What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-01 21:42:00 | Les défauts critiques dans les cocoapodes exposent les applications iOS et macOS aux attaques de la chaîne d'approvisionnement Critical Flaws in CocoaPods Expose iOS and macOS Apps to Supply Chain Attacks (lien direct) |
Un trio de défauts de sécurité a été découvert dans le gestionnaire de dépendance de Cocoapods pour des projets de cacao Swift et Objective-C qui pourraient être exploités pour organiser des attaques de chaîne d'approvisionnement des logiciels, mettant des clients en aval à des risques graves.
Les vulnérabilités permettent "à tout acteur malveillant de revendiquer la propriété de plus de milliers de gousses non réclamées et d'insérer du code malveillant dans bon nombre des iOS les plus populaires et
A trio of security flaws has been uncovered in the CocoaPods dependency manager for Swift and Objective-C Cocoa projects that could be exploited to stage software supply chain attacks, putting downstream customers at severe risks. The vulnerabilities allow "any malicious actor to claim ownership over thousands of unclaimed pods and insert malicious code into many of the most popular iOS and |
Vulnerability | ★★★ | |
 |
2024-07-01 21:05:07 | Regresshion: la vulnérabilité critique dans OpenSSH expose des millions de serveurs regreSSHion: Critical Vulnerability in OpenSSH Exposes Millions of Servers (lien direct) |
Une vulnérabilité critique dans OpenSSH (Regresshion) permet aux attaquants un accès complet aux serveurs!Millions à risque.Apprenez à & # 8230;
A critical vulnerability in OpenSSH (regreSSHion) allows attackers full access to servers! Millions at risk. Learn how to… |
Vulnerability | ||
 |
2024-07-01 20:35:22 | Google ouvre le concours de primes de bug de 250 000 $ pour VM Hyperviseur Google Opens $250K Bug Bounty Contest for VM Hypervisor (lien direct) |
Si les chercheurs en sécurité peuvent exécuter une attaque d'invités à l'hôte en utilisant une vulnérabilité zéro-jour dans l'hyperviseur open source KVM, Google en vaut la peine.
If security researchers can execute a guest-to-host attack using a zero-day vulnerability in the KVM open source hypervisor, Google will make it worth their while. |
Vulnerability Threat | ||
 |
2024-07-01 19:30:00 | CVE-2024-6387 Bulletin d'information: Impact de la vulnérabilité d'OpenSSH Regresshion (Gravité: Aucun) CVE-2024-6387 Informational Bulletin: Impact of OpenSSH regreSSHion Vulnerability (Severity: NONE) (lien direct) |
Pas de details / No more details | Vulnerability | ||
|
2024-07-01 16:20:00 | La nouvelle vulnérabilité OpenSSH pourrait conduire à RCE en tant que root sur les systèmes Linux New OpenSSH Vulnerability Could Lead to RCE as Root on Linux Systems (lien direct) |
OpenSSH REFENSEURS a publié des mises à jour de sécurité pour contenir une faille de sécurité critique qui pourrait entraîner une exécution de code distante non authentifiée avec des privilèges racine dans les systèmes Linux basés sur GLIBC.
La vulnérabilité a été attribuée à l'identifiant CVE CVE-2024-6387.Il réside dans le composant du serveur OpenSSH, également connu sous le nom de SSHD, qui est conçu pour écouter les connexions de l'un des clients
OpenSSH maintainers have released security updates to contain a critical security flaw that could result in unauthenticated remote code execution with root privileges in glibc-based Linux systems. The vulnerability has been assigned the CVE identifier CVE-2024-6387. It resides in the OpenSSH server component, also known as sshd, which is designed to listen for connections from any of the client |
Vulnerability | ★★★ | |
 |
2024-07-01 15:34:23 | Dragos rapporte une augmentation des cyber-menaces dans la région nordique, les drapeaux vulnérabilité du secteur des énergies renouvelables Dragos reports surge in cyber threats across Nordic region, flags vulnerability in renewable energy sector (lien direct) |
> La société de cybersécurité industrielle Dragos a noté une augmentation significative des cyber-menaces dans les pays nordiques, notamment le Danemark, la Finlande, ...
>Industrial cybersecurity company Dragos noted a significant increase in cyber threats across the Nordic countries, including Denmark, Finland,... |
Vulnerability Industrial | ★★★★ | |
|
2024-07-01 14:18:18 | Les bogues Apple Cocoapods exposent des millions d'applications à l'injection de code Apple CocoaPods Bugs Expose Millions of Apps to Code Injection (lien direct) |
Les vulnérabilités de la chaîne d'approvisionnement du gestionnaire de dépendances critiques ont exposé des millions et des millions d'appareils à des logiciels malveillants arbitraires pendant une meilleure partie de la décennie.
Critical dependency manager supply chain vulnerabilities have exposed millions and millions of devices to arbitrary malware for the better part of decade. |
Malware Vulnerability | ★★ | |
 |
2024-07-01 13:46:56 | Cisco met en garde contre NX-OS Zero-Day exploité pour déployer des logiciels malveillants personnalisés Cisco warns of NX-OS zero-day exploited to deploy custom malware (lien direct) |
Cisco a corrigé un NX-OS-Day exploité dans les attaques d'avril pour installer des logiciels malveillants précédemment inconnus sous le nom de Root sur les commutateurs vulnérables.[...]
Cisco has patched an NX-OS zero-day exploited in April attacks to install previously unknown malware as root on vulnerable switches. [...] |
Malware Vulnerability Threat | ★★★ | |
 |
2024-07-01 13:00:00 | Chatgpt 4 peut exploiter 87% des vulnérabilités d'une journée ChatGPT 4 can exploit 87% of one-day vulnerabilities (lien direct) |
> Depuis l'utilisation généralisée et croissante de Chatgpt et d'autres modèles de grande langue (LLM) ces dernières années, la cybersécurité a été une préoccupation majeure.Parmi les nombreuses questions, les professionnels de la cybersécurité se sont demandé à quel point ces outils ont été efficaces pour lancer une attaque.Les chercheurs en cybersécurité Richard Fang, Rohan Bindu, Akul Gupta et Daniel Kang ont récemment réalisé une étude à [& # 8230;]
>Since the widespread and growing use of ChatGPT and other large language models (LLMs) in recent years, cybersecurity has been a top concern. Among the many questions, cybersecurity professionals wondered how effective these tools were in launching an attack. Cybersecurity researchers Richard Fang, Rohan Bindu, Akul Gupta and Daniel Kang recently performed a study to […] |
Tool Vulnerability Threat Studies | ChatGPT | ★★★ |
 |
2024-07-01 13:00:00 | La défaut d'OpenSSH critique permet un compromis complet du système Critical OpenSSH Flaw Enables Full System Compromise (lien direct) |
Une vulnérabilité RCE nouvellement découverte, qui peut entraîner un compromis complet du système, a mis plus de 14 millions d'instances de serveur OpenSSH est potentiellement à risque, selon Qualin
A newly discovered RCE vulnerability, which can lead to full system compromise, has put over 14 million OpenSSH server instances are potentially at risk, according to Qualys |
Vulnerability | ★★★ | |
|
2024-07-01 11:55:00 | Juniper Networks publie une mise à jour de sécurité critique pour les routeurs Juniper Networks Releases Critical Security Update for Routers (lien direct) |
Juniper Networks a publié des mises à jour de sécurité hors bande pour aborder une faille de sécurité critique qui pourrait conduire à un contournement d'authentification dans certains de ses routeurs.
La vulnérabilité, suivie en CVE-2024-2973, a un score CVSS de 10,0, indiquant une gravité maximale.
«Un pontage d'authentification en utilisant un autre chemin ou une vulnérabilité de canal dans le routeur ou le conducteur de la session de Juniper Networks Session
Juniper Networks has released out-of-band security updates to address a critical security flaw that could lead to an authentication bypass in some of its routers. The vulnerability, tracked as CVE-2024-2973, carries a CVSS score of 10.0, indicating maximum severity. “An Authentication Bypass Using an Alternate Path or Channel vulnerability in Juniper Networks Session Smart Router or Conductor |
Vulnerability | ★★★ | |
 |
2024-07-01 11:20:59 | Des millions de serveurs OpenSSH potentiellement vulnérables à l'attaque de régression à distance Millions of OpenSSH Servers Potentially Vulnerable to Remote regreSSHion Attack (lien direct) |
> Des millions de serveurs OpenSSH pourraient être vulnérables à l'exécution du code distant non authentifié en raison d'une vulnérabilité suivie en tant que régresshion et CVE-2024-6387.
>Millions of OpenSSH servers could be vulnerable to unauthenticated remote code execution due to a vulnerability tracked as regreSSHion and CVE-2024-6387. |
Vulnerability | ★★★ | |
 |
2024-07-01 11:03:12 | MerkSpy: Exploiting CVE-2021-40444 to Infiltrate Systems (lien direct) | #### Targeted Geolocations - India - North America ## Snapshot FortiGuard Labs Threat Research identified recent attacks exploiting the [CVE-2021-40444](https://security.microsoft.com/intel-profiles/CVE-2021-40444) vulnerability in Microsoft Office to deploy the spyware payload known as “MerkSpy.” ## Description The initial vector for this attack is a Microsoft Word document masquerading as a job description for a software developer position. Opening the document triggers the exploitation of CVE-2021-40444, a remote code execution vulnerability within the MSHTML component used by Internet Explorer in Microsoft Office. After the successful exploitation, the malicious document initiates the download of a HTML file from a remote server, which conceals JavaScript and embedded shellcode. This shellcode decodes the downloaded content to execute an injector responsible for loading the MerkSpy spyware into memory and integrating it with active system processes. The extracted payload is protected with VMProtect. Its primary function is seamlessly injecting the MerkSpy spyware into crucial system processes. This spyware operates covertly within systems, capturing sensitive information and exfiltrating data to remote servers controlled by malicious actors. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/Znyonm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Znyonm&threatId=-2147076851) ##### Endpoint detection and response (EDR) Alerts with the following titles in the security center can indicate threat activity on your network: - Possible exploitation of CVE-2021-40444 (requires Defender Antivirus as the Active AV) The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Suspicious Behavior By Office Application (detects the anomalous process launches that happen in exploitation of this CVE, and other malicious behavior) - Suspicious use of Control Panel item ## Recommendations Apply the following mitigations to reduce the impact of this threat and follow-on actions taken by attackers. - Apply the security updates for [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444). Comprehensive updates addressing the vulnerabilities used in this campaign are available through the [September 2021 security updates](https://msrc.microsoft.com/update-guide/). While there are workarounds listed for customers, in [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444) scenarios where patching is not yet feasible, we recommend customers to apply the patch for this vulnerability and act on the secure configurations highlighted in this report at the soonest time possible. - Run the latest version of your operating systems and applications. Turn on automatic updates or deploy the latest security updates as soon as they become available. - Use a supported platform, such as Windows 10, to take advantage of regular security updates. - Turn on [cloud-delivered protection](https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?view=o365-worldwide) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block the majority of new and unknown variants. - Turn on [tamper protection](https://docs.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide) in Microsoft Defender for Endpoint, to prevent malicious changes to security settings. - Run [EDR in block mode](https://docs. | Malware Tool Vulnerability Threat Patching | ★★★ | |
|
2024-07-01 10:57:31 | Faits saillants hebdomadaires, 1er juillet 2024 Weekly OSINT Highlights, 1 July 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. Key themes include the proliferation of Remote Access Trojans (RATs) like Remcos and XWorm, as well as the deployment of ransomware in espionage campaigns by groups such as ChamelGang. The use of phishing, malicious documents, and social engineering tactics are prevalent attack vectors, often leading to the installation of malware, as seen with Fickle Stealer and StrelaStealer. Threat actors range from nation-state groups, including Chinese and Russian espionage teams targeting government and critical infrastructure, to cybercriminals employing Phishing-as-a-Service platforms like ONNX Store to target financial institutions. The targets of these attacks are diverse, encompassing telecom operators, government entities, academic institutions, and private sector organizations across various regions, highlighting the global and multifaceted nature of current cyber threats. ## Description 1. **[Chinese Espionage Group Targets Telecom Operators](https://sip.security.microsoft.com/intel-explorer/articles/e2de6dd7):** Symantec\'s Threat Hunter Team identified a prolonged espionage campaign by Chinese groups targeting telecom operators in an Asian country using tools like Coolclient and Rainyday. The attackers aimed to steal credentials and implant backdoors, suggesting motives ranging from intelligence gathering to infrastructure disruption. 2. **[Remcos RAT Distributed via Malicious Word Documents](https://sip.security.microsoft.com/intel-explorer/articles/f5983b2e):** Forcepoint analysts discovered the distribution of Remcos RAT through Word documents with shortened URLs, exploiting the Equation Editor vulnerability. The malware enables full system control for espionage and data theft, highlighting the importance of recognizing evolving cybercriminal tactics. 3. **[WordPress Plugins Compromised with Malicious PHP Scripts](https://sip.security.microsoft.com/intel-explorer/articles/d443398b):** Wordfence identified a threat actor tampering with five WordPress plugins to create new admin accounts and inject SEO spam. This breach affected over 35,000 websites, emphasizing the need for robust security measures and vigilant monitoring of plugin updates. 4. **[SugarGh0st Malware Campaign by SneakyChef](https://sip.security.microsoft.com/intel-explorer/articles/f1334283):** Cisco Talos uncovered "SneakyChef" using SugarGh0st malware to target government agencies in EMEA and Asia, employing decoy documents from foreign ministries. The group\'s infection chain involves SFX RAR files, with tactics suggesting a Chinese-speaking origin. 5. **[ChamelGang Uses Ransomware for Cyberespionage](https://sip.security.microsoft.com/intel-explorer/articles/b24f9fda):** SentinelLabs and Recorded Future reported on ChamelGang\'s use of CatB ransomware to target global high-profile organizations. The group, likely Chinese, uses ransomware to mislead attribution efforts and facilitate data exfiltration. 6. **[P2Pinfect Rust-based Malware Evolution](https://sip.security.microsoft.com/intel-explorer/articles/2238375c):** Cado Security highlighted the evolution of P2Pinfect, a Rust-based malware spreading via Redis with a botnet for pushing updated binaries. The malware includes a worm, miner, and ransomware payloads, demonstrating ongoing development for profit and network expansion. 7. **[UAC-0184 Targets Ukraine with XWorm RAT](https://sip.security.microsoft.com/intel-explorer/articles/1d853438):** CRIL reported on UAC-0184\'s malware campaign using XWorm RAT to target Ukrainian entities. The attack employs malicious LNK files and DLL sideloading to establish remote access, reflecting the group\'s evolving tactics. 8. **[Xctdoor Malware Targets Korean Companies](https://sip.security.microsoft.com/intel-explorer/articles/df357951):** AhnLab identified attacks on Korean companies using Xctdoor malware, initially infiltrating systems via an ERP update server. | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-07-01 10:24:12 | Derniers CPU Intel touchés par une nouvelle attaque de canal latéral indirecteur Latest Intel CPUs impacted by new Indirector side-channel attack (lien direct) |
Les processeurs Intel modernes, y compris les jetons du lac Raptor et les générations du lac Alder, sont sensibles à un nouveau type d'attaque de haute précision d'injection cible (BTI) surnommée \\ 'indirector, \' qui pourrait être utilisée pour voler des informations sensiblesdu processeur.[...]
Modern Intel processors, including chips from the Raptor Lake and the Alder Lake generations are susceptible to a new type of a high-precision Branch Target Injection (BTI) attack dubbed \'Indirector,\' which could be used to steal sensitive information from the CPU. [...] |
Vulnerability | ★★★★ | |
 |
2024-07-01 10:16:50 | GCP-2024-040 (lien direct) | Publié: 2024-07-01 Description
Description
Gravité
notes
Une vulnérabilité d'exécution du code distant, CVE-2024-6387 , a récemment été découvert dans OpenSSH.La vulnérabilité exploite une condition de course qui peut être utilisée pour obtenir l'accès à un shell distant, permettant aux attaquants d'obtenir un accès root.Au moment de la publication, l'exploitation est censée être difficile et prendre plusieurs heures par machine attaqué.Nous ne connaissons aucune tentative d'exploitation. Pour les instructions et plus de détails, consultez les bulletins suivants: Bulletin de sécurité du moteur de calcul
bulletin de sécurité GKE
logiciel GDC pour VMware Security Bulletin
gke sur le bulletin de sécurité AWS
gke sur le bulletin de sécurité azur
logiciel GDC pour le bulletin de sécurité en métal nu
bulletin de sécurité du moteur VMware Google Cloud
critique
CVE-2024-6387
Published: 2024-07-01Description Description Severity Notes A remote code execution vulnerability, CVE-2024-6387, was recently discovered in OpenSSH. The vulnerability exploits a race condition that can be used to obtain access to a remote shell, enabling attackers to gain root access. At the time of publication, exploitation is believed to be difficult and take several hours per machine being attacked. We are not aware of any exploitation attempts. For instructions and more details, see the following bulletins: Compute Engine security bulletin GKE security bulletin GDC software for VMware security bulletin GKE on AWS security bulletin GKE on Azure security bulletin GDC software for bare metal security bulletin Google Cloud VMware Engine security bulletin Critical CVE-2024-6387 |
Vulnerability Cloud | ||
 |
2024-07-01 10:00:00 | Conformité réglementaire et préparation aux ransomwares Regulatory Compliance and Ransomware Preparedness (lien direct) |
Ransomware attacks are a huge problem: in the past five years alone, they have brought about a state of emergency across vast swathes of the United States, threatened to topple the Costa Rican government, and brought Portugal\'s largest media conglomerate to its knees. And ransomware attackers show no signs of slowing down: last year, roughly one-third of all data breaches involved ransomware or some other extortion technique. Preventing and protecting against ransomware attacks has become a global priority, with cybersecurity regulations and frameworks playing an essential role. By outlining, standardizing, and mandating preventative measures, cybersecurity regulations and frameworks ensure that organizations worldwide are prepared to deal with the ransomware threat. Let\'s examine them more closely. Understanding Cybersecurity Regulations First, we need to understand cybersecurity regulations and what they do. There are far too many cybersecurity regulations for us to cover in this article, so we\'ll focus on three of the most important: NIS2, DORA, and HIPAA. Broadly speaking, cybersecurity regulations are sets of laws, rules, or guidelines enacted by governments or regulatory bodies to protect information systems, networks, and data from cyber threats and attacks. These regulations ensure data and information systems\' confidentiality, integrity, and availability by enforcing specific security practices, controls, and procedures. But let\'s look at each of our examples a little more closely: NIS2 (Network and Information Security Directive 2) The Network and Information Security Directive 2 (NIS2) is a legislative framework established by the European Union (EU) to enhance member states\' cybersecurity resilience and response capabilities. It builds upon the original NIS Directive to strengthen cybersecurity measures in critical infrastructure sectors, promote cooperation among member states, and hold organizations accountable. DORA (Digital Operational Resilience Act) The Digital Operational Resilience Act (DORA) is a regulatory framework that came into force in January 2023. It aims to enhance the financial sector\'s digital operational resilience within the EU. DORA\'s primary goal is to ensure that financial institutions can withstand, respond to, and recover from all types of ICT (Information and Communication Technology) related disruptions and threats, including ransomware and cyberattacks. The Act complements the NIS2 regulation in the financial services domain. HIPAA (Health Insurance Portability and Accountability Act) The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law enacted in 1996 to protect sensitive patient health information from being disclosed without the patient\'s consent or knowledge. HIPAA sets the standard for protecting sensitive patient data, and organizations dealing with protected health information (PHI) must ensure that they put in place and follow all necessary physical, network, and process security measures to comply. How do Regulations Improve Ransomware Readiness? Now that we better understand each regulation, we can explore how they improve ransomware readiness. Again, we won\'t have time to explore each regulation\'s provisions in their entirety, so we\'ll pick out some of the most important. NIS2 NIS2 has several provisions that improve relevant organizations\' resilience to ransomware attacks. For example: ● Risk Management: NIS2 mandates that organizations implement robust risk management practices, incl | Ransomware Vulnerability Threat Technical | ★★★ | |
 |
2024-07-01 07:25:27 | China-Nexus Threat Group \\ 'Velvet Ant \\' exploite Cisco Zero-Day (CVE-2024-20399) pour compromettre les dispositifs de commutation Nexus & # 8211;Conseil pour l'atténuation et la réponse China-Nexus Threat Group \\'Velvet Ant\\' Exploits Cisco Zero-Day (CVE-2024-20399) to Compromise Nexus Switch Devices – Advisory for Mitigation and Response (lien direct) |
> Renseignez-vous sur l'enquête médico-légale de Sygnia, l'opération de cyber-espionnage par Velvet Ant et les meilleures pratiques pour protéger votre réseau contre les menaces sophistiquées.
>Learn about the forensic investigation by Sygnia, the cyber espionage operation by Velvet Ant, and best practices for safeguarding your network against sophisticated threats. |
Vulnerability Threat | ★★★ | |
 |
2024-06-28 20:37:57 | Liste de contrôle 381: Kaspersky Ban, The Change Hack et Virtual Bugs Checklist 381: Kaspersky Ban, the Change Hack, and Virtual Bugs (lien direct) |
> US Interdit le logiciel Kaspersky, citant les risques de sécurité.Changer la santé du piratage expose les données sensibles des patients.Apple paie Bug Bounty pour la vulnérabilité Vision Pro.
>US bans Kaspersky software, citing security risks. Change Healthcare hack exposes sensitive patient data. Apple pays bug bounty for Vision Pro vulnerability. |
Hack Vulnerability Medical | ★★ | |
|
2024-06-28 19:48:00 | GitLab publie un patch pour la vulnérabilité critique du pipeline CI / CD et 13 autres GitLab Releases Patch for Critical CI/CD Pipeline Vulnerability and 13 Others (lien direct) |
GitLab a publié des mises à jour de sécurité pour aborder 14 défauts de sécurité, y compris une vulnérabilité critique qui pourrait être exploitée pour exécuter des pipelines d'intégration continue et de déploiement continu (CI / CD) comme tout utilisateur.
Les faiblesses, qui affectent Gitlab Community Edition (CE) et Enterprise Edition (EE), ont été abordées dans les versions 17.1.1, 17.0.3 et 16.11.5.
Le plus sévère des
GitLab has released security updates to address 14 security flaws, including one critical vulnerability that could be exploited to run continuous integration and continuous deployment (CI/CD) pipelines as any user. The weaknesses, which affect GitLab Community Edition (CE) and Enterprise Edition (EE), have been addressed in versions 17.1.1, 17.0.3, and 16.11.5. The most severe of the |
Vulnerability | ★★★ | |
|
2024-06-28 17:53:13 | Vulnérabilités matérielles ICS trouvées dans Telsat, SDG Technologies, Yokogawa, Johnson Controls Equipment ICS hardware vulnerabilities found in TELSAT, SDG Technologies, Yokogawa, Johnson Controls equipment (lien direct) |
> L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a publié jeudi sept avis ICS (systèmes de contrôle industriel) qui fournissent ...
>The U.S. Cybersecurity and Infrastructure Security Agency (CISA) published Thursday seven ICS (industrial control systems) advisories that provide... |
Vulnerability Industrial | ★★★★ | |
|
2024-06-28 17:46:36 | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT (lien direct) |
## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-28 15:21:37 | L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins (lien direct) |
## Instantané
L'équipe WordFence Threat Intelligence a identifié un acteur de menace qui a falsifié le code source de cinq plugins WordPress sur wordpress.org en intégrant des scripts PHP malveillants conçus pour créer de nouveaux comptes administratifs sur des sites Web affectés.
## Description
Cette violation s'est probablement produite entre le 21 juin et le 22 juin. Lors de la découverte, WordFence a rapidement informé les développeurs des plugins compromis, entraînant la libération de correctifs pour la plupart des produits affectés.Collectivement, ces plugins ont été installés sur plus de 35 000 sites Web.
Les plugins touchés comprennent:
- Guerre sociale
- widget d'incendie
- Élément de lien en wrapper
- Formulaire de contact 7 Addon en plusieurs étapes
- Afficher simplement les crochets
Le logiciel malveillant injecté crée non seulement de nouveaux comptes d'utilisateurs administratifs, mais insère également le spam SEO dans des sites Web compromis, transmettant des données à l'adresse IP 94.156.79 \ [. \] 8.Les comptes d'administration créés arbitrairement sont nommés «Options» et «Pluginauth».Il est conseillé aux administrateurs de sites Web de remarquer ces comptes ou un trafic inhabituel vers cette adresse IP pour effectuer des analyses de logiciels malveillants approfondies et des procédures de nettoyage.
WordFence a noté que certains des plugins affectés ont été temporairement supprimés de WordPress.org, ce qui peut entraîner des avertissements pour les utilisateurs, même s'ils ont mis à jour vers des versions corrigées.Une enquête est en cours pour déterminer comment l'acteur de menace a eu accès au code source des plugins \\ '.Malgré les inquiétudes que l'attaque pourrait affecter une gamme plus large de plugins, les preuves actuelles suggèrent que le compromis est limité aux cinq identifiés.
De plus, l'opération de porte dérobée permet un accès et un contrôle non autorisés, facilitant l'injection de SEO Spam sur le site Web compromis.Cette attaque sophistiquée souligne l'importance de maintenir les mesures de sécurité mises à jour et de surveiller le trafic du site Web pour des signes d'activité non autorisée.Les propriétaires de sites Web sont invités à rester vigilants et à s'assurer que leurs plugins sont à jour pour atténuer le risque de telles vulnérabilités.
## Recommandations
Word Press recommande que si les propriétaires de sites Web remarquent ces comptes ou le trafic vers l'adresse IP de l'attaquant \\, ils devraient effectuer une analyse et un nettoyage de logiciels malveillants complètes.
Recommandations générales pour WordPress sur Azure
- Utilisez un pare-feu d'application Web Azure
- Retirez les plug-ins et thèmes inutilisés
- Déchargez le contenu statique loin du processeur PHP
- Invalidation du cache réseau de livraison de contenu
- Activer l'authentification à deux facteurs
- Désactiver l'accès XML-RPC
- restreindre l'accès au panel d'administration
- Stocker les secrets dans Azure Key Vault
- Tunes Performance
Pour plus d'informations sur WordPress sur Azure, cliquez sur [ici] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).
## Les références
"[L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants".] (Https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-Leads-to-5 malicieusement compromis-wordpress-plugins /) wordfence (consulté en 2024-06-24).
"[WordPress sur Azure"] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).Microsoft (consulté en 2024-06-26).
## Snapshot Wordfence Threat Intelligence team identified a threat actor who tampered with the source code of five WordPress plugins on WordPress.org by embedding malicious PHP scripts designed to |
Spam Malware Vulnerability Threat | ★★★ | |
 |
2024-06-28 14:34:48 | Présentation du support de collection Postman pour les tests de sécurité de l'API Introducing Postman Collection Support for API Security Testing (lien direct) |
Dans le paysage numérique d'aujourd'hui, les interfaces de programmation d'applications (API) jouent un rôle important dans la conduite de l'innovation.Ils permettent aux équipes d'intégrer de nouvelles applications aux systèmes existants, de réutiliser le code et de livrer plus efficacement les logiciels.Mais, les API sont également des cibles principales pour les pirates en raison de leur disponibilité publique et des grandes quantités de données Web qu'ils transmettent.
Les vulnérabilités de l'API peuvent conduire à un accès non autorisé, à des violations de données et à diverses autres formes d'attaques.Les tests de sécurité réguliers aident à identifier et à résoudre les faiblesses de sécurité, à protéger les informations sensibles et à garantir l'intégrité des systèmes.
La réalisation de tests de sécurité tout au long du cycle de vie du développement logiciel aide à prendre des problèmes avant d'atteindre la production.L'exécution des tests de sécurité des applications dynamiques pour examiner les points de terminaison de l'API à la fois isolément et dans leur intégration ensemble vous aide à fournir des API plus sécurisées.
Présentation du support de collection Postman
Veracode est ravi de présenter le support de collection Postman…
In today\'s digital landscape, Application Programming Interfaces (APIs) play an important role in driving innovation. They allow teams to integrate new applications with existing systems, reuse code and deliver software more efficiently. But, APIs are also prime targets for hackers due to their public availability and the large amounts of web data they transmit. API vulnerabilities can lead to unauthorized access, data breaches, and various other forms of attacks. Regular security testing helps identify and address security weaknesses, protect sensitive information, and ensure the integrity of systems. Conducting security tests throughout the software development life cycle helps catch issues before they reach production. Running dynamic application security testing to examine API endpoints both in isolation and in their integration together helps you deliver more secure APIs. Introducing Postman Collection Support Veracode is excited to introduce Postman Collection Support… |
Vulnerability | ★★★ | |
|
2024-06-28 13:11:51 | Dans d'autres nouvelles: logiciels malveillants livrés par ISP, TEMU Spieding, Critical Dataverse Vulnerabilité In Other News: Malware Delivered by ISP, Temu Spying, Critical Dataverse Vulnerability (lien direct) |
> Des histoires remarquables qui auraient pu glisser sous le radar: le FAI coréen offre des logiciels malveillants aux clients, Temu poursuivi pour avoir prétendument espionné les utilisateurs, Microsoft corrige une vulnérabilité de données critique.
>Noteworthy stories that might have slipped under the radar: Korean ISP delivers malware to customers, Temu sued for allegedly spying on users, Microsoft patches a critical Dataverse vulnerability. |
Malware Vulnerability | ★★ | |
|
2024-06-28 13:10:13 | Le sous-comité de la maison américaine examine les vulnérabilités des infrastructures critiques, le rôle de la cyber-assurance dans les efforts de résilience US House Subcommittee examines critical infrastructure vulnerabilities, role of cyber insurance in resilience efforts (lien direct) |
Le sous-comité de la sécurité intérieure des États-Unis sur la protection de la cybersécurité et de l'infrastructure a convoqué une audience pour examiner les vulnérabilités ...
The U.S. House Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection convened a hearing to examine the vulnerabilities... |
Vulnerability | ★★★ | |
|
2024-06-27 17:38:00 | Moveit Transfer Flaws pousse la défense de sécurité dans une course avec les attaquants MOVEit Transfer Flaws Push Security Defense Into a Race With Attackers (lien direct) |
Alors que Progress a publié des correctifs pour les vulnérabilités, les attaquants tentent de les exploiter avant que les organisations n'ayent une chance de remédier.
While Progress has released patches for the vulnerabilities, attackers are trying to exploit them before organizations have a chance to remediate. |
Vulnerability Threat | ★★★ | |
 |
2024-06-27 16:33:00 | Une nouvelle vulnérabilité Moveit déclenche des tentatives de piratage.Les entreprises doivent patcher dès que possible A new MOVEit vulnerability is igniting hacking attempts. Companies should patch ASAP (lien direct) |
Des milliers de personnes ont été piratées l'année dernière en raison d'une vulnérabilité différente de Moveit.
Thousands were hacked last year due to a different MOVEit vulnerability. |
Vulnerability | ★★★ | |
 |
2024-06-27 15:25:50 | La plate-forme Dragos gagne les scores les plus élevés pour la détection des menaces et des anomalies, la gestion de la vulnérabilité et la sécurité des produits dans la nouvelle vague de sécurité Forrester OT Dragos Platform Earns Highest Scores for Threat and Anomaly Detection, Vulnerability Management, and Product Security in New Forrester OT Security Wave (lien direct) |
> The Forrester Wavetm: Operational Technology Security Solutions, Q2 2024, a publié avec Dragos nommé un artiste fort et le seul ...
Le post La plateforme Dragos gagne les scores les plus élevés pour la menace pour la menace pouret la détection des anomalies, la gestion de la vulnérabilité et la sécurité des produits dans la nouvelle vague de sécurité Forrester OT est apparue pour la première fois sur dragos .
>The Forrester WaveTM: Operational Technology Security Solutions, Q2 2024, has published with Dragos named a Strong Performer and the only... The post Dragos Platform Earns Highest Scores for Threat and Anomaly Detection, Vulnerability Management, and Product Security in New Forrester OT Security Wave first appeared on Dragos. |
Vulnerability Threat Industrial | ★★★ | |
|
2024-06-27 14:34:00 | Un défaut d'injection rapide dans Vanna Ai expose les bases de données aux attaques RCE Prompt Injection Flaw in Vanna AI Exposes Databases to RCE Attacks (lien direct) |
Les chercheurs en cybersécurité ont divulgué une faille de sécurité à haute sévérité dans la bibliothèque Vanna.ai qui pourrait être exploitée pour réaliser une vulnérabilité d'exécution du code à distance via des techniques d'injection rapide.
La vulnérabilité, suivie comme CVE-2024-5565 (score CVSS: 8.1), se rapporte à un cas d'injection rapide dans la fonction "Ask" qui pourrait être exploitée pour inciter la bibliothèque à exécuter arbitraire
Cybersecurity researchers have disclosed a high-severity security flaw in the Vanna.AI library that could be exploited to achieve remote code execution vulnerability via prompt injection techniques. The vulnerability, tracked as CVE-2024-5565 (CVSS score: 8.1), relates to a case of prompt injection in the "ask" function that could be exploited to trick the library into executing arbitrary |
Vulnerability | ★★★ | |
 |
2024-06-27 13:14:02 | Évasion virtuelle;Récompense réelle: présentant KVMCTF de Google \\ Virtual Escape; Real Reward: Introducing Google\\'s kvmCTF (lien direct) |
Marios Pomonis, Software EngineerGoogle is committed to enhancing the security of open-source technologies, especially those that make up the foundation for many of our products, like Linux and KVM. To this end we are excited to announce the launch of kvmCTF, a vulnerability reward program (VRP) for the Kernel-based Virtual Machine (KVM) hypervisor first announced in October 2023.KVM is a robust hypervisor with over 15 years of open-source development and is widely used throughout the consumer and enterprise landscape, including platforms such as Android and Google Cloud. Google is an active contributor to the project and we designed kvmCTF as a collaborative way to help identify & remediate vulnerabilities and further harden this fundamental security boundary. Similar to kernelCTF, kvmCTF is a vulnerability reward program designed to help identify and address vulnerabilities in the Kernel-based Virtual Machine (KVM) hypervisor. It offers a lab environment where participants can log in and utilize their exploits to obtain flags. Significantly, in kvmCTF the focus is on zero day vulnerabilities and as a result, we will not be rewarding exploits that use n-days vulnerabilities. Details regarding the zero day vulnerability will be shared with Google after an upstream patch is released to ensure that Google obtains them at the same time as the rest of the open-source community. Additionally, kvmCTF uses the Google Bare Metal Solution (BMS) environment to host its infrastructure. Finally, given how critical a hypervisor is to overall system security, kvmCTF will reward various levels of vulnerabilities up to and including code execution and VM escape. | Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-06-27 13:00:00 | La majorité des projets open source critiques contiennent une mémoire dangereuse du code Majority of Critical Open Source Projects Contain Memory Unsafe Code (lien direct) |
Une analyse de la CISA en collaboration avec les partenaires internationaux a conclu que les projets open source les plus critiques contiennent potentiellement des vulnérabilités de sécurité mémoire
A CISA analysis in collaboration with international partners concluded most critical open source projects potentially contain memory safety vulnerabilities |
Vulnerability | ★★★ | |
|
2024-06-27 12:15:00 | Vulnérabilité critique SQLI trouvée dans l'application de workflow Fortra Filecatalyst Critical SQLi Vulnerability Found in Fortra FileCatalyst Workflow Application (lien direct) |
Un défaut de sécurité critique a été divulgué dans le flux de travail Fortra Filecatalyst qui, s'il est laissé non corrigé, pourrait permettre à un attaquant de falsifier la base de données d'application.
Suivi sous le nom de CVE-2024-5276, la vulnérabilité comporte un score CVSS de 9,8.Il a un impact sur les versions de flux de travail FileCatalyst 5.1.6 Build 135 et plus tôt.Il a été abordé dans la version 5.1.6 Build 139.
"Une vulnérabilité d'injection SQL dans
A critical security flaw has been disclosed in Fortra FileCatalyst Workflow that, if left unpatched, could allow an attacker to tamper with the application database. Tracked as CVE-2024-5276, the vulnerability carries a CVSS score of 9.8. It impacts FileCatalyst Workflow versions 5.1.6 Build 135 and earlier. It has been addressed in version 5.1.6 build 139. "An SQL injection vulnerability in |
Vulnerability | ★★★ | |
 |
2024-06-27 12:12:56 | DMARC: Pourquoi il passe d'une meilleure pratique à un incontournable DMARC: Why It\\'s Moving from a Best Practice to a Must-Have (lien direct) |
It is widely understood that email is the number one threat vector for cyberattacks. This stems from the fact that email was not designed with security in mind, and cybercriminals do not need highly technical skills to exploit it. In this blog, we\'ll look at how threat actors exploit human vulnerabilities by impersonating people and brands, why DMARC is becoming mandatory, and how Proofpoint can help. Are you for real? Looking legitimate to gain trust Most cyberattacks today are initiated via email. As a result, many users have started to block or delete emails from unknown sources as a precautionary measure. Cybercriminals realize this and have learned that their best chance is to fool the receiver into believing that they are dealing with a known source-ideally, a trusted source. And this is where sender impersonation comes into play. Spoofing is a common form of sender impersonation. There are two main types: Domain spoofing. This is when a bad actor forges a sender\'s domain in an email to make it appear as if the email is from a trusted source. Header spoofing. In this case, an attacker manipulates the email\'s header information-including various fields such as “From,” “To,” “Reply-To” and others-so that it looks like the email is from a different source than its true source (the attacker). Both tactics are designed to make recipients believe that they are interacting with a trusted source and can appear very legitimate. If someone believes they are communicating with a trusted person, they are more likely to divulge sensitive information or perform actions that compromise their security, such as handing over their credentials. If an attacker is spoofing your company to target your partners or customers, it can cause significant damage to your brand\'s reputation. To prevent this type of brand abuse, some companies have implemented email authentication technology as a “best practice.” But this trend is not as widespread as you might expect. An overview of email authentication technology To combat domain spoofing, Sender Policy Framework (SPF) was introduced, followed by Domain Key Identified Mail (DKIM), with the goal of validating that email is coming from an approved sending IP address and the message hasn\'t been tampered with en route. A company can create an SPF record that contains a list of all the “approved” IP addresses that can send email on the organization\'s behalf. This allows a system receiving an email to do a quick check to determine if the email is coming from an authorized server. If the sending IP address isn\'t on the SPF list, it fails authentication. DKIM goes a step further by using public and private keys, allowing a receiving system to compare the keys in the email to confirm that it came from who it says it did and that nothing in the email was changed after it was sent. Someone sending a domain-spoofed email would fail both SPF and DKIM authentication. Email authentication is becoming mandatory Email authentication tools have been available for years, so you would think that all companies would have implemented them by now. However, some businesses have been slow to act for various reasons, including: Resource limitations Budget limitations Concerns about legitimate email being blocked Whatever the cause for the lag in implementing these tools, the delay has allowed cybercriminals to continue to exploit the lack of security to initiate their attacks. Major email providers are making moves to force companies to catch up and use email authentication. Some highly publicized examples include the October 2023 announcements from Google, Yahoo and Apple around mandatory email authentication requirements (including DMARC) for bulk senders sending email to Gmail, Yahoo and iCloud accounts. This should significantly reduce spam and fraudulent emails hitting their customers\' inboxes. | Spam Tool Vulnerability Threat Prediction Technical | Yahoo | ★★★ |
|
2024-06-27 09:51:33 | The Windows Registry Adventure # 3: Ressources d'apprentissage The Windows Registry Adventure #3: Learning resources (lien direct) |
Posted by Mateusz Jurczyk, Google Project Zero When tackling a new vulnerability research target, especially a closed-source one, I prioritize gathering as much information about it as possible. This gets especially interesting when it\'s a subsystem as old and fundamental as the Windows registry. In that case, tidbits of valuable data can lurk in forgotten documentation, out-of-print books, and dusty open-source code – each potentially offering a critical piece of the puzzle. Uncovering them takes some effort, but the payoff is often immense. Scraps of information can contain hints as to how certain parts of the software are implemented, as well as why – what were the design decisions that lead to certain outcomes etc. When seeing the big picture, it becomes much easier to reason about the software, understand the intentions of the original developers, and think of the possible corner cases. At other times, it simply speeds up the process of reverse engineering and saves the time spent on deducing certain parts of the logic, if someone else had already put in the time and effort. One great explanation for how to go beyond the binary and utilize all available sources of information was presented by Alex Ionescu in the keynote of OffensiveCon 2019 titled "Reversing Without Reversing". My registry security audit did involve a lot of hands-on reverse engineering too, but it was heavily supplemented with information not coming directly from ntoskrnl.exe. And while Alex\'s talk discussed researching Windows as a whole, this blog post provides a concrete case study of how to apply these ideas in practice. The second goal of the post is to consolidate all collected materials into a single, comprehensive summary that can be easily accessed by future researchers on this topic. The full list may seem overwhelming as it includes some references to overlapping information, so the ones I find key have been marked with the 🔑 symbol. I highly recommend reviewing these resources, as they provide context that will be helpful for understanding future posts. Microsoft Learn Official documentation is probably the first and most intuitive thing to study when dealing with a new API. For Microsoft, this means the Microsoft Learn (formerly MSDN Library), a vast body of technical information maintained for the benefit of Windows software developers. It is wholly available online, and includes the following sections and articles devoted to the registry: 🔑 | Tool Vulnerability Studies Technical | ★★ | |
 |
2024-06-27 00:00:00 | Vers une plus grande transparence: dévoiler le service cloud cves Toward greater transparency: Unveiling Cloud Service CVEs (lien direct) |
Bienvenue dans le deuxième épisode de notre série sur la transparence au Microsoft Security Response Center (MSRC).Dans cette discussion en cours, nous discutons de notre engagement à fournir des informations complètes sur la vulnérabilité à nos clients.Au PDSFC, notre mission est de protéger nos clients, nos communautés et Microsoft, contre les menaces actuelles et émergentes pour la sécurité et la confidentialité.
Welcome to the second installment in our series on transparency at the Microsoft Security Response Center (MSRC). In this ongoing discussion, we discuss our commitment to provide comprehensive vulnerability information to our customers. At MSRC, our mission is to protect our customers, communities, and Microsoft, from current and emerging threats to security and privacy. |
Vulnerability Cloud | ★★ | |
|
2024-06-26 23:00:00 | Épisode 34: Votre toast à la gestion des risques est-il? EPISODE 34: IS YOUR RISK MANAGEMENT TOAST? (lien direct) |
Cet épisode nous sommes rejoints par Michael Walford-Williams , un consultant spécialisé dans la résilience opérationnelle et la gestion des risques tiers.Son conseil Westbourne Consultancy Limited le voit travailler pour divers clients fournissant des services de gestion des risques pour l'industrie des services financiers. Dans cet épisode, nous examinons comment l'appétit des risques évolue avec le temps, le pouvoir de équipe rouge , comment permettre à tout le monde de se soucier de risque et de poser la question: \\ 'est votreToast de gestion des risques? \\ ' Prise des clés: L'appétit de risque est une cible en mouvement: juste parce qu'une menace ne vous a pas encore frappée, ne signifie pas qu'elle a gagné \\ 't.Apprenez à adapter votre stratégie de gestion des risques à l'évolution des menaces. Les tests sont parfaits (ou du moins plus préparés): n'attendez pas une véritable attaque pour exposer votrefaiblesses.Des attaques simulées comme les campagnes de phishing et l'équipe rouge peuvent exposer les vulnérabilités avant qu'elles soient exploitées. du papier à la réalité: tester la résilience de la cybersécurité ne devrait pas être simplement les meilleurs effortsSur un morceau de papier (documentation de continuité des activités). meilleur rouge que pain!L'équipe rouge se déchaîne: tests, des simulations de phishing aux évaluations physiques, en passant par les activités d'équipe rouge à part entière, toutes jouent un rôle central dans l'autonomisation des employés et l'augmentation de la vigilance organisationnelle.Et rappelez-vous, il ne s'agit pas de pointer des doigts - it \\ 's sur l'autonomisation. Propriété du risque: Le risque n'est pasproblème.C'est le travail de tout le monde.De la salle de conférence aux fronts, nous sommes tous ensemble.Nous vous montrerons comment redéfinir la propriété des risques. Liens vers tout ce que nous avons discuté dans cet épisode peut être trouvé dans les notes de l'émission et si vous avez aimé le spectacle,Veuillez faire laissez-nous une revue . Suivez-nous sur toutes les bonnes plateformes de podcasting et via notre chaîne YouTube, et n'oubliez pas de Partager sur LinkedIn et dans vos équipes . Cela nous aide vraiment diffuser le mot et obtenir des invités de haute qualité, sur les épisodes futurs. & nbsp; Nous espérons que vous avez apprécié cet épisode - à la prochaine fois, restez en sécurité, et n'oubliez pas de vous demander, \\ 'Suis-je la position compromettante ici? \' & nbsp; Mots-clés: cybersécurité, risque, résilience, équipe rouge, appétit des risques, raci, ai Afficher les notes \\ 'La plus grande cyber-risque est la complaisance, et non les pirates \' - Le commissaire à l'information britannique émet un avertissement en tant que société de construction amendé et livre; 4,4 millions. ico Le point de basculement: combien de peu les choses peuvent faire une grande différence par Malcolm Gladwell À propos de Michael Walford-Williams Michael Walford-Williams est un consultant spécialisé dans la résilience opérationnelleet gestion des risques tiers.Son conseil Westbourne Consultancy Li | Vulnerability Threat | ★★★ | |
|
2024-06-26 20:27:00 | Nouvelle vulnérabilité de transfert Moveit sous exploitation active - patch dès que possible! New MOVEit Transfer Vulnerability Under Active Exploitation - Patch ASAP! (lien direct) |
Une faille de sécurité critique nouvellement divulguée impactant le transfert de déplacement du logiciel de progrès constate déjà des tentatives d'exploitation dans la nature peu de temps après que les détails du bogue ont été divulgués publiquement.
La vulnérabilité, suivie comme CVE-2024-5806 (score CVSS: 9.1), concerne un contournement d'authentification qui a un impact sur les versions suivantes -
À partir de 2023.0.0 avant 2023.0.11
À partir de 2023.1.0 avant 2023.1.6, et &
A newly disclosed critical security flaw impacting Progress Software MOVEit Transfer is already seeing exploitation attempts in the wild shortly after details of the bug were publicly disclosed. The vulnerability, tracked as CVE-2024-5806 (CVSS score: 9.1), concerns an authentication bypass that impacts the following versions - From 2023.0.0 before 2023.0.11 From 2023.1.0 before 2023.1.6, and& |
Vulnerability | ★★★ | |
|
2024-06-26 20:24:48 | Le bug d'Apple Airpods permet d'écouter Apple AirPods Bug Allows Eavesdropping (lien direct) |
La vulnérabilité affecte non seulement les AirPods, mais aussi les AirPods Max, Powerbeats Pro, Beats Fit Pro et tous les modèles d'AirPods Pro.
The vulnerability affects not only AirPods, but also AirPods Max, Powerbeats Pro, Beats Fit Pro, and all models of AirPods Pro. |
Vulnerability | ★★★★ | |
|
2024-06-26 20:06:12 | Les logiciels malveillants XCTDOOOR étant utilisés pour attaquer les entreprises nationales Xctdoor malware being used to attack domestic companies (lien direct) |
#### Géolocations ciblées
- Corée
#### Industries ciblées
- Base industrielle de la défense
- Fabrication critique
## Instantané
Ahnlab Security Intelligence Center (ASEC) a identifié une attaque récente ciblant les sociétés coréennes en utilisant le malware XCTDOOOR.Les attaquants ont initialement infiltré des systèmes en ciblant le serveur de mise à jour d'une entreprise spécifique de planification des ressources d'entreprise (ERP), affectant les sociétés de défense et de fabrication.
## Description
Dans cette attaque, les acteurs de la menace ont ciblé le serveur de mise à jour d'un système ERP spécifique pour déployer le logiciel malveillant de porte dérobée XCTDOOOR.Ce logiciel malveillant, développé dans le langage Go, utilise le processus RegSVR32.exe pour exécuter des fichiers DLL et s'injecter dans des processus système comme taskhost.exe et explorateur.exe.Il réalise la persistance en se copie sur un chemin spécifique et en créant un raccourci dans le dossier de démarrage.XCTDOOR, une fois opérationnel, communique avec un serveur de commande et de contrôle (C & C) utilisant le protocole HTTP, cryptant sa communication avec les algorithmes Mersenne Twister et Base64.Il peut exécuter les commandes reçues du serveur C&C, la capture de captures d'écran, les touches de journal et le volet du presse-papiers et des informations supplémentaires.
L'attaque impliquait également le malware de l'injecteur XCLoader, qui est responsable de l'injection de la charge utile XCTDOOOR dans les processus système.Xcloader s'est avéré être développé dans les langues C et GO et a été vu dans des attaques récentes contre les serveurs Web de Windows IIS, exploitant des vulnérabilités ou des erreurs de configuration.Les journaux d'attaque ont montré l'exécution des commandes pour collecter des informations système et éventuellement installer des shells Web, indiquant un compromis approfondi des systèmes ciblés.De plus, l'utilisation de Ngrok - un programme de tunneling - suggère aux attaquants destinés à maintenir un accès à distance pour une nouvelle exploitation.
AhnLabs n'attribue pas l'attaque, mais rapporte que les TTP ressemblent à l'activité antérieure par le groupe de menaces sponorées de l'État nord-coréenNdariel, suivi par Microsoft comme [Onyx Sleet] (https://ssecurity.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bAD8833C0).
## Détections / requêtes de chasse
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- [Trojan: Win32 / Tiggre] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/tiggre&theretid=-2147242786)
## Les références
[Xctdoor malware utilisés pour attaquer les sociétés nationales] (https://asec.ahnlab.com/ko/67034/).Ahnlab Security Intelligence Center (ASEC) (consulté en 2024-06-25)
#### Targeted Geolocations - Korea #### Targeted Industries - Defense Industrial Base - Critical Manufacturing ## Snapshot AhnLab Security Intelligence Center (ASEC) identified a recent attack targeting Korean companies using the Xctdoor malware. The attackers initially infiltrated systems by targeting the update server of a specific Korean enterprise resource planning (ERP) company, affecting defense and manufacturing companies. ## Description In this attack, the threat actors targeted the update server of a specific ERP system to deploy the Xctdoor backdoor malware. This malware, developed in the Go language, uses the Regsvr32.exe process to execute DLL files and inject itself into system processes like taskhost.exe and explorer.exe. It achieves persistence by copying itself to a specific path and creating a shortcut in the startup folder. Xctdoor, once operational, communicates with a command and control (C&C) server using |
Malware Vulnerability Threat Industrial | ★★★ | |
|
2024-06-26 16:15:00 | Le progrès révèle deux nouvelles vulnérabilités dans les produits Moveit Progress Discloses Two New Vulnerabilities in MOVEit Products (lien direct) |
Deux vulnérabilités de contournement d'authentification affectent le service SFTP de transfert Moveit de progression dans une configuration par défaut et une passerelle Moveit
Two authentication bypass vulnerabilities affect Progress Software\'s MOVEit Transfer SFTP service in a default configuration and MOVEit Gateway |
Vulnerability | ★★★ | |
|
2024-06-26 15:06:00 | Apple Patches AirPods Bluetooth Vulnérabilité qui pourrait permettre l'écoute Apple Patches AirPods Bluetooth Vulnerability That Could Allow Eavesdropping (lien direct) |
Apple a publié une mise à jour du firmware pour AirPods qui pourrait permettre à un acteur malveillant d'accéder aux écouteurs de manière non autorisée.
Suivi en CVE-2024-27867, le problème d'authentification affecte les AirPods (2e génération et plus tard), AirPods Pro (tous les modèles), AirPods Max, Powerbeats Pro et Beats Fit Pro.
"Lorsque vos écouteurs recherchent une demande de connexion à l'un de vos précédents
Apple has released a firmware update for AirPods that could allow a malicious actor to gain access to the headphones in an unauthorized manner. Tracked as CVE-2024-27867, the authentication issue affects AirPods (2nd generation and later), AirPods Pro (all models), AirPods Max, Powerbeats Pro, and Beats Fit Pro. "When your headphones are seeking a connection request to one of your previously |
Vulnerability | ★★★ | |
 |
2024-06-26 13:26:46 | Rapports d'évaluation de la vulnérabilité: un guide pour les professionnels de la cybersécurité Vulnerability assessment reporting: A guide for cybersecurity professionals (lien direct) |
> Les rapports d'évaluation de la vulnérabilité sont un incontournable pour les organisations qui cherchent à sécuriser leurs systèmes informatiques et leurs données sensibles.En identifiant les vulnérabilités dans leur infrastructure, les entreprises peuvent développer des stratégies solides pour réduire les chances d'être ciblé par les cybercriminels. & # 160;Dans cet article, nous décomposons comment améliorer la posture de sécurité et la résilience contre les cyber-menaces en perfectionnant [& # 8230;]
>Vulnerability assessment reporting is a must-have for organizations looking to secure their IT systems and sensitive data. By identifying vulnerabilities in their infrastructure, companies can develop strong strategies to reduce the chances of being targeted by cybercriminals. In this article, we break down how to improve security posture and resilience against cyber threats by perfecting […] |
Vulnerability | ★★★ | |
|
2024-06-26 10:12:07 | L'enquête de Moody \\ met en évidence l'augmentation de l'investissement en cybersécurité, la sensibilisation dans l'industrie chimique Moody\\'s survey highlights increasing cybersecurity investment, awareness in chemical industry (lien direct) |
> Une étude récente de Moody \\ sur les entreprises de produits chimiques classées à l'échelle mondiale a identifié que la sensibilisation aux vulnérabilités de la cybersécurité augmente dans ...
>A recent Moody\'s survey of globally rated chemical firms identified that awareness of cybersecurity vulnerabilities is increasing in... |
Vulnerability | ★★★ | |
|
2024-06-26 10:00:00 | Les tenants et aboutissants de l'évaluation de la posture de cybersécurité en 2024 The Ins and Outs of Cybersecurity Posture Assessment in 2024 (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Whether you\'re working with on-premises infrastructure, fully embracing the cloud, or running a hybrid solution, one thing is certain: a robust security posture is essential to safeguarding the environment. This article will explore today’s fundamentals of security posture assessment in both on-premises and cloud environments while briefly touching on the added complexities a hybrid setup will entail. What Is Security Posture Assessment? Before going any further, it is good to understand what security posture assessment really is and why knowing your security posture is essential to every organization. In short, a security posture assessment is a comprehensive evaluation of the currently utilized security measures safeguarding essential organizational data, processes to prevent breaches, and decisions to maintain business continuity. Any company should have a comprehensive assessment of its environment conducted at least annually. These assessments are used to identify vulnerabilities in processes and systems, point out areas for improvement, and comprehensively assess the overall resiliency of the organization’s entire IT ecosystem. The main goal is to fully understand the current security level and be able to take the necessary steps to remediate possible issues. Assessing On-Premises Security With on-premises system management, all the responsibility falls on the local IT team, so they need to have a comprehensive view of the currently deployed hardware and software to be able to successfully secure both. Let’s go over the components of such an exercise: ● Asset inventory: It is imperative to know the total scope of the organization\'s assets, including workstations, mobile devices, servers, network equipment, and all the software applications in use. This helps pinpoint outdated assets that either need to be removed from the environment or brought up-to-date with hardware or software upgrades. ● Patch management: New software vulnerabilities are being constantly unearthed, so prompt software updating and comprehensive patch management are instrumental in every environment. While it is a good idea to verify the stability of new updates first, automated patch management tools can help streamline this process. ● Network segmentation: Adversaries are always looking for opportunities for lateral movement in a network, so the isolation of systems and processes through network segmentation is an important step in limiting the potential damage a breach can cause. All in all, the evaluation of on-premises security requires an all-around review of the physical and digital protections within the organization’s data centers. This additionally includes vetting firewalls, intrusion detection systems, and access controls to thwart unauthorized access. Regular security audits and penetration tests are crucial to identify and address vulnerabilities before they can be weaponized. Assessing Cloud Security Working with cloud-based solutions keeps growing in popularity, since it effectively outsources the underlying hardware management to the cloud service provider, lessening the burden on the local IT team. This isn\'t to say that there is n | Tool Vulnerability Threat Patching Mobile Cloud | ★★★ | |
 |
2024-06-26 03:09:26 | Les 5 industries les plus vulnérables aux violations de données en 2024 The 5 Industries Most Vulnerable to Data Breaches in 2024 (lien direct) |
Alors que nous passons à mi-chemin de 2024, des violations de données restent en augmentation.Les cybercriminels trouvent des moyens de plus en plus inventifs pour infiltrer les organisations, exploitant des vulnérabilités dans les réseaux, les logiciels et le comportement humain.Des schémas de phishing et des attaques de ransomwares aux menaces d'initiés et aux compromis de la chaîne d'approvisionnement, la menace des cyberattaques se poursuit.C'est une mauvaise nouvelle, en particulier pour certaines industries.Les conséquences de ces violations s'étendent bien au-delà des pertes financières.Les entreprises qui sont victimes peuvent être confrontées à des amendes réglementaires et à des problèmes juridiques civils.Plusieurs industries ont été ciblées ...
As we pass the halfway mark of 2024, data breaches remain on the rise. Cybercriminals are finding more and more inventive ways to infiltrate organizations, exploiting vulnerabilities in networks, software, and human behavior. From phishing schemes and ransomware attacks to insider threats and supply chain compromises, the threat of cyber attacks continues. This is bad news, especially for certain industries. The consequences of these breaches extend far beyond financial losses. Companies that fall victim can face regulatory fines and civil legal problems. Several industries have been targeted... |
Ransomware Vulnerability Threat | ★★★ | |
|
2024-06-25 19:36:10 | L'acteur de menace peut avoir accédé à des informations sensibles sur l'application CISA Chemical Threat Actor May Have Accessed Sensitive Info on CISA Chemical App (lien direct) |
Un adversaire inconnu a compromis une application CISA contenant les données via une vulnérabilité dans l'appareil sécurisé Ivanti Connect en janvier.
An unknown adversary compromised a CISA app containing the data via a vulnerability in the Ivanti Connect Secure appliance this January. |
Vulnerability Threat | ★★★ | |
|
2024-06-25 14:00:00 | IDOR: Un guide complet pour exploiter les vulnérabilités avancées d'IDOR IDOR: A complete guide to exploiting advanced IDOR vulnerabilities (lien direct) |
> IDOR -Short pour la référence d'objets directs non sécurisée - Les vulnérabilités sont l'une des vulnérabilités de sécurité Web les plus couramment trouvées dans les applications Web modernes et les API.pour repérer et exploiter et sont par nature des vulnérabilités de haute sévérité.[& # 8230;]
>IDOR -short for insecure direct object reference- vulnerabilities are one of the most commonly found web security vulnerabilities in modern web applications and APIs.It is no wonder that they are often recommended to new bug bounty hunters who are just starting as they are easy to spot and exploit and are by nature high-severity vulnerabilities. […] |
Vulnerability Threat | ★★★ | |
|
2024-06-25 11:30:00 | Framework Naptime de Google \\ pour stimuler la recherche sur la vulnérabilité avec l'IA Google\\'s Naptime Framework to Boost Vulnerability Research with AI (lien direct) |
Le cadre vise à améliorer les approches automatisées de découverte de vulnérabilité
The framework aims to improve automated vulnerability discovery approaches |
Vulnerability | ★★★ | |
|
2024-06-25 10:00:00 | Le rôle de la cybersécurité dans la construction et la fabrication modernes The Role of Cybersecurity in Modern Construction and Manufacturing (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity and threat preparedness may be at the forefront of your mind, and you may have protections in place against more common threats. Yet, as these threats continue to evolve, vigilance and adaptation are crucial for construction and manufacturing organizations. Cybercriminals have gotten both more prolific and more creative. 2023 saw a record-breaking spike in cyberattacks, with well over 300 million victims falling prey to data breaches, and the average corporate data breach cost 4.45 million dollars. In an industry where reputation is everything, a single breach could sink your ship in more ways than one. As we proceed, we’ll unpack the many ways that a cyberattack could impact your ability to turn a profit, making you aware of vulnerabilities that exist within your organization’s structure. Then we’ll provide you with practical suggestions to patch these vulnerabilities, insulating you from outside threats and keeping you on track to remain profitable. Computer Vision and Vulnerabilities As you use new technologies to support your existing processes, you must be aware of vulnerabilities that new systems can create. If you’ve looked into leveraging recent tech advancements in your field, you’re probably familiar with computer vision technology. Computer vision technology uses data gathered from physical images, importing them into the digital realm and unlocking a variety of potential benefits. Takeoff software and AI-powered planning systems streamline the project liftoff process by, simplifying cost estimation, identifying and correcting blueprint errors, and even advancing sustainability goals. While these systems can be leveraged to optimize a wide variety of processes, they also shift the balance of project planning from human input to automated computing processes. This in turn puts you more at risk for being a victim of a cyberattack. Malefactors can access automated systems through a wide variety of channels. Whether they break into your network via access to an IoT-connected device that someone misplaced in the workspace, or secret malicious code into the data sources your devices consume to function, increasing your use of technology also increases their windows of opportunity. As these systems increase in scope and importance, leaving windows like these open increases the risk of potentially profitable projects turning belly up. Process Disruption However, cybercriminals don’t need you to use newfangled technology solutions to cause havoc throughout your processes. Cybercriminals already have a tried-and-true playbook that they’ve been using on your competitors for years, and to great effect. Some of the ways cyberthreats can fracture manufacturers’ processes include: ● Ransomware: If a cybercriminal gains access to mission-critical data, they can then lock that data behind a ransomware program. Ransomware holds company d | Ransomware Malware Tool Vulnerability Threat Patching | ★★★ |
To see everything:
Our RSS (filtrered)
