero-Day to Hide Malware (lien direct) |
Un exploit vendu sur un forum souterrain nécessite une action des utilisateurs pour télécharger une charge utile malveillante non spécifiée.
An exploit sold on an underground forum requires user action to download an unspecified malicious payload. |
Malware Vulnerability Threat | ||
 |
2024-07-23 14:00:00 | De quelle voix est-ce de toute façon?Vocation à propulsion Ai pour les attaques de vision de nouvelle génération Whose Voice Is It Anyway? AI-Powered Voice Spoofing for Next-Gen Vishing Attacks (lien direct) |
Written by: Emily Astranova, Pascal Issa
Executive Summary AI-powered voice cloning can now mimic human speech with uncanny precision, creating for more realistic phishing schemes. According to news reports, scammers have leveraged voice cloning and deepfakes to steal over HK$200 million from an organization. Attackers can use AI-powered voice cloning in various phases of the attack lifecycle, including initial access, and lateral movement and privilege escalation. Mandiant\'s Red Team uses AI-powered voice spoofing to test defenses, demonstrating the effectiveness of this increasingly sophisticated attack technique. Organizations can take steps to defend against this threat by educating employees, and using source verification such as code words. Introduction Last year, Mandiant published a blog post on threat actor use of generative AI, exploring how attackers were using generative AI (gen AI) in phishing campaigns and information operations (IO), notably to craft more convincing content such as images and videos. We also shared insights into attackers\' use of large language models (LLMs) to develop malware. In the post, we emphasized that while attackers are interested in gen AI, use has remained relatively limited. This post continues on that initial research, diving into some new AI tactics, techniques, and procedures (TTPs) and trends. We take a look at AI-powered voice spoofing, demonstrate how Mandiant red teams use it to test defenses, and provide security considerations to help stay ahead of the threat. Growing AI-Powered Voice Spoofing Threat Gone are the days of robotic scammers with barely decipherable scripts. AI-powered voice cloning can now mimic human speech with uncanny precision, injecting a potent dose of realism into phishing schemes. We are reading more stories on this threat in the news, such as the scammers that reportedly stole over HK$200 million from a company using voice cloning and deepfakes, and now the Mandiant Red Team has incorporated these TTPs when testing defenses. Brief Overview of Vishing Unlike its traditionally email-based counterpart, vishing (voice phishing) uses a voice-based approach. Rather than sending out an email with the hopes of garnering clicks, threat actors will instead place phone calls directly to individuals in order to earn trust and manipulate emotions, often by creating a sense of urgency. |
Malware Tool Vulnerability Threat Studies Mobile Cloud Technical | ||
|
2024-07-23 10:40:35 | Télégramme de la livraison de logiciels malveillants activés par télégramme Telegram Zero-Day Enabled Malware Delivery (lien direct) |
> La vulnérabilité de l'ultervideo zéro-jour dans le télégramme pour Android a permis aux acteurs de menace d'envoyer des fichiers malveillants déguisés en vidéos.
>The EvilVideo zero-day vulnerability in Telegram for Android allowed threat actors to send malicious files disguised as videos. |
Malware Vulnerability Threat Mobile | ||
 |
2024-07-23 10:34:25 | Escalade des privilèges: démêler une nouvelle technique de cyber-attaque Privilege escalation: unravelling a novel cyber-attack technique (lien direct) |
Les cybercriminels sont notoirement implacables et impitoyables dans leur quête pour exploiter les vulnérabilités à travers des tactiques en constante évolution.Les organisations peuvent croire que leurs cadres de sécurité sont robustes, mais lorsqu'ils sont confrontés à des méthodes d'attaque sans précédent, personne n'est entièrement à l'abri de l'infiltration.Plus tôt cette année, une société d'agriculture multinationale a appris cela à la dure lorsqu'elle a été victime de [& # 8230;]
Le post Escalade du privilège: démêler un nouveauTechnique de cyber-attaque est apparue pour la première fois sur gourou de la sécurité informatique .
Cyber criminals are notoriously relentless and unforgiving in their quest to exploit vulnerabilities through ever-evolving tactics. Organisations may believe that their security frameworks are robust, but when confronted with unprecedented attack methods, nobody is entirely immune to infiltration. Earlier this year, a multinational agriculture company learnt this the hard way when they fell victim to […] The post Privilege escalation: unravelling a novel cyber-attack technique first appeared on IT Security Guru. |
Vulnerability Threat | ||
|
2024-07-23 10:00:00 | Ce que les prestataires de soins de santé devraient faire après une violation de données médicales What Healthcare Providers Should Do After A Medical Data Breach (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Healthcare data breaches are on the rise, with a total of 809 data violation cases across the industry in 2023, up from 343 in 2022. The cost of these breaches also soared to $10.93 million last year, an increase of over 53% over the past three years, IBM’s 2023 Cost of a Data Breach report reveals. But data breaches aren’t just expensive, they also harm patient privacy, damage organizational reputation, and erode patient trust in healthcare providers. As data breaches are now largely a matter of “when” not “if”, it’s important to devise a solid data breach response plan. By acting fast to prevent further damage and data loss, you can restore operations as quickly as possible with minimal harm done. Contain the Breach Once a breach has been detected, you need to act fast to contain it, so it doesn’t spread. That means disconnecting the affected system from the network, but not turning it off altogether as your forensic team still needs to investigate the situation. Simply unplug the network cable from the router to disconnect it from the internet. If your antivirus scanner has found malware or a virus on the system, quarantine it, so it can be analyzed later. Keep the firewall settings as they are and save all firewall and security logs. You can also take screenshots if needed. It’s also smart to change all access control login details. Strong complex passwords are a basic cybersecurity feature difficult for hackers and software to crack. It’s still important to record old passwords for future investigation. Also, remember to deactivate less-important accounts. Document the Breach You then need to document the breach, so forensic investigators can find out what caused it, as well as recommend accurate next steps to secure the network now and prevent future breaches. So, in your report, explain how you came to hear of the breach and relay exactly what was stated in the notification (including the date and time you were notified). Also, document every step you took in response to the breach. This includes the date and time you disconnected systems from the network and changed account credentials and passwords. If you use artificial intelligence (AI) tools, you’ll also need to consider whether they played a role in the breach, and document this if so. For example, ChatGPT, a popular chatbot and virtual assistant, can successfully exploit zero-day security vulnerabilities 87% of the time, a recent study by researchers at the University of Illinois Urbana-Champaign found. Although AI is increasingly used in healthcare to automate tasks, manage patient data, and even make tailored care recommendations, it does pose a serious risk to patient data integrity despite the other benefits it provides. So, assess whether AI influenced your breach at all, so your organization can make changes as needed to better prevent data breaches in the future. Report the Breach Although your first instinct may be to keep the breach under wraps, you’re actually legally required to report it. Under the | Data Breach Malware Tool Vulnerability Threat Studies Medical | ChatGPT | |
|
2024-07-23 05:00:38 | 4 faux visages: comment génai transforme l'ingénierie sociale 4 Fake Faces: How GenAI Is Transforming Social Engineering (lien direct) |
Email is the biggest threat vector. But increasingly, we see the need to include social media, text messaging and voice calls in cybersecurity education. Why? Because generative AI (GenAI) is transforming social engineering and threat actors are using it to fake people or personalities. Attackers can use GenAI to create images, text, audio and video and drive powerful scams to steal personal, financial or sensitive data. They can automate their operations and increase the likelihood of success. And they can scale and distribute attacks through an array of channels, like messaging apps, social media platforms, phone calls and, of course, email. Research for the latest State of the Phish report from Proofpoint found that 58% of people who took a risky action in 2023 believed their behavior put them at risk. That leads us to a critical question: When you receive a message-IM, DM, VM or email-can you be 100% confident that the sender is who they claim to be? Not in a world where attackers use GenAI. In this post, we look at four ways that threat actors use this powerful technology to deceive people. Convincing conversational scams Realistic deepfake content Personalized business email compromise (BEC) attacks Automated fake profiles and posts 1: Convincing conversational scams Threat actors use GenAI to create highly convincing conversational scams that mimic human interactions. Natural language processing (NLP) models help them generate personalized messages. Popular NLP models include recurrent neural network (RNN), transformer-based (like GPT-3) and sequence-to-sequence. While the lures attackers use will vary, they all aim to start a conversation with the recipient and earn their trust. Threat actors might interact with a target for weeks or months to build a relationship with the goal of convincing that person to send money, invest in a fake crypto platform, share financial information or take some other action. How does it work? Threat actors collect large datasets of text-based conversations from sources like social media, messaging apps, chat logs, data breaches and customer service interactions. They use the datasets to train NLP models to understand and generate human-like text based on input prompts. The models learn to recognize patterns, understand context and generate responses that sound natural. Once they have trained an NLP model, threat actors might use the model to generate text-based messages for scamming their targets. The conversations can mimic specific personas or language patterns, or generate responses tailored to common scam scenarios. This makes it hard for people to distinguish between legitimate and fake communications on social platforms like Instagram, messaging apps like WhatsApp and dating websites like Tinder. How Proofpoint can help you address this risk Proofpoint Security Awareness delivers timely educational content about threat trends. This includes a two-week campaign with training like our “Attack Spotlight: Conversational Scams,” which helps users learn to recognize and avoid these scams. 2: Realistic deepfake content Threat actors can use GenAI to create deepfakes that falsely depict people saying or doing things they never did. Attackers use advanced machine learning (ML) models to create highly realistic fake content that resembles a person\'s appearance, voice or mannerisms. How does it work? Threat actors will gather a dataset of images, audio recordings or videos that feature the person whose likeness they want to mimic. They use the dataset to train the GenAI model to create fake content like images or videos. The model can evaluate the authenticity of its own content. One popular model is the Generative Adversarial Network (GAN). It can progressively produce more convincing deepfakes by refining and optimizing its methods. For example, it can adjust model parameters, increase the training dat | Tool Vulnerability Threat | ||
|
2024-07-22 20:20:43 | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct) |
## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-07-22 18:18:55 | Swipe à droite pour les fuites de données: les applications de rencontres exposent l'emplacement, plus Swipe Right for Data Leaks: Dating Apps Expose Location, More (lien direct) |
Des applications comme Tinder, Bumble, Grindr, Badoo, OkCupid, MeetMe et Hinge ont toutes des vulnérabilités d'API qui exposent des données d'utilisateurs sensibles, et six permettent à un acteur de menace de déterminer exactement où quelqu'un est.
Apps like Tinder, Bumble, Grindr, Badoo, OKCupid, MeetMe, and Hinge all have API vulnerabilities that expose sensitive user data, and six allow a threat actor to pinpoint exactly where someone is. |
Vulnerability Threat | ||
 |
2024-07-22 18:13:14 | Télégramme zéro-jour pour Android a permis aux fichiers malveillants de se masquer sous forme de vidéos Telegram zero-day for Android allowed malicious files to masquerade as videos (lien direct) |
Pas de details / No more details | Vulnerability Threat Mobile | ||
|
2024-07-22 17:57:53 | Télégramme Android Vulnérabilité «Evilvideo» envoie des logiciels malveillants sous forme de vidéos Telegram Android Vulnerability “EvilVideo” Sends Malware as Videos (lien direct) |
Evilvideo Exploit in Telegram pour Android permet aux attaquants d'envoyer des logiciels malveillants déguisés en vidéos.ESET a découvert cette vulnérabilité zéro-jour, & # 8230;
EvilVideo exploit in Telegram for Android lets attackers send malware disguised as videos. ESET discovered this zero-day vulnerability,… |
Malware Vulnerability Threat Mobile | ||
 |
2024-07-22 15:47:30 | Problème avec AWS Client VPN - CVE-2024-30164, CVE-2024-30165 Issue with AWS Client VPN - CVE-2024-30164, CVE-2024-30165 (lien direct) |
Date de publication: & NBSP; 2024/07/16 3:30 PM PDT
aws & nbsp; est conscient de CVE-2024-30164 et CVE-2024-30165 VPN client AWS .Ces problèmes pourraient potentiellement permettre à un acteur ayant accès à un périphérique de l'utilisateur final \\ de dégénérer pour rooter le privilège et exécuter des commandes arbitraires sur cet appareil.Nous avons abordé ces problèmes sur toutes les plateformes.Les clients utilisant AWS Client VPN devraient mettre à niveau vers la version 3.11.1 ou plus pour Windows, 3.9.2 ou plus pour macOS et 3.12.1 ou plus pour Linux.
pour & nbsp; Informations supplémentaires sur la configuration du client AWS VPN pour répondre à vos exigences de sécurité et de conformité, veuillez vous référer à notre " Security in aws client vpn " Guide de l'utilisateur.
we & nbsp; tiendons à remercier Robinhood d'avoir collaboré sur cette question grâce au processus de divulgation de la vulnérabilité coordonnée.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2024/07/16 3:30 PM PDT AWS is aware of CVE-2024-30164 and CVE-2024-30165 in AWS Client VPN. These issues could potentially allow an actor with access to an end user\'s device to escalate to root privilege and execute arbitrary commands on that device. We addressed these issues on all platforms. Customers using AWS Client VPN should upgrade to version 3.11.1 or higher for Windows, 3.9.2 or higher for MacOS, and 3.12.1 or higher for Linux. For additional information on configuring AWS Client VPN to meet your security and compliance requirements, please refer to our "Security in AWS Client VPN" user guide. We would like to thank Robinhood for collaborating on this issue through the coordinated vulnerability disclosure process. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
Vulnerability | ||
|
2024-07-22 15:47:29 | Issue with PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199 (lien direct) | Date de publication: & NBSP; 2024/07/18 2:50 PDT AWS & NBSP; est conscient des problèmes décrits dans CVE-2024-35198 et CVE-2024-35199 dans les versions Pytorch Torchserve 0.3.0 à 0.10.0.Les clients utilisant des conteneurs d'apprentissage en profondeur d'inférence Pytorch (DLC) via Amazon Sagemaker ne sont pas affectés. CVE-2024-35198 n'empêche pas un modèle d'être téléchargé dans le magasin du modèle si l'URL contient des caractères tels que ".." lorsque l'API d'enregistrement du modèle Torchserve est appelée.Les clients utilisant des conteneurs d'apprentissage en profondeur d'inférence Pytorch (DLC) via Amazon Sagemaker et Amazon Elastic Kubernetes (Amazon EKS) ne sont pas affectés par ce numéro. CVE-2024-35199 ne lie pas deux ports GRPC 7070 et 7071 à LocalHost par défaut.Ces deux interfaces sont liées à toutes les interfaces lorsque Torchserve est lancé nativement sans conteneur Docker.Les clients utilisant des conteneurs en profondeur d'inférence Pytorch (DLC) ne sont pas affectés par ce problème. TORCHSERVE & NBSP; Version V0.11.0 résout ces deux problèmes. Clients & NBSP; peut utiliser les nouvelles balises d'image suivantes pour extraire les DLC qui sont expédiés avec TorchServe Patchée version 0.11.0.Alternativement, les clients peuvent passer à la dernière version de Torchserve. pytorch 2.2 https://github.com/aws/deep-learning-ntonainers/releases/tag/v1.8-pt-sagemaker-2.1.0-inf-py310 https://github.com/aws/deep-learning-ntainers/releases/tag/v1.5-pt-graviton-ec2-2.1.0-inf-cpu-py310 https://github.com/aws/deep-learning-ntainers/releases/tag/v1.5-pt-graviton-sagemaker-2.1.0-inf-cpu-py310 pytorch 1.13 https://github.com/aws/les contestes / versions en profondeur / étiquette / v1.21-pt-sagemaker-1.13.1-inf-cpu-py39 | Vulnerability | ||
 |
2024-07-22 10:41:55 | Telegram Zero-Day autorisé à envoyer des APK Android malveillants comme vidéos Telegram zero-day allowed sending malicious Android APKs as videos (lien direct) |
Un télégramme pour la vulnérabilité Android Zero-Day surnommée \\ 'Evilvideo \' a permis aux attaquants de envoyer des charges utiles Android APK malveillantes déguisées en fichiers vidéo.[...]
A Telegram for Android zero-day vulnerability dubbed \'EvilVideo\' allowed attackers to send malicious Android APK payloads disguised as video files. [...] |
Vulnerability Threat Mobile | ||
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | |
 |
2024-07-22 09:00:00 | Capes maudits: exploiter la vulnérabilité du mal sur le télégramme pour Android Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android (lien direct) |
Les chercheurs de l'ESET ont découvert un télégramme à jour zéro pour l'exploit Android qui permet d'envoyer des fichiers malveillants déguisés en vidéos
ESET researchers discovered a zero-day Telegram for Android exploit that allows sending malicious files disguised as videos |
Vulnerability Threat Mobile | ||
|
2024-07-22 03:22:34 | 5 approche progressive de la gestion de la vulnérabilité: meilleures pratiques 5 Phased Approach to Vulnerability Management: Best Practices (lien direct) |
La gestion de la vulnérabilité est une pierre angulaire fondamentale pour réduire le cyber-risque de votre organisation, mais quelles sont les vulnérabilités et pourquoi est-il important de créer un fort programme de gestion de la vulnérabilité?L'Institut national des sciences et de la technologie (NIST) définit une vulnérabilité comme «la faiblesse d'un système d'information, des procédures de sécurité du système, des contrôles internes ou une implémentation qui pourraient être exploités ou déclenchés par une source de menace.»Avec des centaines de milliers de vulnérabilités qui ont été découvertes, il est de plus en plus important d'obtenir la bonne gestion de la vulnérabilité et ...
Vulnerability management is a foundational cornerstone for reducing your organization\'s cyber risk, but what are vulnerabilities and why is it important to create a strong vulnerability management program? The National Institute of Science and Technology ( NIST) defines a vulnerability as, “Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source.” With hundreds of thousands of vulnerabilities that have been discovered, it is increasingly more important to get vulnerability management right and... |
Vulnerability Threat | ||
|
2024-07-19 12:43:00 | Solarwinds Patches 11 défauts critiques dans le logiciel du gestionnaire de droits d'accès SolarWinds Patches 11 Critical Flaws in Access Rights Manager Software (lien direct) |
SolarWinds a abordé un ensemble de défauts de sécurité critiques ayant un impact sur son logiciel de gestion des droits d'accès (ARM) qui pourrait être exploité pour accéder aux informations sensibles ou exécuter du code arbitraire.
Sur les 11 vulnérabilités, sept sont évalués en gravité et portent un score CVSS de 9,6 sur 10,0.Les quatre faiblesses restantes ont été évaluées en gravité, chacune ayant un CVSS
SolarWinds has addressed a set of critical security flaws impacting its Access Rights Manager (ARM) software that could be exploited to access sensitive information or execute arbitrary code. Of the 11 vulnerabilities, seven are rated Critical in severity and carry a CVSS score of 9.6 out of 10.0. The remaining four weaknesses have been rated High in severity, with each of them having a CVSS |
Vulnerability | ★★★ | |
|
2024-07-19 12:29:14 | Comment ITDR et Deceptions peuvent se défendre contre l'exploitation des vulnérabilités logicielles How ITDR and Deceptions Can Defend Against the Exploitation of Software Vulnerabilities (lien direct) |
It seems like once or twice a year threat researchers discover a massive and often internet-exposed software vulnerability that allows cybercriminals to gain control of a vulnerable computer. Attackers can then use the computer as a foothold that leads to serious damage in a targeted organization. Do you remember Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) or Dirty Pipe (CVE-2022-0847)? Recently, regreSSHion (CVE-2024-6387) joined the list of vulnerabilities with “elegant” names and large potential impact. It was discovered and disclosed by the Qualys Threat Research Unit. RegreSSHion: a new OpenSSH software vulnerability RegreSSHion is a vulnerability in the OpenSSH security service. OpenSSH is an open-source tool that enables secure system administration, file transfers and other communication over the internet or untrusted networks. It is found in many Unix-based operating systems like Mac and Linux. Qualys states in its vulnerability disclosure blog that regreSSHion, if exploited, could lead to a full system takeover. Attackers could use the compromised system to exploit other vulnerable systems within a company, bypassing critical security mechanisms. The depth of this impact, combined with the massive breadth of its public availability, creates a global challenge. Qualys estimates that there are more than 14 million potentially vulnerable OpenSSH server instances on the internet. It also estimates that about 700,000 external internet-facing instances are vulnerable. That is a large number. So, let the patching begin, right? That way, we can all move on to the next security challenge. But wait-not so fast. Patching takes time-meanwhile, attackers can bypass security controls Even the best IT teams can take a long time to patch vulnerabilities. For some teams, the work can stretch into months, years or even longer. This extended exposure time is a serious problem. Threat actors can scan the internet to look for vulnerable systems, just like security researchers do. How can businesses protect themselves in the pre-patching phase? Should they use log-based monitoring, firewalls or agent-based EDR or XDR security systems to detect and stop intrusions? These security measures are not sufficient. Keep in mind that regreSSHion provides bad actors with root-based system privileges on the infected host. That means that they likely can turn off or bypass security controls that operate on or via the host. This is a fundamental weakness of local security controls. They are both visible and available for manipulation by malicious actors who have gained system administrative privileges. ITDR security systems, including deception-based detections, provide defense-in-depth So, what can your business do during the vulnerable period between the public announcement of a CVE, such as RegreSSHion, and when your IT teams can find and patch vulnerable systems? After all, it is during this critical time that the vulnerability is also known and findable by adversaries. This is where an ITDR solution in general and deception-based security controls in particular can come into play-and can truly shine. Signature or behavior-based detection systems need telemetry to detect a threat actor\'s presence. And they must be active to collect data and execute analysis. However, as noted earlier, once they have root system administrative privileges, attackers can, in many cases, simply disable or bypass these systems. Deceptions work differently. Tools like Proofpoint Shadow can deploy authentic-looking resources-like files, accounts and services-throughout the enterprise. These resources serve as lures for threat actors who want to use them to move laterally and escalate privileges. When they attempt to do that, a silent detection alert is triggered and forensic data is sent to the incident response team. With deceptions, there is nothing for | Tool Vulnerability Threat Patching | ||
 |
2024-07-19 11:50:03 | Alertes de vulnérabilité de vigilance - Apache Httpd: fuite de mémoire via HTTP / 2 RST FRAME, analysé le 19/10/2023 Vigilance Vulnerability Alerts - Apache httpd: memory leak via HTTP/2 RST Frame, analyzed on 19/10/2023 (lien direct) |
Un attaquant peut créer une fuite de mémoire d'Apache Httpd, via HTTP / 2 RST Frame, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can create a memory leak of Apache httpd, via HTTP/2 RST Frame, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ★★★ | |
|
2024-07-18 23:35:29 | Qui vas-tu appeler?AndroxGH0st Busters! Who You Gonna Call? AndroxGh0st Busters! (lien direct) |
## Instantané
Les chercheurs en cybersécurité du SANS Internet Storm Center ont identifié AndroxGH0ST, un logiciel malveillant en rédaction de python ciblant les fichiers .env dans les applications Web Laravel.Ce malware fait partie d'une opération de botnet de vol d'identification qui abuse de diverses fonctions, notamment la numérisation de vulnérabilité, le protocole de transfert de courrier simple (SMTP), les API et le déploiement de shell Web.
## Description
Les vulnérabilités clés exploitées par AndroxGH0ST incluent [CVE-2017-9841] (https: //security.microsoft.com/intel-explorer/cves/cve-2017-9841/), une vulnérabilité d'exécution de code distant (RCE) dans Phpunit, [CVE-2018-15133] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2018-15133 /),La Laravel App Key Deerialization RCE, et [CVE-2021-41773] (https://security.microsoft.com/intel-explorer/cves/cve-2021-41773/), une vulnérabilité de Traversal et RCE répertoire dans l'Apache httpserveur.Dans les attaques observées, AndroxGH0ST scanne des fichiers .env exposés et envoie des demandes de post HTTP malveillantes pour exploiter ces vulnérabilités.En cas de succès, le malware télécharge des fichiers malveillants supplémentaires, configure de fausses pages Web pour un accès persistant et exfiltre des données sensibles.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [HackTool: Python / Agent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:python/agent)
- [Trojan: Linux / Dakkatoni] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojandropper:linux/dakkatoni)
- [Trojan: php / webshell] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:php/webshell)
- [PUA: Linux / Coinmin] (https://www.microsoft.com/en-us/wdsi/atherets/mAlware-SencyClopedia-Description? Name = PUA: Linux / Coinmin)
## Recommandations
En plus de corriger les vulnérabilités exploitées connues dans les systèmes orientés Internet, y compris CVE-2017-9841, CVE-2018-15133 et CVE-2021-41773, la source recommande:
- Analyses du système de fichiers: analysez régulièrement le système de fichiers du serveur \\ pour les fichiers PHP inconnus, en particulier dans le répertoire racine ou / fournisseur / phpunit / phpunit / src / util / php.
- Surveiller les demandes sortantes: examiner les demandes de GET sortantes sur les sites d'hébergement de fichiers tels que GitHub, Pastebin, etc., en particulier lors de l'accès à un fichier .php.
## Les références
[Qui vas-tu appeler?AndroxGH0st Busters!\ [Journal invité \]] (https://isc.sans.edu/diary/rss/31086) Sans Internet Storm Center (consulté le 2024-07-18)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Cybersecurity researchers at the SANS Internet Storm Center identified AndroxGh0st, a Python-scripted malware targeting .env files in Laravel web applications. This malware is part of a credential stealing botnet operation that abuses various functions, including vulnerability scanning, Simple Mail Transfer Protocol (SMTP), APIs, and web shell deployment. ## Description Key vulnerabilities exploited by AndroxGh0st include [CVE-2017-9841](https://security.microsoft.com/intel-explorer/cves/CVE-2017-9841/), a Remote Code Execution (RCE) vulnerability in PHPUnit, [CVE-2018-15133](https://security.microsoft.com/intel-explorer/cves/CVE-2018-15133/), the Laravel App Key Deserialization RCE, and [CVE-2021-41773](https://security.microsoft.com/intel-explorer/cves/CVE-2021-41773/), a directory traversal and RCE vulnerability in the Apache HTTP server. In observed attacks, AndroxGh0st scan |
Malware Vulnerability Threat Patching | ★★★ | |
|
2024-07-18 22:12:12 | TAG-100 utilise des outils open source dans la campagne d'espionnage mondiale suspectée, compromettant deux corps intergouvernementaux en Asie-Pacifique TAG-100 Uses Open-Source Tools in Suspected Global Espionage Campaign, Compromising Two Asia-Pacific Intergovernmental Bodies (lien direct) |
#### Géolocations ciblées - États-Unis - Taïwan - Cuba - France - Italie - Japon - Malaisie - Bolivie - Océanie - L'Amérique centrale et les Caraïbes - Amérique du Sud - Asie de l'Est #### Industries ciblées - Services financiers - agences et services gouvernementaux - Diplomatie / relations internationales - économique et commerce - Organisation intergouvernementale - Diplomatie / relations internationales - Organisation non gouvernementale - Organisation religieuse ## Instantané Le groupe insikt de Future \\ de Future a découvert de nouvelles activités de cyber par le groupe TAG-100, ciblant les organisations du secteur du gouvernement, intergouvernemental et du secteur privé dans le monde.Le groupe INSIKT évalue que le groupe a probablement un motif de cyber-espionnage. ## Description TAG-100 utilise des outils d'accès à distance open source et exploite les périphériques orientés Internet pour l'accès initial.Le groupe a été observé en tirant parti de Pantegana, Sparkrat, Leslieloader et [Cobalt Strike] (https: //security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).TAG-100 exploite également rapidementVulnérabilités dans les appareils sur Internet.En mars et avril 2024, le groupe a été observé en exploitant [CVE-2024-3400] (https://security.microsoft.com/intel-profiles/cve-2024-3400) dans les réseaux de Palo Alto2019-9621] (https://security.microsoft.com/intel-explorer/cves/cve-2019-9621/) dans la suite de collaboration Zimbra. Le ciblage des appareils sur Internet permet aux attaquants d'accéder aux réseaux cibles grâce à des produits qui ont diminué la visibilité des équipes de sécurité et des solutions, réduisant le risque de découverte après l'infiltration. En mai 2024, le groupe a probablement compromis les organisations dans au moins dix pays.Insikt Group a identifié ce qui suit comme des organisations importantes: - Organisations intergouvernementales avec siège social en Asie du Sud-Est et en Océanie - Ministères des affaires étrangères pour les pays d'Asie du Sud-Est, d'Amérique du Sud et des Caraïbes - Une ambassade aux États-Unis pour un pays d'Asie du Sud-Ouest - Un certain nombre d'organisations religieuses aux États-Unis et à Taïwan - Une association professionnelle de l'industrie financière basée aux États-Unis - Une entreprise de tests et d'assemblage semi-conducteurs à Taiwan Bien que le groupe INSIKT ne soit pas en mesure d'attribuer l'activité de Tag-110 \\ pour le moment, le ciblage répété du groupe \\ des organisations diplomatiques, religieuses et inter-gouvernementales est conforme à un motif d'espionnage.De plus, plusieurs cibles de cette activité sont conformes à celles historiquement ciblées par les groupes chinois parrainés par l'État.Le groupe Insikt continue d'étudier cette activité. ## Analyse Microsoft Microsoft a observé [typhon de soie] (HTTPS: //security.microsoft.com/intel-profiles/4fe46ed1e8116901052cca3df4c03fca1c56b72c3aaaa769b3907ebb7dcbf875d) et Mulberry Typhoon, deuxActeurs de menace de l'État-nation chinois, exploitant CVE-2024-3400.En avril 2024, le typhon de soie a été observé par Microsoft et [Volexity] (https://www.volexity.com/blog/2024/04/12/zero-king-exploitation-of-unauthenticated-remOte-Code-Exécution-Vulnerabilité dans l'HobalProtect-CVE-2024-3400 /) Exploiter CVE-2024-3400 pour obtenir un accès initial aux réseaux cibles.Le typhon de soie se concentre sur RecOnzesance et la collecte de données en recherchant des sites Web ouverts pour les données divulguées sur l'infrastructure ciblée ainsi que pour exploiter les vulnérabilités zéro-jours.Le groupe cible généralement les soins de santé, l'enseignement supérieur, les entrepreneurs de défense, les groupes de réflexion politiques et les organisations non gouvernementales aux États-U | Tool Vulnerability Threat Medical | ★★★ | |
|
2024-07-18 19:17:59 | Haute sévérité Cisco Bug accorde l'accès aux attaquants High-Severity Cisco Bug Grants Attackers Password Access (lien direct) |
La vulnérabilité a reçu le score CVSS le plus élevé possible, bien que peu de détails aient été publiés en raison de sa gravité.
The vulnerability was given the highest CVSS score possible, though few details have been released due to its severity. |
Vulnerability | ★★★ | |
|
2024-07-18 17:15:00 | Webinaire AppSec: comment transformer les développeurs en champions de sécurité AppSec Webinar: How to Turn Developers into Security Champions (lien direct) |
Laissez-vous y faire face: AppSec et les développeurs ont souvent l'impression qu'ils sont des équipes adverses.Vous vous battez des vulnérabilités sans fin alors qu'ils veulent juste expédier du code.Semble familier?
C'est un défi commun, mais il y a une solution.
Vous avez déjà souhaité qu'ils se soucient de la sécurité proactive?La réponse réside dans une stratégie prouvée, mais souvent négligée: programmes de champion de sécurité - un moyen de transmettre les développeurs de
Let\'s face it: AppSec and developers often feel like they\'re on opposing teams. You\'re battling endless vulnerabilities while they just want to ship code. Sound familiar? It\'s a common challenge, but there is a solution. Ever wish they proactively cared about security? The answer lies in a proven, but often overlooked, strategy: Security Champion Programs - a way to turn developers from |
Vulnerability | ★★ | |
 |
2024-07-18 17:00:00 | SAP AI Core Flaws Expose les données et les clés des clients sensibles SAP AI Core Flaws Expose Sensitive Customer Data and Keys (lien direct) |
Toutes les vulnérabilités de base SAP AI ont été signalées à SAP par Wiz et ont depuis été fixes
All SAP AI Core vulnerabilities were reported to SAP by Wiz and have since been fixed |
Vulnerability | ★★ | |
|
2024-07-18 15:03:00 | SAP AI Core Vulnérabilités Expose les données des clients aux cyberattaques SAP AI Core Vulnerabilities Expose Customer Data to Cyber Attacks (lien direct) |
Les chercheurs en cybersécurité ont révélé des lacunes de sécurité dans la plate-forme basée sur le cloud SAP AI pour la création et le déploiement de flux de travail de l'intelligence artificielle prédictive (AI) qui pourraient être exploitées pour se procurer des jetons d'accès et des données clients.
Les cinq vulnérabilités ont été collectivement surnommées Sapwned par la société de sécurité cloud Wiz.
"Les vulnérabilités que nous avons trouvées auraient pu permettre aux attaquants
Cybersecurity researchers have uncovered security shortcomings in SAP AI Core cloud-based platform for creating and deploying predictive artificial intelligence (AI) workflows that could be exploited to get hold of access tokens and customer data. The five vulnerabilities have been collectively dubbed SAPwned by cloud security firm Wiz. "The vulnerabilities we found could have allowed attackers |
Vulnerability Cloud | ★★★ | |
|
2024-07-18 11:31:00 | Cisco met en garde contre une faille critique affectant le gestionnaire de logiciels intelligents sur site Cisco Warns of Critical Flaw Affecting On-Prem Smart Software Manager (lien direct) |
Cisco a publié des correctifs pour aborder un défaut de sécurité maximal de la sévérité impactant le gestionnaire de logiciels intelligents sur prém (Cisco SSM sur prém) qui pourrait permettre à un attaquant distant et non authentifié de modifier le mot de passe de tous les utilisateurs, y compris ceux appartenant aux utilisateurs administratifs.
La vulnérabilité, suivie comme CVE-2024-20419, propose un score CVSS de 10,0.
"Cette vulnérabilité est due à inapproprié
Cisco has released patches to address a maximum-severity security flaw impacting Smart Software Manager On-Prem (Cisco SSM On-Prem) that could enable a remote, unauthenticated attacker to change the password of any users, including those belonging to administrative users. The vulnerability, tracked as CVE-2024-20419, carries a CVSS score of 10.0. "This vulnerability is due to improper |
Vulnerability | ★★★ | |
 |
2024-07-18 10:37:09 | La vulnérabilité Cisco-sévérité maximale permet aux attaquants de modifier les mots de passe de l'administration Maximum-severity Cisco vulnerability allows attackers to change admin passwords (lien direct) |
Vous voudrez que vous voudrez corriger celui-ci Cisco vient de laisser tomber un correctif pour une vulnérabilité de sévérité maximale qui permet aux attaquants de modifier le mot de passe de tout utilisateur, y compris les administrateurs…
You\'re going to want to patch this one Cisco just dropped a patch for a maximum-severity vulnerability that allows attackers to change the password of any user, including admins.… |
Vulnerability | ★★ | |
|
2024-07-18 07:28:50 | Comment quantifier le cyber-risque How to Quantify Cyber Risk (lien direct) |
It is truly difficult to communicate cyber risk in business terms. Chief information security officers and security and risk management leaders have come a long way in their efforts to create relevant narratives around cyber risk to earn a seat in boardrooms. However, the ability to articulate cyber risk is a dark art that most security professionals aspire to practice daily-and may spend their lifetimes working to get right. That is why the growing field of cyber risk quantification (CRQ) has caught the attention of many security and risk management leaders. Gartner® defines CRQ as “A method for expressing risk exposure from interconnected digital environments to the organization in business terms. Risk exposure can be expressed in currency, market share, customer and beneficiary engagement and disruption in products or services over a chosen period.” Currency is the defining metric of business. But it can be difficult to map a hard-dollar value to black swan cyber events (low probability, high impact) or even soft opportunity costs. Gartner defines the top five use cases for CRQ by the percentage of security and risk management leaders (SRM) as: 78% prioritize cyber-risk mitigation 61% communicate to risk owners 61% communicate to C-level executives 53% communicate to the board 53% align cyber risks to other risk practices To create compelling narratives that break through the noise, it\'s helpful to center your storytelling around people. Here, we\'ll discuss the ways that people create cyber risk-and show you how to quantify it so that you can tell better stories. Cyber risk in human-centric terms When you frame cyber risk in the context of people, it can help make the concept real and relevant to business stakeholders. Telling stories about incidents that affect people in the business is often a starting point. This form of scenario analysis is one of the most compelling ways to demonstrate tangible impact. However, in the language of the FAIR (Factor Analysis of Information Risk) methodology, this approach tells only a fraction of the story. That is because the loss magnitude and loss frequency are limited to the scope of the incident or person. To tell a more universal human-centric cyber story, the risk model needs to recognize that human risks and vulnerabilities encompass a spectrum of behaviors, events and actions that can expose people, companies or institutions to cyberthreats. Crucial facets to consider in the broader view of human risk include the following. 1. Security awareness and education Many users lack adequate knowledge about cybersecurity best practices. Ignorance about phishing scams, the significance of secure passwords or the dangers of downloading suspicious attachments can inadvertently open the door to cyberthreats. 2. User negligence and oversight Even with sufficient knowledge, human error remains a significant risk factor. Careless actions like leaving devices unlocked or unattended, using unsecured public Wi-Fi, or failing to update software regularly can create vulnerabilities that cybercriminals exploit. 3. Social engineering Most modern cyberattacks exploit human psychology through social engineering tactics. Techniques like phishing-where attackers masquerade as trustworthy entities to obtain sensitive information-rely on human trust to succeed. 4. Insider threats Employees or other users with access to sensitive data can pose an insider threat. Whether through malicious intent or inadvertent actions, insiders can compromise data security. That makes them a significant concern for businesses. 5. Threat landscape or threat intelligence Human behaviors are not malicious or risky unless there is context and consideration for the ever-evolving panorama of potential risks, vulnerabilities, and dangers that may threaten a company\'s information security. 6. Security posture and controls | Vulnerability Threat | ★★ | |
|
2024-07-17 21:00:46 | Tumeryk Inc. lance avec le scanner de vulnérabilité Gen Ai LLM gratuit Tumeryk Inc. Launches With Free Gen AI LLM Vulnerability Scanner (lien direct) |
Pas de details / No more details | Vulnerability | TYPEFRAME | ★★★ |
 |
2024-07-17 19:47:38 | La vulnérabilité dans Cisco Smart Software Manager permet aux attaquants de modifier tout mot de passe utilisateur Vulnerability in Cisco Smart Software Manager lets attackers change any user password (lien direct) |
Oui, les mots de passe pour les administrateurs peuvent également être modifiés.
Yep, passwords for administrators can be changed, too. |
Vulnerability | ★★★ |
To see everything:
Our RSS (filtrered)
