What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-10 20:50:57 | Coyote Banking Trojan Targets LATAM with a Focus on Brazilian Financial Institutions (lien direct) | #### Géolocations ciblées - Brésil - Amérique du Sud - L'Amérique centrale et les Caraïbes #### Industries ciblées - Services financiers ## Instantané BlackBerry a publié un rapport détaillant Coyote, un Trojan bancaire .NET qui cible les institutions financières brésiliennes depuis son identification en février 2024. ## Description Les analystes de BlackBerry n'ont pas été en mesure de déterminer exactement comment le coyote est livré aux machines victimes;Cependant, ils évaluent qu'il est probablement livré par attachement de phishing.Coyote déguise son chargeur initial en Squirrel, un logiciel de gestion des applications Windows légitime.Une fois exécuté, Coyote vérifie continuellement la fenêtre du navigateur Internet pour déterminer quand la victime a accédé à un domaine cible.Lorsque cela se produit, Coyote commence la communication avec ses serveurs de commande et de contrôle (C2).Coyote Malware est capable d'exécuter 24 commandes et fonctions, y compris la capture d'écran, affichant des fenêtres de superposition, apportant des modifications du registre, déplaçant la souris de la victime, le keylogging et l'arrêt de la machine. Dans son rapport, Blackberry a inclus les noms de 59 domaines légitimes connus que Coyote a ciblés.Il s'agit notamment des institutions financières brésiliennes, un échange mondial de crypto-monnaie. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le suivant MALLAGIE: - * [Trojan: Msil / Coyote] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:msil/coyote!msr& ;threatid = -2147064768) * - * [Trojan: Win32 / Malgent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/malgent& threattid=-2147172466) * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection livrée par les nuages] (Https: //learn.microsoft.com/en-us/defender-endpoint/cloud-protection-microsoft-defender-antivirus) dans Microsoft Defender aNtivirus ou l'équiva | Malware Tool Threat | ||
 |
2024-07-10 18:00:02 | Arrêt de cybersécurité du mois: les attaques sous les logiciels malveillants de Darkgate depuis la plage Cybersecurity Stop of the Month: Reeling in DarkGate Malware Attacks from the Beach (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) Background Last year, the number of malware attacks worldwide reached 6.08 billion. That\'s a 10% increase compared with 2022. Why are cybercriminals developing so much malware? Because it is a vital tool to help them infiltrate businesses, networks or specific computers to steal or destroy sensitive data. or destroy sensitive data. There are many types of malware infections. Here are just three examples. RYUK (ransomware) Astaroth (fileless malware) DarkGate (multifunctional malware) DarkGate is a notable example. It\'s a sophisticated and adaptive piece of malware that\'s designed to perform various malicious activities. This includes data theft, unauthorized access and system compromise. What makes DarkGate unique are its key characteristics: Multifunctionality. This malware can execute a range of malicious functions, like keylogging, data exfiltration, remote access and more. Evasion techniques. To help avoid detection, it uses advanced evasion techniques, like code obfuscation, encryption and anti-debugging measures. Distribution methods. Bad actors can distribute DarkGate in a variety of ways to trick users into installing it. These methods include phishing emails, malicious attachments, compromised websites and social engineering tactics. Command and control. DarkGate has automatic connectivity to remote control servers. This allows it to receive instructions and exfiltrate data. Its adaptive flexibility is why DarkGate is favored by so many cybercriminals. The scenario In a recent attack, a threat actor (TA571) used DarkGate to try to infiltrate over 1,000 organizations worldwide. The attack spanned across 14,000 campaigns and contained more than 1,300 different malware variants. DarkGate acted as an initial access broker (IAB). The intent was to gain unauthorized access to an organization\'s networks, systems and users\' credentials to exfiltrate data or deploy ransomware. Once they gain remote access, threat actors have been observed selling this access to other bad actors who can then commit further attacks. In this scenario, the threat actor TA571 targeted a resort city on the U.S. East Coast known for its sandy beaches and 10 million tourist visitors annually. The threat: How did the attack happen? Here is how the recent attack unfolded. 1. The deceptive message. Attackers crafted a message that looked like a legitimate email from a known supplier. It detailed the purchase of health and safety supplies for the city\'s office. Instead of including an attachment, the threat actors added embedded URLs to avoid raising suspicion in an attempt to bypass the incumbent email | Ransomware Malware Tool Threat Cloud | ||
|
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ||
 |
2024-07-10 16:22:59 | La dure vérité derrière la résurgence de la Russie \\'s Fin7 The Stark Truth Behind the Resurgence of Russia\\'s Fin7 (lien direct) |
Le groupe de cybercriminaux basé en Russie surnommé "Fin7", connu pour ses attaques de phishing et de logiciels malveillants qui ont coûté des organisations victimes de 3 milliards de dollars depuis 2013, ont été déclarés morts l'année dernière par les autorités américaines.Mais les experts disent que FIN7 a fait la vie en 2024 - la création de milliers de sites Web imitant une gamme de sociétés de médias et de technologie - avec l'aide de solutions Stark Industries, un fournisseur d'hébergement tentaculaire est une source persistante de cyberattaques contre les ennemis de la Russie.
The Russia-based cybercrime group dubbed "Fin7," known for phishing and malware attacks that have cost victim organizations an estimated $3 billion in losses since 2013, was declared dead last year by U.S. authorities. But experts say Fin7 has roared back to life in 2024 -- setting up thousands of websites mimicking a range of media and technology companies -- with the help of Stark Industries Solutions, a sprawling hosting provider is a persistent source of cyberattacks against enemies of Russia. |
Malware | ||
 |
2024-07-10 15:22:08 | Vipersoftx Malware exécute secrètement PowerShell à l'aide de scripts AutOIT ViperSoftX malware covertly runs PowerShell using AutoIT scripting (lien direct) |
Les dernières variantes des logiciels malveillants de volets d'informations Vipersoftx utilisent le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans les scripts AutOIT pour échapper à la détection.[...]
The latest variants of the ViperSoftX info-stealing malware use the common language runtime (CLR) to load and execute PowerShell commands within AutoIt scripts to evade detection. [...] |
Malware | ||
 |
2024-07-10 14:56:58 | POCO Rat s'enfuira profondément dans le secteur minier Poco RAT Burrows Deep Into Mining Sector (lien direct) |
Le nouveau malware cible les utilisateurs hispanophones via des liens Google Drive malveillants et exploite une bibliothèque C ++ populaire pour échapper à la détection.
The novel malware targets Spanish-speaking users via malicious Google Drive links, and taps a popular C++ library to evade detection. |
Malware | ||
 |
2024-07-10 13:47:06 | Des logiciels malveillants qui ne sont pas des ransomwares \\ 'se frayent un chemin à travers les systèmes de Fujitsu Japan \\ Malware that is \\'not ransomware\\' wormed its way through Fujitsu Japan\\'s systems (lien direct) |
La société affirme que l'exfiltration des données était extrêmement difficile à détecter Fujitsu Japan dit qu'une tension malveillante "avancée" non spécifiée était à blâmer pour un vol de données de mars, insistant sur le fait que la souche n'était "pas un ransomware", mais il n'a pas eu\\ 'n'a pas révélé combien de personnes sont affectées…
Company says data exfiltration was extremely difficult to detect Fujitsu Japan says an unspecified "advanced" malware strain was to blame for a March data theft, insisting the strain was "not ransomware", yet it hasn\'t revealed how many individuals are affected.… |
Ransomware Malware | ||
 |
2024-07-10 13:00:05 | Juin 2024 \\’s Malingware le plus recherché: RansomHub prend la première place en tant que groupe de ransomwares le plus répandu à la suite de LockBit3 déclin June 2024\\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) |
> L'indice de menace de point de vérification \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée Windows Badspace Windows via de fausses mises à jour du navigateur Notre dernier index mondial des menaces pour le juin 2024 a noté un changement dans le paysage Ransomware-As-A-Service (RAAS), avec le nouveau venu relatif RansomHub Lockbit3 pour devenir le plus répandugroupe selon des sites de honte publiés.Pendant ce temps, une porte dérobée Windows surnommée Badspace a été identifiée, impliquant des sites Web WordPress infectés et de fausses mises à jour du navigateur.Le mois dernier, RansomHub est devenu le groupe RAAS le plus répandu après des mesures d'application de la loi [& # 8230;]
>Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates Our latest Global Threat Index for June 2024 noted a shift in the Ransomware-as-a-Service (RaaS) landscape, with relative newcomer RansomHub unseating LockBit3 to become the most prevalent group according to publicized shame sites. Meanwhile, a Windows backdoor dubbed BadSpace was identified, involving infected WordPress websites and fake browser updates. Last month, RansomHub became the most prevalent RaaS group after law enforcement action […] |
Ransomware Malware Threat Legislation | ||
|
2024-07-10 12:04:16 | Windows Mshtml Zero-Day utilisé dans les attaques de logiciels malveillants depuis plus d'un an Windows MSHTML zero-day used in malware attacks for over a year (lien direct) |
Microsoft a corrigé une vulnérabilité Windows Zero-Day qui a été activement exploitée lors d'attaques pendant dix-huit mois pour lancer des scripts malveillants tout en contournant les fonctionnalités de sécurité intégrées.[...]
Microsoft fixed a Windows zero-day vulnerability that has been actively exploited in attacks for eighteen months to launch malicious scripts while bypassing built-in security features. [...] |
Malware Vulnerability Threat | ||
 |
2024-07-10 11:05:00 | Vipersoftx Malware déguise en ebooks sur des torrents pour répandre des attaques furtives ViperSoftX Malware Disguises as eBooks on Torrents to Spread Stealthy Attacks (lien direct) |
Les logiciels malveillants sophistiqués connus sous le nom de Vipersoftx ont été observés distribués sous forme de livres électroniques sur des torrents.
"Un aspect notable de la variante actuelle de Vipersoftx est qu'il utilise le Language Runtime (CLR) commun pour charger et exécuter dynamiquement les commandes PowerShell, créant ainsi un environnement PowerShell au sein d'Autoit for Operations", Trellix Security Researchs Mathanraj Thangaraju et Sijo Jacob
The sophisticated malware known as ViperSoftX has been observed being distributed as eBooks over torrents. "A notable aspect of the current variant of ViperSoftX is that it uses the Common Language Runtime (CLR) to dynamically load and run PowerShell commands, thereby creating a PowerShell environment within AutoIt for operations," Trellix security researchers Mathanraj Thangaraju and Sijo Jacob |
Malware | ★★★ | |
|
2024-07-10 10:00:15 | Des équipes de ransomware investissent dans des données personnalisées volant malware Ransomware crews investing in custom data stealing malware (lien direct) |
BlackByte, Lockbit parmi les criminels utilisant des outils sur mesure , car les équipes de ransomware déplacent de plus en plus au-delà de la simple cryptage des fichiers \\ 'et exigeant un paiement pour les déverrouiller, faisant glisser tout de suite des informations sensibles, une partie de laDes organisations criminelles plus matures développent des logiciels malveillants personnalisés pour leur vol de données…
BlackByte, LockBit among the criminals using bespoke tools As ransomware crews increasingly shift beyond just encrypting victims\' files and demanding a payment to unlock them, instead swiping sensitive info straight away, some of the more mature crime organizations are developing custom malware for their data theft.… |
Ransomware Malware | ||
 |
2024-07-10 08:47:03 | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 (lien direct) | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 Le Threat Index de Check Point met en évidence un changement dans le paysage du ransomware-as-a-Service (RaaS), puisque RansomHub devance LockBit3 et prend la tête du classement des groupes les plus courants. Dans le même temps, les chercheurs sont parvenus à identifier une campagne de porte dérobée BadSpace Windows diffusée via de fausses mises à jour de navigateur - Malwares | Malware Threat | ||
|
2024-07-10 06:26:11 | VIPERSOFTX VARIANT SPOSET ABUSION DE .NET RUNIME pour déguiser le vol de données ViperSoftX variant spotted abusing .NET runtime to disguise data theft (lien direct) |
Freeware AutoIt a également utilisé pour masquer des environnements PowerShell dans les scripts Un logiciel malveillant infostateur en évolution rapide connue sous le nom de Vipersoftx a évolué pour devenir plus dangereux, selon les chercheurs en sécurité du vendeur de détection des menaces Trellix.…
Freeware AutoIt also used to hide entire PowerShell environments in scripts A rapidly-changing infostealer malware known as ViperSoftX has evolved to become more dangerous, according to security researchers at threat detection vendor Trellix.… |
Malware Threat | ★★★ | |
|
2024-07-10 05:00:00 | Cible apt aligné par Houthi-Iligned Moyen-Orient avec \\ 'Guardzoo \\' Spyware Houthi-Aligned APT Targets Mideast Militaries With \\'GuardZoo\\' Spyware (lien direct) |
Des logiciels malveillants simples et des TTP simples jouent sur un contexte de conflits géopolitiques complexes dans le monde arabe.
Simple malware and simple TTPs play against a backdrop of complex geopolitical conflict in the Arab world. |
Malware | ★★ | |
 |
2024-07-10 00:15:44 | Distribution de l'asyncrat déguisé en Ebook Distribution of AsyncRAT Disguised as Ebook (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) Couvrait des cas d'Asyncrat distribués via diverses extensions de fichiers (.chm, .wsf et .lnk).[1] [2] Dans les articles de blog susmentionnés, on peut voir que l'acteur de menace a utilisé des fichiers de documents normaux déguisés en questionnaires pour cacher le malware.Dans la même veine, il y a eu récemment des cas où le malware était déguisé en ebook.2. Les logiciels malveillants exécutés via des scripts Le fichier compressé déguisé en Ebook contient un fichier LNK malveillant déguisé ...
1. Overview AhnLab SEcurity intelligence Center (ASEC) covered cases of AsyncRAT being distributed via various file extensions (.chm, .wsf, and .lnk). [1] [2] In the aforementioned blog posts, it can be seen that the threat actor used normal document files disguised as questionnaires to conceal the malware. In a similar vein, there have been cases recently where the malware was disguised as an ebook. 2. Malware Executed via Scripts The compressed file disguised as an ebook contains a malicious LNK file disguised... |
Malware Threat | ★★★ | |
|
2024-07-09 19:47:09 | République de Chine du peuple (PRC) Ministère de sécurité d'État APT40 Tradecraft en action People\\'s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action (lien direct) |
#### Géolocations ciblées - États-Unis - Australie - Japon - Corée - Nouvelle-Zélande - Allemagne - Royaume-Uni ## Instantané La Cybersecurity and Infrsatructure Security Agency (CISA) a publié un avis rédigé par un certain nombre d'organisations de cybersécurité d'État sur APT40, suivis par Microsoft comme [Gingham Typhoon] (https://security.microsoft.com C04BA1F56F4F603268AAB6). ## Description APT40, également connu sous le nom de Kryptonite Panda, Leviathan et Bronze Mohawk, mène des cyber opérations pour la République de Chine du peuple (PRC) du ministère de la Sécurité des États (MSS).Le groupe a une histoire de ciblage des organisations dans divers pays, dont les États-Unis et l'Australie. APT40 mène régulièrement la reconnaissance contre les réseaux d'intérêt, notamment ceux en Allemagne, en Nouvelle-Zélande, en Corée du Sud, au Japon, en Australie, au Royaume-Uni et aux États-Unis.Cela leur permet d'identifier les appareils vulnérables, de fin de vie ou non maintenus sur les réseaux et de déployer rapidement des exploits.APT40 est apte à exploiter les vulnérabilités dès 2017. De plus, l'APT40 est en mesure de profiter rapidement des vulnérabilités nouvellement publiques dans des logiciels communs tels que Log4J ([CVE-2021-44228] (https://security.microsoft.com/Intel-Explorer / Cves / CVE-2021-44228 /)), Atlassian Confluence ([CVE-2021-26084] (https://security.microsoft.com/intel-profiles/cve-2021-26084), et MicrosoftExchange ([CVE-2021-31207] (https: //sip.security.microsoft.com/intel-profiles/cve-2021-31207?tid=72f988bf-86f1-41af-91ab-2d7cd011db47), [cve-2021-34523] (https://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves:/ CVE-2021-34523 /), [CVE-2021-34473] (https: // security.microsoft.com/intel-profiles/cve-2021-34473)). La CISA et les autres agences de déclaration évaluent que l'APT40 continuera d'exploiter les vulnérabilités nouvellement découvertes dans les heures ou les jours suivant la libération publique. APT40 exploite généralement une infrastructure vulnérable et orientée vers le public plutôt que d'employer des méthodes qui nécessitent une interaction victime, telles que les campagnes de phishing, en outre, le groupe utilise généralement des coquilles Web afin d'établir de la persistance. ## Analyse Microsoft L'acteur Microsoft suit comme [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6) est un groupe de chinois à la base de Chine.Le Typhoon Gingham est connu pour cibler principalement les industries maritimes et de la santé, mais a également été observée ciblant un certain nombre de secteurs verticaux de l'industrie, notamment le monde universitaire, le gouvernement, l'aérospatiale / l'aviation, la base industrielle de la défense, la fabrication et le transport.La plupart des organisations ciblées par Typhoon enrichies se trouvent dans la région de la mer de Chine méridionale, mais le groupe cible également les organisations aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud-Est.Gingham Typoon se concentre généralement sur l'espionnage et le vol de données.Le groupe utilise des logiciels malveillants personnalisés (Moktik, Nuveridap et Fusionblaze), Derusbi et des outils disponibles dans le commerce tels que Cobalt Strike. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: JS / MOKTIK] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=bacKDOOR: JS / MOKTIK & AMP; NOFENID = -2147086029) [HackTool: Win32 / Nuveridap] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = HackTool: Win32 / Nuveridap & menaceID = -2147276557) [Trojan | Malware Tool Vulnerability Threat Patching Legislation Industrial | APT 40 | ★★★ |
|
2024-07-09 19:44:26 | Examining Water Sigbin\'s Infection Routine Leading to an XMRig Cryptominer (lien direct) | ## Instantané Trend Micro Identifiée Water Sigbin \'s Exploitation de [CVE-2017-3506] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-3506/Présentation? Tid = 72F988BF-86F1-41AF-91AB-2D7CD011DB47) et [CVE-2023-21839] (https://sip.security.microsoft.com/vulnerability/vulnerabilité/CVE-2023-21839/overview) à déploier des cryptocurrency/CVE-2023-21839/overview) à Deploy Cirptocurrency/CVE-2023-21839/Overview) à Deploy CirptoCurrencLes mineurs via des scripts PowerShell, en utilisant des techniques d'exécution sans fil telles que la réflexion DLL et l'injection de processus. ## Description L'acteur de menace cible également les serveurs Oracle Weblogic et utilise une technique de chargement en plusieurs étapes pour livrer le chargeur Purecrypter et le mineur de cryptographie XMRIG.La technique de chargement à plusieurs degrés à plusieurs degrés Sigbin \\ de Sigbin implique la création d'un nouveau processus pour se faire passer pour une usurpation légitime, en utilisant l'injection de processus pour charger la charge utile XMRIG en mémoire et offrir la charge utile finale par l'exploitation des vulnérabilités Oracle Weblogic.L'acteur de menace met en évidence l'expertise dans l'exploitation des vulnérabilités, le déploiement de mineurs de crypto-monnaie et l'emploi de mesures anti-débugage, soulignant l'importance des mesures de sécurité robustes et de la vigilance dans la surveillance de nouvelles menaces. ## Détections / requêtes de chasse Microsoft Defender pour antivirus détecte les composants de la menace comme logiciel malveillant suivant: Trojan: Msil / injuke ## Recommandations Recommandations pour identifier et atténuer les attaques de cryptojacking Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez [Gestion des identités privilégiées] (https://learn.microsoft.com/azure/active-directory/priviled-entity-management/pim-configure) ou des comptes séparés pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et [Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview), en particulier pour les comptes avec des rôles élevés. - Implémentez le MFA: assurez-vous une utilisation complète de [MFA] (https://learn.microsoft.com/azure/active-directory/authentication/tutorial-enable-azure-mfa), en particulier pour les comptes avec des privilèges de contributeur de machine virtuel.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité cloud peut être trouvée dans [Recommandations de sécurité & # 8211;un guide de référence] (https://learn.microsoft.com/azure/defender-for-cloud/recommendations-reference?ocid=Magicti_TA_LearnDoc). - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les adresses IP Azure externes: l'authentification des adresses IP non locataires doit être considérée comme anormale.Utilisez la commande | Malware Vulnerability Threat Cloud | ★★★ | |
|
2024-07-09 17:11:08 | Ransomware Eldorado ciblant Windows et Linux avec de nouveaux logiciels malveillants Eldorado Ransomware Targeting Windows and Linux with New Malware (lien direct) |
Un autre jour, une autre menace contre les systèmes Windows et Linux!
Another day, another threat against Windows and Linux systems! |
Ransomware Malware Threat | ★★ | |
|
2024-07-09 15:35:00 | Les logiciels malveillants de Guardzoo ciblent plus de 450 militaires du Moyen-Orient GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel (lien direct) |
Le personnel militaire des pays du Moyen-Orient est la cible d'une opération de surveillance continue qui offre un outil de collecte de données Android appelé Guardzoo.
La campagne, censée avoir commencé dès octobre 2019, a été attribuée à un acteur de menace aligné par Houthi-Ira basé sur les leurres d'application, les journaux de serveurs de commandement (C2), de ciblage de l'empreinte et de l'attaque
Military personnel from Middle East countries are the target of an ongoing surveillanceware operation that delivers an Android data-gathering tool called GuardZoo. The campaign, believed to have commenced as early as October 2019, has been attributed to a Houthi-aligned threat actor based on the application lures, command-and-control (C2) server logs, targeting footprint, and the attack |
Malware Tool Threat Mobile | ★★★ | |
 |
2024-07-09 12:32:05 | Les attaques de phishing ciblent les comptes YouTube de haut niveau Phishing Attacks Target High Profile YouTube Accounts (lien direct) |
Les chercheurs de l'ESET avertissent Phishing escroqueries ou logiciels malveillants.
Researchers at ESET warn of phishing attacks that are attempting to hack high-profile YouTube channels in order to spread scams or malware. |
Malware Hack | ★★★ | |
|
2024-07-09 12:32:02 | L'importance de la culture de la sécurité: lorsque les géants des télécommunications recourent aux logiciels malveillants The Importance of Security Culture: When Telecom Giants Resort to Malware (lien direct) |
|
Malware | ★★★ | |
|
2024-07-09 10:56:53 | Les rebelles houthi exploitent leur propre logiciel espion de Guardzoo Houthi rebels are operating their own GuardZoo spyware (lien direct) |
FAIT \\ 'à petit budget \', malware non sophistiqué, disent les chercheurs, mais il peut collecter les mêmes données que Pegasus interview en ce qui concerne la surveillance des logiciels malveillants,Des logiciels espions sophistiqués avec des capacités complexes ont tendance à monter les projecteurs & # 8211;Par exemple, le Pegasus de NSO Group \\, qui est vendu aux gouvernements établis.Mais c'est un kit en fait moins poli dont vous n'avez jamais entendu parler, comme Guardzoo & # 8211;développé et utilisé par les rebelles houthi au Yémen & # 8211;qui domine l'espace.… | Malware | ★★★ | |
|
2024-07-09 10:18:00 | Packages jQuery trojanisés trouvés sur les référentiels de code NPM, GitHub et JSDelivr Trojanized jQuery Packages Found on npm, GitHub, and jsDelivr Code Repositories (lien direct) |
Des acteurs de menace inconnus ont été trouvés pour propager des versions trojanisées de JQuery sur NPM, GitHub et JSdelivr dans ce qui semble être un exemple d'une attaque de chaîne d'approvisionnement "complexe et persistante.
"Cette attaque se distingue en raison de la grande variabilité entre les packages", a déclaré Phylum dans une analyse publiée la semaine dernière.
"L'attaquant a intelligemment caché le malware dans la fonction \\ 'end \' rarement utilisée de
Unknown threat actors have been found propagating trojanized versions of jQuery on npm, GitHub, and jsDelivr in what appears to be an instance of a "complex and persistent" supply chain attack. "This attack stands out due to the high variability across packages," Phylum said in an analysis published last week. "The attacker has cleverly hidden the malware in the seldom-used \'end\' function of |
Malware Threat | ★★★ | |
 |
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ★★ | |
|
2024-07-09 06:00:54 | Prendre Microsoft à l'école: Pourquoi une université de haut niveau a choisi la défense en profondeur avec Proofpoint Taking Microsoft to School: Why a Top University Chose Defense-in-Depth with Proofpoint (lien direct) |
Today more than ever, companies across the country are facing tighter budgets and resource constraints. Universities and schools are no exception. For many, maintaining suboptimal IT tools to save money isn\'t just a matter of prudence-it\'s a necessity. So, why would a top university brave the long and complex educational procurement process just to augment their existing Microsoft email security? This is what one of our newest customers did. Their story echoes those of thousands of Microsoft customers of all sizes, who in the last year augmented their Microsoft security with Proofpoint to create a defense-in-depth approach. While keeping their identity anonymous, we wanted to share their story and the insights they learned along the way. Redefining acceptable risks As part of a larger agreement with Microsoft, the university had spent years using their native email security to protect more than 40,000 mailboxes belonging to students and staff. For much of that time, the university\'s security team dealt with multiple obstacles. Microsoft\'s lack of integrations, its inflexible email controls and its highly manual incident analysis were just a few. The security team recognized that as attacks grew more serious, they needed more layers of security to capture missed threats. The university was already grappling with increasing amounts of internally directed business email compromise (BEC) messages. These emails came from accounts that were compromised by malicious phishing emails that had been delivered to users\' inboxes. On top of that, students and faculty were receiving thousands of additional advanced attacks per week. And the security team had to triage all of them manually. They experienced: Advanced social engineering threats Multi-layered phishing messages Multifactor authentication (MFA) bypass attacks Telephone-oriented attack delivery (TOAD) attacks Without consistent quarantine controls, in-depth threat intelligence and automated remediation, the team could not contain their expanding attack surface. Their threat visibility and productivity were further undermined by subpar reporting and integrations between other tools, such as SIEM and endpoint protection. When these issues were raised with Microsoft, its support team was slow to respond and follow up. It was clear that Microsoft could not stop these escalating attacks. So, the university turned to Proofpoint. Why Augment: Comparing Microsoft and Proofpoint With many years of Microsoft experience, the university had high expectations of Proofpoint to prove its business value. They wanted to be sure that Proofpoint would be a worthwhile addition to the school\'s existing security program. What follows are three key areas in which Proofpoint improved their security posture during the evaluation period. Continuous Detection and Superior Efficacy: Proofpoint Wins Unlike Proofpoint, Microsoft can\'t detect many modern email threats like BEC and advanced phishing attacks. Our data shows that more than 63% of the threats missed by Microsoft-but detected by Proofpoint-are credential phishing. This is largely due to Microsoft\'s restricted URL-detection capabilities, which limit the sandboxing for links to post-delivery, payload-only threats. This means a user must click on a link to trigger Microsoft\'s dynamic analysis. In the case of our customer, this puts the university and students at significant risk and frequently leads to compromised accounts. Phishing links are one of the fastest-growing threat tactics. That is why Proofpoint offers continuous detection for URL threats throughout the email lifecycle. Eighty percent of the URL threats we condemn are stopped before users can interact with them. Our predictive URL analysis and new, industry-first predelivery URL hold and sandboxing make this possible. Together, they greatly reduce the chances that a user might acti | Malware Tool Threat Technical | ★★★ | |
|
2024-07-08 21:25:26 | \\ 'Cloudsorcerer \\' exploite les services cloud dans la campagne de cyber-espionnage \\'CloudSorcerer\\' Leverages Cloud Services in Cyber-Espionage Campaign (lien direct) |
L'arme principale d'APT \\ d'Apt \\ est un outil de logiciel malveillant qui peut modifier le comportement en fonction du processus dans lequel il s'exécute.
The newly discovered APT\'s main weapon is a malware tool that can change behavior depending on the process in which it is running. |
Malware Tool Cloud | ★★★ | |
|
2024-07-08 20:38:00 | Les journaux de logiciels malveillants sombres exposent 3 300 utilisateurs liés aux sites de maltraitance des enfants Dark Web Malware Logs Expose 3,300 Users Linked to Child Abuse Sites (lien direct) |
Une analyse des journaux de logiciels malveillants de volée publié sur le Web Dark a conduit à la découverte de milliers de consommateurs de matériel d'abus sexuel pour enfants (CSAM), indiquant comment de telles informations pourraient être utilisées pour lutter contre les crimes graves.
"Environ 3 300 utilisateurs uniques ont été trouvés avec des comptes sur des sources CSAM connues", a déclaré Future Record, dans un rapport de preuve de concept (POC) publié la semaine dernière."
An analysis of information-stealing malware logs published on the dark web has led to the discovery of thousands of consumers of child sexual abuse material (CSAM), indicating how such information could be used to combat serious crimes. "Approximately 3,300 unique users were found with accounts on known CSAM sources," Recorded Future said in a proof-of-concept (PoC) report published last week. " |
Malware | ★★★ | |
|
2024-07-08 19:54:54 | \\ 'Poseidon \\' Stealer Mac Distribué via Google Ads \\'Poseidon\\' Mac stealer distributed via Google ads (lien direct) |
## Instantané Les analystes de MalwareBytes ont observé une campagne distribuant un voleur Mac via des annonces Google malveillantes pour le navigateur ARC.Le voleur, nommé "Poseidon", est une évolution du [voleur atomique] (https://security.microsoft.com/intel-explorer/articles/38f0f5fa) et a été précédemment suivi comme OSX.RodStealer par MakwareBytes. ## Description Le nouveau voleur comprend des fonctionnalités telles que le pillage des configurations VPN de Fortinet et OpenVPN. Rodrigo4, un acteur de menace sur le Forum Underground XSS, a rebaptisé le projet et l'a annoncé le 23 juin 2024. Poséidon comprend des fonctionnalités comme l'attraction de fichiers, l'extraction de portefeuille crypto, le vol de gestion de mot de passe et la collecte de données du navigateur.L'exfiltration des données a été effectuée à l'aide d'une commande spécifique qui a envoyé des données à un serveur, qui avait un panneau de marque Poseidon. La méthode de distribution du voleur de Poseidon \\ a impliqué une annonce Google malveillante pour le navigateur Arc, redirigeant les utilisateurs vers un faux site, arc-download \ [. \] Com, où un fichier DMG a été téléchargé.Ce fichier avait une astuce pour contourner les protections de sécurité MAC. Il s'agit de la deuxième campagne ces derniers mois où le navigateur ARC est utilisé comme leurre dans les publicités Google malveillantes.La première [campagne a consisté à abandonner un rat Windows] (https://security.microsoft.com/intel-explorer/articles/9dd6578a) en utilisant des méthodes similaires. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac.Autrefois un paradis de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité.Ces tendances comprennent: les publicités malveillantes et la distribution des logiciels, les campagnes d'ingénierie sociale et l'exploitation des vulnérabilités logicielles. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: [Trojan: macOS / Poseidon] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dEscription? Name = Trojan: macOS / Poseidon & menaceID = -2147147527) ## Recommandations Recommandations pour protéger contre la malvertisation Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDo | Ransomware Malware Vulnerability Threat | ★★★ | |
 |
2024-07-08 17:45:02 | À mesure que le cyber commande évolue, son nouveau système d'alerte de logiciels malveillants s'estompe As Cyber Command evolves, its novel malware alert system fades away (lien direct) |
Pas de details / No more details | Malware | ★★★ | |
 |
2024-07-08 16:00:00 | Le nouveau logiciel malveillant des nuages APT frappe les cibles russes New APT CloudSorcerer Malware Hits Russian Targets (lien direct) |
Le malware Issues Commands via une table Charcode à code en dur et des interfaces d'objet Microsoft COM
The malware issues commands via a hardcoded charcode table and Microsoft COM object interfaces |
Malware | ★★★ | |
|
2024-07-08 15:23:00 | Les experts mettent en garde contre le cheval de Troie bancaire Mekotio ciblant les pays d'Amérique latine Experts Warn of Mekotio Banking Trojan Targeting Latin American Countries (lien direct) |
Les institutions financières en Amérique latine sont menacées par un troyen bancaire appelé Mekotio (alias Melcoz).
Cela \\ est selon les résultats de Trend Micro, qui a déclaré avoir récemment observé une vague de cyberattaques distribuant le malware Windows.
Mekotio, connu pour être activement utilisé depuis 2015, est connu pour cibler les pays d'Amérique latine comme le Brésil, le Chili, le Mexique, l'Espagne, le Pérou et le Portugal
Financial institutions in Latin America are being threatened by a banking trojan called Mekotio (aka Melcoz). That\'s according to findings from Trend Micro, which said it recently observed a surge in cyber attacks distributing the Windows malware. Mekotio, known to be actively put to use since 2015, is known to target Latin American countries like Brazil, Chile, Mexico, Spain, Peru, and Portugal |
Malware Prediction | ★★ | |
|
2024-07-08 15:06:59 | Faits saillants hebdomadaires, 8 juillet 2024 Weekly OSINT Highlights, 8 July 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme de cyberattaques sophistiquées dirigés par des groupes APT alignés par l'État et des cybercriminels motivés par l'État, exploitant des vulnérabilités comme [CVE-2021-40444] (https://sip.security.microsoft.com/Intel-Profiles / CVE-2021-40444) et [CVE-2023-1389] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-1389/) pour déployer des logiciels spy et des botnets.Des acteurs parrainés par l'État tels que la tribu transparente de Kimsuky et Pakistan de la Corée du Nord se sont concentrés sur l'espionnage, le ciblage du monde universitaire et le personnel militaire avec des logiciels malveillants comme Translatext et Caprarat.Pendant ce temps, des groupes à motivation financière comme le déploiement de la pruche ont mené de vastes campagnes de logiciels malveillants.Les réseaux sociaux et les menaces basés sur le téléphone étaient également proéminents, les attaques tirant parti des applications Android, du phishing SMS et du contenu généré par l'IA sur des plateformes comme YouTube. ## Description 1. ** [Exploitation de CVE-2021-40444 dans les attaques récentes] (https: // sip.security.microsoft.com/intel-explorer/articles/15df6ab5)**: Fortiguard Labs a identifié des attaques exploitant la vulnérabilité CVE-2021-40444Microsoft Office pour déployer les logiciels espions Merkspy.Le vecteur initial est un document Word malveillant qui, à l'ouverture, déclenche le téléchargement d'un fichier HTML contenant ShellCode intégré pour charger MerkSpy dans les processus système. 2. ** [Copycop Influence Network Ciblers 2024 Élections américaines] (https://sip.security.microsoft.com/intel-explorer/articles/fc24601e) **: enregistré les rapports futurs que le réseau Copycop lié à la russe utilise un générateur générateurAI pour créer de faux sites Web et des personnages pour influencer les élections américaines de 2024.Ce réseau emploie des fesses profondes et des contenus générés par l'IA pour cibler les dirigeants politiques de l'UE et de l'Ukraine, tirant parti de points de vente conservateurs et d'hôtes basés aux États-Unis pour obscurcir ses origines. 3. ** [Déplacement de la pruche \\ est étenduCampagne de distribution de logiciels malveillants] (https://sip.security.microsoft.com/intel-explorer/articles/7b39eb7e) **:Krakenlabs a découvert une campagne à grande échelle en dépassant la pruche, en distribuant des logiciels malveillants comme Redline et Amadey via des fichiers compressés imbriqués.Ce groupe motivé financièrement a utilisé des techniques d'obscurcissement sophistiquées et des organisations ciblées dans le monde entier, avec une activité importante retracée en Europe de l'Est. 4. ** [La nouvelle extension de Chrome de Kimsuky \\ cible le monde universitaire sud-coréen] (https://sip.security.microsoft.com/intel-explorer/articles/c58faf92) **: Zscaler KneareLabz a identifié le groupe nord-coréen APT Group APT GroupKimsuky (Emerald Sleet) utilisant une nouvelle extension chromée, tradlaxt, pour voler des données aux universitaires sud-coréens.Le malware, distribué via un fichier de leurre, rassemble des informations sensibles et communique avec un serveur C2, ciblant les chercheurs axés sur la Corée du Nord. 5. ** [Mises à jour de la campagne Caprarat de Transparent Tribe \'s] (https://sip.security.microsoft.com/intel-explorer/articles/d62a3110) **: Sentinellabs a trouvé de nouveaux packages Android Caprarat liés au Pakistan-Tribu transparent aligné, ciblant le gouvernement indien et le personnel militaire.Les APK mis à jour, déguisés en applications de navigation vidéo, ont augmenté la compatibilité avec les appareils Android plus récents et continuent l'accent du groupe \\ sur la surveillance et la collecte de données. 6. ** [BOTNETS EXPLOITIONS LINUX Cloud serveurs] (https://sip.security.Microsoft.com/intel-explorer/articles/36146b72)**: Fortiguard Labs observés de botnets comme instables e | Malware Tool Vulnerability Threat Mobile Cloud | APT 36 | ★★★ |
 |
2024-07-08 15:02:49 | Les bases de la cybersécurité industrielle peuvent aider à protéger les opérateurs de technologie opérationnelle APAC: Dragos Industrial Cyber Security Basics Can Help Protect APAC Operational Technology Operators: Dragos (lien direct) |
Les utilisateurs de technologies opérationnels sont confrontés à des défis, notamment la communication entre l'ingénierie des processus et les équipes de cybersécurité, une croissance des logiciels malveillants et des ransomwares, et des initiés faisant des erreurs de technologie de base.
Operational technology users face challenges including communication between process engineering and cyber security teams, a growth in malware and ransomware, and insiders making basic technology mistakes. |
Ransomware Malware Industrial | ★★★ | |
 |
2024-07-08 14:00:00 | Enhardi et évolutif: un instantané des cyber-menaces auxquelles l'OTAN est confrontée à l'OTAN Emboldened and Evolving: A Snapshot of Cyber Threats Facing NATO (lien direct) |
Written by: John Hultquist
As North Atlantic Treaty Organization (NATO) members and partners gather for a historic summit, it is important to take stock of one of its most pressing challenges-the cyber threat. The Alliance faces a barrage of malicious cyber activity from all over the globe, carried out by emboldened state-sponsored actors, hacktivists, and criminals who are willing to cross lines and carry out activity that was previously considered unlikely or inconceivable. In addition to military targets, NATO must consider the risks that hybrid threats like malicious cyber activity pose to hospitals, civil society, and other targets, which could impact resilience in a contingency. The war in Ukraine is undoubtedly linked to escalating cyber threat activity, but many of these threats will continue to grow separately and in parallel. NATO must contend with covert, aggressive malicious cyber actors that are seeking to gather intelligence, preparing to or currently attacking critical infrastructure, and working to undermine the Alliance with elaborate disinformation schemes. In order to protect its customers and clients, Google is closely tracking cyber threats, including those highlighted in this report; however, this is just a glimpse at a much larger and evolving landscape. Cyber Espionage NATO\'s adversaries have long sought to leverage cyber espionage to develop insight into the political, diplomatic, and military disposition of the Alliance and to steal its defense technologies and economic secrets. However, intelligence on the Alliance in the coming months will be of heightened importance. This year\'s summit is a transition period, with the appointment of Mark Rutte as the new Secretary General and a number of adaptations expected to be rolled out to shore up the Alliance\'s defense posture and its long-term support for Ukraine. Successful cyber espionage from threat actors could potentially undermine the Alliance\'s strategic advantage and inform adversary leadership on how to anticipate and counteract NATO\'s initiatives and investments. NATO is targeted by cyber espionage activity from actors around the world with varying capabilities. Many still rely on technically simple but operationally effective methods, like social engineering. Others have evolved and elevated their tradecraft to levels that distinguish themselves as formidable adversaries for even the most experienced defenders. APT29 (ICECAP) Publicly attributed to the Russian Foreign Intelligence Services (SVR) by several governments, APT29 is heavily focused on diplomatic and political intelligence collection, principally targeting Europe and NATO member states. APT29 has been involved in multiple high-profile breaches of technology firms that were designed to provide access to the public sector. In the past year, Mandiant has observed APT29 targeting technology companies and IT service providers in NATO member countries to facilitate third-party and software supply chain compromises of government and poli |
Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 29 APT 28 | ★★★ |
|
2024-07-08 13:13:46 | Explorer l'utilisation de JavaScript V8 compilée dans les logiciels malveillants Exploring Compiled V8 JavaScript Usage in Malware (lien direct) |
> Auteur: Moshe Marelus Introduction Au cours des derniers mois, la RCR a enquêté sur l'utilisation de V8 JavaScript compilé par des auteurs de logiciels malveillants.Le V8 JavaScript compilé est une fonctionnalité moins connue du moteur JavaScript de Google \\, qui permet la compilation de JavaScript en bytecode de bas niveau.Cette technique aide les attaquants à échapper aux détections statiques et à cacher leur code source d'origine, [& # 8230;]
>Author: Moshe Marelus Introduction In recent months, CPR has been investigating the usage of compiled V8 JavaScript by malware authors. Compiled V8 JavaScript is a lesser-known feature in V8, Google\'s JavaScript engine, that enables the compilation of JavaScript into low-level bytecode. This technique assists attackers in evading static detections and hiding their original source code, […] |
Malware | ★★★ | |
|
2024-07-08 13:00:00 | 5 meilleures solutions de détection et de réponse (EDR) pour 2024 5 Best Endpoint Detection & Response (EDR) Solutions for 2024 (lien direct) |
Le logiciel de détection et de réponse (EDR) est le meilleur moyen de détecter, d'enquêter et de répondre aux attaques avancées.Le logiciel de détection et de réponse des points de terminaison est une solution de sécurité qui protège contre les logiciels malveillants et autres menaces.
Endpoint detection and response (EDR) software is the best way to detect, investigate, and respond to advanced attacks. Endpoint detection and response software is a security solution that protects against malware and other threats. |
Malware | ★★★ | |
|
2024-07-08 12:06:12 | Comment empêcher l'usurpation par e-mail avec DMARC How to Prevent Email Spoofing with DMARC (lien direct) |
Email-based attacks are the number one attack vector for cybercriminals. These attacks do not always require a high level of technical sophistication to carry out. And because the human factor is involved, there is almost no doubt they will endure as a favored tactic. One way bad actors can greatly increase their chances of a successful attack is when they can make a recipient believe that they are interacting with a person or a brand that they know or trust. “Email spoofing” plays a critical role in helping to create this illusion. In this blog post, we\'ll explain how email spoofing works, why it causes havoc, and how DMARC can protect your business. How bad actors use email spoofing When an attacker uses email spoofing, they are forging the sending address so that the message appears to come from a legitimate company, institution or person. Bad actors use spoofed domains to initiate attacks like phishing, malware and ransomware, and business email compromise (BEC). Here is a closer look at these strategies. Phishing attacks. A bad actor sends a spoofed email, pretending to be from a legitimate source like a bank, government agency or a known company. Their aim is to get the recipient to reveal sensitive information, like login credentials, financial information or personal data. Malware. Spoofed email can contain malicious attachments or links. When a user clicks on them, they trigger the delivery of viruses, ransomware, spyware or other types of malicious software. These tools help attackers to steal data, disrupt operations or take control of systems. Business email compromise (BEC). Many threat actors use spoofed email to trick employees, partners or customers into transferring money or giving up sensitive information. It can be a lucrative endeavor. Consider a recent report from the FBI\'s Internet Crime Complaint Center, which notes that losses from BEC attacks in 2023 alone were about $2.9 billion. Negative effects of email spoofing When an attacker spoofs legitimate domains and uses them in attacks, the negative repercussions for companies can be significant. Imagine if your best customer believed that they were communicating with you, but instead, they were interacting with an attacker and suffered a significant financial loss. Unfortunately, these scenarios play out daily. And they can lead to the following issues, among others. The loss of trust If attackers succeed in their efforts to spoof a company\'s domain and use it to send phishing emails or other malicious communications, recipients may lose trust in that business. When users receive spoofed emails that appear to come from a brand they trust, they may become wary of future communications from that brand. They will lose confidence in the company\'s ability to protect their information. Damage to brand image As noted earlier, a spoofed domain can tarnish a company\'s brand image and reputation. If recipients fall victim to phishing or other scams that involve spoofed domains, they may associate the business or brand with fraudulent or unethical behavior. Financial losses Spoofed domain attacks can result in financial losses for companies in two main ways. Direct financial losses. Such losses can occur when attackers use spoofed domains to carry out fraudulent activities like the theft of sensitive data or unauthorized transactions. Indirect financial losses. These losses take the form of costs associated with attack mitigation. They can stem from incident investigation, the implementation of security improvements, and efforts designed to help repair the company\'s damaged reputation. Customer dissatisfaction Customers who are victims of spoofed domain attacks may experience frustration and anger. They may be motivated to write negative reviews of a company or issue complaints. Certainly, their level of customer satisfaction will take a hit. Over time, repeated incidents of spoofing attacks | Ransomware Spam Malware Tool Threat Legislation Technical | ★★ | |
|
2024-07-08 11:45:18 | ISP majeur accusé d'attaque de logiciels malveillants de masse contre les clients Major ISP Accused of Mass Malware Attack on Customers (lien direct) |
Un important ISP sud-coréen est accusé d'avoir installé des logiciels malveillants sur plus de 600 000 clients \\ 'PCS pour freiner Torrent & # 8230;
A major South Korean ISP is accused of installing malware on over 600,000 customers\' PCs to curb torrent… |
Malware | ★★★ | |
 |
2024-07-08 11:00:00 | Comprendre Rafel Rat et son rôle dans les attaques de ransomwares mobiles Understanding Rafel RAT and Its Role in Mobile Ransomware Attacks (lien direct) |
> Rafel Rat est un type de logiciels malveillants qui permet aux attaquants de prendre un contrôle total sur un appareil mobile victime.Une fois installé, Rafel Rat peut effectuer une variété d'activités malveillantes, telles que le vol d'informations sensibles, l'accès aux fonctions de caméra et de microphone, et, de plus en plus, le déploiement de ransomwares. & # 160;Le ransomware mobile est un type de [& # 8230;]
>Rafel RAT is a type of malware that allows attackers to gain complete control over a victim’s mobile device. Once installed, Rafel RAT can perform a variety of malicious activities, such as stealing sensitive information, accessing camera and microphone functions, and, increasingly, deploying ransomware. Mobile ransomware is a type of […] |
Ransomware Malware Mobile | ★★★ | |
 |
2024-07-08 08:01:00 | Coyote Banking Trojan cible LATAM en mettant l'accent sur les institutions financières brésiliennes Coyote Banking Trojan Targets LATAM with a Focus on Brazilian Financial Institutions (lien direct) |
Coyote est un Trojan bancaire .NET qui a été observé ciblant les institutions financières brésiliennes, principalement les banques.Ce logiciel malveillant sophistiqué utilise des méthodes non conventionnelles pour infiltrer les systèmes, tels que le déguisement de son chargeur initial comme un emballage de mise à jour d'écureuil légitime.
Coyote is a .NET banking Trojan that has been observed targeting Brazilian financial institutions, primarily banks. This sophisticated malware employs unconventional methods to infiltrate systems, such as disguising its initial loader as a legitimate Squirrel update packager. |
Malware | ★★★ | |
|
2024-07-06 22:13:56 | Les chercheurs suivent les identités et les emplacements des utilisateurs de CSAM via des journaux de logiciels malveillants Researchers Track Identities and Locations of CSAM Users via Malware Logs (lien direct) |
Les nouvelles recherches alarmantes expose des milliers de consommateurs de CSAM (Child Sexual Abuse) par le biais de journaux malveillants des infostelleurs.Future enregistré & # 8230;
Alarming new research exposes thousands of CSAM (child sexual abuse material) consumers through infostealer malware logs. Recorded Future… |
Malware | ★★★ | |
|
2024-07-05 21:45:05 | New Orcinius Trojan utilise la piétinement VBA pour masquer l'infection New Orcinius Trojan Uses VBA Stomping to Mask Infection (lien direct) |
## Instantané L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape. ## Description L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape.La méthode d'infection initiale du malware est une feuille de calcul Excel qui apparaît comme un calendrier italien avec trois feuilles de calcul discutant des cycles de facturation dans diverses villes.La feuille de Spreasds, contenant une macro VBA modifiée via \\ 'vba piétinant \', détruit le code source d'origine et laisse uniquement le code P compilé.Cet obscurcissement signifie que la visualisation de la macro ne révèle rien ou une version inoffensive du code, qui s'active lorsque le fichier est ouvert ou fermé.Lors de l'exécution, la macro effectue plusieurs actions: il vérifie et écrit des clés de registre pour masquer les avertissements, énumére l'exécution de fenêtres à l'aide d'Enumthreadwindows, établit la persistance en écrivant une clé de HkeStaruPitems, contacts URL codés pour télécharger des charges utiles supplémentaires à l'aide de wscript.shell, et surveille l'entrée du clavier via SetWindowShooKex.Le malware fait référence \\ 'synaptics.exe \' et \\ 'cache1.exe, \' le liant à d'autres menaces comme Remcos, AgentTesla, Neshta et HtmldRopper, qui se masquait comme \\ 'synaptics.exe \'et peut être trouvé sur Virustotal.Pendant l'analyse, les pages des URL énumérées n'étaient pas disponibles.Sonicwall a publié des signatures pour protéger les clients de l'exploitation potentielle par Orcinius. ## Recommandations Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-05 14:10:00 | Les logiciels malveillants de Gootloader sont toujours actifs, déploie de nouvelles versions pour des attaques améliorées GootLoader Malware Still Active, Deploys New Versions for Enhanced Attacks (lien direct) |
Le logiciel malveillant connu sous le nom de Gootloader continue d'être utilisé actif par les acteurs de la menace qui cherchent à livrer des charges utiles supplémentaires aux hôtes compromis.
"Les mises à jour de la charge utile de Gootloader ont abouti à plusieurs versions de GootLoader, avec Gootloader 3 actuellement en usage actif", a déclaré la société de cybersécurité Cybereason dans une analyse publiée la semaine dernière.
"Alors que certains des détails des charges utiles de Gootloader ont
The malware known as GootLoader continues to be in active use by threat actors looking to deliver additional payloads to compromised hosts. "Updates to the GootLoader payload have resulted in several versions of GootLoader, with GootLoader 3 currently in active use," cybersecurity firm Cybereason said in an analysis published last week. "While some of the particulars of GootLoader payloads have |
Malware Threat | ★★★ | |
|
2024-07-05 11:40:28 | La nouvelle technique de phishing «coller et courir» fait de Ctrl-V un complice cyber-attaque New “Paste and Run” Phishing Technique Makes CTRL-V A Cyber Attack Accomplice (lien direct) |
Malware | ★★★ | ||
|
2024-07-05 10:59:20 | Obtenez des outils avancés de blocage d'annonces et de données supérieures pour seulement 11 $ jusqu'au 7/21 Get Advanced Ad Blocking and Superior Data Privacy Tools for Just $11 Until 7/21 (lien direct) |
Bloquer les fenêtres contextuelles, les bannières et les publicités vidéo tout en vous protégeant des trackers d'activités, des tentatives de phishing, des sites Web frauduleux et d'autres types de logiciels malveillants avec Adguard.
Block popups, banners and video ads while also protecting yourself from activity trackers, phishing attempts, fraudulent websites and other types of malware with AdGuard. |
Malware Tool | ★★ | |
|
2024-07-05 01:12:11 | La nouvelle porte dérobée du groupe Kimsuky apparaît (Happydoor) Kimsuky Group\\'s New Backdoor Appears (HappyDoor) (lien direct) |
Table des matières Ce rapport est une version résumée de & # 8220; Rapport d'analyse de Kimsuky Group & # 8217; s Happydoor Malware & # 8221;Introduit dans AHNLAB Threat Intelligence Platform (TIP), contenant des informations clés pour analyser les violations.Le rapport dans AhnLab Tip comprend des détails sur l'encodage & # 38;Méthodes de chiffrement, structure de paquets, et plus en plus des caractéristiques et des caractéristiques du malware.En particulier, il fournit également un plugin IDA et un serveur de test de porte dérobée développé par AHNLAB pour la commodité des analystes.À noter, le masqué ...
Table of Contents This report is a summarized version of “Analysis Report of Kimsuky Group’s HappyDoor Malware” introduced in AhnLab Threat Intelligence Platform (TIP), containing key information for analyzing breaches. The report in AhnLab TIP includes details on encoding & encryption methods, packet structure, and more in addition to the characteristics and features of the malware. In particular, it also provides an IDA plugin and a backdoor test server developed by AhnLab for the convenience of analysts. To note, the masked... |
Malware Threat | ★★★ | |
|
2024-07-04 13:00:00 | Outils de productivité logicielle détournés pour livrer des infostelleurs Software Productivity Tools Hijacked to Deliver Infostealers (lien direct) |
Les programmes inoffensifs de Little Windows transportaient des logiciels malveillants bon marché pendant des semaines, exposant les clients du fournisseur de logiciel basé en Inde au vol de données.
Innocuous little Windows programs were carrying cheap malware for weeks, exposing customers of the India-based software vendor to data theft. |
Malware Tool | ★★★ | |
|
2024-07-04 08:33:10 | Les pirates attaquent les serveurs HFS pour abandonner les logiciels malveillants et les mineurs Monero Hackers attack HFS servers to drop malware and Monero miners (lien direct) |
Les pirates ciblent les anciennes versions du serveur de fichiers HTTP (HFS) de REJETTO pour supprimer les logiciels malveillants et les logiciels d'exploration de crypto-monnaie.[...]
Hackers are targeting older versions of the HTTP File Server (HFS) from Rejetto to drop malware and cryptocurrency mining software. [...] |
Malware | ★★★ | |
|
2024-07-04 01:16:40 | New Medusa malware variants target Android users in seven countries (lien direct) | #### Géolocations ciblées - Espagne - France - Italie - Canada - États-Unis - Royaume-Uni - t & uuml; rkiye ## Instantané L'équipe de renseignement sur les menaces de Cleafy a identifié la résurgence de la Méduse Banking Trojan pour Android, ciblant des pays, notamment la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. ## Description La nouvelle campagne, observée depuis mai 2024, présente des variantes compactes nécessitant moins d'autorisations et l'introduction de nouvelles capacités pour lancer des transactions directement à partir d'appareils compromis.Ces variantes ont été distribuées à travers 24 campagnes en utilisant le phishing SMS pour charger les logiciels malveillants via des applications compte-gouttes, attribuées à cinq botnets distincts.Notamment, l'infrastructure centrale du malware \\ récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir de profils publics de médias sociaux. Le malware de Medusa, découvert pour la première fois en 2020, est connu pour ses capacités de rat, notamment le keylogging, les contrôles d'écran et la manipulation du SMS, permettant une fraude à dispositive sophistiquée (ODF).Dans les campagnes récentes, l'équipe de Cleafy \\ a identifié un changement dans la stratégie de distribution du malware \\, avec des acteurs de menace expérimentant des "dropsiers" pour diffuser le malware via de fausses procédures de mise à jour.L'évolution du malware \\ comprend un ensemble d'autorisation réduit et rationalisé, améliorant sa furtivité et son efficacité tout en ciblant de nouvelles régions géographiques.La dernière variante Medusa réduit son empreinte sur les appareils compromis, conserve les services d'accessibilité d'Android et ajoute de nouvelles commandes, y compris la possibilité de capturer des captures d'écran et d'effectuer des actions trompeuses avec une superposition d'écran noir. Dans les dernières campagnes, cinq botnets distincts ont été identifiés, chacun avec des caractéristiques uniques et des cibles géographiques.Le malware utilise des techniques avancées telles que l'utilisation de VNC pour un contrôle en temps réel, la récupération dynamique des URL du serveur C2 à partir des médias sociaux et l'utilisation des canaux de communication de sauvegarde pour une résilience accrue.L'analyse de Cleafy \\ a également noté des changements significatifs dans la structure de commande de la variante MEDUSA, avec l'introduction de nouvelles commandes telles que la définition de superpositions d'écran noir et les applications désinstallées à distance, améliorant encore ses capacités malveillantes.Bien qu'il ne soit pas encore observé sur Google Play, le nombre croissant de cybercriminels impliqués dans l'opération de logiciels malveillants en tant que service (MAAS) suggère que les stratégies de distribution sont susceptibles de se diversifier et de devenir plus sophistiquées. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / medusa.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name = rançon: win32 / medusa.pa! Mtb & menaceID = -2147079865) ### Microsoft Defender pour le point de terminaison Les alertes suivantes peuvent indiquer l'activité associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Un ransomware actif \\ 'medusa \' a été détecté ## Recommandations Microsoft recommande que les développeurs et les analystes de sécurité se familiarisent avec les [excellentes directives de sécurité des applications Android] (https://developer.android.com/privacy-and-security/risks) fourn | Ransomware Malware Vulnerability Threat Mobile | ★★★ | |
|
2024-07-04 00:56:21 | Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (2) Linux Defense Evasion Techniques Detected by AhnLab EDR (2) (lien direct) |
l'article de blog «Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (1)» [1] Méthodes couverts par des méthodes couvertesLorsque les acteurs de la menace et les souches de logiciels malveillants ont attaqué les serveurs Linux avant d'incapacité des services de sécurité tels que des pare-feu et des modules de sécurité, puis de dissimuler les logiciels malveillants installés.Ce poste couvrira des techniques d'évasion de défense supplémentaires contre les systèmes Linux non couverts dans le dernier poste.Par exemple, les méthodes de dissimulation de logiciels malveillants incluent le fait que le malware en cours d'exécution se supprime pour ne pas être remarqué par un administrateur, ou supprimer ...
The blog post “Linux Defense Evasion Techniques Detected by AhnLab EDR (1)” [1] covered methods where the threat actors and malware strains attacked Linux servers before incapacitating security services such as firewalls and security modules and then concealing the installed malware. This post will cover additional defense evasion techniques against Linux systems not covered in the past post. For example, methods of concealing malware include having the running malware delete itself to not be noticed by an administrator, or deleting... |
Malware Threat | ★★ |
To see everything:
Our RSS (filtrered)
