What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-01 20:35:22 | Google ouvre le concours de primes de bug de 250 000 $ pour VM Hyperviseur Google Opens $250K Bug Bounty Contest for VM Hypervisor (lien direct) |
Si les chercheurs en sécurité peuvent exécuter une attaque d'invités à l'hôte en utilisant une vulnérabilité zéro-jour dans l'hyperviseur open source KVM, Google en vaut la peine.
If security researchers can execute a guest-to-host attack using a zero-day vulnerability in the KVM open source hypervisor, Google will make it worth their while. |
Vulnerability Threat | ||
 |
2024-07-01 18:30:00 | Caprarat Spyware déguisé en applications populaires menace les utilisateurs d'Android CapraRAT Spyware Disguised as Popular Apps Threatens Android Users (lien direct) |
L'acteur de menace connu sous le nom de Tribe Transparent a continué de déclencher des applications Android liées aux logiciels malveillants dans le cadre d'une campagne d'ingénierie sociale pour cibler les individus d'intérêt.
"Ces APK continuent la tendance du groupe d'intégration des logiciels espions dans les applications de navigation vidéo organisées, avec une nouvelle extension ciblant les joueurs mobiles, les amateurs d'armes et les fans de Tiktok", a déclaré le chercheur de sécurité Sentinélone Alex
The threat actor known as Transparent Tribe has continued to unleash malware-laced Android apps as part of a social engineering campaign to target individuals of interest. "These APKs continue the group\'s trend of embedding spyware into curated video browsing applications, with a new expansion targeting mobile gamers, weapons enthusiasts, and TikTok fans," SentinelOne security researcher Alex |
Threat Mobile Prediction | APT 36 | ★★★ |
 |
2024-07-01 13:46:56 | Cisco met en garde contre NX-OS Zero-Day exploité pour déployer des logiciels malveillants personnalisés Cisco warns of NX-OS zero-day exploited to deploy custom malware (lien direct) |
Cisco a corrigé un NX-OS-Day exploité dans les attaques d'avril pour installer des logiciels malveillants précédemment inconnus sous le nom de Root sur les commutateurs vulnérables.[...]
Cisco has patched an NX-OS zero-day exploited in April attacks to install previously unknown malware as root on vulnerable switches. [...] |
Malware Vulnerability Threat | ★★★ | |
 |
2024-07-01 13:05:00 | Démasquer le rat Rafel: comprendre la menace Unmasking Rafel RAT: Understanding the Threat (lien direct) |
> Dans le paysage en constante évolution des menaces de cybersécurité, une menace qui a émergé avec un impact significatif est Rafel Rat (Trojan d'accès à distance).En tant qu'outil insidieux utilisé par les cybercriminels, Rafel Rat présente un risque grave pour les appareils Android, ce qui rend essentiel pour les individus et les organisations de comprendre son fonctionnement et de prendre [& # 8230;]
>In the ever-evolving landscape of cybersecurity threats, one menace that has emerged with significant impact is Rafel RAT (Remote Access Trojan). As an insidious tool used by cybercriminals, Rafel RAT poses a severe risk to Android devices, making it essential for individuals and organizations to understand its workings and take […] |
Tool Threat Mobile | ★★★ | |
 |
2024-07-01 13:00:00 | Chatgpt 4 peut exploiter 87% des vulnérabilités d'une journée ChatGPT 4 can exploit 87% of one-day vulnerabilities (lien direct) |
> Depuis l'utilisation généralisée et croissante de Chatgpt et d'autres modèles de grande langue (LLM) ces dernières années, la cybersécurité a été une préoccupation majeure.Parmi les nombreuses questions, les professionnels de la cybersécurité se sont demandé à quel point ces outils ont été efficaces pour lancer une attaque.Les chercheurs en cybersécurité Richard Fang, Rohan Bindu, Akul Gupta et Daniel Kang ont récemment réalisé une étude à [& # 8230;]
>Since the widespread and growing use of ChatGPT and other large language models (LLMs) in recent years, cybersecurity has been a top concern. Among the many questions, cybersecurity professionals wondered how effective these tools were in launching an attack. Cybersecurity researchers Richard Fang, Rohan Bindu, Akul Gupta and Daniel Kang recently performed a study to […] |
Tool Vulnerability Threat Studies | ChatGPT | ★★★ |
 |
2024-07-01 11:49:09 | 1er juillet & # 8211;Rapport de renseignement sur les menaces 1st July – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 1er juillet, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation du BlackSuit Ransomware Group ont frappé le National Health Laboratory Service (NHLS) de l'Afrique du Sud (NHLS), perturbant la diffusion des résultats du laboratoire au milieu d'une épidémie MPOX.Les acteurs ont supprimé les sections du système, y compris les sauvegardes, le résultat manuel de forçage [& # 8230;]
>For the latest discoveries in cyber research for the week of 1st July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES The BlackSuit ransomware group has hit South Africa’s National Health Laboratory Service (NHLS), disrupting lab result dissemination amid a Mpox outbreak. The actors have deleted system sections, including backups, forcing manual result […] |
Ransomware Threat | ★★ | |
 |
2024-07-01 11:03:12 | MerkSpy: Exploiting CVE-2021-40444 to Infiltrate Systems (lien direct) | #### Targeted Geolocations - India - North America ## Snapshot FortiGuard Labs Threat Research identified recent attacks exploiting the [CVE-2021-40444](https://security.microsoft.com/intel-profiles/CVE-2021-40444) vulnerability in Microsoft Office to deploy the spyware payload known as “MerkSpy.” ## Description The initial vector for this attack is a Microsoft Word document masquerading as a job description for a software developer position. Opening the document triggers the exploitation of CVE-2021-40444, a remote code execution vulnerability within the MSHTML component used by Internet Explorer in Microsoft Office. After the successful exploitation, the malicious document initiates the download of a HTML file from a remote server, which conceals JavaScript and embedded shellcode. This shellcode decodes the downloaded content to execute an injector responsible for loading the MerkSpy spyware into memory and integrating it with active system processes. The extracted payload is protected with VMProtect. Its primary function is seamlessly injecting the MerkSpy spyware into crucial system processes. This spyware operates covertly within systems, capturing sensitive information and exfiltrating data to remote servers controlled by malicious actors. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/Znyonm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Znyonm&threatId=-2147076851) ##### Endpoint detection and response (EDR) Alerts with the following titles in the security center can indicate threat activity on your network: - Possible exploitation of CVE-2021-40444 (requires Defender Antivirus as the Active AV) The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Suspicious Behavior By Office Application (detects the anomalous process launches that happen in exploitation of this CVE, and other malicious behavior) - Suspicious use of Control Panel item ## Recommendations Apply the following mitigations to reduce the impact of this threat and follow-on actions taken by attackers. - Apply the security updates for [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444). Comprehensive updates addressing the vulnerabilities used in this campaign are available through the [September 2021 security updates](https://msrc.microsoft.com/update-guide/). While there are workarounds listed for customers, in [CVE-2021-40444](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444) scenarios where patching is not yet feasible, we recommend customers to apply the patch for this vulnerability and act on the secure configurations highlighted in this report at the soonest time possible. - Run the latest version of your operating systems and applications. Turn on automatic updates or deploy the latest security updates as soon as they become available. - Use a supported platform, such as Windows 10, to take advantage of regular security updates. - Turn on [cloud-delivered protection](https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?view=o365-worldwide) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block the majority of new and unknown variants. - Turn on [tamper protection](https://docs.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide) in Microsoft Defender for Endpoint, to prevent malicious changes to security settings. - Run [EDR in block mode](https://docs. | Malware Tool Vulnerability Threat Patching | ★★★ | |
|
2024-07-01 10:57:31 | Faits saillants hebdomadaires, 1er juillet 2024 Weekly OSINT Highlights, 1 July 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. Key themes include the proliferation of Remote Access Trojans (RATs) like Remcos and XWorm, as well as the deployment of ransomware in espionage campaigns by groups such as ChamelGang. The use of phishing, malicious documents, and social engineering tactics are prevalent attack vectors, often leading to the installation of malware, as seen with Fickle Stealer and StrelaStealer. Threat actors range from nation-state groups, including Chinese and Russian espionage teams targeting government and critical infrastructure, to cybercriminals employing Phishing-as-a-Service platforms like ONNX Store to target financial institutions. The targets of these attacks are diverse, encompassing telecom operators, government entities, academic institutions, and private sector organizations across various regions, highlighting the global and multifaceted nature of current cyber threats. ## Description 1. **[Chinese Espionage Group Targets Telecom Operators](https://sip.security.microsoft.com/intel-explorer/articles/e2de6dd7):** Symantec\'s Threat Hunter Team identified a prolonged espionage campaign by Chinese groups targeting telecom operators in an Asian country using tools like Coolclient and Rainyday. The attackers aimed to steal credentials and implant backdoors, suggesting motives ranging from intelligence gathering to infrastructure disruption. 2. **[Remcos RAT Distributed via Malicious Word Documents](https://sip.security.microsoft.com/intel-explorer/articles/f5983b2e):** Forcepoint analysts discovered the distribution of Remcos RAT through Word documents with shortened URLs, exploiting the Equation Editor vulnerability. The malware enables full system control for espionage and data theft, highlighting the importance of recognizing evolving cybercriminal tactics. 3. **[WordPress Plugins Compromised with Malicious PHP Scripts](https://sip.security.microsoft.com/intel-explorer/articles/d443398b):** Wordfence identified a threat actor tampering with five WordPress plugins to create new admin accounts and inject SEO spam. This breach affected over 35,000 websites, emphasizing the need for robust security measures and vigilant monitoring of plugin updates. 4. **[SugarGh0st Malware Campaign by SneakyChef](https://sip.security.microsoft.com/intel-explorer/articles/f1334283):** Cisco Talos uncovered "SneakyChef" using SugarGh0st malware to target government agencies in EMEA and Asia, employing decoy documents from foreign ministries. The group\'s infection chain involves SFX RAR files, with tactics suggesting a Chinese-speaking origin. 5. **[ChamelGang Uses Ransomware for Cyberespionage](https://sip.security.microsoft.com/intel-explorer/articles/b24f9fda):** SentinelLabs and Recorded Future reported on ChamelGang\'s use of CatB ransomware to target global high-profile organizations. The group, likely Chinese, uses ransomware to mislead attribution efforts and facilitate data exfiltration. 6. **[P2Pinfect Rust-based Malware Evolution](https://sip.security.microsoft.com/intel-explorer/articles/2238375c):** Cado Security highlighted the evolution of P2Pinfect, a Rust-based malware spreading via Redis with a botnet for pushing updated binaries. The malware includes a worm, miner, and ransomware payloads, demonstrating ongoing development for profit and network expansion. 7. **[UAC-0184 Targets Ukraine with XWorm RAT](https://sip.security.microsoft.com/intel-explorer/articles/1d853438):** CRIL reported on UAC-0184\'s malware campaign using XWorm RAT to target Ukrainian entities. The attack employs malicious LNK files and DLL sideloading to establish remote access, reflecting the group\'s evolving tactics. 8. **[Xctdoor Malware Targets Korean Companies](https://sip.security.microsoft.com/intel-explorer/articles/df357951):** AhnLab identified attacks on Korean companies using Xctdoor malware, initially infiltrating systems via an ERP update server. | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-07-01 10:00:00 | Conformité réglementaire et préparation aux ransomwares Regulatory Compliance and Ransomware Preparedness (lien direct) |
Ransomware attacks are a huge problem: in the past five years alone, they have brought about a state of emergency across vast swathes of the United States, threatened to topple the Costa Rican government, and brought Portugal\'s largest media conglomerate to its knees. And ransomware attackers show no signs of slowing down: last year, roughly one-third of all data breaches involved ransomware or some other extortion technique. Preventing and protecting against ransomware attacks has become a global priority, with cybersecurity regulations and frameworks playing an essential role. By outlining, standardizing, and mandating preventative measures, cybersecurity regulations and frameworks ensure that organizations worldwide are prepared to deal with the ransomware threat. Let\'s examine them more closely. Understanding Cybersecurity Regulations First, we need to understand cybersecurity regulations and what they do. There are far too many cybersecurity regulations for us to cover in this article, so we\'ll focus on three of the most important: NIS2, DORA, and HIPAA. Broadly speaking, cybersecurity regulations are sets of laws, rules, or guidelines enacted by governments or regulatory bodies to protect information systems, networks, and data from cyber threats and attacks. These regulations ensure data and information systems\' confidentiality, integrity, and availability by enforcing specific security practices, controls, and procedures. But let\'s look at each of our examples a little more closely: NIS2 (Network and Information Security Directive 2) The Network and Information Security Directive 2 (NIS2) is a legislative framework established by the European Union (EU) to enhance member states\' cybersecurity resilience and response capabilities. It builds upon the original NIS Directive to strengthen cybersecurity measures in critical infrastructure sectors, promote cooperation among member states, and hold organizations accountable. DORA (Digital Operational Resilience Act) The Digital Operational Resilience Act (DORA) is a regulatory framework that came into force in January 2023. It aims to enhance the financial sector\'s digital operational resilience within the EU. DORA\'s primary goal is to ensure that financial institutions can withstand, respond to, and recover from all types of ICT (Information and Communication Technology) related disruptions and threats, including ransomware and cyberattacks. The Act complements the NIS2 regulation in the financial services domain. HIPAA (Health Insurance Portability and Accountability Act) The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law enacted in 1996 to protect sensitive patient health information from being disclosed without the patient\'s consent or knowledge. HIPAA sets the standard for protecting sensitive patient data, and organizations dealing with protected health information (PHI) must ensure that they put in place and follow all necessary physical, network, and process security measures to comply. How do Regulations Improve Ransomware Readiness? Now that we better understand each regulation, we can explore how they improve ransomware readiness. Again, we won\'t have time to explore each regulation\'s provisions in their entirety, so we\'ll pick out some of the most important. NIS2 NIS2 has several provisions that improve relevant organizations\' resilience to ransomware attacks. For example: ● Risk Management: NIS2 mandates that organizations implement robust risk management practices, incl | Ransomware Vulnerability Threat Technical | ★★★ | |
 |
2024-07-01 07:25:27 | China-Nexus Threat Group \\ 'Velvet Ant \\' exploite Cisco Zero-Day (CVE-2024-20399) pour compromettre les dispositifs de commutation Nexus & # 8211;Conseil pour l'atténuation et la réponse China-Nexus Threat Group \\'Velvet Ant\\' Exploits Cisco Zero-Day (CVE-2024-20399) to Compromise Nexus Switch Devices – Advisory for Mitigation and Response (lien direct) |
> Renseignez-vous sur l'enquête médico-légale de Sygnia, l'opération de cyber-espionnage par Velvet Ant et les meilleures pratiques pour protéger votre réseau contre les menaces sophistiquées.
>Learn about the forensic investigation by Sygnia, the cyber espionage operation by Velvet Ant, and best practices for safeguarding your network against sophisticated threats. |
Vulnerability Threat | ★★★ | |
 |
2024-07-01 01:37:54 | Les logiciels malveillants XCTDOOOR utilisés dans les attaques contre les sociétés coréennes (Andariel) Xctdoor Malware Used in Attacks Against Korean Companies (Andariel) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert un cas où un acteur de menace non identifié a exploité un ERP coréen ERP à l'ERP coréenpour mener une attaque.Après avoir infiltré le système, l'acteur de menace aurait attaqué le serveur de mise à jour d'une solution ERP coréenne spécifique pour prendre le contrôle des systèmes au sein de l'entreprise.Dans un autre cas d'attaque, un serveur Web vulnérable a été attaqué pour distribuer des logiciels malveillants.Les cibles de ces attaques ont été identifiées comme la défense et la fabrication coréens ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered a case where an unidentified threat actor exploited a Korean ERP solution to carry out an attack. After infiltrating the system, the threat actor is believed to have attacked the update server of a specific Korean ERP solution to take control of systems within the company. In another attack case, a vulnerable web server was attacked to distribute malware. The targets of these attacks have been identified as the Korean defense and manufacturing... |
Malware Threat | ★★★ | |
 |
2024-06-30 05:43:40 | ABI Research: OT Cybersecurity Market pour atteindre 21,6 milliards de dollars d'ici 2028 au milieu d'une défense industrielle accrue ABI Research: OT cybersecurity market to reach $21.6 billion by 2028 amid increased industrial defense (lien direct) |
> Les opérations industrielles sont de plus en plus menacées car le monde industriel embrasse les vagues de numérisation et de tendances de fabrication intelligentes ....
>Industrial operations are increasingly under threat as the industrial world embraces waves of digitization and smart manufacturing trends.... |
Threat Industrial | ★★★ | |
|
2024-06-28 21:49:00 | Kimsuky utilise une extension chromée Translatext pour voler des données sensibles Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data (lien direct) |
L'acteur de menace en la Corée du Nord connue sous le nom de Kimsuky a été lié à l'utilisation d'une nouvelle extension Google Chrome malveillante qui a conçu pour voler des informations sensibles dans le cadre d'un effort de collecte de renseignements en cours.
Zscaler ThreatLabz, qui a observé l'activité début mars 2024, a nommé l'extension Tralatext, mettant en évidence sa capacité à recueillir des adresses e-mail, des noms d'utilisateur,
The North Korea-linked threat actor known as Kimsuky has been linked to the use of a new malicious Google Chrome extension that\'s designed to steal sensitive information as part of an ongoing intelligence collection effort. Zscaler ThreatLabz, which observed the activity in early March 2024, has codenamed the extension TRANSLATEXT, highlighting its ability to gather email addresses, usernames, |
Threat | ★★★ | |
|
2024-06-28 18:19:52 | Campagne soutenue en utilisant des outils d'espionnage chinois cible les opérateurs de télécommunications Sustained Campaign Using Chinese Espionage Tools Targets Telcos (lien direct) |
## Instantané
L'équipe de Hunter de menace de Symantec a identifié une campagne d'espionnage soutenue ciblant les opérateurs de télécommunications dans un seul pays asiatique.Les attaquants, en utilisant des outils associés aux groupes d'espionnage chinois, ont placé des délais sur les réseaux d'entreprises ciblées et ont tenté de voler des informations d'identification.
## Description
La campagne, en cours depuis au moins 2021, a impliqué l'utilisation de logiciels malveillants personnalisés tels que CoolClient, Quickheal et Rainyday, tous liés aux acteurs d'espionnage chinois.En plus des délais personnalisés, les attaquants ont utilisé des logiciels malveillants, des outils de balayage de port et des techniques de vol d'identification.Les outils utilisés dans cette campagne ont des associations solides avec plusieurs groupes chinois, notamment Fireant, Needleminer et Firefly, tous largement considérés comme opérant depuis la Chine.Le motif ultime de la campagne d'intrusion reste incertain, avec des possibilités, y compris la collecte de renseignements sur le secteur des télécommunications, l'écoute ou la création d'une capacité perturbatrice contre les infrastructures critiques dans le pays ciblé.
## Les références
["Campagne soutenue en utilisant des outils d'espionnage chinois cible les opérateurs de télécommunications"] (https://symantec-enterprise-blogs.security.com/thereat-intelligence/telecoms-espionage-asia) symantec.(consulté en 2024-06-20)
## Snapshot The Threat Hunter Team at Symantec identified a sustained espionage campaign targeting telecom operators in a single Asian country. The attackers, using tools associated with Chinese espionage groups, placed backdoors on the networks of targeted companies and attempted to steal credentials. ## Description The campaign, ongoing since at least 2021, involved the use of custom malware such as Coolclient, Quickheal, and Rainyday, all linked to Chinese espionage actors. In addition to the custom backdoors, the attackers employed keylogging malware, port scanning tools, and credential theft techniques. The tools used in this campaign have strong associations with multiple Chinese groups, including Fireant, Needleminer, and Firefly, all widely considered to be operating from China. The ultimate motive of the intrusion campaign remains unclear, with possibilities including intelligence gathering on the telecoms sector, eavesdropping, or building a disruptive capability against critical infrastructure in the targeted country. ## References ["Sustained Campaign Using Chinese Espionage Tools Targets Telcos"](https://symantec-enterprise-blogs.security.com/threat-intelligence/telecoms-espionage-asia) Symantec. (accessed 2024-06-20) |
Malware Tool Threat | ★★★ | |
|
2024-06-28 17:46:36 | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT (lien direct) |
## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-28 17:29:00 | 8220 Gang exploite Oracle Weblogic Server Flaws for Cryptocurrence Mining 8220 Gang Exploits Oracle WebLogic Server Flaws for Cryptocurrency Mining (lien direct) |
Les chercheurs en sécurité ont mis en lumière l'opération d'extraction de crypto-monnaie menée par le gang 8220 en exploitant des défauts de sécurité connus dans le serveur Oracle Weblogic.
"L'acteur de menace utilise des techniques d'exécution sans réserve, en utilisant la réflexion sur la DLL et l'injection de processus, permettant au code de logiciel malveillant de s'exécuter uniquement en mémoire et d'éviter
Security researchers have shed more light on the cryptocurrency mining operation conducted by the 8220 Gang by exploiting known security flaws in the Oracle WebLogic Server. "The threat actor employs fileless execution techniques, using DLL reflective and process injection, allowing the malware code to run solely in memory and avoid disk-based detection mechanisms," Trend Micro researchers Ahmed |
Malware Threat Prediction | ★★★ | |
|
2024-06-28 16:30:00 | Combattre la chaîne de kill SaaS en évolution: comment rester en avance sur les acteurs de la menace Combatting the Evolving SaaS Kill Chain: How to Stay Ahead of Threat Actors (lien direct) |
La chaîne de kill moderne échappe aux entreprises parce qu'ils ne protègent pas l'infrastructure des affaires modernes: SaaS. & Nbsp;
SaaS continue de dominer l'adoption des logiciels, et il explique la plus grande part des dépenses de cloud public.Mais les entreprises et les PME ont révisé leurs programmes de sécurité ou les outils de sécurité adoptés construits pour SaaS. & Nbsp;
Les équipes de sécurité continuent de brouiller sur site
The modern kill chain is eluding enterprises because they aren\'t protecting the infrastructure of modern business: SaaS. SaaS continues to dominate software adoption, and it accounts for the greatest share of public cloud spending. But enterprises and SMBs alike haven\'t revised their security programs or adopted security tooling built for SaaS. Security teams keep jamming on-prem |
Threat Cloud | ★★★ | |
|
2024-06-28 15:21:37 | L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins (lien direct) |
## Instantané
L'équipe WordFence Threat Intelligence a identifié un acteur de menace qui a falsifié le code source de cinq plugins WordPress sur wordpress.org en intégrant des scripts PHP malveillants conçus pour créer de nouveaux comptes administratifs sur des sites Web affectés.
## Description
Cette violation s'est probablement produite entre le 21 juin et le 22 juin. Lors de la découverte, WordFence a rapidement informé les développeurs des plugins compromis, entraînant la libération de correctifs pour la plupart des produits affectés.Collectivement, ces plugins ont été installés sur plus de 35 000 sites Web.
Les plugins touchés comprennent:
- Guerre sociale
- widget d'incendie
- Élément de lien en wrapper
- Formulaire de contact 7 Addon en plusieurs étapes
- Afficher simplement les crochets
Le logiciel malveillant injecté crée non seulement de nouveaux comptes d'utilisateurs administratifs, mais insère également le spam SEO dans des sites Web compromis, transmettant des données à l'adresse IP 94.156.79 \ [. \] 8.Les comptes d'administration créés arbitrairement sont nommés «Options» et «Pluginauth».Il est conseillé aux administrateurs de sites Web de remarquer ces comptes ou un trafic inhabituel vers cette adresse IP pour effectuer des analyses de logiciels malveillants approfondies et des procédures de nettoyage.
WordFence a noté que certains des plugins affectés ont été temporairement supprimés de WordPress.org, ce qui peut entraîner des avertissements pour les utilisateurs, même s'ils ont mis à jour vers des versions corrigées.Une enquête est en cours pour déterminer comment l'acteur de menace a eu accès au code source des plugins \\ '.Malgré les inquiétudes que l'attaque pourrait affecter une gamme plus large de plugins, les preuves actuelles suggèrent que le compromis est limité aux cinq identifiés.
De plus, l'opération de porte dérobée permet un accès et un contrôle non autorisés, facilitant l'injection de SEO Spam sur le site Web compromis.Cette attaque sophistiquée souligne l'importance de maintenir les mesures de sécurité mises à jour et de surveiller le trafic du site Web pour des signes d'activité non autorisée.Les propriétaires de sites Web sont invités à rester vigilants et à s'assurer que leurs plugins sont à jour pour atténuer le risque de telles vulnérabilités.
## Recommandations
Word Press recommande que si les propriétaires de sites Web remarquent ces comptes ou le trafic vers l'adresse IP de l'attaquant \\, ils devraient effectuer une analyse et un nettoyage de logiciels malveillants complètes.
Recommandations générales pour WordPress sur Azure
- Utilisez un pare-feu d'application Web Azure
- Retirez les plug-ins et thèmes inutilisés
- Déchargez le contenu statique loin du processeur PHP
- Invalidation du cache réseau de livraison de contenu
- Activer l'authentification à deux facteurs
- Désactiver l'accès XML-RPC
- restreindre l'accès au panel d'administration
- Stocker les secrets dans Azure Key Vault
- Tunes Performance
Pour plus d'informations sur WordPress sur Azure, cliquez sur [ici] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).
## Les références
"[L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants".] (Https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-Leads-to-5 malicieusement compromis-wordpress-plugins /) wordfence (consulté en 2024-06-24).
"[WordPress sur Azure"] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).Microsoft (consulté en 2024-06-26).
## Snapshot Wordfence Threat Intelligence team identified a threat actor who tampered with the source code of five WordPress plugins on WordPress.org by embedding malicious PHP scripts designed to |
Spam Malware Vulnerability Threat | ★★★ | |
 |
2024-06-28 14:23:55 | La croissance des cyberattaques de la chaîne d'approvisionnement des logiciels tiers The Growth of Third-Party Software Supply Chain Cyber Attacks (lien direct) |
Threat | ★★★ | ||
 |
2024-06-28 13:13:12 | Tendances clés façonnant le paysage des menaces en H1 2024 & # 8211;Semaine en sécurité avec Tony Anscombe Key trends shaping the threat landscape in H1 2024 – Week in security with Tony Anscombe (lien direct) |
Découvrez les catégories de menaces qui ont dépassé les graphiques \\ 'et les types de techniques que les mauvais acteurs ont tiré le plus souvent dans le premier semestre de cette année.
Learn about the categories of threats that \'topped the charts\' and the kinds of techniques that bad actors leveraged most commonly in the first half of this year. |
Threat | ★★★ | |
 |
2024-06-28 07:00:00 | Sous les Borealis: Intelligence de la cyber-menace adaptée aux pays nordiques Under the Borealis: OT Cyber Threat Intelligence Tailored for Nordic Countries (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post sous les Borealis: Intelligence de la cyber-menace adaptée aux pays nordiques Il est apparu pour la première fois sur dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Under the Borealis: OT Cyber Threat Intelligence Tailored for Nordic Countries first appeared on Dragos. |
Threat Industrial | ★★ | |
|
2024-06-27 20:01:00 | Le botnet P2Pinfect basé sur la rouille évolue avec des charges utiles de mineur et de ransomwares Rust-Based P2PInfect Botnet Evolves with Miner and Ransomware Payloads (lien direct) |
Le botnet malware pair-to-peer connu sous le nom de p2pinfect a été trouvé ciblant les serveurs redis mal configurés avec des mineurs de ransomware et de crypto-monnaie.
Le développement marque la transition de la menace de ce qui semblait être un botnet dormant avec des motifs peu clairs d'une opération financièrement motivée.
"Avec ses dernières mises à jour du mineur crypto, de la charge utile des ransomwares et des éléments Rootkit, il démontre
The peer-to-peer malware botnet known as P2PInfect has been found targeting misconfigured Redis servers with ransomware and cryptocurrency miners. The development marks the threat\'s transition from what appeared to be a dormant botnet with unclear motives to a financially motivated operation. "With its latest updates to the crypto miner, ransomware payload, and rootkit elements, it demonstrates |
Ransomware Malware Threat | ★★★ | |
|
2024-06-27 20:00:39 | (Déjà vu) Sneakychef Espionage Group cible les agences gouvernementales avec Sugargh0st et plus de techniques d'infection SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques (lien direct) |
#### Géolocations ciblées - Asie centrale - Moyen-Orient - Asie du sud - Europe du Nord - Amérique du Nord - L'Europe de l'Est - Europe du Sud - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux ## Instantané Cisco Talos a récemment identifié un nouvel acteur de menace, "sneakychef", utilisant des logiciels malveillants de Sugargh0st dans une campagne datant d'août 2023. ## Description [Ciblant initialement la Corée du Sud et l'Ouzbékistan] (https://security.microsoft.com/intel-explorer/articles/08b2afef), "sneakychef" a élargi son objectif pour inclure des pays en EMEA et en Asie.Le groupe utilise des documents gouvernementaux numérisés, en particulier des ministères des affaires étrangères et des ambassades, pour attirer les victimes. "Sneakychef" cible un large éventail d'agences gouvernementales et a utilisé des documents leurres imitant le ministère des Affaires étrangères de l'Angola, du Turkménistan, du Kazakhstan, de l'Inde et de la Lettonie, entre autres.La campagne usurpe également les documents de la conférence de recherche.Récemment, une campagne Sugargh0st a ciblé un [États-UnisOrganisation de l'IA] (https: // security.microsoft.com/intel-explorer/articles/a67a621d), indiquant la large adoption du malware \\. Malgré les divulgations, "sneakychef" continue to Utilisez des domaines C2 anciens et nouveaux.Leur chaîne d'infection implique des fichiers SFX RAR, qui déposent des composants malveillants sur les systèmes des victimes.Le processus implique un document de leurre, un chargeur de DLL, un SCRYPTED SUCARGH0ST et un script VB, similaire aux méthodes précédemment divulguées. Une chaîne d'infection supplémentaire utilisant des fichiers SFX RAR a été découverte, soutenant la théorie selon laquelle "sneakychef" est probablement chinois.Cette affirmation est basée sur la langue utilisée et l'utilisation du groupe Gh0st Rat, populaire parmi les pirates de langue chinois. ## Recommandations Recommandations pour protéger contre les attaques de phishing Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger des attaques qui tirent parti des références volées en activant des politiques concernant les appareils conformes ou l'adresse IP de confiance nécessitentmens. - configurehttps: //learn.microsoft.com/azure/active-directory/conditional-access/concept-continuse-access-evaluation? Ocid = magicti_ta_learndoc [ConÉvaluation de l'accès en tinous] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_Learndoc), y compris ceux utilisés dans cette campagne de phishing. - Surveillez les activités suspectes ou anormales et recherchez | Ransomware Spam Malware Tool Threat Conference | ★★ | |
|
2024-06-27 19:05:45 | Groupes de cyberespionnage de Chamelgang & Friends attaquant une infrastructure critique avec ransomware ChamelGang & Friends Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
## Instantané Sentinellabs et enregistré Future ont publié un rapport sur les groupes de cyberespionnage à l'aide de ransomwares.Le rapport détaille les activités de Chamelgang, un acteur de menace chinois présumé, connu pour utiliser des ransomwares CATB pour cibler les organisations de haut niveau dans le monde.En outre, le rapport met en évidence un cluster d'activités séparé et non attribué à l'aide de BestCrypt et Microsoft Bitlocker qui a des objectifs similaires. ## Description Chamelgang, également appelée Camofei, a été observée ciblant les organisations gouvernementales et les entités d'infrastructures critiques de 2021 à 2023. Le groupe utilise des techniques sophistiquées pour l'accès initial, la reconnaissance, le mouvement latéral et l'exfiltration des données.Notamment, en novembre 2022, Chamelgang a compromis 192 ordinateurs à la présidence du Brésil, en utilisant des outils de reconnaissance standard pour cartographier le réseau et recueillir des informations sur les systèmes critiques.Ils ont ensuite déployé des ransomwares CATB, laissant des billets de rançon avec une adresse ProtonMail et une adresse de paiement Bitcoin. Les chercheurs ont également analysé un deuxième groupe d'activités, qui ressemble à des intrusions antérieures à l'aide d'artefacts qui ont été liés à d'autres groupes de menaces chinois et nord-coréens.Encore une fois, ces activités impliquaient souvent des ransomwares ou d'autres outils de chiffrement des données. La recherche souligne comment les acteurs du cyberespionnage utilisent stratégiquement les ransomwares pour les gains financiers, les perturbations ou pour induire les efforts d'attribution induit en erreur.En utilisant des ransomwares, ces acteurs peuvent entraîner une identification par erreur de leurs opérations comme liées à l'espionnage financièrement.De plus, les groupes APT pourraient acheter des ransomwares des cybercriminels pour induire une attribution insensée. Ransomware offre une couverture pour l'exfiltration des données, qui est au cœur des opérations de cyberespionnage.Cette mauvaise attribution permet aux pays contradictoires de refuser le parrainage de l'État, attribuant des actions à des criminels indépendants.La mauvaise hutte de ces activités en tant qu'opérations criminelles peut entraîner des conséquences stratégiques, en particulier dans les attaques contre le gouvernement ou les infrastructures critiques. Sur le plan opérationnel, le ransomware profite aux groupes APT en détruisant des artefacts liés à l'intrusion et à l'attribution, en compliquant les efforts de défense.Le besoin urgent de restaurer les données affectées et les systèmes peuvent détourner l'attention des activités malveillantes en cours. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win64 / catb] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win64/catb.a& ;theretid=-2147057624) * - * [TrojandRopper: Win64 / Catb] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=tRojandRopper: Win64 / Catb & menaceID = -2147128826) * - * [Trojan: XML / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:xml/CobaltStrike& ;thereatid=-2147191933) * - * [Trojan: win64 / cobaltstrike] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:win64/cobaltstrike& ;theatid=-2147206144)* - * [Backdoor: Win32 / Cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Backdoor: Win32 / CobalTstrike & menaceID = -2147179418) * - * [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backdoor:win64/cobaltstrike & menaceID = -2147180169) * - * [hacktool: win32 / cobaltstrike] | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-27 18:27:38 | Nouveau acteur de menace de pruche déployante inonde les systèmes de logiciels malveillants New Unfurling Hemlock threat actor floods systems with malware (lien direct) |
Un acteur de menace suivi en tant que prudence déployée a infecté des systèmes cibles avec jusqu'à dix logiciels malveillants en même temps dans des campagnes qui distribuent des centaines de milliers de fichiers malveillants.[...]
A threat actor tracked as Unfurling Hemlock has been infecting target systems with up to ten pieces of malware at the same time in campaigns that distribute hundreds of thousands of malicious files. [...] |
Malware Threat | ★★ | |
|
2024-06-27 17:54:17 | Dark Reading Confidential: Rencontrez les négociateurs de ransomwares Dark Reading Confidential: Meet the Ransomware Negotiators (lien direct) |
Épisode 2: Les experts de la réponse aux incidents devenus négociateurs de ransomwares Ed Dubrovsky, COO et associé directeur de Cypfer, et Joe Tarraf, directeur de la livraison de Surefire Cyber, expliquent comment ils interagissent avec les acteurs de cyber-menaces qui détiennent des organisations victimes \\ 'Systems and Datapour rançon.Parmi leurs histoires fascinantes: comment ils ont négocié avec les cybercriminels pour restaurer les opérations dans une USIN à l'hôpital où des vies étaient en jeu et comment ils ont aidé une église, où les attaquants eux-mêmes "ont obtenu un peu de religion".
Episode 2: Incident response experts-turned-ransomware negotiators Ed Dubrovsky, COO and managing partner of CYPFER, and Joe Tarraf, chief delivery officer of Surefire Cyber, explain how they interact with cyber threat actors who hold victim organizations\' systems and data for ransom. Among their fascinating stories: how they negotiated with cybercriminals to restore operations in a hospital NICU where lives were at stake, and how they helped a church, where the attackers themselves "got a little religion." |
Ransomware Threat | ★★★ | |
|
2024-06-27 17:38:00 | Moveit Transfer Flaws pousse la défense de sécurité dans une course avec les attaquants MOVEit Transfer Flaws Push Security Defense Into a Race With Attackers (lien direct) |
Alors que Progress a publié des correctifs pour les vulnérabilités, les attaquants tentent de les exploiter avant que les organisations n'ayent une chance de remédier.
While Progress has released patches for the vulnerabilities, attackers are trying to exploit them before organizations have a chance to remediate. |
Vulnerability Threat | ★★★ | |
|
2024-06-27 17:17:13 | P2pinfect malware évolue, ajoute des capacités de ransomware et de cryptomiminage P2Pinfect Malware Evolves, Adds Ransomware and Cryptomining Capabilities (lien direct) |
## Snapshot Cado Security researchers report new versions of rust-based malware P2Pinfect. ## Description The malware initially spread via Redis and a limited SSH spreader, with no clear objective other than spreading. P2Pinfect gains initial access by exploiting the replication features in Redis, turning discovered open Redis nodes into follower nodes of the attacker server. It also abuses Redis config commands to write a cron job to the cron directory. The main payload of P2Pinfect is a worm that scans the internet for more servers to infect and features a basic SSH password sprayer. The botnet, a notable feature of P2Pinfect, acts as a peer-to-peer network for pushing out updated binaries. The main binary of P2Pinfect has undergone a rewrite, now entirely written using tokio, an async framework for rust, and packed with UPX. Additionally, the malware now drops a secondary binary at /tmp/bash for health checking. The miner payload embedded in P2Pinfect becomes active after approximately five minutes, and the ransomware payload, called rsagen, is downloaded and executed upon joining the botnet. The ransomware encrypts files and appends .encrypted to the end of the file name, with a ransom note titled "Your data has been locked!.txt". The attacker has made around 71 XMR, equivalent to roughly £9,660, but the mining pool only shows 1 worker active at 22 KH/s, suggesting another wallet address may be in use. The command to start the ransomware was issued directly by the malware operator, and the download server may be an attacker-controlled server used to host additional payloads. P2Pinfect also includes a usermode rootkit that hides specific information and bypasses checks when a specific environment variable is set. There is speculation that P2Pinfect may be a botnet for hire, as evidenced by the delivery of the ransomware payload from a fixed URL and the separation of the miner and ransomware wallet addresses. However, the distribution of rsagen could also be evidence of initial access brokerage. Overall, P2Pinfect continues to evolve with updated payloads and defensive features, demonstrating the malware author\'s ongoing efforts to profit from illicit access and further spread the network. The ransomware\'s impact is limited due to its initial access vector being Redis, which has restricted permissions and limited data storage capabilities. ## Recommendations # Recommendations to protect against RaaS Microsoft recommends the following mitigations to reduce the impact of RaaS threats. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) , so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Microsoft Defender customers | Ransomware Malware Tool Threat Cloud | ★★ | |
|
2024-06-27 15:25:50 | La plate-forme Dragos gagne les scores les plus élevés pour la détection des menaces et des anomalies, la gestion de la vulnérabilité et la sécurité des produits dans la nouvelle vague de sécurité Forrester OT Dragos Platform Earns Highest Scores for Threat and Anomaly Detection, Vulnerability Management, and Product Security in New Forrester OT Security Wave (lien direct) |
> The Forrester Wavetm: Operational Technology Security Solutions, Q2 2024, a publié avec Dragos nommé un artiste fort et le seul ...
Le post La plateforme Dragos gagne les scores les plus élevés pour la menace pour la menace pouret la détection des anomalies, la gestion de la vulnérabilité et la sécurité des produits dans la nouvelle vague de sécurité Forrester OT est apparue pour la première fois sur dragos .
>The Forrester WaveTM: Operational Technology Security Solutions, Q2 2024, has published with Dragos named a Strong Performer and the only... The post Dragos Platform Earns Highest Scores for Threat and Anomaly Detection, Vulnerability Management, and Product Security in New Forrester OT Security Wave first appeared on Dragos. |
Vulnerability Threat Industrial | ★★★ | |
 |
2024-06-27 14:00:00 | Le renouveau mondial du hacktivisme nécessite une vigilance accrue des défenseurs Global Revival of Hacktivism Requires Increased Vigilance from Defenders (lien direct) |
Written by: Daniel Kapellmann Zafra, Alden Wahlstrom, James Sadowski, Josh Palatucci, Davyn Baumann, Jose Nazario
Since early 2022, Mandiant has observed the revival and intensification of threat activity from actors leveraging hacktivist tactics and techniques. This comes decades after hacktivism first emerged as a form of online activism and several years since many defenders last considered hacktivism to be a serious threat. However, this new generation of hacktivism has grown to encompass a more complex and often impactful fusion of tactics different actors leverage for their specific objectives. Today\'s hacktivists exhibit increased capabilities in both intrusion and information operations demonstrated by a range of activities such as executing massive disruptive attacks, compromising networks to leak information, conducting information operations, and even tampering with physical world processes. They have leveraged their skills to gain notoriety and reputation, promote political ideologies, and actively support the strategic interests of nation-states. The anonymity provided by hacktivist personas coupled with the range of objectives supported by hacktivist tactics have made them a top choice for both state and non-state actors seeking to exert influence through the cyber domain. This blog post presents Mandiant\'s analysis of the hacktivism threat landscape, and provides analytical tools to understand and assess the level of risk posed by these groups. Based on years of experience tracking hacktivist actors, their claims, and attacks, our insight is meant to help organizations understand and prioritize meaningful threat activity against their own networks and equities. 
Figure 1: Sample of imagery used by hacktivists to promote their threat activity
Proactive Monitoring of Hacktivist Threats Necessary for Defenders to Anticipate Cyberattacks
Mandiant considers activity to be hacktivism when actors claim to or conduct attacks with the publicly stated intent of engaging in political or social activism. The large scale of hacktivism\'s resurgence presents a critical challenge to defenders who need to proactively sift through the noise and assess the risk posed by a multitude of actors with ranging degrees of sophistication. While in many cases hacktivist activity represents a marginal threat, in the most significant hacktivist operations Mandiant has tracked, threat actors have deliberately layered multiple tactics in hybrid operations in such a way that the effect of each component magnified the others. In some cases, hacktivist tactics have been deliberately employed by nation-state actors to support hybrid operations that can seriously harm victims. As the volume and complexity of activity grows and new actors leverage hacktivist tactics, defenders must determine how to filter, assess, and neutralize a range of novel and evolving threats. The proactive moni |
Malware Tool Threat Legislation Industrial Cloud Commercial | APT 38 | ★★★ |
 |
2024-06-27 13:47:57 | Menlo Security expose trois nouvelles campagnes de l'État-nation Menlo Security Exposes Three New Nation-State Campaigns (lien direct) |
Menlo Security expose trois nouvelles campagnes de l'État-nation
Les acteurs de la menace parrainés par l'État ont vu des techniques évasives pour cibler les organisations gouvernementales, bancaires et de soins de santé
-
rapports spéciaux
Menlo Security Exposes Three New Nation-State Campaigns State-sponsored threat actors seen employing evasive techniques to target government, banking, and healthcare organizations - Special Reports |
Threat Medical | ★★ | |
 |
2024-06-27 13:14:02 | Évasion virtuelle;Récompense réelle: présentant KVMCTF de Google \\ Virtual Escape; Real Reward: Introducing Google\\'s kvmCTF (lien direct) |
Marios Pomonis, Software EngineerGoogle is committed to enhancing the security of open-source technologies, especially those that make up the foundation for many of our products, like Linux and KVM. To this end we are excited to announce the launch of kvmCTF, a vulnerability reward program (VRP) for the Kernel-based Virtual Machine (KVM) hypervisor first announced in October 2023.KVM is a robust hypervisor with over 15 years of open-source development and is widely used throughout the consumer and enterprise landscape, including platforms such as Android and Google Cloud. Google is an active contributor to the project and we designed kvmCTF as a collaborative way to help identify & remediate vulnerabilities and further harden this fundamental security boundary. Similar to kernelCTF, kvmCTF is a vulnerability reward program designed to help identify and address vulnerabilities in the Kernel-based Virtual Machine (KVM) hypervisor. It offers a lab environment where participants can log in and utilize their exploits to obtain flags. Significantly, in kvmCTF the focus is on zero day vulnerabilities and as a result, we will not be rewarding exploits that use n-days vulnerabilities. Details regarding the zero day vulnerability will be shared with Google after an upstream patch is released to ensure that Google obtains them at the same time as the rest of the open-source community. Additionally, kvmCTF uses the Google Bare Metal Solution (BMS) environment to host its infrastructure. Finally, given how critical a hypervisor is to overall system security, kvmCTF will reward various levels of vulnerabilities up to and including code execution and VM escape. | Vulnerability Threat Mobile Cloud | ★★ | |
 |
2024-06-27 12:12:56 | DMARC: Pourquoi il passe d'une meilleure pratique à un incontournable DMARC: Why It\\'s Moving from a Best Practice to a Must-Have (lien direct) |
It is widely understood that email is the number one threat vector for cyberattacks. This stems from the fact that email was not designed with security in mind, and cybercriminals do not need highly technical skills to exploit it. In this blog, we\'ll look at how threat actors exploit human vulnerabilities by impersonating people and brands, why DMARC is becoming mandatory, and how Proofpoint can help. Are you for real? Looking legitimate to gain trust Most cyberattacks today are initiated via email. As a result, many users have started to block or delete emails from unknown sources as a precautionary measure. Cybercriminals realize this and have learned that their best chance is to fool the receiver into believing that they are dealing with a known source-ideally, a trusted source. And this is where sender impersonation comes into play. Spoofing is a common form of sender impersonation. There are two main types: Domain spoofing. This is when a bad actor forges a sender\'s domain in an email to make it appear as if the email is from a trusted source. Header spoofing. In this case, an attacker manipulates the email\'s header information-including various fields such as “From,” “To,” “Reply-To” and others-so that it looks like the email is from a different source than its true source (the attacker). Both tactics are designed to make recipients believe that they are interacting with a trusted source and can appear very legitimate. If someone believes they are communicating with a trusted person, they are more likely to divulge sensitive information or perform actions that compromise their security, such as handing over their credentials. If an attacker is spoofing your company to target your partners or customers, it can cause significant damage to your brand\'s reputation. To prevent this type of brand abuse, some companies have implemented email authentication technology as a “best practice.” But this trend is not as widespread as you might expect. An overview of email authentication technology To combat domain spoofing, Sender Policy Framework (SPF) was introduced, followed by Domain Key Identified Mail (DKIM), with the goal of validating that email is coming from an approved sending IP address and the message hasn\'t been tampered with en route. A company can create an SPF record that contains a list of all the “approved” IP addresses that can send email on the organization\'s behalf. This allows a system receiving an email to do a quick check to determine if the email is coming from an authorized server. If the sending IP address isn\'t on the SPF list, it fails authentication. DKIM goes a step further by using public and private keys, allowing a receiving system to compare the keys in the email to confirm that it came from who it says it did and that nothing in the email was changed after it was sent. Someone sending a domain-spoofed email would fail both SPF and DKIM authentication. Email authentication is becoming mandatory Email authentication tools have been available for years, so you would think that all companies would have implemented them by now. However, some businesses have been slow to act for various reasons, including: Resource limitations Budget limitations Concerns about legitimate email being blocked Whatever the cause for the lag in implementing these tools, the delay has allowed cybercriminals to continue to exploit the lack of security to initiate their attacks. Major email providers are making moves to force companies to catch up and use email authentication. Some highly publicized examples include the October 2023 announcements from Google, Yahoo and Apple around mandatory email authentication requirements (including DMARC) for bulk senders sending email to Gmail, Yahoo and iCloud accounts. This should significantly reduce spam and fraudulent emails hitting their customers\' inboxes. | Spam Tool Vulnerability Threat Prediction Technical | Yahoo | ★★★ |
 |
2024-06-27 10:39:45 | LightSpy (lien direct) | > également connu sous le nom de heur: trojan-spy.multi.lightriver.a
Type:
Menace hybride
Plateforme:
Mac OS 9
Dernière mise à jour:
27/06/24 17:15 PM
Niveau de menace:
Medium
Description
LightSpy est une menace hybride qui compromet un dispositif Intel (ou Apple Silicon avec Rosetta 2.Ce malware a les capacités à mettre à niveau au fil du temps et inclure des fonctionnalités telles que l'espionnage de l'utilisateur et le vol d'informations à l'utilisateur.
Retrait des menaces légères
MacScan peut détecter et éliminer la menace hybride léger de votre système, ainsi que la protection contre d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace.
télécharger macscan
>also known as HEUR:Trojan-Spy.Multi.Lightriver.a Type: Hybrid Threat Platform: Mac OS 9 Last updated: 06/27/24 5:15 pm Threat Level: Medium Description LightSpy is a hybrid threat that compromises a macOS-enabled Intel (or Apple Silicon with Rosetta 2 enabled) device. This malware has the capabilities to be upgraded over time and include features such as spying on the user and stealing information from the user. LightSpy Threat Removal MacScan can detect and remove LightSpy Hybrid Threat from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan |
Malware Threat | ★★★ | |
|
2024-06-27 09:30:00 | Rapport de menace ESET H1 2024 ESET Threat Report H1 2024 (lien direct) |
Une vision du paysage des menaces H1 2024 vu par la télémétrie ESET et du point de vue des experts de la détection des menaces ESET et de la recherche
A view of the H1 2024 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts |
Threat | ★★★ | |
 |
2024-06-27 09:28:48 | Le FBI avertit le public des faux cabinets d'avocats qui s'attaquent aux victimes d'escroquerie de crypto FBI Warns Public About Fake Law Firms Preying on Crypto Scam Victims (lien direct) |
> La crypto-monnaie a révolutionné le paysage financier, offrant des transactions décentralisées et sécurisées.Cependant, cette innovation a également attiré une myriade d'escroqueries, avec des fraudeurs conçus en permanence de nouvelles façons d'exploiter les victimes sans méfiance.Récemment, le FBI a émis un avertissement concernant une nouvelle tendance inquiétante: de faux cabinets d'avocats ciblant les personnes qui ont déjà été victimes de crypto-monnaies.& # 8230;
>Cryptocurrency has revolutionized the financial landscape, offering decentralized and secure transactions. However, this innovation has also attracted a myriad of scams, with fraudsters continuously devising new ways to exploit unsuspecting victims. Recently, the FBI issued a warning about a disturbing new trend: fake law firms targeting individuals who have already fallen victim to cryptocurrency scams. … |
Threat Prediction | ★★★ | |
|
2024-06-27 01:30:31 | UAC-0184 déploie le rat Xworm via une charge de touche DLL basée sur Python en Ukraine UAC-0184 Deploys XWorm RAT via Python-Based DLL Sideloading in Ukraine (lien direct) |
#### Géolocations ciblées - Ukraine ## Instantané Cyble Research and Intelligence Labs (CRIL) a identifié une campagne de logiciels malveillants soutenue par le groupe d'acteurs de menace UAC-0184 ciblant l'Ukraine avec le rat Xworm. ## Description La dernière campagne de l'UAC-0184 \\ exploite des fichiers LNK malveillants, probablement diffusés par des e-mails de phishing ou de spam avec des pièces jointes à zip.Lorsqu'il est exécuté, le fichier LNK déclenche un script PowerShell qui télécharge un fichier zip contenant des composants Python légitimes et malveillants, y compris une charge utile cryptée.Cette campagne marque un passage de leur utilisation précédente du Remcos Rat au rat Xworm.Le processus d'infection utilise une charge de touche DLL, où un exécutable Python légitime est utilisé aux côtés d'une DLL Python malveillante, permettant à la charge utile finale, Xworm Rat, d'être exécutée sans détection.Le rat Xworm tente ensuite de se connecter à un serveur de commande et de contrôle (C & C) pour les activités d'accès à distance, bien qu'au moment de l'analyse, le serveur était inactif. Le déploiement du rat Xworm indique que l'objectif principal du groupe \\ est d'établir un accès à distance aux systèmes compromis.Les opérations de l'UAC-0184 \\ démontrent un effort soutenu pour infiltrer les cibles ukrainiennes à des fins stratégiques, reflétant une évolution continue de leurs tactiques pour échapper aux mesures de sécurité et assurer une livraison réussie de la charge utile.L'UAC-0184 a des antécédents de ciblage des entités ukrainiennes, utilisant auparavant des techniques telles que les fichiers d'image stéganographiques et le chargeur IDAT pour la distribution de charge utile. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Trojan: Win32 / Coinminder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/coinminer& threattid=-2147294768) - [Trojan: MSIL / COINMINER] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-Description? Name = Trojandownloader: MSIL / COINMINER & menaceID = -2147272065) - [Trojan: Win32 / Killav] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=trojan:win32/killav&thereatid=6492) - [Trojan: MSIL / XWORM] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-senceClopedia-Description? Name = Trojan: MSIL / XWORM.CXR! MTB & AMP; NOFENID = -2147123843) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-secdClopedia-Description? Name = Trojan: win32 / winlnk & menaceID = -2147239159) ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents e | Spam Malware Threat | ★★★ | |
 |
2024-06-27 00:00:00 | Les escroqueries ICO lentent 2024 Jeux olympiques pour attirer les victimes, utilisez l'IA pour les faux sites ICO Scams Leverage 2024 Olympics to Lure Victims, Use AI for Fake Sites (lien direct) |
Dans ce blog, nous découvrons des acteurs de menace utilisant les Jeux olympiques de 2024 pour attirer les victimes d'investir dans une offre initiale de pièces (ICO).Il a été constaté que des schémas similaires utilisent des images générées par l'AI pour leurs faux sites Web ICO.
In this blog we uncover threat actors using the 2024 Olympics to lure victims into investing in an initial coin offering (ICO). Similar schemes have been found to use AI-generated images for their fake ICO websites. |
Threat | ★★★ | |
|
2024-06-26 23:00:00 | Épisode 34: Votre toast à la gestion des risques est-il? EPISODE 34: IS YOUR RISK MANAGEMENT TOAST? (lien direct) |
Cet épisode nous sommes rejoints par Michael Walford-Williams , un consultant spécialisé dans la résilience opérationnelle et la gestion des risques tiers.Son conseil Westbourne Consultancy Limited le voit travailler pour divers clients fournissant des services de gestion des risques pour l'industrie des services financiers. Dans cet épisode, nous examinons comment l'appétit des risques évolue avec le temps, le pouvoir de équipe rouge , comment permettre à tout le monde de se soucier de risque et de poser la question: \\ 'est votreToast de gestion des risques? \\ ' Prise des clés: L'appétit de risque est une cible en mouvement: juste parce qu'une menace ne vous a pas encore frappée, ne signifie pas qu'elle a gagné \\ 't.Apprenez à adapter votre stratégie de gestion des risques à l'évolution des menaces. Les tests sont parfaits (ou du moins plus préparés): n'attendez pas une véritable attaque pour exposer votrefaiblesses.Des attaques simulées comme les campagnes de phishing et l'équipe rouge peuvent exposer les vulnérabilités avant qu'elles soient exploitées. du papier à la réalité: tester la résilience de la cybersécurité ne devrait pas être simplement les meilleurs effortsSur un morceau de papier (documentation de continuité des activités). meilleur rouge que pain!L'équipe rouge se déchaîne: tests, des simulations de phishing aux évaluations physiques, en passant par les activités d'équipe rouge à part entière, toutes jouent un rôle central dans l'autonomisation des employés et l'augmentation de la vigilance organisationnelle.Et rappelez-vous, il ne s'agit pas de pointer des doigts - it \\ 's sur l'autonomisation. Propriété du risque: Le risque n'est pasproblème.C'est le travail de tout le monde.De la salle de conférence aux fronts, nous sommes tous ensemble.Nous vous montrerons comment redéfinir la propriété des risques. Liens vers tout ce que nous avons discuté dans cet épisode peut être trouvé dans les notes de l'émission et si vous avez aimé le spectacle,Veuillez faire laissez-nous une revue . Suivez-nous sur toutes les bonnes plateformes de podcasting et via notre chaîne YouTube, et n'oubliez pas de Partager sur LinkedIn et dans vos équipes . Cela nous aide vraiment diffuser le mot et obtenir des invités de haute qualité, sur les épisodes futurs. & nbsp; Nous espérons que vous avez apprécié cet épisode - à la prochaine fois, restez en sécurité, et n'oubliez pas de vous demander, \\ 'Suis-je la position compromettante ici? \' & nbsp; Mots-clés: cybersécurité, risque, résilience, équipe rouge, appétit des risques, raci, ai Afficher les notes \\ 'La plus grande cyber-risque est la complaisance, et non les pirates \' - Le commissaire à l'information britannique émet un avertissement en tant que société de construction amendé et livre; 4,4 millions. ico Le point de basculement: combien de peu les choses peuvent faire une grande différence par Malcolm Gladwell À propos de Michael Walford-Williams Michael Walford-Williams est un consultant spécialisé dans la résilience opérationnelleet gestion des risques tiers.Son conseil Westbourne Consultancy Li | Vulnerability Threat | ★★★ | |
|
2024-06-26 20:06:12 | Les logiciels malveillants XCTDOOOR étant utilisés pour attaquer les entreprises nationales Xctdoor malware being used to attack domestic companies (lien direct) |
#### Géolocations ciblées
- Corée
#### Industries ciblées
- Base industrielle de la défense
- Fabrication critique
## Instantané
Ahnlab Security Intelligence Center (ASEC) a identifié une attaque récente ciblant les sociétés coréennes en utilisant le malware XCTDOOOR.Les attaquants ont initialement infiltré des systèmes en ciblant le serveur de mise à jour d'une entreprise spécifique de planification des ressources d'entreprise (ERP), affectant les sociétés de défense et de fabrication.
## Description
Dans cette attaque, les acteurs de la menace ont ciblé le serveur de mise à jour d'un système ERP spécifique pour déployer le logiciel malveillant de porte dérobée XCTDOOOR.Ce logiciel malveillant, développé dans le langage Go, utilise le processus RegSVR32.exe pour exécuter des fichiers DLL et s'injecter dans des processus système comme taskhost.exe et explorateur.exe.Il réalise la persistance en se copie sur un chemin spécifique et en créant un raccourci dans le dossier de démarrage.XCTDOOR, une fois opérationnel, communique avec un serveur de commande et de contrôle (C & C) utilisant le protocole HTTP, cryptant sa communication avec les algorithmes Mersenne Twister et Base64.Il peut exécuter les commandes reçues du serveur C&C, la capture de captures d'écran, les touches de journal et le volet du presse-papiers et des informations supplémentaires.
L'attaque impliquait également le malware de l'injecteur XCLoader, qui est responsable de l'injection de la charge utile XCTDOOOR dans les processus système.Xcloader s'est avéré être développé dans les langues C et GO et a été vu dans des attaques récentes contre les serveurs Web de Windows IIS, exploitant des vulnérabilités ou des erreurs de configuration.Les journaux d'attaque ont montré l'exécution des commandes pour collecter des informations système et éventuellement installer des shells Web, indiquant un compromis approfondi des systèmes ciblés.De plus, l'utilisation de Ngrok - un programme de tunneling - suggère aux attaquants destinés à maintenir un accès à distance pour une nouvelle exploitation.
AhnLabs n'attribue pas l'attaque, mais rapporte que les TTP ressemblent à l'activité antérieure par le groupe de menaces sponorées de l'État nord-coréenNdariel, suivi par Microsoft comme [Onyx Sleet] (https://ssecurity.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bAD8833C0).
## Détections / requêtes de chasse
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- [Trojan: Win32 / Tiggre] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/tiggre&theretid=-2147242786)
## Les références
[Xctdoor malware utilisés pour attaquer les sociétés nationales] (https://asec.ahnlab.com/ko/67034/).Ahnlab Security Intelligence Center (ASEC) (consulté en 2024-06-25)
#### Targeted Geolocations - Korea #### Targeted Industries - Defense Industrial Base - Critical Manufacturing ## Snapshot AhnLab Security Intelligence Center (ASEC) identified a recent attack targeting Korean companies using the Xctdoor malware. The attackers initially infiltrated systems by targeting the update server of a specific Korean enterprise resource planning (ERP) company, affecting defense and manufacturing companies. ## Description In this attack, the threat actors targeted the update server of a specific ERP system to deploy the Xctdoor backdoor malware. This malware, developed in the Go language, uses the Regsvr32.exe process to execute DLL files and inject itself into system processes like taskhost.exe and explorer.exe. It achieves persistence by copying itself to a specific path and creating a shortcut in the startup folder. Xctdoor, once operational, communicates with a command and control (C&C) server using |
Malware Vulnerability Threat Industrial | ★★★ | |
|
2024-06-26 19:07:50 | (Déjà vu) Fickle Stealer Distributed via Multiple Attack Chain (lien direct) | ## Instantané Fortiguard Labs Menace Research a identifié un voleur basé sur la rouille appelée Sceneer Fickle, observé en mai 2024. ## Description Ce voleur est distribué à l'aide de diverses méthodes telles que le dropper VBA, le téléchargeur VBA, le téléchargeur de liens et le téléchargeur exécutable.La chaîne d'attaque est divisée en trois étapes: livraison, travail préparatoire et charge utile des emballeurs et du voleur. Le travail préparatoire consiste à contourner le contrôle des comptes d'utilisateurs (UAC) et à exécuter le voleur capricieux, à créer une nouvelle tâche pour exécuter le moteur.PS1 après 15 minutes, et à envoyer des messages au bot télégramme de l'attaquant \\.De plus, Fickle Stealer est protégé par un packer déguisé en exécutable légal, ce qui rend difficile la détection en utilisant certaines règles de détection.Le malware laisse tomber une copie de lui-même dans le dossier temporaire avec un nom aléatoire, exécute la copie et termine le voleur en cours d'exécution.Il communique ensuite avec le serveur pour envoyer des données volées, y compris les informations de victime, les applications cibles et les mots clés et le contenu de fichiers spécifique au format JSON.Le serveur répond par une liste cible cryptée à l'aide d'un algorithme RC4, et le malware traite diverses cibles telles que les portefeuilles crypto, les plugins, les extensions de fichiers, les chemins partiels, les applications, les navigateurs de moteur Gecko et les navigateurs à base de chrome.Enfin, le malware envoie une capture d'écran au serveur et se supprime.Fickle Stealer est conçu pour recevoir une liste cible du serveur, le rendant plus flexible, et est observé comme ayant mis à jour des variantes, indiquant un développement continu. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [delete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azur | Ransomware Spam Malware Tool Threat | ★★★ | |
 |
2024-06-26 18:53:39 | Le logiciel de progression augmente la gravité du nouveau bug de mouvement vers \\ 'critique \\' alors que l'exploit tentant de sauter Progress Software elevates severity of new MOVEit bug to \\'critical\\' as exploit attempts jump (lien direct) |
Pas de details / No more details | Threat | ★★ | |
|
2024-06-26 15:43:00 | Les pirates chinois et nord-coréens ciblent l'infrastructure mondiale avec ransomware Chinese and N. Korean Hackers Target Global Infrastructure with Ransomware (lien direct) |
Les acteurs de menaces soupçonnés de liens avec la Chine et la Corée du Nord ont été liés à des attaques de ransomwares et de chiffrement des données ciblant les secteurs du gouvernement et des infrastructures critiques à travers le monde entre 2021 et 2023.
Alors qu'un groupe d'activités a été associé au Chamelgang (alias camofei), le deuxième cluster chevauche une activité précédemment attribuée aux chinois et au nord-coréen
Threat actors with suspected ties to China and North Korea have been linked to ransomware and data encryption attacks targeting government and critical infrastructure sectors across the world between 2021 and 2023. While one cluster of activity has been associated with the ChamelGang (aka CamoFei), the second cluster overlaps with activity previously attributed to Chinese and North Korean |
Ransomware Threat | ★★★ | |
|
2024-06-26 11:31:29 | Cyber Assurance dans le cadre de la stratégie d'atténuation de la cyber-menace Cyber insurance as part of the cyber threat mitigation strategy (lien direct) |
Pourquoi les organisations de toutes tailles et de toutes les industries devraient explorer leurs options de cyber-assurance comme une composante cruciale de leurs stratégies d'atténuation des risques
Why organizations of every size and industry should explore their cyber insurance options as a crucial component of their risk mitigation strategies |
Threat | ★★★ | |
 |
2024-06-26 11:06:26 | Les États-Unis interdisent Kaspersky The US Is Banning Kaspersky (lien direct) |
Ce mouvement arrive depuis longtemps.
L'administration Biden a déclaré jeudi qu'elle était l'interdiction de l'entreprise de vendre ses produits à de nouveaux clients basés aux États-Unis à partir du 20 juillet, avec la société uniqueMises à jour des clients existants jusqu'au 29 septembre./ Wired-Awake-140917 / "> Années d'avertissements De la communauté du renseignement américain sur le fait que Kaspersky soit une menace de sécurité nationale parce que Moscou pourrait aurait réquisitionner son logiciel antivirus qui voit tout>
This move has been coming for a long time. The Biden administration on Thursday said it\'s banning the company from selling its products to new US-based customers starting on July 20, with the company only allowed to provide software updates to existing customers through September 29. The ban—the first such action under authorities given to the Commerce Department in 2019—follows years of warnings from the US intelligence community about Kaspersky being a national security threat because Moscow could allegedly commandeer its all-seeing antivirus software to spy on its customers... |
Threat | ★★★ | |
|
2024-06-26 10:00:00 | Les tenants et aboutissants de l'évaluation de la posture de cybersécurité en 2024 The Ins and Outs of Cybersecurity Posture Assessment in 2024 (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Whether you\'re working with on-premises infrastructure, fully embracing the cloud, or running a hybrid solution, one thing is certain: a robust security posture is essential to safeguarding the environment. This article will explore today’s fundamentals of security posture assessment in both on-premises and cloud environments while briefly touching on the added complexities a hybrid setup will entail. What Is Security Posture Assessment? Before going any further, it is good to understand what security posture assessment really is and why knowing your security posture is essential to every organization. In short, a security posture assessment is a comprehensive evaluation of the currently utilized security measures safeguarding essential organizational data, processes to prevent breaches, and decisions to maintain business continuity. Any company should have a comprehensive assessment of its environment conducted at least annually. These assessments are used to identify vulnerabilities in processes and systems, point out areas for improvement, and comprehensively assess the overall resiliency of the organization’s entire IT ecosystem. The main goal is to fully understand the current security level and be able to take the necessary steps to remediate possible issues. Assessing On-Premises Security With on-premises system management, all the responsibility falls on the local IT team, so they need to have a comprehensive view of the currently deployed hardware and software to be able to successfully secure both. Let’s go over the components of such an exercise: ● Asset inventory: It is imperative to know the total scope of the organization\'s assets, including workstations, mobile devices, servers, network equipment, and all the software applications in use. This helps pinpoint outdated assets that either need to be removed from the environment or brought up-to-date with hardware or software upgrades. ● Patch management: New software vulnerabilities are being constantly unearthed, so prompt software updating and comprehensive patch management are instrumental in every environment. While it is a good idea to verify the stability of new updates first, automated patch management tools can help streamline this process. ● Network segmentation: Adversaries are always looking for opportunities for lateral movement in a network, so the isolation of systems and processes through network segmentation is an important step in limiting the potential damage a breach can cause. All in all, the evaluation of on-premises security requires an all-around review of the physical and digital protections within the organization’s data centers. This additionally includes vetting firewalls, intrusion detection systems, and access controls to thwart unauthorized access. Regular security audits and penetration tests are crucial to identify and address vulnerabilities before they can be weaponized. Assessing Cloud Security Working with cloud-based solutions keeps growing in popularity, since it effectively outsources the underlying hardware management to the cloud service provider, lessening the burden on the local IT team. This isn\'t to say that there is n | Tool Vulnerability Threat Patching Mobile Cloud | ★★★ | |
 |
2024-06-26 09:55:48 | Chamelgang & Friends |Groupes de cyberespionnage attaquant une infrastructure critique avec un ransomware ChamelGang & Friends | Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
Les acteurs de la menace de l'écosystème du cyberespionnage utilisent des ransomwares pour le gain financier, la perturbation, la distraction, la mauvaise attribution et l'élimination des preuves.
Threat actors in the cyberespionage ecosystem are using ransomware for financial gain, disruption, distraction, misattribution, and the removal of evidence. |
Ransomware Threat | ★★★ | |
|
2024-06-26 08:04:29 | WatchGuard lance la solution ThreatSync+ NDR (lien direct) | WatchGuard lance la solution ThreatSync+ NDR assistée par l'IA, pour renforcer la détection et la réponse globales aux cybermenaces WatchGuard poursuit sa stratégie de XDR ouvert. Avec ThreatSync+ NDR, WatchGuard offre à toutes les organisations une visibilité unifiée sur les menaces dans leur trafic réseau, une corrélation des alertes et une réponse coordonnée aux menaces. - Produits | Threat | ★★★ | |
 |
2024-06-26 08:00:00 | Insigne d'analyse des menaces: voleur d'informations sur le Risepro Threat Analysis Insight: RisePro Information Stealer (lien direct) |
Risepro est un voleur d'informations multifonctionnel souvent vendu sur des forums souterrains comme une offre de logiciels malveillants en tant que service (MAAS).Dans ce blog, nous allons approfondir le Risepro et examiner sa chaîne d'infection et son fonctionnement interne.
RisePro is a multifunctional information-stealer often sold on underground forums as a Malware-as-a-Service (MaaS) offering. In this blog, we\'ll delve deeper into RisePro and examine its infection chain and inner workings. |
Threat | ★★★ | |
|
2024-06-26 07:31:22 | Tenable permet à West Burton Energy d\'améliorer la sécurité et l\'efficacité de ses activités OT (lien direct) | Tenable permet à West Burton Energy d'améliorer la sécurité et l'efficacité de ses activités OT Avec Tenable OT Security, West Burton Energy a réduit les alertes de détection des menaces de 98 % et amélioré l'efficacité de 87 %, économisant ainsi plus de 200 heures par an. - Marchés | Threat Industrial | ★★★ |
To see everything:
Our RSS (filtrered)
