SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-08-02 20:39:07	Black Basta ransomware switches to more evasive custom malware (lien direct)	## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do	Ransomware Malware Tool Vulnerability Threat Legislation Cloud
	2024-08-02 20:30:41	Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft (lien direct)	## Snapshot Researchers at Trend Micro identified a malvertising campaign where threat actors hijack social media pages, rename them to mimic popular AI photo editors, and post malicious links to fake websites. ## Description These attackers use spam messages with phishing links to steal admin credentials, leading to fake account protection pages. Once they gain control, they post ads promoting the AI photo editor, which directs victims to download an endpoint management utility disguised as the photo editor. The ITarian software is then used to execute additional payloads like Lumma Stealer, which exfiltrates sensitive data such as cryptocurrency wallet files, browser data, and password manager databases. This campaign exploits the popularity of AI tools by using them as lures for malicious activities. Cybercriminals have been observed changing social media page names to those of popular AI tools and using paid ads to boost their malicious posts. Victims are tricked into downloading software that allows attackers to remotely control their devices, leading to data and credential theft. ## Additional Analysis Threat actors frequently capitalize on current trends and events to enhance the credibility of their phishing scams, and the recent surge in interest around AI is no exception. By leveraging the excitement surrounding new AI technologies, cybercriminals create convincing phishing sites and promotional materials that mimic legitimate AI platforms. These scams often employ sophisticated social engineering tactics, including the use of compromised social media accounts, to distribute malware under the guise of AI applications. Security researchers at [Cyble Research and Intelligence Labs](https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/) have observed cybercriminals using branding for OpenAI\'s Sora, to create convincing phishing sites promoted through compromised social media accounts. This strategy not only increases the perceived legitimacy of their malicious campaigns but also exploits the public\'s eagerness to engage with cutting-edge technologies, thereby maximizing the reach and impact of their attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](http	Ransomware Spam Malware Tool Threat Prediction
	2024-08-02 19:41:05	Fortune 50 Co. paie une demande de ransomware record de 75 millions de dollars Fortune 50 Co. Pays Record-Breaking $75M Ransomware Demand (lien direct)	Le succès en fuite d'une tenue de ransomware parvenue appelée "Dark Angels" pourrait bien influencer le paysage de la cyberattaque pour les années à venir. The runaway success of an upstart ransomware outfit called "Dark Angels" may well influence the cyberattack landscape for years to come.	Ransomware
	2024-08-02 17:13:44	Mise à jour de la recherche: les acteurs de la menace derrière la campagne Dev # Popper se sont réoutillants et continuent de cibler les développeurs de logiciels via l'ingénierie sociale Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering (lien direct)	#### Géolocations ciblées - Corée - Amérique du Nord - Moyen-Orient - L'Europe de l'Est - Europe du Nord - Europe du Sud - Europe de l'Ouest #### Industries ciblées - Informatique - Produits informatiques et services ## Instantané Les chercheurs de Securonix ont découvert une campagne de [Dev # Popper] (https://security.microsoft.com/intel-explorer/articles/7309c) par des acteurs de la menace nord-coréenne, ciblant les développeurs de logiciels par le biais de techniques avancées d'ingénierie sociale. ## Description La campagne est répandue et a eu un impact sur les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient.De plus, la campagne a élargi son pool de victimes pour cibler les utilisateurs de Windows, Linux et MacOS.L'attaque est lancée par de fausses entretiens d'embauche, où les acteurs de la menace présentent à la personne interrogée un package de fichiers zip contenant des logiciels malveillants. Ce malware utilise un code JavaScript fortement obscurci, C2 Communications, Téléchargements de charge utile et exécution Python, avec de nouvelles fonctionnalités de persistance à l'aide de AnyDesk RMM.Le logiciel malveillant basé sur Python comprend des capacités de vol de données sensibles, une prise en charge du système multi-opératoires, une obscurité améliorée et un codage, un réseau, une exécution de commande distante, une exfiltration de données, une journalisation du presse-papiers et des casques de touche et une fonctionnalité FTP étendue.La campagne implique également l'abus des tactiques d'ingénierie sociale et l'extraction des références stockées et des cookies de session de divers navigateurs. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste R opportunisteLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsof	Ransomware Malware Tool Threat
	2024-08-02 14:44:13	Briser l'économie de la confiance: comment les bustes affectent les gangs de logiciels malveillants Breaking the economy of trust: How busts affect malware gangs (lien direct)	Il est difficile de retrouver les individus, alors pourquoi ne pas perturber le marché souterrain lui-même? Fonction Certains des ransomwares les plus notoires du monde \\Les opérateurs de logiciels malveillants en tant que service (RAAS / MAAS) ont fermé l'atelier au cours des 12 derniers mois grâce aux efforts internationaux de l'application des lois, mais simplement parce que les noms de ménages comme Conti, Lockbit et Alphv / Blackcat sont sur les cordes, il ne fait pas\\ 'ne signifie pas que nous sommes exempts de la menace des logiciels malveillants de marchandises.… It\'s hard to track down individuals, so why not disrupt the underground market itself? Feature Some of the world\'s most notorious ransomware and malware-as-a-service (RaaS/MaaS) operators have shut up shop in the past 12 months thanks to international law enforcement efforts, but just because household names like Conti, LockBit, and ALPHV/BlackCat are on the ropes, it doesn\'t mean we\'re free from the threat of commodity malware.…	Ransomware Malware Threat Legislation
	2024-08-02 13:27:25	Cryptonator saisi pour blanchiment de rançon, Crypto volé Cryptonator seized for laundering ransom payments, stolen crypto (lien direct)	Les forces de l'ordre américaines et allemandes ont saisi le domaine de la plate-forme Crypto Wallet Cryptonator, utilisée par les gangs de ransomware, les marchés Darknet et d'autres services illicites, et ont inculpé son opérateur.[...] U.S. and German law enforcement seized the domain of the crypto wallet platform Cryptonator, used by ransomware gangs, darknet marketplaces, and other illicit services, and indicted its operator. [...]	Ransomware Legislation
	2024-08-02 13:00:00	FortisandBox: Sauvegarde des clients européens des infostelleurs FortiSandbox: Safeguarding European Customers from Infostealers (lien direct)	Fortisandbox, une solution de sable de fiabilité et rentable est une défense puissante contre tous les types de 0 jours, y compris les infosteaux, les ransomwares, les chevaux de Troie et le phishing.En savoir plus. FortiSandbox, a trusted and cost-effective sandboxing solution stands as a powerful defense against all types of 0-days including infostealers, ransomware, trojans and phishing. Read more.	Ransomware
	2024-08-02 12:03:07	Fortune 50 Biz a toussé une rançon record de 75 millions de dollars pour arrêter la fuite de données volées Fortune 50 biz coughed up record-breaking $75M ransom to halt leak of stolen data (lien direct)	Ils disent que le crime ne paie pas.Ils sont à droite & # 8211;C'est les victimes qui effectuent le paiement Une société Fortune 50 anonyme a payé 75 millions de dollars à un gang de ransomware pour l'empêcher de téraoctets de données volées.…	Ransomware
	2024-08-01 21:27:45	Plus de dossiers juridiques volés en 2023 que les 5 années précédentes combinées More Legal Records Stolen in 2023 Than Previous 5 Years Combined (lien direct)	Les cabinets d'avocats font l'objectif parfait pour l'extorsion, il n'est donc pas étonnant que les attaquants de ransomware les ciblent et exigent des rançons de plusieurs millions de dollars. Law firms make the perfect target for extortion, so it\'s no wonder that ransomware attackers target them and demand multimillion dollar ransoms.	Ransomware		★★★
	2024-08-01 19:22:03	CISA prévient le bogue VMware Esxi exploité dans les attaques de ransomwares CISA warns of VMware ESXi bug exploited in ransomware attacks (lien direct)	## Instantané La CISA a ordonné aux agences fédérales de direction de la Federal Civil Executive (FCEB) de sécuriser leurs serveurs contre une vulnérabilité de contournement d'authentification VMware ESXi (CVE-2024-37085) qui permet aux attaquants d'ajouter un nouvel utilisateur au groupe \\ 'ESX \' ', groupe,accordant des privilèges administratifs complets. ## Description Malgré la cote de gravité moyenne de VMware, les chercheurs de Microsoft Security ont révélé que les gangs de ransomware, y compris Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest, exploitent cette vulnérabilité pour augmenter les privilèges administratifs sur les hyperviseurs d'administration du domaine.Une fois obtenu des autorisations d'administration, les acteurs de la menace volent des données sensibles à des machines virtuelles, se déplacent latéralement dans les réseaux et cryptent le système de fichiers de l'hyperviseur ESXi, provoquant des pannes et perturbant les opérations commerciales.CISA a ajouté la vulnérabilité de sécurité à ses [\\ 'Catalogue exploités connues \'] (https://www.cisa.gov/known-exploted-vulnerabilities-catalog) exigeant que les agences du FCEB sécurisent leurs systèmes dans les trois semaines.[CISA strongly urges all organizations to prioritize fixing the flaw to thwart ransomware attacks targeting their networks.](https://www.cisa.gov/news-events/alerts/2024/07/30/cisa-adds-one-known-Catalogue-vulnérabilité exploitée) ## Analyse Microsoft Les chercheurs en sécurité de Microsoft ont identifié de nouvelles techniques utilisées dans de nombreuses attaques d'opérateurs Ransomeware tels que [Storm-0506] (https: //security.microsoft.com/intel-profiles/ffe489b3f6c378d8a86f821af0f53814e8d5c7630fc041273972d9b824ef0312), [Storm-1175] (https://security.microsoft.com/intel-profiles/ 79270601AAC97D735449F7463A8CB0D06D3F117D4C29CDB83), [Octo Tempest] (https://security.microsoft.com/ Intel-Profiles / 205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), et [manatee tempest] ( 7936BFA9CF8B58AD9F55B7987F7F3B390F4FC).Les acteurs ransomeware ciblent ESXiHyperviseurs en raison de sa popularité au sein des enrivons de coprorisation et de la possibilité pour les acteurs ransomeware de faciliter l'impact de cryptage de masse en quelques clics.De plus, il permet aux opérateurs de ransomware de fonctionner sous le radar d'un SOC en raison d'une visiabité limitée et de la capacité de se déplacer latéralement.Les chercheurs de Microsoft Seurty ont identifié trois méthodes d'exploitation: l'ajout du groupe «Admins ESX» au domaine et l'ajout d'un utilisateur, de renommer n'importe quel groupe dans le domaine aux «administrateurs ESX» et d'ajouter un utilisateur au groupe ou d'utiliser un membre existant du groupe existantet mener une rafraîchissement des privilèges d'hyperviseur ESXi.L'utilisation de cette technique a conduit à [akira,] (https://security.microsoft.com/intel-profiles/eb747f064dc5702e50e28b63e4c74ae2e6ae19ad7de416902e9986777b4ad72ff) [blacK BASTA] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726), Babuk, Lockbit, AND Kuiper Ransomware Deployments.Le nombre d'engagements de réponse aux incidents de Microsoft impliquant des attaques d'hyperviseur ESXi a plus que doublé au cours des trois dernières années.En savoir plus sur CVE-2024-307085. En savoir plus sur CVE-2024-37085 [ici] (https://security.microsoft.com/intel-profiles/cve-2024-37085). ## Détections / requêtes de chasse Microsoft Defender pour le point de terminaison Le défenseur Microsoft suivant pour l'alerte de point final peut indiquer une activité de menace associée: - Modifications suspectes au groupe d'administrateurs ESX Les alertes suivantes pourraient également indiquer une activité de menace liée à cette menace.Notez cependant que ces alertes peuvent également être déclenchées par une activité de menace non liée: - Un nouveau groupe a ajo	Ransomware Vulnerability Threat		★★★
	2024-08-01 19:06:45	Black Basta développe des logiciels malveillants personnalisés dans le sillage de Qakbot Takedown Black Basta Develops Custom Malware in Wake of Qakbot Takedown (lien direct)	Le groupe de ransomware prolifiques s'est éloigné du phishing comme méthode d'entrée dans les réseaux d'entreprise, et utilise désormais les courtiers d'accès initiaux ainsi que ses propres outils pour optimiser ses attaques les plus récentes. The prolific ransomware group has shifted away from phishing as the method of entry into corporate networks, and is now using initial access brokers as well as its own tools to optimize its most recent attacks.	Ransomware Malware Tool		★★★
	2024-08-01 18:55:28	Columbus enquêtant sur la fuite de données potentielles après une attaque de ransomware Columbus investigating potential data leak after ransomware attack (lien direct)	Pas de details / No more details	Ransomware		★★★
	2024-08-01 15:51:01	(Déjà vu) Dangers invisibles qui se cachent derrière Evasive SecureServer.NET URL Unseen Dangers Lurking Behind Evasive Secureserver.net URLs (lien direct)	#### Géolocations ciblées - Le Portugal - Espagne - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Services financiers ## Instantané Des chercheurs de X-Labs ont identifié une campagne ciblant les grandes organisations financières dans le monde, avec un accent spécifique sur les régions espagnoles et portugais, en particulier l'Amérique latine. ## Description Les acteurs de la menace utilisent le domaine net SecureServer \ [. \] Pour distribuer des chevaux de Troie bancaires via des URL géoloyantes intégrées dans les e-mails.Lors de l'accès à l'URL, un fichier d'archive est supprimé, lançant une série d'activités qui conduisent finalement à l'injection de processus dans la mémoire du système.Le malware est conçu pour échapper à la détection en vérifiant la langue du système, l'emplacement et d'autres variables environnementales.Après une exécution réussie, il se connecte aux serveurs de commandement et de contrôle malveillants, de vol d'informations sensibles et d'utiliser des techniques de phishing. ## Analyse supplémentaire Les acteurs de la menace personnalisent souvent les chevaux de Troie bancaires pour cibler des pays ou des régions spécifiques en raison de plusieurs facteurs: - Langue et localisation: les cybercriminels élaborent leurs e-mails de phishing et leurs logiciels malveillants pour correspondre à la langue et aux nuances culturelles du pays cible, augmentant leurs chances de succès. - Environnement réglementaire: les pays diffèrent dans leurs niveaux de réglementation et d'application de la cybersécurité.Les attaquants ciblent souvent les pays avec des défenses de cybersécurité plus faibles ou des réglementations plus indulgentes. - Infrastructure bancaire: Certains pays peuvent avoir des systèmes bancaires moins sûrs ou des applications bancaires populaires plus sensibles à l'exploitation. - Facteurs économiques: les nations ayant une plus grande activité économique et la richesse sont des objectifs plus lucratifs, offrant un potentiel plus élevé de rendements financiers. - Succès antérieur: les cybercriminels peuvent persister à cibler un pays où ils ont déjà réussi, améliorant continuellement leurs méthodes en fonction des stratégies efficaces passées. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-e	Ransomware Malware Tool Threat Legislation		★★★
	2024-08-01 10:00:17	Comment les variantes de ransomware «professionnelles» augmentent les groupes de cybercriminalité How “professional” ransomware variants boost cybercrime groups (lien direct)	Les chercheurs de Kaspersky ont étudié trois groupes de ransomwares qui ont fait des échantillons de logiciels malveillants nouvellement construits basés sur Babuk, Lockbit, Chaos et autres, tout en manquant de ressources professionnelles. Kaspersky researchers investigated three ransomware groups that tapped newly built malware samples based on Babuk, Lockbit, Chaos and others, while lacking professional resources.	Ransomware Malware		★★★
	2024-08-01 09:47:58	75 millions de dollars de rançon record payés aux cybercriminels, disent les chercheurs $75 Million Record-Breaking Ransom Paid To Cybercriminals, Say Researchers (lien direct)	La somme stupéfiante de 75 millions de dollars aurait été versée à un gang de ransomware dans ce qui serait le plus grand paiement de rançon connu effectué par une victime de cyber-attaque depuis le début des dossiers.Des chercheurs de Zscaler affirment dans un nouveau rapport selon lequel le chiffre record a été payé par une société Fortune 50 non divulguée au Dark Angels Ransomware Group.Le paiement signalé double presque le record précédent - 40 millions de dollars payés par le géant de l'assurance CNA Financial en 2021 après avoir été verrouillé de son réseau par les attaquants en utilisant le ransomware Phoenix Locker.Dark Angels, qui a émergé en mai 2022, a ... The staggering sum of US $75 million has reportedly been paid to a ransomware gang in what is believed to be the largest known ransom payment made by a cyber attack victim since records began. Researchers at Zscaler claim in a new report that the record-breaking figure was paid by an undisclosed Fortune 50 company to the Dark Angels ransomware group. The reported payment almost doubles the previous record - $40 million paid by insurance giant CNA Financial in 2021 after being locked out of its network by attackers using the Phoenix Locker ransomware. Dark Angels, which emerged in May 2022, has...	Ransomware		★★★★
	2024-08-01 01:09:55	Sceau de menthe: une étude complète d'un voleur d'informations basé sur un python Mint Stealer: A Comprehensive Study of a Python-Based Information Stealer (lien direct)	## Snapshot Researchers at Cyfirma have identified Mint Stealer, an [information-stealing malware](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) operating within a malware-as-a-service (MaaS) framework. Mint Stealer is designed to covertly exfiltrate a wide-range of sensitive data from compromised systems, including web browser data, cryptocurrency wallet details, gaming credentials, VPN client information, messaging app data, FTP client data, and more. ## Description Mint-stealer\'s capabilities include capturing system information, detecting debuggers and analysis tools, continuously capturing clipboard data through PowerShell commands, encrypting exfiltrated data, and communicating with its C2 server for updates and instructions. Mint Stealer is created using the Nuitka Python compiler and relies on Python dynamic modules to support its functionality. The initial payload acts as a dropper, with the main payload hidden in a compressed form within the resources section of the executable. It uploads stolen data to free file-sharing websites and communicates with its command-and-control server (C2) for updates and instructions. The threat actor behind Mint Stealer is associated with another malware-selling website, cashout\[.\]pw, and offers hosting services that do not respect DMCA requests. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Often, infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. The new class of actors enabled by the infostealer ecosystem demonstrate that it is possible to gain initial access to an organization with minimal native malware development skills, by purchasing tools already available. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. They can target a range of information like session tokens and cookies, saved passwords, financial information, and credentials for internet-facing systems and applications. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win32/Casdet ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Information stealing malware activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magic	Ransomware Spam Malware Tool Threat Studies		★★★
	2024-08-01 00:12:30	L'infection par ransomware réduit l'approvisionnement en sang à plus de 250 hôpitaux Ransomware infection cuts off blood supply to 250+ hospitals (lien direct)	Scumbags opter pour l'attaque jugulaire une attaque de ransomware contre un seul organisme à but non lucratif de donation sanguine, qui dessert plus de 250 hôpitaux américains, a "considérablement réduit" la capacité de l'organisation, tester, tester,et distribuer du sang.… Scumbags go for the jugular A ransomware attack against blood-donation nonprofit OneBlood, which services more than 250 American hospitals, has "significantly reduced" the org\'s ability to take, test, and distribute blood.…	Ransomware		★★★
	2024-07-31 22:40:07	Rapport trimestriel de la cyber-menace: MITER ATT & CK Framework Trends in Osint (avril 2024 & # 8211; juin 2024) Quarterly cyber threat report: MITRE ATT&CK framework trends in OSINT (April 2024 – June 2024) (lien direct)	## Snapshot This report presents an analysis of recent trends in cyber threats based on 111 articles published by threat researchers across the security community between April and June 2024. These articles are curated by Microsoft Threat Intelligence from across a number of trusted sources and included in Microsoft Defender Threat Intelligence as open source intelligence (OSINT) articles. The analysis focuses on the nearly 1,000 MITRE ATT&CK framework tags correlated to the content in each article. By distilling insights from these tags and the related intelligence, we can highlight prevalent tactics, techniques, and procedures (TTPs) observed in the cyber security landscape over the past quarter. This dataset is not exhaustive but represents a curated set of most high-profile cyber threat intelligence reporting from across the security community. When prioritizing cyber security efforts, it\'s essential to understand the trending TTPs observed in the wild. This knowledge helps defenders make informed decisions about the most effective strategies to implement, especially where to focus engineering efforts and finite resources. ## Activity Overview - Initial access: Phishing: Phishing remains a prevalent initial access method, mentioned in a third of reports, including spear-phishing attachments and links. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. - Defense evasion: Obfuscated files or information: Over a third of reports highlighted the use of obfuscation techniques, such as dynamic API resolution and steganography, to evade detection. This trend is likely underpinned by factors such as the cybercrime market for obfuscating even basic credential theft malware as well as the growing sophistication in some malware to bypass traditional security measures. - Command and control: Ingress tool transfer: Ingress tool transfer was the most frequently referenced technique, involving the transfer of tools from an external system to a compromised one. Key threats driving the prevalence of this tactic included an increase in OSINT reporting on threat actors misusing the ms-appinstaller URI scheme (App Installer) to distribute malware. - Execution: Command and scripting interpreter/PowerShell: Execution through PowerShell was prominent, continuing its trend of broad adoption in attacks over the past decade. The widespread adoption of PowerShell to launch malicious code is in part due to numerous toolkits that have been developed to allow quick deployment of a wide range of attacks. - Exfiltration: Exfiltration over C2 channel: The most commonly referenced exfiltration method was over the command-and-control (C2) channel, highlighting the critical need for network monitoring and anomaly detection to identify and mitigate data breaches. The frequent reports on infostealers such as Lumma and DarkGate-commodity malware used to steal information from a target device and send it to the threat actor-are likely key drivers of this MITRE tag\'s prominence. - Impact: Data encrypted for impact: Ransomware involving data encryption was the most frequently observed impact technique, with LockBit and other groups exploiting vulnerabilities. The use of Bring Your Own Vulnerable Driver (BYOVD) tactics, such as Warp AV Killer, remained common. #### Initial access: Phishing Phishing remains a significant initial access method in open-source research, with a third of the reports mentioning its use. This includes both spear-phishing attachments and spear-phishing links. Phishing involves deceptive attempts to trick individuals into divulging sensitive information or installing malicious software, often through seemingly legitimate emails. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. Phishing remains a dominant method for initial access in cyber threat landscapes due to its effective	Ransomware Spam Malware Tool Vulnerability Threat Legislation Prediction Cloud		★★★
	2024-07-31 21:17:43	(Déjà vu) «Echospoofing» - une campagne de phishing massive exploitant la protection par e-mail de Proofpoint \\ pour envoyer des millions de courriels parfaitement usurpés “EchoSpoofing” - A Massive Phishing Campaign Exploiting Proofpoint\\'s Email Protection to Dispatch Millions of Perfectly Spoofed Emails (lien direct)	## Snapshot In a coordinated report, Guardio Labs and Proofpoint detailed spam campaigns, which exploited weak permissions in Proofpoint\'s email protection service to send millions of spoofed emails impersonating major entities like Disney, Nike, IBM, and Coca-Cola to Fortune 100 companies. ## Description The campaign, which began in January 2024, involved an average of 3 million spoofed emails per day, peaking at 14 million emails in early June. Threat actors utilized their own SMTP (Simple Mail Transfer Protocol) servers to create spoofed emails with manipulated headers and relayed them through compromised or rogue Microsoft Office 365 accounts via Proofpoint\'s relay servers. As of July 30th, Guardio Labs reported that a number of the Microsoft accounts have been removed. The attackers leveraged Virtual Private Servers (VPS) hosted by OVHCloud and Centrilogic, as well as various domains registered through Namecheap to conduct the campaign. Proofpoint assesses that this activity was likely conducted by one actor, who is currently unknown. The phishing emails were designed to steal sensitive personal information and incur unauthorized charges, and they passed SPF and DKIM checks, allowing them to bypass spam filters and reach recipients\' inboxes. Proofpoint, after being notified by Guardio Labs, tightened security measures and provided new settings and advice to mitigate these attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft Defender XDR customers can turn on the following [attack surface reduction rule](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) to prevent common attack techniques used for ransomware. - - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-content-from-email-client-and-webmai	Ransomware Spam Tool Threat		★★★
	2024-07-31 20:02:49	(Déjà vu) Socgholish malware attaquant les utilisateurs de Windows à l'aide d'une fausse mise à jour du navigateur SocGholish Malware Attacking Windows Users Using Fake Browser Update (lien direct)	## Snapshot GData Software analysts found that the [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) malware, favored by threat groups like Evil Corp (tracked by Microsoft as [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc)) and TA569 (tracked by Microsft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9)), is actively targeting Windows users with fake browser updates. ## Description This complex JavaScript downloader uses drive-by download techniques to silently install malware on user machines. It has evolved to exploit vulnerable WordPress plugins using the Keitaro traffic distribution system, with its infrastructure traced to Russian-hosted servers. The malware employs advanced techniques such as user profiling, browser fingerprinting, and fake browser update pages as lures. Potential payloads associated with SocGholish include backdoors, information stealers, remote access Trojans, and ransomware. Recent infections indicate the use of PowerShell scripts for persistence on compromised systems, enhancing its adaptability and evasion capabilities. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actors [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft) and [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc) use SocGholish/FakeUpdates as their primary technique to gain intial access. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [TrojanDownloader:JS/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/FakeUpdates.J&threatId=-2147133367?ocid=magicti_ta_ency) - [Behavior:Win32/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/FakeUpdates.A&threatId=-2147140656?ocid=magicti_ta_ency) - [Trojan:JS/FakeUpdate](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/FakeUpdate.C) - [Behavior:Win32/Socgolsh](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB&threatId=-2147152249?ocid=magicti_ta_ency) - [TrojanDownloader:JS/SocGholish](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/SocGholish!MSR&threatId=-2147135220?ocid=magicti_ta_ency) - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - [Behavior:Win32/Socgolsh.SB](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB) - [Trojan:Win32/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Blister.A&threatId=-2147152044?ocid=magicti_ta_ency) - [Trojan:Win64/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Blister.A&threatId=-2147153518?ocid=magicti_ta_ency) - [Behavior:Win32/SuspRclone](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Sus	Ransomware Malware Tool Threat		★★★
	2024-07-31 18:17:54	(Déjà vu) Donot APT GROUP ciblant le Pakistan Donot APT Group Targeting Pakistan (lien direct)	#### Targeted Geolocations - United States - Eastern Europe - Northern Europe - Western Europe - Southern Europe - Central Asia - East Asia - South Asia - Southeast Asia #### Targeted Industries - Government Agencies & Services - Information Technology - Defense Industrial Base ## Snapshot Rewterz published a profile on APT-C-35, also known as the Donot APT group, a cyber espionage group active since at least 2013. ## Description The Donot APT group is known to target government and military organizations, as well as companies in the aerospace, defense, and high-tech industries. Their activities have been observed in several regions, including the United States, Europe, and Asia. The Donot group\'s motivations are information theft and espionage. The group is known for targeting Pakistani users with Android malware named StealJob, disguised under the name “Kashmiri Voice” to steal confidential information and intellectual property. In July 2022, they used Comodo\'s certificate to sign their spyware, demonstrating their high level of technical skill. The Donot APT group employs various tactics such as spear-phishing emails, malware, and custom-developed tools, often using third-party file-sharing websites for malware distribution. They are well-funded and use sophisticated techniques to evade detection, including encryption and file-less malware. ## Additional Analysis According to a number of additional sources, Donot group is likely [linked to the Indian government](https://socradar.io/apt-profile-apt-c-35-donot-team/). Initial access to victim environments is typically achieved through phishing campaigns and the group has been observed exploiting vulnerabilities in Microsoft Office, including [CVE-2018-0802](https://security.microsoft.com/intel-explorer/cves/CVE-2018-0802/), [CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/), and [CVE-2017-8570](https://security.microsoft.com/intel-explorer/cves/CVE-2017-8570/). Donot group is a persistent and consistent actor. [ESET researchers](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) note the group is known to repeatedly attacks the same target, even if they are removed fromt he victim environment. In some cases, the Donot group launched spearphishing campaigns against targets every two to four months. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender f	Ransomware Malware Tool Vulnerability Threat Mobile Industrial Technical		★★★
	2024-07-31 17:52:40	Microsoft dit que les groupes de ransomwares exploitent le défaut VMware ESXi nouvellement paralysé Microsoft Says Ransomware Groups Are Exploiting the Newly-Patched VMware ESXi Flaw (lien direct)	La vulnérabilité CVE-2024-37085 est présente dans les hyperviseurs ESXi et peut être utilisée pour déployer des logiciels malveillants de données-exorsion. The CVE-2024-37085 vulnerability is present in ESXi hypervisors and can be used to deploy data-extortion malware.	Ransomware Malware Vulnerability		★★★
	2024-07-31 17:13:07	L'attaque de ransomware frappe une banque de sang à un sang, perturbe les opérations médicales Ransomware Attack Hits OneBlood Blood Bank, Disrupts Medical Operations (lien direct)	> Oneblood, une banque de sang à but non lucratif desservant plus de 300 hôpitaux américains, a été frappée par une attaque de ransomware perturbatrice. >OneBlood, a non-profit blood bank serving more than 300 U.S. hospitals, has been hit by a disruptive ransomware attack.	Ransomware Medical		★★★
	2024-07-31 16:40:35	(Déjà vu) Phishing targeting Polish SMBs continues via ModiLoader (lien direct)	#### Géolocations ciblées - Pologne - Roumanie - Italie ## Instantané Des chercheurs de l'ESET ont détecté des campagnes de phishing généralisées ciblant les petites et moyennes entreprises (PME) en Pologne, en Roumanie et en Italie en mai 2024. ## Description Les campagnes visant à distribuer diverses familles de logiciels malveillants, y compris les remcos à distance à distance (rat), [agent Tesla] (https://security.microsoft.com/intel-profiles/0116783AB9DA099992EC014985D7C56BFE2D8C360C6E7DD6CD39C8D6555555538) et FormBook) et Forme Modiloader (également connu sous le nom de dbatloader).Cela marque un changement de tactique comme dans les campagnes précédentes, les acteurs de la menace ont exclusivement utilisé l'accryptor pour offrir des charges utiles de suivi. Dans les campagnes les plus récentes, les attaquants ont utilisé précédemment les comptes de messagerie et les serveurs d'entreprise pour diffuser des e-mails malveillants, héberger des logiciels malveillants et collecter des données volées.Les e-mails de phishing contenaient des pièces jointes avec des noms comme RFQ8219000045320004.TAR ou ZAM & OACUTE; WIENIE \ _NR.2405073.IMG, qui ont été utilisés pour livrer Modiloader.Une fois lancé, Modiloader a téléchargé et exécuté la charge utile finale, qui variait entre les différentes campagnes.Les attaquants ont exfiltré des données utilisant différentes techniques, y compris SMTP et des serveurs Web compromis. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Modiloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/modiloader) - [Backdoor: JS / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos) - [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name=backdoor: MSIL / REMCOS) - [Backdoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-dEscription? Name = Backdoor: Win32 / Remcos) - [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-d-dEscription? Name = Trojan: Win32 / Remcos) - [Trojan: win32 / agenttesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/agenttesla) - [Trojanspy: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojanspy:mil/agenttesla) - [Trojandownloader: MSIL / FormBook] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojandownher:mil/formBook.kan!mtb&agne ;Threatid=-2147130651&ocid = magicti_ta_ency) ## Recommandations Microsoft recommande les atténuations suivantes to Réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) So que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defen	Ransomware Malware Tool Threat		★★★
	2024-07-31 15:51:00	Appel de sang urgent émis aux États-Unis après une attaque de ransomware Urgent Blood Appeal Issued in US After Ransomware Attack (lien direct)	US à but non lucratif Oneblood a lancé un appel urgent aux dons après qu'une attaque de ransomware a considérablement réduit sa capacité à distribuer du sang aux hôpitaux US non-profit OneBlood has issued an urgent appeal for donations after a ransomware attack has significantly reduced its capacity to distribute blood to hospitals	Ransomware		★★★
	2024-07-31 15:03:11	Les fausses mises à jour du navigateur déploient un logiciel Asyncrat et malveillant BOINC Fake Browser Updates Deploy AsyncRAT and Malicious BOINC Software (lien direct)	## Snapshot Researches at Huntress identified new behaviors associated with SocGholish, or FakeUpdates, malware. Typically, infections start when a user visits a compromised website and downloads a fake browser update, which executes malicious code to download further malware. . ## Description Initial access involves a malicious JavaScript file that downloads subsequent stages of the attack. In this case, two separate chains were identified: one leading to a fileless AsyncRAT installation and the other to a malicious BOINC (Berkeley Open Infrastructure Network Computing Client) installation. The AsyncRAT chain involved several stages with obfuscated PowerShell scripts and anti-VM techniques, eventually leading to a connection to a command and control (C2) server. The BOINC chain involved dropping multiple files, creating directories and scheduled tasks, and renaming executables to disguise their malicious intent. The BOINC software, typically used for legitimate distributed computing projects, was configured to connect to malicious servers, enabling threat actors to collect data and execute tasks on infected hosts. Persistence was maintained through scheduled tasks, and the use of BOINC in this context is relatively unusual. Both chains showed similarities with previous SocGholish activities, such as using fake browser updates and PowerShell scripts. The new campaigns utilized recently registered domains and shared infrastructure noted by other security researchers. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actor, [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft), uses SocGholish/FakeUpdates as their primary technique to gain intial access. Find out more about Mustard Tempest including indicators [here](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=description). [AsyncRAT](https://sip.security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776) is a remote access tool (RAT) that allows a user to control a remote computer. It is designed to evade detection and is often used by attackers to gain unauthorized access to a victim\'s system. AsyncRAT is written in .NET and is capable of running on Windows machines. It can perform various malicious activities such as keylogging, file stealing, and ransomware deployment. Its name comes from its use of asynchronous programming techniques, which allow it to carry out multiple tasks simultaneously without blocking the program\'s main thread. Mirosoft researchers track the AsyncRAT portion of this attack to threat actor, [Storm-0426](https://security.microsoft.com/intel-profiles/2ef8bd6a2aa00638707e7eba5e86040ba0d88c4c0da6ad7bb0c95a8999e2af83). ## Detections/Hunting Queries #### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - Trojan:JS/FakeUpdate.C - Trojan:JS/FakeUpdate.B - Behavior:Win32/Socgolsh.SB #### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - SocGholish command-and-control - Suspicious \'Socgolsh\' behavior was blocked The following aler	Ransomware Malware Tool Threat		★★★
	2024-07-31 14:55:18	L'attaque des ransomwares contre le major US Blood Center incite des centaines d'hôpitaux à mettre en œuvre des protocoles de pénurie Ransomware attack on major US blood center prompts hundreds of hospitals to implement shortage protocols (lien direct)	Pas de details / No more details	Ransomware		★★★
	2024-07-31 14:16:51	Machines virtuelles de Oneblood \\ cryptées dans une attaque de ransomware OneBlood\\'s virtual machines encrypted in ransomware attack (lien direct)	Oneblood, un grand centre sanguin à but non lucratif qui dessert les hôpitaux et les patients aux États-Unis, est confronté à une panne de systèmes informatiques causée par une attaque de ransomware.[...] OneBlood, a large not-for-profit blood center that serves hospitals and patients in the United States, is dealing with an IT systems outage caused by a ransomware attack. [...]	Ransomware		★★★
	2024-07-31 12:07:01	La ville de Columbus affirme que les données sont compromises dans l'attaque des ransomwares City of Columbus Says Data Compromised in Ransomware Attack (lien direct)	> La ville de Columbus enquête sur la portée d'une violation de données résultant d'une attaque de ransomware contrecarrée. >The City of Columbus is investigating the scope of a data breach resulting from a thwarted ransomware attack.	Ransomware Data Breach		★★★
	2024-07-31 10:00:00	Les attaques de ransomwares sont-elles toujours une menace croissante en 2024? Are Ransomware Attacks Still a Growing Threat in 2024? (lien direct)	The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Ransomware attacks continue to pose a growing threat to organizations as it has emerged as the number one threat, affecting 66% of organizations in 2023 and pulling over $1 billion from the victims. These attacks have increased in frequency and sophistication, resulting in significant financial loss, operation disruption, theft of sensitive data, and reduced productivity rates. Also, it damages the organization\'s reputation and results in the loss of customer trust and compliance violations. An organization needs a comprehensive protection strategy to reduce the frequency of these attacks and the risks they pose. Ransomware Business Model: How These Attacks Are Evolving? In the past, ransomware attacks mainly relied on phishing emails, remote desktop protocol exploits, and vulnerable ports to increase their chances of success. Additionally, these attacks employ evasion techniques to bypass traditional security measures like firewalls or antivirus software. These methods have resulted in famous attacks like WannaCry, TeslaCrypt, and NotPetya. With time, ransomware attackers have evolved and have become more sophisticated, targeted, and profitable for cybercriminals. Below is an insight into the latest trends that hackers adopt to launch a successful ransomware attack: Exploiting Zero-Day Vulnerabilities The shift in ransomware gangs and their sophisticated tactics and procedures (TTPs) raise the number of ransomware attacks. . Previously, REvil, Conti, and LockBit were the famous ransomware gangs, but now Clop, Cuban, and Play are gaining immense popularity by employing advanced hacking techniques like zero-day vulnerabilities. Sophos\'s State of Ransomware 2024 revealed exploited vulnerabilities as the root cause of ransomware attacks. The Clop ransomware gang has used the zero-day vulnerability in the MOVEit Transfer platform to steal the sensitive data of different organizations. This group also targeted the GoAnywhere zero-day vulnerability in January 2023, affecting 130 organizations, and exploited the Accellion FTA servers in 2020. Similarly, Cuban and Play used the same attacking technique to compromise the unpatched Microsoft Exchange servers. Double and Triple Extortion Another reason for the rise in ransomware attacks is the introduction of the double or triple extortion technique. Cybersecurity firm Venafi reported that 83% of ransomware attacks included multiple ransom demands in 2022. Cybercriminals encrypt the data, exfiltrate sensitive information, and threaten to release it or sell it on the dark web if the ransom is not paid in a double extortion scheme. This tactic prove	Ransomware Malware Tool Vulnerability Threat Studies Legislation Prediction Medical Technical	NotPetya Wannacry Deloitte	★★★
	2024-07-31 08:51:48	(Déjà vu) L'entreprise a payé un record de 75 millions de dollars à Ransomware Group: Rapport Company Paid Record-Breaking $75 Million to Ransomware Group: Report (lien direct)	> Zscaler est au courant d'une entreprise qui a payé une rançon record de 75 millions de dollars au groupe Ransomware Dark Angels. >Zscaler is aware of a company that paid a record-breaking $75 million ransom to the Dark Angels ransomware group.	Ransomware		★★★
	2024-07-31 08:45:00	Les chercheurs découvrent le plus grand paiement de ransomware de 75 millions de dollars Researchers Uncover Largest Ever Ransomware Payment of $75m (lien direct)	Zscaler met en garde contre les attaques de copie après avoir révélé une victime de ransomware a payé 75 millions de dollars Zscaler warns of copycat attacks after revealing one ransomware victim paid $75m	Ransomware		★★★
	2024-07-31 07:55:37	Une faille de VMware ESXi exploitée par des groupes de ransomware (lien direct)	Bien que l'alerte de sécurité pour la vulnérabilité CVE-2024-37085 lui attribue une note de gravité modérée, un score CVSSv3 de 6,8 et une note moyenne d'après le VPR (Vulnerability Priority Rating) de Tenable, une exploitation réussie pourrait être catastrophique pour les organisations touchées. - Points de Vue	Ransomware		★★★
	2024-07-31 04:54:01	Dark Angels Gang obtient une rançon record de 75 millions de dollars Dark Angels gang scores a record-breaking $75 million ransom (lien direct)	Au cours de la dernière année, les attaques de ransomwares ont atteint des niveaux d'ambition et d'audace sans précédent, mis en évidence par une augmentation significative des attaques d'extorsion.En fait, les recherches de Zscaler Threatlabz ont révélé un paiement de rançon inégalé de 75 millions de dollars & # 8211;Le plus élevé jamais payé par une seule entreprise, presque le double du record précédemment connu.De plus, l'année dernière, ransomware [...] Over the past year, ransomware attacks have reached unprecedented levels of ambition and boldness, highlighted by a significant increase in extortion attacks. In fact, research from Zscaler ThreatLabz revealed an unparalleled ransom payout of $75 million – the highest ever paid by a single company, nearly double the previously known record. Moreover, last year, ransomware [...]	Ransomware		★★★★
	2024-07-31 04:45:00	Les frais de violation montent en flèche comme le paiement des ransomwares record effectué Breach costs soar as record ransomware payment made (lien direct)	Pas de details / No more details	Ransomware		★★★
	2024-07-30 21:34:07	Rapport d'analyse technique des ransomwares Azzasec AzzaSec Ransomware Technical Analysis Report (lien direct)	#### Géolocations ciblées - Israël - Ukraine ## Instantané Des chercheurs de ThreatMon ont publié un rapport sur Azzaseec Ransomware, A Ransomware As a Service (RAAS), développé par le groupe Azzasec Hacktivist. ## Description Utilisé par le groupe lui-même et vendu à d'autres acteurs de menace en tant que RAAS, les ransomwares azzasec ont été livrés via une attachement de phishing et via des serveurs Windows distants infectés.Une fois qu'Azzasec infecte un système cible, il peut chiffrer 120 formats de fichiers différents et supprime des points de restauration pour empêcher les victimes de pouvoir restaurer leur système à une date de pré-infection. ThreatMon évalue que le groupe Azzasec Hactivist a été fondé en février 2024 et a des motivations financières.Les analystes suggèrent que le groupe est basé en Italie, mais aligné avec la Russie, et collabore avec le groupe de menaces russes APT44.Le groupe et ses ransomwares sont une menace pour l'Ukraine, Israël et leurs alliés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Interfaces de numérisation publique, telles que [Microsoft Defender External Attack Surface Management] (https://www.microsoft.com/security/business/cloud-security/microsoft-defender-extern-attack-surface-management?ocid=Magicti_TA_ABBReviatedMkTgpage),,,,,,peut être utilisé pour augmenter les données.Le tableau de bord du résumé de la surface d'attaque fait face à des actifs, tels que les serveurs d'échange, qui nécessitent des mises à jour de sécurité et fournissent des étapes de remédiation recommandées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_ta_learndoc) pour ce défenseurPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode entièrement automatisé pour permettre au Defender pour le point de terminaison de prendre des mesures immédiates sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lire Microsoft \'s [Présentation des menaces de ransomware] (https: // secUrity.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStre	Ransomware Tool Threat Technical		★★
	2024-07-30 20:07:08	Les gangs de ransomware exploitent le bug Esxi pour le cryptage de masse instantané des machines virtuelles Ransomware Gangs Exploit ESXi Bug for Instant, Mass Encryption of VMs (lien direct)	Avec des privilèges suffisants dans Active Directory, les attaquants n'ont qu'à créer un groupe "ESX Admins" dans le domaine ciblé et à y ajouter un utilisateur. With sufficient privileges in Active Directory, attackers only have to create an "ESX Admins" group in the targeted domain and add a user to it.	Ransomware Threat		★★★
	2024-07-30 18:39:52	Des pirates qui attaquent les utilisateurs à la recherche de formulaire W2 Hackers Attacking Users Searching For W2 Form (lien direct)	## Instantané Une campagne malveillante a été découverte le 21 juin 2024, qui cible les utilisateurs à la recherche de formulaires W2.Ce fichier a exécuté un programme d'installation MSI, laissant tomber une DLL Brute Ratel Badger dans l'AppData de l'utilisateur \\.Le framework Brute Ratel a ensuite téléchargé et inséré la porte dérobée Latrodectus, offrant aux acteurs de la menace une télécommande, des capacités de vol de données et la possibilité de déployer des charges utiles supplémentaires. ## Description L'attaquant a exploité les résultats de recherche de Bing pour rediriger les utilisateurs de la dameropia de domaine lookalike \ [. \] Com vers un faux site Web IRS hébergé sur grupotefex \ [. \] Com, en lançant un défi CAPTCHA qui a entraîné le téléchargement d'un fichier javascript malveillant hébergé sur leUn seau de stockage Google Firebase.Ce fichier a utilisé des techniques d'obscurcissement du code et un certificat d'authentification valide pour cacher sa nature malveillante et initier l'installation de packages MSI à partir d'URL spécifiés, ciblant potentiellement des systèmes avec des charges utiles malveillantes identiques.Cet événement est Similair à un événement du 25 juin 2024 impliquant "neuro.msi", observé par [Rapid7] (https://www.rapid7.com/blog/post/2024/07/24/malware-campaign-lures-Usgers-with-Fake-w2-forme /).Le programme d'installation MSI installe un fichier DLL nommé capisp.dll dans le dossier appdata / roaming de l'utilisateur et l'exécute à l'aide de rundll32.exe avec une exportation nommée «REMI».Le fichier capisp.dll initie une infection de logiciels malveillants en plusieurs étapes.Il contient des données cryptées qui, lorsqu'elles sont déchiffrées, révèlent un chargeur pour le [Brute Ratel Badger(BRC4)] (https://security.microsoft.com/intel-profiles/a09b8112881d2dead66c1b277c92ac586d9791e60b3b284ef303439a18d91786).Cette charge utilese connecte à plusieurs domaines de commande et de contrôle (C2) pour télécharger et injecter le malware Latrodectus dans explorateur.exe, qui communique ensuite avec plusieurs URL C2 supplémentaires. ## Analyse Microsoft Chaque année, la saison fiscale est une opportunité pour les acteurs de la menace de voler des informations sur des cibles.Cet événement montre que les acteurs de la menace continuent de tirer parti des attaques fiscales en dehors de la saison fiscale traditionnelle.Les acteurs de la menace utilisent des techniques comme la malvertisation et plusieurs types de tactiques de phishing.Les campagnes de phishing peuvent inclure des sites Web d'usurpation, des domaines d'homoglyphes et la personnalisation des liens pour faire appel aux utilisateurs.Plus tôt cette année, Microsoft a rendu compte des campagnes liées à la saison fiscale qui ont mis à profit ces techniques d'ingénierie sociale, pour inclure des leurres liés aux paiements comme les fausses notifications fiscales W-2 et W-9 et des fonctionnalités comme les captchas.Captchas peut rendre les attaques plus légitimes pour ses victimes en plus d'être utilisées pour déclencher la prochaine étape d'une attaque.Ces attaques peuvent entraîner le vol des diplômes liés financiers, le vol d'identité et la perte monétaire.Dans certains cas, l'attaque pourrait être utilisée pour prendre pied dans un environnement compromis pour les futures opportunités de ransomware. En savoir plus à ce sujet et les moyens de défendre contre les menaces centrées sur l'impôt [ici] (https://security.microsoft.com/intel-explorer/articles/5cfe2fe9). ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: win64 / bruteratel] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-dercription?name=backDoor:win64/bruteratel.a) [Trojan: Win64 / Bruteratel] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription?name=trojan:win64/bruteratel.a) [Trojan: win64 / la	Ransomware Malware Threat		★★★
	2024-07-30 18:21:36	Les attaques de ransomwares attirent des paiements record en Australie.Devriez-vous payer la rançon? Ransomware Attacks Are Attracting Record Payouts in Australia. Should You Pay the Ransom? (lien direct)	Les attaques de ransomwares attirent des paiements record en Australie.Apprenez si le paiement de la rançon est viable, sur les implications juridiques et sur les stratégies alternatives. Ransomware attacks are attracting record payouts in Australia. Learn whether paying the ransom is viable, about legal implications and about alternative strategies.	Ransomware		★★★
	2024-07-30 17:54:29	Semperis \\ '2024 Ransomware Study révèle que 78% des victimes d'attaque ont payé une rançon et les trois quarts ont subi plusieurs grèves Semperis\\' 2024 Ransomware Study reveals 78% of attack victims paid ransom and three quarters suffered multiple strikes (lien direct)	Semperis \\ '2024 Ransomware Study révèle que 78% des victimes d'attaque ont payé une rançon et les trois quarts ont subi plusieurs frappes L'enquête auprès de près de 1 000 professionnels de l'informatique et de la sécurité montre que 83% des organisations ont été ciblées par des attaques de ransomwares au cours de la dernière année avec un haut degré de succès, sonnant des tendances alarmantes de la fréquence, de la gravité et des conséquences des attaques. - rapports spéciaux Semperis\' 2024 Ransomware Study reveals 78% of attack victims paid ransom and three quarters suffered multiple strikes Survey of nearly 1,000 IT and security professionals shows 83% of organisations were targeted by ransomware attacks in the past year with a high degree of success, sounding alarming trends in attack frequency, severity and consequences. - Special Reports	Ransomware Studies		★★★★
	2024-07-30 17:46:55	La victime de ransomware Fortune 50 paie 75 millions de dollars pour les yeux Fortune 50 Ransomware Victim Pays an Eye-Watering $75 Million (lien direct)	Le groupe Ransomware Dark Angels a été payé une rançon de 75 millions de dollars d'une victine 50 non divulguée. The Dark Angels ransomware group got paid a staggering $75 million ransom from an undisclosed Fortune 50 victim.	Ransomware		★★★
	2024-07-30 17:42:47	(Déjà vu) SideWinder Utilizes New Infrastructure to Target Ports and Maritime Facilities in the Mediterranean Sea (lien direct)	#### Targeted Geolocations - Pakistan - Egypt - Sri Lanka - Bangladesh - Myanmar - Nepal - Maldives #### Targeted Industries - Transportation Systems - Maritime Transportation ## Snapshot The BlackBerry Threat Research and Intelligence team has uncovered a new campaign by the nation-state threat actor SideWinder, also known as Razor Tiger and Rattlesnake, which has upgraded its infrastructure and techniques since mid-2023. ## Description The campaign targets ports and maritime facilities in the Indian Ocean and Mediterranean Sea, with specific focus on Pakistan, Egypt, and Sri Lanka initially, and expanding to Bangladesh, Myanmar, Nepal, and the Maldives. SideWinder employs spear-phishing emails using familiar logos and themes to lure victims into opening malicious documents, which exploit vulnerabilities in Microsoft Office to gain access to systems. The group\'s objective is believed to be espionage and intelligence gathering, consistent with its past campaigns targeting military, government, and business entities in South Asia. The malicious documents use visual bait, such as fake port authority letters, to provoke fear and urgency, leading victims to download malware. The documents exploit a known vulnerability ([CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/)) in Microsoft Office, relying on outdated or unpatched systems to deliver their payload. Once opened, the documents download additional malicious files that execute shellcode to ensure the system is not a virtual environment, before proceeding with further stages of the attack. The campaign\'s infrastructure includes the use of Tor nodes to mask network traffic and protective DNS data to evade detection. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Exploit:O97M/CVE-2017-0199](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:O97M/CVE-2017-0199!MSR) - [Trojan:Win32/Casdet](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Casdet!rfn) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recom	Ransomware Malware Tool Vulnerability Threat	APT-C-17	★★★
	2024-07-30 17:28:34	75 millions de dollars Ransom payé au groupe de ransomware Dark Angels $75 Million Ransom Paid to Dark Angels Ransomware Group (lien direct)	Dark Angels Ransomware Group & # 8217; S 75 M $ Jackpot: le rapport Ransomware Zscaler & # 8217; s ThreatLabz 2024 révèle comment ce gang d'élite cible SELECT & # 8230; Dark Angels Ransomware Group’s $75M Jackpot: Zscaler’s ThreatLabz 2024 Ransomware Report reveals how this elite gang targets select…	Ransomware		★★★★
	2024-07-30 16:22:00	Ransomware Dark Angels reçoit une rançon record de 75 millions de dollars Dark Angels ransomware receives record-breaking $75 million ransom (lien direct)	Une entreprise Fortune 50 a payé un paiement record de 75 millions de dollars au gang de ransomware Dark Angels, selon un rapport de Zscaler KenenceLabz.[...] A Fortune 50 company paid a record-breaking $75 million ransom payment to the Dark Angels ransomware gang, according to a report by Zscaler ThreatLabz. [...]	Ransomware		★★★
	2024-07-30 14:55:41	Le ransomware Black Basta passe à des logiciels malveillants personnalisés plus évasifs Black Basta ransomware switches to more evasive custom malware (lien direct)	Le gang de ransomware Black Basta a montré de la résilience et une capacité à s'adapter à un espace de change constant, en utilisant de nouveaux outils et tactiques personnalisés pour échapper à la détection et à se propager dans un réseau.[...] The Black Basta ransomware gang has shown resilience and an ability to adapt to a constantly shifting space, using new custom tools and tactics to evade detection and spread throughout a network. [...]	Ransomware Malware Tool		★★★
	2024-07-30 12:51:40	Columbus examine si les données ont été volées dans une attaque de ransomware Columbus investigates whether data was stolen in ransomware attack (lien direct)	La ville de Columbus, Ohio, dit qu'elle enquête sur si les données personnelles ont été volées dans une attaque de ransomware le 18 juillet 2024 qui a perturbé les services de la ville.[...] The City of Columbus, Ohio, says it\'s investigating whether personal data was stolen in a ransomware attack on July 18, 2024 that disrupted the City\'s services. [...]	Ransomware		★★★
	2024-07-30 11:34:43	Microsoft identifie la vulnérabilité critique dans les hyperviseurs ESXi exploités par des groupes de ransomwares Microsoft identifies critical vulnerability in ESXi hypervisors exploited by ransomware groups (lien direct)	> Les chercheurs de Microsoft ont découvert une vulnérabilité dans les hyperviseurs ESXi qui est actuellement exploitée par divers groupes de ransomwares ... >Microsoft researchers have discovered a vulnerability in ESXi hypervisors that is currently being exploited by various ransomware groups...	Ransomware Vulnerability		★★★
	2024-07-30 09:50:00	VMware Esxi Flaw exploité par des groupes de ransomwares pour l'accès administratif VMware ESXi Flaw Exploited by Ransomware Groups for Admin Access (lien direct)	Un défaut de sécurité récemment corrigé impactant les hyperviseurs VMware ESXi a été activement exploité par "plusieurs" groupes de ransomwares pour obtenir des autorisations élevées et déploier des logiciels malveillants qui résidaient au fichier. Les attaques impliquent l'exploitation de CVE-2024-37085 (score CVSS: 6.8), une contournement d'authentification de l'intégration Active Directory qui permet à un attaquant d'obtenir un accès administratif à l'hôte. "UN A recently patched security flaw impacting VMware ESXi hypervisors has been actively exploited by "several" ransomware groups to gain elevated permissions and deploy file-encrypting malware. The attacks involve the exploitation of CVE-2024-37085 (CVSS score: 6.8), an Active Directory integration authentication bypass that allows an attacker to obtain administrative access to the host. "A	Ransomware Malware
	2024-07-30 03:40:48	Réexorsion: comment les gangs de ransomware revirent les victimes Re-Extortion: How Ransomware Gangs Re-Victimize Victims (lien direct)	Les ransomwares ont considérablement évolué depuis sa création.Initialement, ces attaques étaient relativement simples: les logiciels malveillants crypteraient les fichiers d'une victime, et l'attaquant exigerait une rançon pour la clé de décryptage.Cependant, à mesure que les mesures de cybersécurité se sont améliorées, les tactiques des gangs ransomwares ont également été.Les attaques de ransomwares modernes impliquent souvent des techniques sophistiquées telles que l'exfiltration des données, où les attaquants volent des informations sensibles avant de les chiffrer.Cette évolution leur permet de menacer de libérer publiquement les données volées, ajoutant une couche supplémentaire d'extorsion.La réextorsion est la dernière ... Ransomware has evolved significantly since its inception. Initially, these attacks were relatively simple: malware would encrypt a victim\'s files, and the attacker would demand a ransom for the decryption key. However, as cybersecurity measures improved, so did ransomware gangs\' tactics. Modern ransomware attacks often involve sophisticated techniques such as data exfiltration, where attackers steal sensitive information before encrypting it. This development allows them to threaten to release the stolen data publicly, adding an additional layer of extortion. Re-extortion is the latest...	Ransomware Malware
	2024-07-29 18:01:57	Malicious Inauthentic Falcon Crash Reporter Installer Distributed to German Entity via Spearphishing Website (lien direct)	#### Géolocations ciblées - Allemagne ## Instantané Crowdsstrike Intelligence a identifié une tentative de sportinging offrant un faux installateur de reporter crash cowdsstrike via un site Web imitant une entité allemande. ## Description Le site a été enregistré le 20 juillet 2024, peu de temps après un problème de mise à jour du capteur Falcon CrowdStrike, et a utilisé JavaScript déguisé en jQuery pour télécharger et désobfusquer le programme d'installation.Ce programme d'installation, marqué de contenu Crowdsstrike et localisé en allemand, a nécessité un mot de passe pour l'installation.La page de phishing liée à un fichier zip contenant un installateur innosetup malveillant et affiché la marque de Crowdstrike \\ semble légitime. Le JavaScript a masqué son code malveillant dans un véritable code jQuery pour échapper à la détection.Lorsque l'utilisateur a cliqué sur le bouton de téléchargement, le site a exécuté une fonction pour télécharger un fichier exécutable portable déguisé.Le programme d'installation, qui est apparu le 20 juillet 2024, avait un horodatage aligné avec la mise à jour du capteur, suggérant l'utilisation de l'horodatage pour éviter la détection. Le programme d'installation a incité les utilisateurs à saisir un mot de passe spécifique "serveur backend", probablement connu uniquement des cibles, indiquant une attaque très ciblée.Crowdstrike Intelligence a évalué avec une grande confiance que les attaquants se sont concentrés sur les clients germanophones touchés par le problème du capteur Falcon et ont utilisé des techniques avancées antiformes, notamment l'enregistrement des sous-domaines sous un registraire légitime et le contenu des installateurs. ## Analyse supplémentaire Les acteurs du cybermenace exploitent les événements actuels pour perpétrer une activité malveillante car ces situations créent souvent de la confusion et de l'urgence, rendant les individus et les organisations plus vulnérables à la tromperie.Ils capitalisent sur l'intérêt accru et l'attention entourant de tels événements pour augmenter la probabilité que leurs tentatives de phishing et d'autres attaques réussissent.En alignant leurs campagnes malveillantes avec des incidents ou des mises à jour bien connues, les acteurs de la menace peuvent plus facilement masquer leurs intentions et attirer les victimes pour compromettre involontairement leur sécurité. Cette campagne de phishing ciblant les clients germanophones est le dernier exemple de cyberattaques exploitant le chaos de la mise à jour de Falcon de Crowdsstrike.Les rapports antérieurs d'activité malveillante lors des pannes incluent [les essuie-glaces de données réparties par le groupe hacktiviste pro-iranien handala] (https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/), [HijackLoader dropping Remcos Remote Access Trojan](https://x.com/anyrun_app/status/1814567576858427410) disguised as a CrowdStrike hotfix, and information stealer[Daolpu] (https://www.crowdstrike.com/blog/fake-recovery-manUAL-UND-TO-DIVER-UNDENDIFIED SECELER /) Se propager par des e-mails de phishing se faisant passer pour un outil de récupération. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point f	Ransomware Malware Tool Threat

Last update at: 2024-08-03 03:19:20
See our sources.

To see everything: Our RSS (filtrered)