What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-25 20:14:43 | FrostyGoop malware attack cut off heat in Ukraine during winter (lien direct) | ## Instantané Le fournisseur de cybersécurité Dragos a identifié l'utilisation de FrostyGoop, un logiciel malveillant Windows lié aux groupes de menaces russes, dans une cyberattaque de janvier 2024 qui a perturbé le chauffage dans plus de 600 immeubles d'appartements à Lviv, en Ukraine.Le malware cible les systèmes de contrôle industriel (ICS) à l'aide du protocole Modbus TCP Communications. ## Description Les attaquants ont accédé initial au réseau de la victime près d'un an plus tôt en exploitant une vulnérabilité dans un routeur Mikrotik exposé à Internet.Ils ont maintenu l'accès à l'aide d'une volet en ligne, ont volé des informations d'identification des utilisateurs et ont finalement détourné les contrôleurs de systèmes de chauffage du district \\, rétrogradant leur firmware pour échapper à la détection. Parce que le réseau du fournisseur de victimes n'a pas été segmenté, les pirates ont pivoté pour compromettre le réseau interne et déployé le malware Frostygoop.FrostyGoop est des logiciels malveillants spécifiques aux ICS écrits dans Golang qui interagissent directement avec ICS à l'aide de Modbus TCP sur le port 502. Le malware a ensuite envoyé des commandes via le réseau Ethernet interne aux contrôleurs enco, que le fournisseur utilisait pour gérer les chaudières et les pompes de chauffage. Selon Dragos, l'incident est à noter car FrostyGoop est la première souche malveillante ICS axée sur l'abus du protocole Modbus, qui est l'un des protocoles ICS les plus populaires. ### Analyse supplémentaire Dragos n'a pas attribué l'attaque, mais d'autres chercheurs en cybersécurité rapportent que le TTPS correspond à l'activité de l'acteur de menace basé en Russie [Seashell Blizzard] (https://security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01eeeeeE3D9EE3048078288E5201BB) (aka Sandworm, APT44, Iridium).La Russie cible agressivement les infrastructures critiques ukrainiennes avec les deux CYberattaques et missiles.Par exemple, en avril, l'équipe d'intervention d'urgence informatique de l'Ukraine \\ (CER-UA) a indiqué que [Seashell Blizzard avait ciblé] (https://therecord.media/frostygoop-malware-ukraine-heat) près de 20 installations énergétiques dans les installations énergétiques de dansL'Ukraine au printemps, potentiellement pour amplifier l'impact des missiles russes intenses et des grèves de drones sur les infrastructures critiques. ## Recommandations Dragos recommande aux organisations de mettre en œuvre les 5 contrôles critiques SANS pour la cybersécurité OT de classe mondiale.Il s'agit notamment de la réponse aux incidents ICS, de l'architecture défendable, de la visibilité et de la surveillance du réseau ICS, de l'accès à distance sécurisé et de la gestion des vulnérabilités basée sur les risques.De plus, Dragos fournit les recommandations suivantes: 1. Réponse des incidents ICS Compte tenu de la complexité et de la nature ciblée de l'attaque de Frostygoop, un plan de réponse aux incidents robuste est crucial.Ce plan devrait intégrer des réponses spécialisées pour les environnements OT, car ces systèmes ont souvent des exigences de continuité opérationnelle qui remplacent les systèmes informatiques traditionnels.Pour FrostyGoop, qui interagit directement avec ICS via les commandes MODBUS, le plan de réponse doit inclure des procédures pour isoler rapidement les appareils affectés, analyser le trafic réseau pour les commandes MODBUS non autorisées et restaurer des opérations de système précises.La formation et les exercices réguliers spécifiques aux attaques MODBUS et ICS ciblées assureront également la préparation et la gestion efficace des incidents. 2. Architecture défendable Cette attaque met en évidence le manque de segmentation adéquate du réseau et la présence de contrôleurs exposés à Internet.Pour lutter contre les menaces comme FrostyGoop, une architecture défendable doit être mise en œuvre, en pri | Malware Vulnerability Threat Industrial | ||
|
2024-07-25 20:11:02 | Nombre croissant de menaces tirant parti de l'IA Growing Number of Threats Leveraging AI (lien direct) |
## Instantané Symantec a identifié une augmentation des cyberattaques utilisant des modèles de grande langue (LLM) pour générer du code malveillant pour télécharger diverses charges utiles. En savoir plus sur la façon dont Microsoft s'est associé à OpenAI pour [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef). ## Description Les LLM, conçues pour comprendre et créer du texte de type humain, ont des applications, de l'assistance à l'écriture à l'automatisation du service client, mais peuvent également être exploitées à des fins malveillantes.Les campagnes récentes impliquent des e-mails de phishing avec du code pour télécharger des logiciels malveillants comme Rhadamanthys, Netsupport et Lokibot.Ces attaques utilisent généralement des scripts PowerShell générés par LLM livrés via des fichiers .lnk malveillants dans des fichiers zip protégés par mot de passe.Un exemple d'attaque impliquait un e-mail de financement urgent avec un tel fichier zip, contenant des scripts probablement générés par un LLM.Les recherches de Symantec \\ ont confirmé que les LLM comme Chatgpt peuvent facilement produire des scripts similaires.La chaîne d'attaque comprend l'accès initial via des e-mails de phishing, l'exécution des scripts générés par LLM et le téléchargement final de la charge utile.Symantec met en évidence la sophistication croissante des attaques facilitées par l'IA, soulignant la nécessité de capacités de détection avancées et de surveillance continue pour se protéger contre ces menaces en évolution. ## Analyse Microsoft Microsoft a identifié des acteurs comme [Forest Blizzard] (https://security.microsoft.com/Intel-Profiles / DD75F93B2A771C9510DCEEC817B9D34D868C2D1353D08C8C1647DE067270FDF8), [EMERDD Sleet] (HTTP EE4ED596D8AE16F942F442B895752AD9F41DD58E), [Crimson Sandstorm] (https://sip.security.microsoft.com/intel-profiles/34E4ACFE2868D450AC93C5C3E6D2DF021E2801BDB3700DD8F172D602DF6DA046), [CHARCOAL TYPHOON] ( 3DB3D52D0495410EFD39D506AAD9A4) et [Typhoon de saumon] (https://security.microsoft.com/intel-profiles/5323e9969bf361e48bc236a53189 6) Tirer parti des LLMautomatiseret optimiser la génération de scripts;Cependant, certains de ces acteurs ont exploité les LLM de d'autres manières, notamment la reconnaissance, la recherche sur la vulnérabilité, l'ingénierie sociale et la traduction des langues.En savoir plus sur la façon dont ces acteurs interagissent et utilisent les LLM sur le [Microsoft Security Blog] (https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of--of-Les acteurs de la menace à l'âge-ai /). ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Msil / Lazy *] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:mil/lazy.beaa!mtb) - [* Trojan: Win32 / Oyster *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/oyster!mtb) - [* Trojan: JS / Nemucod! MSR *] (https://www.microsoft.com/en-us/wdsi/atherets/Malware-encyClopedia-description?name=trojan:js/neMucod!msr) - [* Trojan: PowerShell / Malgent *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encycopedia-description?name=trojan:powershell/malgent!MSR) - [* Trojan: win32 / winlnk *] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Winlnk.al) - [* Trojan: Win32 / Rhadamanthys *] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-description?name=trojan:win32/rhadamanthyslnk.da!Mtb) - [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) - [* Trojan: js / obfuse.nbu *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=trojan:js/obfuse.nbu) - [* Trojan: Win32 / Lokibot *] (https://www.mi | Malware Vulnerability Threat | ChatGPT | |
 |
2024-07-25 19:49:01 | Les dangers cachés et les opportunités de l'IA génératrice: ce que les entreprises doivent savoir The Hidden Dangers and Opportunities of Generative AI: What Enterprises Need to Know (lien direct) |
> Depuis le lancement de Chatgpt en novembre 2022, Generative IA (Genai) a connu une adoption rapide d'entreprise.Selon des chercheurs de The Netskope Threat Labs, en juin 2024, 96% des organisations utilisent divers types d'applications Genai.Cette adoption généralisée transforme le fonctionnement des entreprises, mais avec une grande puissance, une grande responsabilité - et [& # 8230;]
>Since the launch of ChatGPT in November 2022, generative AI (genAI) has seen rapid enterprise adoption. According to researchers in the Netskope Threat Labs, as of June 2024, an astonishing 96% of organizations are using various types of genAI apps. This widespread adoption is transforming how businesses operate, but with great power comes great responsibility-and […] |
Threat | ChatGPT | |
 |
2024-07-25 19:38:00 | Les pirates nord-coréens passent du cyber-espionnage aux attaques de ransomwares North Korean Hackers Shift from Cyber Espionage to Ransomware Attacks (lien direct) |
Un acteur de menace en Corée du Nord, connu pour ses opérations de cyber-espionnage, s'est progressivement étendu à des attaques motivées financièrement qui impliquent le déploiement de ransomwares, le distinguant des autres groupes de piratage de l'État-nation liés au pays.
Mandiant appartenant à Google suit le cluster d'activités sous un nouveau surnom APT45, qui chevauche des noms tels que Andariel, Nickel Hyatt,
A North Korea-linked threat actor known for its cyber espionage operations has gradually expanded into financially-motivated attacks that involve the deployment of ransomware, setting it apart from other nation-state hacking groups linked to the country. Google-owned Mandiant is tracking the activity cluster under a new moniker APT45, which overlaps with names such as Andariel, Nickel Hyatt, |
Ransomware Threat | APT 15 | |
 |
2024-07-25 16:58:16 | Les défauts critiques de la ServiceNow RCE sont activement exploités pour voler des informations d'identification Critical ServiceNow RCE flaws actively exploited to steal credentials (lien direct) |
Les acteurs de la menace se regroupent ensemble de défauts de service à l'aide d'exploits accessibles au public pour violer les agences gouvernementales et les entreprises privées dans les attaques de vol de données.[...]
Threat actors are chaining together ServiceNow flaws using publicly available exploits to breach government agencies and private firms in data theft attacks. [...] |
Threat | ||
 |
2024-07-25 15:32:05 | La société de sécurité embauche accidentellement un piratage nord-coréen, ne savait pasBe4 Security Firm Accidentally Hires North Korean Hacker, Did Not KnowBe4 (lien direct) |
Un ingénieur logiciel embauché pour une équipe interne de l'IT IA est immédiatement devenu une menace d'initié en chargeant des logiciels malveillants sur son poste de travail.
A software engineer hired for an internal IT AI team immediately became an insider threat by loading malware onto his workstation. |
Malware Threat | ||
|
2024-07-25 15:28:00 | Webinaire: sécuriser l'espace de travail moderne: ce que les entreprises doivent savoir sur la sécurité du navigateur d'entreprise Webinar: Securing the Modern Workspace: What Enterprises MUST Know about Enterprise Browser Security (lien direct) |
Le navigateur est le centre nerveux de l'espace de travail moderne.Ironiquement, cependant, le navigateur est également l'une des surfaces de menace les moins protégées de l'entreprise moderne.Les outils de sécurité traditionnels offrent peu de protection contre les menaces basées sur le navigateur, laissant les organisations exposées.La cybersécurité moderne nécessite une nouvelle approche basée sur la protection du navigateur lui-même, qui offre les deux
The browser is the nerve center of the modern workspace. Ironically, however, the browser is also one of the least protected threat surfaces of the modern enterprise. Traditional security tools provide little protection against browser-based threats, leaving organizations exposed. Modern cybersecurity requires a new approach based on the protection of the browser itself, which offers both |
Tool Threat | ||
 |
2024-07-25 14:41:59 | 5 stratégies pour établir les bonnes KPI de cybersécurité 5 Strategies for Setting the Right Cybersecurity KPIs (lien direct) |
Les indicateurs de performance clés de la cybersécurité (KPI) mesurent l'efficacité du programme de cybersécurité de l'organisation.Dans un paysage de menace en évolution rapide caractérisée par de nouvelles identités, environnements et méthodes d'attaque, de nombreux KPI potentiels existent pour suivre.Mesurer aussi ...
Cybersecurity key performance indicators (KPIs) measure the efficacy of an organization\'s cybersecurity program. In a rapidly changing threat landscape characterized by new identities, environments and attack methods, many potential KPIs exist to track. Measuring too... |
Threat | ||
 |
2024-07-25 14:00:00 | APT45: Machine militaire numérique de la Corée du Nord APT45: North Korea\\'s Digital Military Machine (lien direct) |
Written by: Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan, Michael Barnhart
Executive Summary APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. APT45 has gradually expanded into financially-motivated operations, and the group\'s suspected development and deployment of ransomware sets it apart from other North Korean operators. APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43. Among the groups assessed to operate from the Democratic People\'s Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. Overview Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group\'s earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. 
Shifts in Targeting and Expanding Operations
Similar to other cyber threat activity attributed to North Korea-nexus groups, shifts in APT45 operations have reflected the DPRK\'s changing priorities. Malware samples indicate the group was active as early as 2009, although an observed focus on government agencies and the defense industry was observed beginning in 2017. Identified activity in 2019 aligned with Pyongyang\'s continued interest in nuclear issues and energy. Although it is not clear if financially-motivated operations are a focus of APT45\'s current mandate, the group is distinct from other North Korean operators in its suspected interest in ransomware. Given available information, it is possible that APT45 is carrying out financially-motivated cybercrime not only in support of its own operations but to generate funds for other North Korean state priorities.
Financial Sector
Like other North Korea |
Ransomware Malware Tool Threat Medical | APT 37 APT 43 | |
|
2024-07-25 13:59:00 | Les chercheurs révèlent une vulnérabilité de fonction confuse dans Google Cloud Platform Researchers Reveal ConfusedFunction Vulnerability in Google Cloud Platform (lien direct) |
Les chercheurs en cybersécurité ont divulgué une vulnérabilité d'escalade des privilèges impactant le service de fonctions cloud de Google Cloud Platform \\ qu'un attaquant pourrait exploiter pour accéder à d'autres services et données sensibles de manière non autorisée.
Tenable a donné à la vulnérabilité le nom ConfusedFunction.
"Un attaquant pourrait dégénérer ses privilèges sur le compte de service de construction de cloud par défaut et
Cybersecurity researchers have disclosed a privilege escalation vulnerability impacting Google Cloud Platform\'s Cloud Functions service that an attacker could exploit to access other services and sensitive data in an unauthorized manner. Tenable has given the vulnerability the name ConfusedFunction. "An attacker could escalate their privileges to the Default Cloud Build Service Account and |
Vulnerability Threat Cloud | ||
 |
2024-07-25 13:08:08 | Coucoo Spear & # 8211;le dernier acteur de menace nationale ciblant les entreprises japonaises Cuckoo Spear – the latest Nation-state Threat Actor targeting Japanese companies (lien direct) |
Highly sophisticated, well-funded, and strategically motivated nation-state cybersecurity threats are complex and challenging, requiring advanced cybersecurity measures, threat intelligence, and international cooperation. Government agencies or state-sponsored groups, are engaging in cyber-attacks for various reasons, including espionage, sabotage, or for political influence. |
Threat | ||
 |
2024-07-25 13:02:02 | Doppelgänger : Opérations de manipulation de l\'information en cours en Europe et aux Etats-Unis (lien direct) | L'équipe de Cyber Threat Research d'HarfangLab a enquêté sur les opérations de manipulation de l'information Doppelgänger, de la mi-juin à la mi-juillet, afin d'apporter des renseignements complémentaires sur l'infrastructure, les tactiques et les motivations associées en Europe et aux États-Unis, où les élections politiques occupent l'attention des médias et des réseaux sociaux. - Investigations | Threat | ||
 |
2024-07-25 13:00:00 | Campagne de phishing ciblant les utilisateurs mobiles en Inde en utilisant les leurres en Inde Phishing Campaign Targeting Mobile Users in India Using India Post Lures (lien direct) |
L'équipe de recherche sur les menaces de Fortiguard Labs a récemment observé un certain nombre de publications sur les réseaux sociaux commentant une campagne de fraude ciblant les publications de l'Inde.Apprendre encore plus.
The FortiGuard Labs Threat Research team recently observed a number of social media posts commenting on a fraud campaign targeting India Post users. Learn more. |
Threat Mobile | ||
 |
2024-07-25 12:03:21 | Kaspersky dit que l'oncle Sam a snobbed proposition d'ouvrir son code pour une revue tierce Kaspersky says Uncle Sam snubbed proposal to open up its code for third-party review (lien direct) |
Ces affirmations de menace de sécurité nationale?\\ 'Aucune preuve, \' VP indique au reg exclusif malgré la détermination des fédérales \\ 'à interdire le logiciel de sécurité de Kaspersky \\ aux États-Unis, le RusseLes entreprises avancent avec une autre proposition d'ouvrir ses données et ses produits à l'examen tiers & # 8211;et prouve à l'oncle Sam que son code n'a pas été compromis par les espions du Kremlin.…
Those national security threat claims? \'No evidence,\' VP tells The Reg Exclusive Despite the Feds\' determination to ban Kaspersky\'s security software in the US, the Russian business is moving forward with another proposal to open up its data and products to third-party review – and prove to Uncle Sam that its code hasn\'t been compromised by Kremlin spies.… |
Threat | ||
|
2024-07-25 11:17:00 | Le défaut de moteur Docker critique permet aux attaquants de contourner les plugins d'autorisation Critical Docker Engine Flaw Allows Attackers to Bypass Authorization Plugins (lien direct) |
Docker avertit un défaut critique ayant un impact sur certaines versions de Docker Engine qui pourraient permettre à un attaquant de contourner les plugins d'autorisation (AUTHZ) dans des circonstances spécifiques.
Suivi en CVE-2024-41110, la vulnérabilité d'escalade de contournement et de privilège comporte un score CVSS de 10,0, indiquant une gravité maximale.
"Un attaquant pourrait exploiter un contournement à l'aide d'une demande d'API avec un ensemble de longueur de contenu
Docker is warning of a critical flaw impacting certain versions of Docker Engine that could allow an attacker to sidestep authorization plugins (AuthZ) under specific circumstances. Tracked as CVE-2024-41110, the bypass and privilege escalation vulnerability carries a CVSS score of 10.0, indicating maximum severity. "An attacker could exploit a bypass using an API request with Content-Length set |
Vulnerability Threat | ||
 |
2024-07-25 11:00:48 | Dégeler votre stratégie de sécurité des e-mails avec le rapport radar 2024 de Frost \\: un paysage dynamique de cyber-menace Thawing Your Email Security Strategy with Frost\\'s 2024 Radar Report: A Dynamic Cyber Threat Landscape (lien direct) |
> Dans l'ère numérique d'aujourd'hui, le courrier électronique reste le principal conduit pour la communication d'entreprise, ce qui en fait une cible privilégiée pour les cybercriminels.Le rapport de recherche sur le radar Frost sur la sécurité des e-mails pour 2024 souligne l'importance critique des mesures de sécurité par e-mail robustes au milieu d'un paysage de menace en constante évolution.Avec la prolifération des attaques de phishing et des logiciels malveillants, la nécessité d'un [& # 8230;] avancé [& # 8230;]
Le post dégeler votre stratégie de sécurité par e-mail avec Frost \'sRapport radar 2024: Un paysage dynamique de cyber-menaces est apparu pour la première fois sur slashnext .
>In today’s digital age, email remains the primary conduit for business communication, making it a prime target for cybercriminals. The Frost Radar Research Report on Email Security for 2024 underscores the critical importance of robust email security measures amidst an ever-evolving threat landscape. With the proliferation of phishing attacks and malware, the need for advanced […] The post Thawing Your Email Security Strategy with Frost\'s 2024 Radar Report: A Dynamic Cyber Threat Landscape first appeared on SlashNext. |
Malware Threat | ||
|
2024-07-25 11:00:00 | CISA prévient les vulnérabilités exploitables dans le logiciel populaire Bind 9 DNS CISA Warns of Exploitable Vulnerabilities in Popular BIND 9 DNS Software (lien direct) |
L'Internet Systems Consortium (ISC) a publié des correctifs pour aborder plusieurs vulnérabilités de sécurité dans la suite logicielle du Domain Domain (BIND) 9 de noms de domaine (DNS) de Berkeley qui pourrait être exploitée pour déclencher une condition de déni de service (DOS).
"Un acteur de cybermenace pourrait exploiter l'une de ces vulnérabilités pour provoquer une condition de déni de service", la cybersécurité américaine et
The Internet Systems Consortium (ISC) has released patches to address multiple security vulnerabilities in the Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) software suite that could be exploited to trigger a denial-of-service (DoS) condition. "A cyber threat actor could exploit one of these vulnerabilities to cause a denial-of-service condition," the U.S. Cybersecurity and |
Vulnerability Threat | ||
 |
2024-07-25 06:04:58 | 3 Conseils pour créer un programme efficace de sensibilisation à la sécurité pour vos employés 3 Tips to Build an Effective Security Awareness Program for Your Employees (lien direct) |
There are three cybersecurity truths that have stood the test of time (so far). Most breaches involve the human element. The latest Data Breach Investigations Report (DBIR) from Verizon notes that more than three-quarters (76%) of all breaches involve a human element. Phishing is one of the most common tactics for gaining initial access to a business. The DBIR says phishing was the second-most used tactic in 2023, right after stolen credentials. (Notably, credentials are often lost in phishing attacks first.) People are willing to take risks. That\'s why they often fall victim to attacks-because they take risky actions, like clicking on links and opening attachments from people they don\'t know. Research for our 2024 State of the Phish report shows that 68% of people do this. Given these truths, a human-centric security strategy is critical to protecting an organization. And mitigating human risk should be an important foundational pillar. This approach to cybersecurity recognizes that while technological solutions are essential, they are not sufficient on their own. Human behavior must be addressed directly. If you build an awareness program that is guided by threat intelligence and gives users the tools to respond to phishing attacks, you can attain quantifiable results. In this blog, we\'ll discuss three tips that you can use right now to build your security awareness training program in a way that empowers your employees to change their behavior. Tip 1: Prioritize high-risk user groups Human-centric cybersecurity starts with having visibility into who presents the greatest risk to your business. Often, the actions of a very small percentage of employees are the root cause of most security incidents. When you understand who presents the most risk, you can maximize your program\'s impact by improving the resilience of these individuals. For our 2024 State of the Phish report, we asked information security professionals who they believe represent the greatest risk to their organizations. The top group were the users who had access to critical data (privileged users). A chart that shows users who represent risk within companies. (Source: 2024 State of the Phish report from Proofpoint.) Privilege risk is one key factor in quantifying total human risk. It considers the amount of damage that could result from a successful attack. However, you must also consider: Attack risk, which demonstrates that the more a person has been attacked in the recent past, the higher the probability that they will be attacked in the near future. Vulnerability risk, which evaluates the probability that an attack would be successful if a person is attacked. For this risk factor, it is important to track both real and simulated user behaviors such as actual URL clicks within live email and performance against security awareness knowledge assessments and phishing simulations. Proofpoint makes it easy to quantify human risk and identify who represents the greatest risk to your business. Instead of manually tracking human risk across the three key risk factors of privilege, attack and vulnerability, our customers can use Proofpoint Nexus People Risk Explorer (NPRE). With NPRE, each person receives a user risk score based on their behavior and identity information. Users are automatically grouped based on their scores. With user risk insights from NPRE, you can easily prioritize which groups need the most attention and decide how to best deliver your training to maximize its impact. A view of the dashboard for Nexus People Risk Explorer. Tip 2: Keep your program agile The threat landscape impacts every business differently. Comparing a financial services company to a manufacturing company may show that the former is targeted more often with ransomware than supply-chained based BEC attacks. It is important to keep your program agile so that you can easily adjust | Ransomware Data Breach Tool Vulnerability Threat Cloud | ||
|
2024-07-24 23:34:10 | Onyx Sleet utilise une gamme de logiciels malveillants pour recueillir l'intelligence pour la Corée du Nord Onyx Sleet uses array of malware to gather intelligence for North Korea (lien direct) |
#### Targeted Geolocations - India - Korea - United States - Southeast Asia - North America #### Targeted Industries - Information Technology - Defense Industrial Base - Government Agencies & Services ## Snapshot On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet\'s activity to assess changes following the indictment. First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. ## Activity Overview ### Who is Onyx Sleet? Onyx Sleet conducts cyber espionage primarily targeting military, defense, and technology industries, predominately in India, South Korea, and the United States. This threat actor has historically leveraged spear-phishing as a means of compromising target environments; however, in recent campaigns, they have mostly exploited N-day vulnerabilities, leveraging publicly available and custom exploits to gain initial access. In October 2023, Onyx Sleet [exploited the TeamCity CVE-2023-42793 vulnerability](https://security.microsoft.com/intel-explorer/articles/b4f39b04) [as a part of a targeted attack](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-42793/overview). Exploiting this vulnerability enabled the threat actor to perform a remote code execution attack and gain administrative control of the server. Onyx Sleet develops and uses a spectrum of tools that range from custom to open source. They have built an extensive set of custom remote access trojans (RATs) that they use in campaigns, and routinely developed new variants of these RATs to add new functionality and implement new ways of evading detection. Onyx Sleet often uses leased virtual private servers (VPS) and compromised cloud infrastructure for command-and-control (C2). Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, and TDrop2. **Affiliations with other threat actors originating from North Korea** Onyx Sleet has demonstrated affiliations with other North Korean actors, indicating its integration with a broader network of North Korean cyber operations. Microsoft has observed [an overlap](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) between Onyx Sleet and [Storm-0530](https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/). Both groups were observed operating within the same infrastructure and were involved in the development and use of ransomware in attacks in late 2021 and 2022. **Onyx Sleet targets** In pursuit of its primary goal of intelligence collection, Onyx Sleet has focused on targeting entities in the defense and energy industries, predominately in India, South Korea, and the United States. Recent att | Ransomware Malware Tool Vulnerability Threat Industrial Cloud Technical Commercial | APT 38 | |
|
2024-07-24 21:48:44 | Combattre le risque de tiers avec des renseignements sur les menaces Fighting Third-Party Risk With Threat Intelligence (lien direct) |
Avec chaque nouveau fournisseur et partenaire tiers, la surface d'attaque d'une organisation se développe.Comment, alors, les entreprises utilisent-elles des renseignements sur les menaces pour améliorer leurs efforts de gestion des risques tiers?
With every new third-party provider and partner, an organization\'s attack surface grows. How, then, do enterprises use threat intelligence to enhance their third-party risk management efforts? |
Threat | ||
|
2024-07-24 21:28:53 | (Déjà vu) Les acteurs de la menace ciblent les résultats des élections récentes Threat Actors Target Recent Election Results (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données. ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https | Ransomware Malware Tool Threat | APT 36 | |
|
2024-07-24 21:17:58 | L'exploit de logiciels malveillants contourne les SEG qui laissent les organisations à risque Malware Exploit Bypasses SEGs Leaving Organizations at Risk (lien direct) |
Exploit de logiciels malveillants contourne les SEG qui laissent les organisations à risque
Home "Blog" Exploit de logiciels malveillants contourne les SEG qui laissent les organisations à risque
-
opinion
Malware Exploit Bypasses SEGs Leaving Organizations at Risk Home " Blog " Malware Exploit Bypasses SEGs Leaving Organizations at Risk - Opinion |
Malware Threat | ||
|
2024-07-24 21:16:52 | Distribution of AsyncRAT Disguised as Ebook (lien direct) | ## Instantané Les recherches à l'AHNLAB Security Intelligence Center (ASEC) ont identifié une nouvelle méthode de distribution de logiciels malveillants asyncrat à travers des livres électroniques armés. ## Description Ces livres électroniques, qui semblent inoffensifs, contiennent une icône frauduleuse qui indique un fichier LNK avec un code malveillant.De plus, il existe un fichier TXT avec un script PowerShell caché, des fichiers vidéo compressés et un ebook réel.Lorsque le fichier LNK est exécuté, il déclenche le script PowerShell caché dans le fichier RM.TXT, qui cache ensuite le dossier de logiciel malveillant du téléchargeur et exécute un script obscurci.Ce script peut lancer le vrai malware à partir de faux fichiers vidéo s'il détecte certains produits de sécurité.La charge utile asyncrat est conçue avec des mécanismes anti-détection, de la persistance et des capacités d'exfiltration des données.Il est distribué par diverses méthodes, y compris des fichiers déguisés sur les sites de partage et les e-mails de phishing, ce qui en fait une menace polyvalente et dangereuse.Le malware se précipita comme des processus légitimes et utilise des techniques d'obscurcissement pour échapper à la détection. L'asyncrat n'est pas le seul logiciel malveillant du voleur d'informations observé dans les livres électroniques.Comme asyncrat, [vipersoftx] (https://security.microsoft.com/intel-explorer/articles/8084ff7b) et [cve-2024-38112] (https://www.trendmicro.com/en_us/research/24/G / CVE-2024-38112-VOID-BANSHEE.HTML # NEW_TAB) Utilisez PowerShell pour exfiltrer les données et éviter la détection. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-senceclopedia-description? Name = Trojan: win32 / winlnk) - [Trojan: Msil / Agenttesla] (https://www.microsoft.com/en-us/wdsi/Therets/malware-secdcopedia-description? name = trojan: MSIL / AgentTesla) - [Backdoor: Msil / asyncrat.ad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:mil/asyncrat.ad) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/en-us/defenderofice-365/mdo-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre de nouvelles menaces et des variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=magicti_ta_learndoc) et [supprimer le courrier envoyé] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge?ocid=Magicti_TA_LearnDoc) en réponse à l'intelligence de menace nouvellement acquise. - Allumez [les pièces jointes sûres] (https://learn.microsoft.com/en-us/defender-office-365/safe-attachments-policies-configure?ocid=Magicti_ta_learndoc) pour vérifier les pièces jointes vers le courrier électronique déstant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftLe dé | Ransomware Spam Malware Tool Vulnerability Threat Prediction | ||
|
2024-07-24 20:35:57 | \\ 'Stargazer Goblin \\' Amasse Rogue Github Comptes pour répandre les logiciels malveillants \\'Stargazer Goblin\\' Amasses Rogue GitHub Accounts to Spread Malware (lien direct) |
Le groupe de menaces utilise son "Stargazers Ghost Network" pour jouer, fourrer et regarder des dépositions malveillantes pour les faire paraître légitimes, tout pour distribuer une variété de voleurs d'informations notoires en tant que service.
The threat group uses its "Stargazers Ghost Network" to star, fork, and watch malicious repos to make them seem legitimate, all to distribute a variety of notorious information-stealers-as-a-service. |
Malware Threat | ||
|
2024-07-24 20:05:33 | Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android (lien direct) | ## Instantané
Les chercheurs de l'ESET ont découvert un exploit zéro-jour qui cible Telegram pour Android, qui est apparu à la vente à un prix non spécifié dans un poste de forum souterrain du 6 juin 2024. Utilisation de l'exploit pour abuser d'une vulnérabilité que ESET a nommé "EvilVideo", CVE-2024-7014, les attaquants pourraient partager des charges utiles Android malveillantes via des canaux télégrammes, des groupes et des discussions.
## Description
L'exploit semble s'appuyer sur le fait que l'acteur de menace puisse créer une charge utile qui affiche une application Android en tant qu'aperçu multimédia et non comme une pièce jointe binaire.Une fois partagé dans le chat, la charge utile malveillante apparaît comme une vidéo de 30 secondes.Par défaut, les fichiers multimédias reçus via Telegram sont définis pour télécharger automatiquement.Cela signifie que les utilisateurs avec l'option activée téléchargeront automatiquement la charge utile une fois qu'ils ouvriront la conversation où il a été partagé.Si l'utilisateur essaie de lire la «vidéo», Telegram affiche un message qu'il n'est pas en mesure de le jouer et suggère d'utiliser un lecteur externe.Si l'utilisateur exploite le bouton ouvert dans le message affiché, il sera invité à installer une application malveillante déguisée en lecteur externe.Pendant ce temps, l'application malveillante en question a déjà été téléchargée comme le fichier vidéo apparent avec l'extension .APK.L'application malveillante elle-même n'est pas modifiée pour poser en tant que fichier multimédia;Cependant, probablement en raison de la vulnérabilité exploitée, l'application apparaît comme un fichier vidéo.La vulnérabilité a affecté toutes les versions de Telegram pour Android jusqu'à 10.14.4, mais a été corrigé à partir de la version 10.14.5.
ESET a également découvert le même forum souterrain annonçant un "FUD)" Android Cryptor-as-a-A-Service ".
## Recommandations
Appliquez ces atténuations pour réduire l'impact de cette menace.
- Utilisez des solutions mobiles telles que [Microsoft Defender pour le point de terminaison sur Android] (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint-android) pour détecter une activité malveillante.
- Ne jamais cliquer sur les liens inconnus reçus via des annonces, des messages SMS, des e-mails ou des sources non fiables similaires.
- Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues.
- Évitez d'accorder des autorisations SMS, un accès à l'auditeur de notification ou un accès à l'accessibilité à toute application sans comprendre pourquoi la demande en a besoin.Ce sont des autorisations puissantes qui ne sont pas généralement nécessaires.
- Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil.
Selon ESET, la vulnérabilité a été fixée au 11 juillet 2024. ESET mentionne également que l'option télégramme pour automatiquement les fichiers downlaod peut être désactivée manuellement.
## Les références
[Tapes maudits: exploiter la vulnérabilité Evilvideo sur Telegram pour Android] (https://www.welivesecurity.com/en/eset-research/cursed-tapes-expoiting-evilvideo-vulnerabilité-telegram-android/).Nous live la sécurité (consultée en 2024-07-24)
[CVE-2024-7014 Détail] (https://nvd.nist.gov/vuln/detail/cve-2024-7014).NVD (consulté en 2024-07-24)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot ESET researchers discovered a zero-day exploit that targets Telegram for Android, which appeared for sale for an unspecified price in an underground forum post from June 6, 2024. Using the expl |
Vulnerability Threat Mobile | ||
|
2024-07-24 18:50:04 | Les cyberattaques exploitent Microsoft SmartScreen Bug dans le voleur Campagne Cyberattackers Exploit Microsoft SmartScreen Bug in Stealer Campaign (lien direct) |
La bonne nouvelle: seules les organisations éloignées sur les correctifs Windows standard ont quelque chose à craindre.
The good news: Only organizations far behind on standard Windows patching have anything to worry about. |
Threat Patching | ||
|
2024-07-24 17:58:59 | Plus de 3 000 comptes GitHub utilisés par le service de distribution de logiciels malveillants Over 3,000 GitHub accounts used by malware distribution service (lien direct) |
Les acteurs de la menace connus sous le nom de \\ 'Stargazer Gobblin \' ont créé une distribution de logiciels malveillants en tant que service (DAAS) à partir de plus de 3 000 faux comptes sur GitHub qui poussent les logiciels malveillants de voler les informations.[...]
Threat actors known as \'Stargazer Goblin\' have created a malware Distribution-as-a-Service (DaaS) from over 3,000 fake accounts on GitHub that push information-stealing malware. [...] |
Malware Threat | ||
|
2024-07-24 17:29:00 | Télégramme App Flaw exploité pour répandre les logiciels malveillants cachés dans des vidéos Telegram App Flaw Exploited to Spread Malware Hidden in Videos (lien direct) |
Un défaut de sécurité zéro-jour dans l'application mobile de Telegram \\ pour Android appelé Evilvideo a permis aux attaquants de déguisé des vidéos inoffensives.
L'exploit est apparu à la vente à un prix inconnu dans un forum souterrain le 6 juin 2024, a déclaré Eset.Après la divulgation responsable le 26 juin, la question a été abordée par Telegram dans la version 10.14.5 publiée le 11 juillet.
"
A zero-day security flaw in Telegram\'s mobile app for Android called EvilVideo made it possible for attackers to malicious files disguised as harmless-looking videos. The exploit appeared for sale for an unknown price in an underground forum on June 6, 2024, ESET said. Following responsible disclosure on June 26, the issue was addressed by Telegram in version 10.14.5 released on July 11. " |
Malware Vulnerability Threat Mobile | ||
 |
2024-07-24 16:12:37 | Exploiter la conformité: tactiques de gangs ransomwares Exploiting Compliance: Ransomware Gang Tactics (lien direct) |
Comprendre les méthodes que les gangs ransomwares utilisent pour exploiter la conformité à la sécurité et comment DarkTrace \'s AI peut atténuer ces menaces.
Understand the methods ransomware gangs use to exploit security compliance and how Darktrace\'s AI can mitigate these threats. |
Ransomware Threat | ||
|
2024-07-24 15:13:00 | Patchwork Hackers Target Bhoutan avec un outil avancé Ratel C4 brute Advanced Patchwork Hackers Target Bhutan with Advanced Brute Ratel C4 Tool (lien direct) |
L'acteur de menace connu sous le nom de patchwork a été lié à une entités de ciblage de cyberattaques avec des liens avec le Bhoutan pour livrer le cadre Brute Ratel C4 et une version mise à jour d'une porte dérobée appelée Pgoshell.
Le développement marque la première fois que l'adversaire a été observé à l'aide du logiciel d'équipe Red, a déclaré l'équipe connue 404 dans une analyse publiée la semaine dernière.
Le cluster d'activités, aussi
The threat actor known as Patchwork has been linked to a cyber attack targeting entities with ties to Bhutan to deliver the Brute Ratel C4 framework and an updated version of a backdoor called PGoShell. The development marks the first time the adversary has been observed using the red teaming software, the Knownsec 404 Team said in an analysis published last week. The activity cluster, also |
Tool Threat | ||
|
2024-07-24 14:02:00 | CrowdStrike explique vendredi incident qui écrase des millions d'appareils Windows CrowdStrike Explains Friday Incident Crashing Millions of Windows Devices (lien direct) |
Mercredi, la société de cybersécurité a blâmé mercredi un problème dans son système de validation pour avoir fait s'écraser des millions d'appareils Windows dans le cadre d'une panne généralisée à la fin de la semaine dernière.
"Vendredi 19 juillet 2024 à 04:09 UTC, dans le cadre des opérations régulières, CrowdStrike a publié une mise à jour de configuration de contenu pour le capteur Windows pour rassembler la télémétrie sur d'éventuelles techniques de menace", la société
Cybersecurity firm CrowdStrike on Wednesday blamed an issue in its validation system for causing millions of Windows devices to crash as part of a widespread outage late last week. "On Friday, July 19, 2024 at 04:09 UTC, as part of regular operations, CrowdStrike released a content configuration update for the Windows sensor to gather telemetry on possible novel threat techniques," the company |
Threat | ||
 |
2024-07-24 13:00:19 | Les recherches sur les points de contrôle révèlent les tendances du phishing du Q2 2024: Liste des tops Microsoft tandis que les nouvelles entrées signalent le paysage des menaces de changement de vitesse Check Point Research Reveals Q2 2024 Brand Phishing Trends: Microsoft Tops List While New Entries Signal Shifting Threat Landscape (lien direct) |
> La recherche sur les points de contrôle classe Microsoft comme cible principale dans les attaques de phishing et note l'introduction d'Adidas, WhatsApp et Instagram dans le top 10 des attaques de phishing restent l'une des cyber-menaces les plus omniprésentes et sont souvent le point d'entrée pour des campagnes à grande échelle à plus grande échelledans une chaîne d'approvisionnement.Check Point Research (RCR), la branche de renseignement des menaces de Check Point & Reg;Software Technologies Ltd., a récemment publié son dernier classement de phishing de marque pour le deuxième trimestre de 2024. Le classement met en évidence les marques le plus fréquemment imité par les cybercriminels dans leurs tentatives de tromperie des individus et de voler des informations personnelles ou des informations d'identification de paiement.[& # 8230;]
>Check Point Research ranks Microsoft as primary target in phishing attacks and notes the introduction of Adidas, WhatsApp and Instagram into the Top 10 Phishing attacks remain one of the most pervasive cyber threats and are often the entry point for much larger scale campaigns in a supply chain. Check Point Research (CPR), the Threat Intelligence arm of Check Point® Software Technologies Ltd., has recently released its latest Brand Phishing Ranking for the second quarter of 2024. The ranking highlights the brands most frequently imitated by cybercriminals in their attempts to deceive individuals and steal personal information or payment credentials. […] |
Threat | ||
|
2024-07-24 11:45:00 | Microsoft Defender Flaw exploité pour livrer les voleurs ACR, Lumma et Meduza Microsoft Defender Flaw Exploited to Deliver ACR, Lumma, and Meduza Stealers (lien direct) |
Un défaut de sécurité maintenant par régime dans le Microsoft Defender SmartScreen a été exploité dans le cadre d'une nouvelle campagne conçue pour fournir des voleurs d'informations tels que ACR Stealer, Lumma et Meduza.
Fortinet Fortiguard Labs a déclaré avoir détecté la campagne de voleur ciblant l'Espagne, la Thaïlande et les États-Unis en utilisant des fichiers piégés qui exploitent CVE-2024-21412 (score CVSS: 8.1).
La haute sévérité
A now-patched security flaw in the Microsoft Defender SmartScreen has been exploited as part of a new campaign designed to deliver information stealers such as ACR Stealer, Lumma, and Meduza. Fortinet FortiGuard Labs said it detected the stealer campaign targeting Spain, Thailand, and the U.S. using booby-trapped files that exploit CVE-2024-21412 (CVSS score: 8.1). The high-severity |
Threat | ||
|
2024-07-24 11:01:06 | Stargazers Ghost Network (lien direct) | > Recherche de: Antonis Terefos (@ Tera0017) Points clés Introduction Les acteurs de la menace évoluent continuellement leurs tactiques pour rester en avance sur la détection.Les méthodes traditionnelles de distribution de logiciels malveillants par e-mail contenant des pièces jointes malveillantes sont fortement surveillées, et le grand public est devenu plus conscient de ces tactiques.Récemment, des recherches sur le point de contrôle ont observé des acteurs de menace utilisant GitHub pour atteindre [& # 8230;] initial [& # 8230;]
>Research by: Antonis Terefos (@Tera0017) Key Points Introduction Threat actors continually evolve their tactics to stay ahead of detection. Traditional methods of malware distribution via emails containing malicious attachments are heavily monitored, and the general public has become more aware of these tactics. Recently, Check Point Research observed threat actors using GitHub to achieve initial […] |
Malware Threat | ||
|
2024-07-24 11:00:16 | La menace cachée des attaquants Phantom sur Github par Stargazers Ghost Network The Hidden Menace of Phantom Attackers on GitHub by Stargazers Ghost Network (lien direct) |
> Résumé des clés jamais vu avant la découverte: Check Point Research a découvert le Stargazers Ghost Network, une opération sophistiquée des comptes fantômes sur GitHub distribuant des logiciels malveillants via des référentiels de phishing, marquant la première fois qu'une telle opération a été identifiée sur cette plate-forme.Impact significatif des utilisateurs: Les référentiels malveillants ciblent un large éventail d'utilisateurs, y compris les amateurs de médias sociaux, les joueurs et les détenteurs de crypto-monnaie, qui pourraient éventuellement être exploités dans des attaques de conséquences graves telles que les infections des ransomwares, les informations d'identification et les portefeuilles de crypto-monnaie compromis.Implications communautaires plus larges: le modèle de distribution en tant que service (DAAS) du réseau fournit une plate-forme pour d'autres acteurs de menace, impactant [& # 8230;]
>Key Summary Never Seen Before Discovery: Check Point Research has uncovered the Stargazers Ghost Network, a sophisticated operation of ghost accounts on GitHub distributing malware through phishing repositories, marking the first time such an operation has been identified on this platform. Significant User Impact: The malicious repositories target a wide range of users, including social media enthusiasts, gamers, and cryptocurrency holders, which could possibly be leveraged in attacks of severe consequences such as ransomware infections, stolen credentials, and compromised cryptocurrency wallets. Broader Community Implications: The network’s Distribution as a Service (DaaS) model provides a platform for other threat actors, impacting […] |
Ransomware Malware Threat | ||
 |
2024-07-24 10:15:00 | Les pirates nord-coréens ont ciblé la société de cybersécurité Knowbe4 avec un faux travailleur informatique North Korean Hackers Targeted Cybersecurity Firm KnowBe4 with Fake IT Worker (lien direct) |
KnowBe4 a révélé qu'il avait été dupé dans l'embauche d'un faux travailleur informatique de la Corée du Nord, ce qui a entraîné une tentative d'activité de menace d'initiés
KnowBe4 revealed it was duped into hiring a fake IT worker from North Korea resulting in attempted insider threat activity |
Threat | ||
 |
2024-07-24 10:00:00 | Navigation du champ de mines: cybersécurité pour les organisations à but non lucratif Navigating the Minefield: Cybersecurity for Non-Profit Organizations (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity threats cast an ominous shadow over organizations across all sectors. While the world often associates these risks with profit-driven businesses, non-profit organizations are equally vulnerable targets. And the stakes are alarmingly high. Recent data shows that about 6 cyber-attacks happen every 4 minutes and attacks like the 2022 one on the International Committee of the Red Cross (ICRC) send shivers across non-profits. To make things even worse, limited resources and backup resources mean a successful breach could prove catastrophic. Hence, non-profit cybersecurity is a particularly important issue. Understanding the Cybersecurity Risks for Nonprofits Non-profit organizations face unique cybersecurity risks that stem from their distinct operational models and resource constraints. They frequently handle sensitive information, including donor and beneficiary details, which makes them attractive targets for cybercriminals. Another significant factor is the general lack of robust cybersecurity measures within many nonprofit organizations. In fact, data shows that more than 84% of nonprofit organizations don’t have a cybersecurity plan. This makes them a prime target for many malicious players. Additionally, many nonprofit organizations struggle to allocate sufficient resources to cybersecurity due to limited budgets and competing priorities. Much like the security of small business savings accounts suffers from lower budgets, non-profits are also prone to thinking reactively, instead of taking a proactive stance towards their own cyber fortress. For example, some non-profits don’t have the resources to invest in identity theft protection, cybersecurity consultancy, and even pen-testing tools to use in-house. Cybercriminals are well aware of this vulnerability and are increasingly targeting nonprofits. Some charity organizations also often underestimate their risk level, falsely believing they are unlikely targets for cyberattacks. This complacency can lead to a lack of preparedness and awareness, further increasing their vulnerability. Common Cybersecurity Risks for Nonprofits There are many types of cyber threats and attacks that affect non-profit organizations. Here are some of the most common: Data Breaches Nonprofits are goldmines when it comes to data. A data breach typically occurs when cybercriminals exploit vulnerabilities in an organization’s cybersecurity defenses. This could be through hacking efforts, phishing scams, or even physical access to insecure storage locations. There have even been cases of scammers presenting themselves as SAP consultants, requiring n | Ransomware Data Breach Malware Tool Vulnerability Threat | ||
 |
2024-07-24 08:08:52 | Émulant et détection Emulating and Detecting Scattered Spider-like Attacks (lien direct) |
> Écrit par Mitigant (Kennedy Torkura) et Sekoia.io Detection and Research (TDR) Team (Erwan Chevalier et Guillaume Couchard).Introduction Les entreprises utilisent de plus en plus des infrastructures cloud pour profiter de ses avantages sous-jacents.Contrairement aux centres de données traditionnels, les infrastructures cloud offrent une agilité commerciale à un coût moins cher.Par conséquent, plusieurs organisations migrent les charges de travail vers le cloud.Cependant, [& # 8230;]
la publication Suivante émulant et détection des attaques de type araignée dispersées EstArticle de l'ONU de blog Sekoia.io .
>Written by Mitigant (Kennedy Torkura) and Sekoia.io Threat Detection and Research (TDR) team (Erwan Chevalier and Guillaume Couchard). Introduction Enterprises are increasingly using cloud infrastructure to take advantage of its underlying benefits. Unlike traditional data centres, cloud infrastructure affords business agility at a cheaper cost. Consequently, several organisations are migrating workloads to the cloud. However, […] La publication suivante Emulating and Detecting Scattered Spider-like Attacks est un article de Sekoia.io Blog. |
Threat Cloud | ||
|
2024-07-24 07:31:39 | Proofpoint a nommé un leader global dans la compasse du leadership Kuppingercole 2023 pour la prévention des fuites de données Proofpoint Named an Overall Leader in the 2023 KuppingerCole Leadership Compass for Data Leakage Prevention (lien direct) |
Data leakage or loss prevention solutions are more relevant than ever. Research for the 2024 Data Loss Landscape Report from Proofpoint found that 85% of companies experienced one or more data loss incidents in the past year. The risk of data loss is increasing as more businesses embrace digital transformation, remote work, cloud computing and generative AI tools. Meanwhile, the number of data protection regulations continues to grow. At Proofpoint, we understand what it takes for companies to defend their data against these risks and navigate compliance challenges. And we are proud to announce that our Proofpoint Information Protection solution has been recognized by KuppingerCole Analysts AG, a major industry analyst firm. Here are just some of the reasons why Proofpoint stands out. Proofpoint receives top marks across all categories In the firm\'s report, KuppingerCole Leadership Compass for Data Leakage Prevention, Proofpoint Information Protection received “strong positive” or “positive” ratings in all categories, including: Security Functionality Deployment Interoperability Usability Here is what analysts said about Proofpoint Information Protection-and what makes it stand apart from the competition. “Proofpoint Information Protection is a mature and comprehensive DLP solution based on a cloud-native platform that focuses on user identity and how that identity interacts with sensitive data to guard against insider threats and prevent data loss across email, on-prem, and cloud-based applications as well as providing support for compliance with data protection regulations.” KuppingerCole positioned Proofpoint as a leader in all evaluation categories as well, which include product, technology, innovation and market. The report also highlighted several key findings and trends. Demand is rising for DLP solutions, including from small businesses as they face much of the same cyberthreats and compliance requirements that larger enterprises face Differentiators for DLP solutions include coverage across various data channels, ease of use, insider threat protection and incident support Innovation in the DLP space is focused on cloud DLP, user experience enhancement, and the use of AI and machine learning (ML) technologies While DLP solutions are traditionally on-premises, new cloud-based offerings allow for faster updates and scalability as well as managed services that cater to businesses that lack in-house security expertise Effective DLP solutions should support policy management, integration with existing security systems and compliance with data protection regulations; other capabilities include mobile workforce security, cloud data security and AI-driven anomaly detection The DLP market is expected to increase the use of AI and ML for data classification What makes Proofpoint stand out Here is a closer look at how we can help you to defend your data and modernize your DLP program. Identify sensitive data with accuracy and ensure compliance Our prebuilt DLP policies let you jumpstart your DLP program. It doesn\'t matter if you are a large enterprise or a small business. By combining our out-of-box data identifiers, Proofpoint-maintained dictionaries and AI-based classifiers, you can accurately detect sensitive content, including: Personally identifiable information (PII) Protected health information (PHI) and payment card industry (PCI) data Source code and other business critical documents You can enforce flexible data controls across email, cloud and endpoints, including managed and bring-your-own devices. This ensures you can easily meet compliance requirements. It also helps you prevent careless users from leaking sensitive content to generative AI sites. Defend data against careless and malicious insiders Proofpoint takes a human-centric | Tool Threat Mobile Cloud | ||
|
2024-07-24 00:55:09 | Intelbroker répertorie les données de crypto Europol présumées en ligne IntelBroker lists alleged Europol crypto data online (lien direct) |
## Instantané
Intelbroker, un infâme leaker et cyber-criminel, a énuméré des "documents liés à la crypto" appartenant à Europol sur BreachForums.
## Description
L'acteur de menace prétend avoir divulgué une petite quantité de données de l'environnement EPE d'Europol \\, y compris les fichiers "pour un usage officiel" (FOUO), les PDF et les documents de reconnaissance et de directives.La violation peut avoir compromis des informations personnelles telles que les noms, les adresses e-mail et les données commerciales confidentielles de divers organismes d'application de la loi.Europol a confirmé l'incident et enquête, déclarant qu'aucune donnée opérationnelle d'Europol n'a été compromise.Cet incident suit la prétention précédente d'Intelbroker \\ pour voler des "fichiers et documents critiques" de la plate-forme EPE d'Europol \\ en mai, affectant diverses agences d'Europol, notamment CCSE, crypto-monnaies & # 8211;EC3, Space & # 8211;EC3, formulaire d'application de la loi et Sirius.
### Analyse supplémentaire
Selon [les chercheurs en sécurité de Mphasis] (https://www.mphasis.com/content/dam/mphasis-com/global/en/home/services/cybersesecurity/june-21-12-the-intelbroker-data-leak-Arthat-Actor.pdf), Intelbroker est connu pour violer les organisations de haut niveau dans divers secteurs, notamment le gouvernement, les télécommunications, l'automobile et la technologie.Connu pour avoir fonctionné le ransomware d'endurance, Intelbroker a revendiqué la responsabilité de nombreuses attaques contre des entités telles que Autotrader, Volvo, AT&T et Verizon.En tant que courtier en renseignement, Intelbroker vend des données volées sur les forums souterrains et utilise souvent des ransomwares d'endurance, un malware C # conçu pour écraser et supprimer des fichiers.Selon [Socradar] (https://socradar.io/dark-web-profile-intelbroker/), Intelbroker a attiré une attention importante à la fin de 2022 et au début de 2023, avec des violations notables, notamment le service d'épicerie Weee, Europol et Hilton Hotels.En juin 2024, Intelbroker prétend avoir obtenu le code source interne de trois outils Apple couramment utilisés et publié les données d'AMD \\ à vendre, alléguant que le compromis comprenait les futurs produits AMD, les fiches de spécification et les informations sur les employés, selon [CyberNews] (https://cybernews.com/security/thereat-actor-intelbroker-claids-apple-amd/).
Bien que toutes les violations ne puissent pas être vérifiées dans la même mesure, de nombreux incidents causés par Intelbroker ont été confirmés.
## Les références
[Intelbroker énumère les données de crypto Europol présumées en ligne] (https://www.cyberdaily.au/security/10793-intelbroker-lists-alled-europol-crypto-data-online).Cyberdaily.au (consulté en 2024-07-23)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot IntelBroker, an infamous leaker and cyber criminal, has listed "crypto-related documents" belonging to Europol on BreachForums. ## Description The threat actor claims to have leaked a small amount of data from Europol\'s EPE environment, including "For Official Use Only" (FOUO) files, PDFs, and documents for reconnaissance and guidelines. The breach may have compromised personal information such as names, email addresses, and confidential business data from various law enforcement agencies. Europol has confirmed the incident and is investigating, stating that no operational data from Europol has been compromised. This incident follows IntelBroker\'s previous claim of stealing "critical files and documents" from Europol\'s EPE platform in May, affecting various Europol agencies including CCSE, cryptocurrencies – EC3, Space – EC3, Law Enforcement Form, and SIRIUS. ### Additional Analysis According |
Ransomware Malware Tool Threat Legislation | ||
|
2024-07-23 20:53:33 | (Déjà vu) UAC-0063 Attaque des institutions de recherche en Ukraine: Hatvibe + Cherryspy + CVE-2024-23692 UAC-0063 attacks research institutions in Ukraine: HATVIBE + CHERRYSPY + CVE-2024-23692 (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Computer Emergency Response Team of Ukraine (CERT-UA) released reporting on an attack by UAC-0063 against a research institution in Ukraine perpetrated in July 2024. ## Description The attackers accessed an employee\'s email account and sent a compromised email with a macro-embedded document to multiple recipients. When opened, this document created and executed another document and scheduled a task to run the HATVIBE malware. The attackers then used remote control to download a Python interpreter and the CHERRYSPY malware to the victim\'s computer. UAC-0063, linked to the Russian APT28 group, was also detected using a similar attack vector in Armenia. In June 2024, the group exploited a vulnerability in the HFS HTTP File Server ([CVE-2024-23692](https://security.microsoft.com/intel-explorer/cves/CVE-2024-23692/)) to install the HATVIBE backdoor, demonstrating their use of varied initial compromise methods. The attack succeeded due to the institution\'s lack of two-factor authentication, admin privileges for user accounts, and insufficient security policies to block macros and specific executables. ## Additional Analysis Both CHERRYSPY and HATVIBE have previously been used by UAC-0063 to target Ukranian organizations. [In April 2023](https://cert.gov.ua/article/4697016?fbclid=IwAR1B5gj0v-Ve9Q5299ydM5lrInLuKVmvPRosQkUucq6YzcjuTgVnM_x3LjQ), the threat group sent spear-phishing emails to government organizations in Ukraine, likely from the previously compromised email of the Embassy of Tajikistan. ## Recommendations Microsoft recommends the implementation multifactor authentication (MFA) to reduce the impact of this threat and mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate [conditional access](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview?ocid=magicti_ta_learndoc) policies. Conditional access policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office 365](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically identify and block malicious websites, including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focus | Malware Vulnerability Threat | APT 28 | |
|
2024-07-23 18:41:55 | Les 250 millions de joueurs de Hamster Kombat \\ ciblés dans des attaques de logiciels malveillants Hamster Kombat\\'s 250 million players targeted in malware attacks (lien direct) |
Les acteurs de la menace profitent de la popularité massive du jeu Hamster Kombat, ciblant les joueurs avec de faux logiciels Android et Windows qui installent des logiciels espions et des logiciels malveillants de volée.[...]
Threat actors are taking advantage of the massive popularity of the Hamster Kombat game, targeting players with fake Android and Windows software that install spyware and information-stealing malware. [...] |
Malware Threat Mobile | ||
 |
2024-07-23 18:38:42 | Protéger contre la menace malveillante ics de Frostygoop avec les bases de la cybersécurité OT Protect Against the FrostyGoop ICS Malware Threat with OT Cybersecurity Basics (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post protéger contre la menace malveillante ics de glaçage avec les bases de la cybersécurité est apparu pour la première fois sur dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Protect Against the FrostyGoop ICS Malware Threat with OT Cybersecurity Basics first appeared on Dragos. |
Malware Threat Industrial | ||
|
2024-07-23 17:58:57 | Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m | Ransomware Malware Tool Vulnerability Threat Mobile | ||
|
2024-07-23 17:58:00 | Les pirates chinois ciblent Taiwan et les ONG américaines avec des logiciels malveillants MGBOT Chinese Hackers Target Taiwan and US NGO with MgBot Malware (lien direct) |
Les organisations de Taïwan et une organisation non gouvernementale américaine (ONG) basée en Chine ont été ciblées par un groupe de piratage parrainé par l'État affilié à Pékin appelé Daggerfly à l'aide d'un ensemble amélioré d'outils de logiciels malveillants.
La campagne est un signe que le groupe "s'engage également dans l'espionnage interne", a déclaré aujourd'hui un nouveau rapport publié aujourd'hui."Dans l'attaque de
Organizations in Taiwan and a U.S. non-governmental organization (NGO) based in China have been targeted by a Beijing-affiliated state-sponsored hacking group called Daggerfly using an upgraded set of malware tools. The campaign is a sign that the group "also engages in internal espionage," Symantec\'s Threat Hunter Team, part of Broadcom, said in a new report published today. "In the attack on |
Malware Tool Threat | ||
|
2024-07-23 16:21:16 | Les attaquants exploitent \\ 'Evilvideo \\' Telegram Zero-Day pour cacher des logiciels malveillants Attackers Exploit \\'EvilVideo\\' Telegram Zero-Day to Hide Malware (lien direct) |
Un exploit vendu sur un forum souterrain nécessite une action des utilisateurs pour télécharger une charge utile malveillante non spécifiée.
An exploit sold on an underground forum requires user action to download an unspecified malicious payload. |
Malware Vulnerability Threat | ||
|
2024-07-23 15:42:00 | Sites Magento ciblés avec un skimmer de carte de crédit sournois via des fichiers d'échange Magento Sites Targeted with Sneaky Credit Card Skimmer via Swap Files (lien direct) |
Les acteurs de la menace ont été observés à l'aide de fichiers d'échange dans des sites Web compromis pour cacher un skimmer de carte de crédit persistant et récolter les informations de paiement.
La technique sournoise, observée par SUCURI sur une page de caisse de Magento E-Commerce Site \\, a permis aux logiciels malveillants de survivre à plusieurs tentatives de nettoyage, a indiqué la société.
L'écumateur est conçu pour capturer toutes les données dans le formulaire de carte de crédit sur le
Threat actors have been observed using swap files in compromised websites to conceal a persistent credit card skimmer and harvest payment information. The sneaky technique, observed by Sucuri on a Magento e-commerce site\'s checkout page, allowed the malware to survive multiple cleanup attempts, the company said. The skimmer is designed to capture all the data into the credit card form on the |
Malware Threat | ||
|
2024-07-23 15:24:41 | BreachForums v1 Hacking Forum Data Donak Expose les membres \\ 'Info BreachForums v1 hacking forum data leak exposes members\\' info (lien direct) |
Les informations sur les membres privés du forum de piratage de BreachForums V1 à partir de 2022 ont été divulguées en ligne, permettant aux acteurs et aux chercheurs de menacer de mieux comprendre ses utilisateurs.[...]
The private member information of the BreachForums v1 hacking forum from 2022 has been leaked online, allowing threat actors and researchers to gain insight into its users. [...] |
Threat | ||
|
2024-07-23 15:15:12 | Les cybercrooks émettent des problèmes avec les domaines de la typosquat au milieu de la crise de la crowdsstrike Cybercrooks spell trouble with typosquatting domains amid CrowdStrike crisis (lien direct) |
La dernière tendance suit diverses campagnes de logiciels malveillants qui ont commencé quelques heures seulement après sa calamité Des milliers de domaines de typosquat sont désormais inscrits pour exploiter le désespoir des administrateurs informatiques qui ont encore du mal à se remettre de la semaine dernière de la semaine de la semaine dernière \\., les chercheurs disent.… | Malware Threat Prediction | ||
|
2024-07-23 14:33:00 | Institutions ukrainiennes ciblées à l'aide de Hatvibe et de logiciels malveillants Cherryspy Ukrainian Institutions Targeted Using HATVIBE and CHERRYSPY Malware (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a alerté une campagne de phistes de lance ciblant une institution de recherche scientifique dans le pays avec des logiciels malveillants connus sous le nom de Hatvibe et Cherryspy.
L'agence a attribué l'attaque à un acteur de menace qu'il suit sous le nom de l'UAC-0063, qui était précédemment observé ciblant diverses entités gouvernementales pour recueillir des informations sensibles en utilisant
The Computer Emergency Response Team of Ukraine (CERT-UA) has alerted of a spear-phishing campaign targeting a scientific research institution in the country with malware known as HATVIBE and CHERRYSPY. The agency attributed the attack to a threat actor it tracks under the name UAC-0063, which was previously observed targeting various government entities to gather sensitive information using |
Malware Threat |
To see everything:
