Src |
Date (GMT) |
Titre |
Description |
Tags |
Stories |
Notes |
|
2024-07-25 20:38:45 |
Les fédéraux mettent en garde contre les cyberattaques nord-coréennes sur les infrastructures critiques américaines Feds Warn of North Korean Cyberattacks on US Critical Infrastructure (lien direct) |
Le groupe Andariel cible les sociétés de défense critique, aérospatiale, nucléaire et d'ingénierie pour le vol de données, le FBI, la NSA et d'autres ont déclaré.
The Andariel group is targeting critical defense, aerospace, nuclear, and engineering companies for data theft, the FBI, NSA, and others said. |
|
|
★★★
|
|
2024-07-25 20:14:43 |
FrostyGoop malware attack cut off heat in Ukraine during winter (lien direct) |
## Instantané
Le fournisseur de cybersécurité Dragos a identifié l'utilisation de FrostyGoop, un logiciel malveillant Windows lié aux groupes de menaces russes, dans une cyberattaque de janvier 2024 qui a perturbé le chauffage dans plus de 600 immeubles d'appartements à Lviv, en Ukraine.Le malware cible les systèmes de contrôle industriel (ICS) à l'aide du protocole Modbus TCP Communications.
## Description
Les attaquants ont accédé initial au réseau de la victime près d'un an plus tôt en exploitant une vulnérabilité dans un routeur Mikrotik exposé à Internet.Ils ont maintenu l'accès à l'aide d'une volet en ligne, ont volé des informations d'identification des utilisateurs et ont finalement détourné les contrôleurs de systèmes de chauffage du district \\, rétrogradant leur firmware pour échapper à la détection.
Parce que le réseau du fournisseur de victimes n'a pas été segmenté, les pirates ont pivoté pour compromettre le réseau interne et déployé le malware Frostygoop.FrostyGoop est des logiciels malveillants spécifiques aux ICS écrits dans Golang qui interagissent directement avec ICS à l'aide de Modbus TCP sur le port 502. Le malware a ensuite envoyé des commandes via le réseau Ethernet interne aux contrôleurs enco, que le fournisseur utilisait pour gérer les chaudières et les pompes de chauffage.
Selon Dragos, l'incident est à noter car FrostyGoop est la première souche malveillante ICS axée sur l'abus du protocole Modbus, qui est l'un des protocoles ICS les plus populaires.
### Analyse supplémentaire
Dragos n'a pas attribué l'attaque, mais d'autres chercheurs en cybersécurité rapportent que le TTPS correspond à l'activité de l'acteur de menace basé en Russie [Seashell Blizzard] (https://security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01eeeeeE3D9EE3048078288E5201BB) (aka Sandworm, APT44, Iridium).La Russie cible agressivement les infrastructures critiques ukrainiennes avec les deux CYberattaques et missiles.Par exemple, en avril, l'équipe d'intervention d'urgence informatique de l'Ukraine \\ (CER-UA) a indiqué que [Seashell Blizzard avait ciblé] (https://therecord.media/frostygoop-malware-ukraine-heat) près de 20 installations énergétiques dans les installations énergétiques de dansL'Ukraine au printemps, potentiellement pour amplifier l'impact des missiles russes intenses et des grèves de drones sur les infrastructures critiques.
## Recommandations
Dragos recommande aux organisations de mettre en œuvre les 5 contrôles critiques SANS pour la cybersécurité OT de classe mondiale.Il s'agit notamment de la réponse aux incidents ICS, de l'architecture défendable, de la visibilité et de la surveillance du réseau ICS, de l'accès à distance sécurisé et de la gestion des vulnérabilités basée sur les risques.De plus, Dragos fournit les recommandations suivantes:
1. Réponse des incidents ICS Compte tenu de la complexité et de la nature ciblée de l'attaque de Frostygoop, un plan de réponse aux incidents robuste est crucial.Ce plan devrait intégrer des réponses spécialisées pour les environnements OT, car ces systèmes ont souvent des exigences de continuité opérationnelle qui remplacent les systèmes informatiques traditionnels.Pour FrostyGoop, qui interagit directement avec ICS via les commandes MODBUS, le plan de réponse doit inclure des procédures pour isoler rapidement les appareils affectés, analyser le trafic réseau pour les commandes MODBUS non autorisées et restaurer des opérations de système précises.La formation et les exercices réguliers spécifiques aux attaques MODBUS et ICS ciblées assureront également la préparation et la gestion efficace des incidents.
2. Architecture défendable Cette attaque met en évidence le manque de segmentation adéquate du réseau et la présence de contrôleurs exposés à Internet.Pour lutter contre les menaces comme FrostyGoop, une architecture défendable doit être mise en œuvre, en pri |
Threat
Malware
Industrial
Vulnerability
|
|
★★★
|
|
2024-07-25 20:11:02 |
Nombre croissant de menaces tirant parti de l'IA Growing Number of Threats Leveraging AI (lien direct) |
## Instantané
Symantec a identifié une augmentation des cyberattaques utilisant des modèles de grande langue (LLM) pour générer du code malveillant pour télécharger diverses charges utiles.
En savoir plus sur la façon dont Microsoft s'est associé à OpenAI pour [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef).
## Description
Les LLM, conçues pour comprendre et créer du texte de type humain, ont des applications, de l'assistance à l'écriture à l'automatisation du service client, mais peuvent également être exploitées à des fins malveillantes.Les campagnes récentes impliquent des e-mails de phishing avec du code pour télécharger des logiciels malveillants comme Rhadamanthys, Netsupport et Lokibot.Ces attaques utilisent généralement des scripts PowerShell générés par LLM livrés via des fichiers .lnk malveillants dans des fichiers zip protégés par mot de passe.Un exemple d'attaque impliquait un e-mail de financement urgent avec un tel fichier zip, contenant des scripts probablement générés par un LLM.Les recherches de Symantec \\ ont confirmé que les LLM comme Chatgpt peuvent facilement produire des scripts similaires.La chaîne d'attaque comprend l'accès initial via des e-mails de phishing, l'exécution des scripts générés par LLM et le téléchargement final de la charge utile.Symantec met en évidence la sophistication croissante des attaques facilitées par l'IA, soulignant la nécessité de capacités de détection avancées et de surveillance continue pour se protéger contre ces menaces en évolution.
## Analyse Microsoft
Microsoft a identifié des acteurs comme [Forest Blizzard] (https://security.microsoft.com/Intel-Profiles / DD75F93B2A771C9510DCEEC817B9D34D868C2D1353D08C8C1647DE067270FDF8), [EMERDD Sleet] (HTTP EE4ED596D8AE16F942F442B895752AD9F41DD58E), [Crimson Sandstorm] (https://sip.security.microsoft.com/intel-profiles/34E4ACFE2868D450AC93C5C3E6D2DF021E2801BDB3700DD8F172D602DF6DA046), [CHARCOAL TYPHOON] ( 3DB3D52D0495410EFD39D506AAD9A4) et [Typhoon de saumon] (https://security.microsoft.com/intel-profiles/5323e9969bf361e48bc236a53189 6) Tirer parti des LLMautomatiseret optimiser la génération de scripts;Cependant, certains de ces acteurs ont exploité les LLM de d'autres manières, notamment la reconnaissance, la recherche sur la vulnérabilité, l'ingénierie sociale et la traduction des langues.En savoir plus sur la façon dont ces acteurs interagissent et utilisent les LLM sur le [Microsoft Security Blog] (https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of--of-Les acteurs de la menace à l'âge-ai /).
## Détections / requêtes de chasse
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [* Trojan: Msil / Lazy *] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:mil/lazy.beaa!mtb)
- [* Trojan: Win32 / Oyster *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/oyster!mtb)
- [* Trojan: JS / Nemucod! MSR *] (https://www.microsoft.com/en-us/wdsi/atherets/Malware-encyClopedia-description?name=trojan:js/neMucod!msr)
- [* Trojan: PowerShell / Malgent *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encycopedia-description?name=trojan:powershell/malgent!MSR)
- [* Trojan: win32 / winlnk *] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Winlnk.al)
- [* Trojan: Win32 / Rhadamanthys *] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-description?name=trojan:win32/rhadamanthyslnk.da!Mtb)
- [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem)
- [* Trojan: js / obfuse.nbu *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=trojan:js/obfuse.nbu)
- [* Trojan: Win32 / Lokibot *] (https://www.mi |
Threat
Malware
Vulnerability
|
ChatGPT
|
★★★
|
|
2024-07-25 19:49:01 |
Les dangers cachés et les opportunités de l'IA génératrice: ce que les entreprises doivent savoir The Hidden Dangers and Opportunities of Generative AI: What Enterprises Need to Know (lien direct) |
> Depuis le lancement de Chatgpt en novembre 2022, Generative IA (Genai) a connu une adoption rapide d'entreprise.Selon des chercheurs de The Netskope Threat Labs, en juin 2024, 96% des organisations utilisent divers types d'applications Genai.Cette adoption généralisée transforme le fonctionnement des entreprises, mais avec une grande puissance, une grande responsabilité - et [& # 8230;]
>Since the launch of ChatGPT in November 2022, generative AI (genAI) has seen rapid enterprise adoption. According to researchers in the Netskope Threat Labs, as of June 2024, an astonishing 96% of organizations are using various types of genAI apps. This widespread adoption is transforming how businesses operate, but with great power comes great responsibility-and […]
|
Threat
|
ChatGPT
|
★★
|
|
2024-07-25 19:46:46 |
L'explorateur Internet de Microsoft \\ est relancé pour attirer les victimes de Windows Microsoft\\'s Internet Explorer Gets Revived to Lure in Windows Victims (lien direct) |
Bien que IE ait été officiellement à la retraite en juin 2022, la vulnérabilité s'est accélérée en janvier 2023 et est devenue forte depuis.
Though IE was officially retired in June 2022, the vulnerability ramped up in January 2023 and has been going strong since. |
Vulnerability
|
|
★★★
|
|
2024-07-25 19:38:00 |
Les pirates nord-coréens passent du cyber-espionnage aux attaques de ransomwares North Korean Hackers Shift from Cyber Espionage to Ransomware Attacks (lien direct) |
Un acteur de menace en Corée du Nord, connu pour ses opérations de cyber-espionnage, s'est progressivement étendu à des attaques motivées financièrement qui impliquent le déploiement de ransomwares, le distinguant des autres groupes de piratage de l'État-nation liés au pays.
Mandiant appartenant à Google suit le cluster d'activités sous un nouveau surnom APT45, qui chevauche des noms tels que Andariel, Nickel Hyatt,
A North Korea-linked threat actor known for its cyber espionage operations has gradually expanded into financially-motivated attacks that involve the deployment of ransomware, setting it apart from other nation-state hacking groups linked to the country.
Google-owned Mandiant is tracking the activity cluster under a new moniker APT45, which overlaps with names such as Andariel, Nickel Hyatt, |
Threat
Ransomware
|
APT 15
|
★★★
|
|
2024-07-25 19:18:34 |
Nord-Coréen chargé des attaques de ransomwares contre les hôpitaux américains North Korean Charged in Ransomware Attacks on American Hospitals (lien direct) |
> Un homme qui aurait mené des attaques pour une agence de renseignement militaire nord-coréen a été inculpé de complot en vue de pirater les entreprises de soins de santé, la NASA, les bases militaires et d'autres entités.
>A man who allegedly carried out attacks for a North Korean military intelligence agency has been indicted in a conspiracy to hack healthcare firms, NASA, military bases and other entities.
|
Ransomware
Hack
Medical
|
|
★★★
|
|
2024-07-25 19:09:03 |
Le pirate nord-coréen a utilisé des attaques de ransomware hospitalières pour financer l'espionnage North Korean hacker used hospital ransomware attacks to fund espionage (lien direct) |
> Les procureurs fédéraux ont annoncé jeudi l'acte d'accusation d'un pirate nord-coréen accusé d'avoir effectué des opérations de ransomware qui ciblaient les établissements de santé américains et ont utilisé le produit de ces opérations pour financer les efforts d'espionnage contre les entrepreneurs militaires et de défense américains. & # 160;Rim Jong Hyok est accusé d'utiliser des logiciels malveillants développés par le renseignement militaire de la Corée du Nord [& # 8230;]
>Federal prosecutors announced the indictment Thursday of a North Korean hacker accused of carrying out ransomware operations that targeted American health care facilities and used the proceeds of those operations to fund espionage efforts against the U.S. military and defense contractors. Rim Jong Hyok is accused of using malware developed by North Korea\'s military intelligence […]
|
Ransomware
Malware
|
|
★★★
|
|
2024-07-25 18:45:30 |
Les États-Unis impliquent un hacker d'État nord-coréen présumé pour les attaques de ransomwares contre les hôpitaux US indicts alleged North Korean state hacker for ransomware attacks on hospitals (lien direct) |
Pas de details / No more details |
Ransomware
|
|
★★★
|
|
2024-07-25 18:37:40 |
La panne de crowdsstrike et la fragilité axée sur le marché The CrowdStrike Outage and Market-Driven Brittleness (lien direct) |
La panne Internet massive de vendredi, causée par une entreprise technologique de taille moyenne appelée Crowdstrike, a perturbé les grandes compagnies aériennes, les hôpitaux et les banques.Presque 7 000 vols ont été annulés .Il a abattu les systèmes et usines, les palais de justice et les stations de télévision.Le total du coût total prendra du temps.La panne a affecté plus de 8,5 millions d'ordinateurs Windows, et le coût sera sûrement dans le des milliards de dollars & timide; correspondant facilement aux cyberattaques précédentes les plus coûteuses, comme notPetya .
La catastrophe est un autre rappel de la façon dont est une infrastructure Internet mondiale fragile.Il est complexe, profondément interconnecté et rempli de points de défaillance uniques.Comme nous l'avons vécu la semaine dernière, un seul problème dans un petit logiciel peut prendre de grandes bandes d'Internet et de l'économie mondiale hors ligne ...
Friday’s massive internet outage, caused by a mid-sized tech company called CrowdStrike, disrupted major airlines, hospitals, and banks. Nearly 7,000 flights were canceled. It took down 911 systems and factories, courthouses, and television stations. Tallying the total cost will take time. The outage affected more than 8.5 million Windows computers, and the cost will surely be in the billions of dollarseasily matching the most costly previous cyberattacks, such as NotPetya.
The catastrophe is yet another reminder of how brittle global internet infrastructure is. It\'s complex, deeply interconnected, and filled with single points of failure. As we experienced last week, a single problem in a small piece of software can take large swaths of the internet and global economy offline... |
|
|
★★★
|
|
2024-07-25 18:35:21 |
Leçons inattendues tirées de l'événement Crowdsstrike Unexpected Lessons Learned From the CrowdStrike Event (lien direct) |
Comment votre organisation peut tirer parti de la mise à jour de Crowdsstrike perturbatrice pour devenir plus résiliente.
How your organization can leverage the disruptive CrowdStrike update to become more resilient. |
|
|
★★★
|
|
2024-07-25 18:28:20 |
Pourquoi l\'industrie doit-elle sécuriser les ressources de l\'IIoT contre les ransomwares ? (lien direct) |
Pourquoi l'industrie doit-elle sécuriser les ressources de l'IIoT contre les ransomwares ?
Hervé Liotaud, Directeur régional des ventes Europe du Sud chez Illumio
-
Points de Vue |
|
|
★★★
|
|
2024-07-25 17:42:15 |
Pkfail Secure Boot Bypass permet aux attaquants d'installer UEFI malware PKfail Secure Boot bypass lets attackers install UEFI malware (lien direct) |
Des centaines de produits UEFI de 10 fournisseurs sont susceptibles de compromettre en raison d'un problème critique de chaîne d'approvisionnement du micrologiciel appelé PKFAIL, qui permet aux attaquants de contourner le démarrage sécurisé et d'installer des logiciels malveillants.[...]
Hundreds of UEFI products from 10 vendors are susceptible to compromise due to a critical firmware supply-chain issue known as PKfail, which allows attackers to bypass Secure Boot and install malware. [...] |
Malware
|
|
★★★
|
|
2024-07-25 17:27:14 |
Intelligence Insights: juillet 2024 Intelligence Insights: July 2024 (lien direct) |
Amber Albatross arrive via des programmes potentiellement indésirables (PUP) et DLLFake fait ses débuts dans l'édition de l'intelligence de ce mois-ci \\
Amber Albatross arrives via potentially unwanted programs (PUP) and dllFake debuts in this month\'s edition of Intelligence Insights |
|
|
★★
|
|
2024-07-25 17:05:27 |
Le responsable de la sécurité des élections américains met en garde contre la désinformation significative \\ 'après la tentative d'assassinat de Trump, Biden Exit US election security official warns of \\'significant misinformation\\' following Trump assassination attempt, Biden exit (lien direct) |
Pas de details / No more details |
|
|
★★★
|
|
2024-07-25 16:58:16 |
Les défauts critiques de la ServiceNow RCE sont activement exploités pour voler des informations d'identification Critical ServiceNow RCE flaws actively exploited to steal credentials (lien direct) |
Les acteurs de la menace se regroupent ensemble de défauts de service à l'aide d'exploits accessibles au public pour violer les agences gouvernementales et les entreprises privées dans les attaques de vol de données.[...]
Threat actors are chaining together ServiceNow flaws using publicly available exploits to breach government agencies and private firms in data theft attacks. [...] |
Threat
|
|
★★★★
|
|
2024-07-25 16:50:00 |
6 types de tests de sécurité des applications que vous devez connaître 6 Types of Applications Security Testing You Must Know About (lien direct) |
Alors que les détails des tests de sécurité varient pour les applications, les applications Web et les API, une stratégie de sécurité des applications holistique et proactive est essentielle pour les trois types.Il existe six principaux types de tests que chaque professionnel de la sécurité devrait connaître pour sécuriser leurs applications, quelle que soit la phase dans laquelle ils se trouvent en développement ou en déploiement.
Dans cet article, nous allons
While the specifics for security testing vary for applications, web applications, and APIs, a holistic and proactive applications security strategy is essential for all three types. There are six core types of testing that every security professional should know about to secure their applications, regardless of what phase they are in in development or deployment.
In this article, we will |
|
|
★★★
|
|
2024-07-25 16:48:13 |
Les chercheurs affirment que tout le monde peut accéder Researchers Claim Anyone Can Access Deleted, Private GitHub Repository Data (lien direct) |
Les chercheurs en cybersécurité ont révélé un défaut de conception GitHub qui permet d'accéder aux données de référentiel supprimées et privées.Apprendre & # 8230;
Cybersecurity researchers have revealed a GitHub design flaw that allows access to deleted and private repository data. Learn… |
|
|
★★★
|
|
2024-07-25 16:34:18 |
Les représentants de l'industrie bancaire, pétrolière et informatique appellent le Congrès à harmoniser les cyber réglementation… encore une fois Banking, oil and IT industry reps call on Congress to harmonize cyber regulations … again (lien direct) |
> Les représentants de l'industrie dans une audience de la Chambre ont souligné le mandat de cyber-rapport de l'administration Biden comme un exemple de réglementation de chevauchement.
>Industry representatives in a House hearing pointed to the Biden administration\'s cyber reporting mandate as an example of overlapping regulations.
|
|
|
★★★
|
|
2024-07-25 16:12:27 |
La Russie punir les soldats pour avoir utilisé des téléphones mobiles personnels en Ukraine Russia to punish soldiers for using personal mobile phones in Ukraine (lien direct) |
Pas de details / No more details |
Mobile
|
|
★★★
|
|
2024-07-25 16:00:00 |
Quels problèmes de code ont provoqué la panne de crowdsstrike? What Code Issues Caused the CrowdStrike Outage? (lien direct) |
Ce billet de blog examine les problèmes de code potentiels derrière la récente panne mondiale de crowdsstrike.
This blog post takes a look at the potential code issues behind the recent global CrowdStrike outage. |
|
|
★★
|
|
2024-07-25 16:00:00 |
Israël: La tentative d'Israël de balancer le cas de WhatsApp jette le doute sur sa capacité à traiter les cas de logiciels spymétriques NSO. Israel: Israel\\'s attempt to sway WhatsApp case casts doubt on its ability to deal with NSO spyware cases. (lien direct) |
> Répondre à une enquête dirigée par des histoires interdites, soutenue par le laboratoire de sécurité d'Amnesty International, sur les tentatives du gouvernement d'Israël pour influencer le procès américain de WhatsApp \\ contre le groupe NSO Donncha & Oacute;Cearbhail, chef du laboratoire de sécurité d'Amnesty International, a déclaré: «Ces révélations soulèvent des préoccupations critiques concernant la surveillance réglementaire d'Israël et l'impartialité de [& # 8230;]
>Responding to a Forbidden Stories-led investigation, supported by the Amnesty International\'s Security Lab, on the government of Israel\'s attempts to sway WhatsApp\'s ongoing US lawsuit against spyware firm NSO Group, Donncha Ó Cearbhaill, Head of the Security Lab at Amnesty International, said: “These revelations raise critical concerns about Israel\'s regulatory oversight and the impartiality of […]
|
|
|
★★★
|
|
2024-07-25 15:46:00 |
Meta supprime 63 000 comptes Instagram liés aux escroqueries de sextorse nigériane Meta Removes 63,000 Instagram Accounts Linked to Nigerian Sextortion Scams (lien direct) |
Meta Plateformes a déclaré mercredi qu'il avait pris des mesures pour supprimer environ 63 000 comptes Instagram au Nigéria qui ont été trouvés pour cibler les personnes avec des escroqueries de sextorse financière.
"Ceux-ci comprenaient un réseau coordonné plus petit d'environ 2 500 comptes que nous avons pu relier à un groupe d'environ 20 personnes", a déclaré la société."Ils ont ciblé principalement des hommes adultes aux États-Unis et ont utilisé de faux comptes pour masquer
Meta Platforms on Wednesday said it took steps to remove around 63,000 Instagram accounts in Nigeria that were found to target people with financial sextortion scams.
"These included a smaller coordinated network of around 2,500 accounts that we were able to link to a group of around 20 individuals," the company said. "They targeted primarily adult men in the U.S. and used fake accounts to mask |
|
|
★★★
|
|
2024-07-25 15:32:05 |
La société de sécurité embauche accidentellement un piratage nord-coréen, ne savait pasBe4 Security Firm Accidentally Hires North Korean Hacker, Did Not KnowBe4 (lien direct) |
Un ingénieur logiciel embauché pour une équipe interne de l'IT IA est immédiatement devenu une menace d'initié en chargeant des logiciels malveillants sur son poste de travail.
A software engineer hired for an internal IT AI team immediately became an insider threat by loading malware onto his workstation. |
Threat
Malware
|
|
★★★★
|
|
2024-07-25 15:28:00 |
Webinaire: sécuriser l'espace de travail moderne: ce que les entreprises doivent savoir sur la sécurité du navigateur d'entreprise Webinar: Securing the Modern Workspace: What Enterprises MUST Know about Enterprise Browser Security (lien direct) |
Le navigateur est le centre nerveux de l'espace de travail moderne.Ironiquement, cependant, le navigateur est également l'une des surfaces de menace les moins protégées de l'entreprise moderne.Les outils de sécurité traditionnels offrent peu de protection contre les menaces basées sur le navigateur, laissant les organisations exposées.La cybersécurité moderne nécessite une nouvelle approche basée sur la protection du navigateur lui-même, qui offre les deux
The browser is the nerve center of the modern workspace. Ironically, however, the browser is also one of the least protected threat surfaces of the modern enterprise. Traditional security tools provide little protection against browser-based threats, leaving organizations exposed. Modern cybersecurity requires a new approach based on the protection of the browser itself, which offers both |
Threat
Tool
|
|
★★★
|
|
2024-07-25 15:00:00 |
LummaC2 Malware Abusing the Game Platform \'Steam\' (lien direct) |
Lummac2 est un infostecteur qui est activement distribué, déguisé en programmes illégaux (par exemple, fissures, clés et programmes de piratage de jeu) disponibles à partir de sites Web de distribution, YouTube et LinkedIn en utilisant la technique d'empoisonnement du référencement.Récemment, il a également été distribué via des annonces de moteur de recherche, se présentant comme des pages Web de notion, de Slack, Capcut, etc. Référence: & # 160; Distribution de MSIX Malware [& # 8230;]
LummaC2 is an Infostealer that is being actively distributed, disguised as illegal programs (e.g. cracks, keygens, and game hacking programs) available from distribution websites, YouTube, and LinkedIn using the SEO poisoning technique. Recently, it has also been distributed via search engine ads, posing as web pages of Notion, Slack, Capcut, etc. Reference: Distribution of MSIX Malware […] |
Malware
|
|
★★
|
|
2024-07-25 15:00:00 |
26 juillet 2024 July 26, 2024 (lien direct) |
26 juillet, 2024 Hash 1FB736438694AB9E84511A5EEAE9BFD9D 281676C7327643588505E44077F413937 :] // altruisticEmmergency [.] com / 3http [:] // ald [.] mon [.] id / ip186 [.] 131 [.] 79 [.] 14 2216 [.] 10 [.] 245 [.] 180 3157 [.] 245 [.] 80 [.] 76 234.170 33,007 568 TOP1 Inde 15 675 TOP1 TCP 80 26 794
July 26, 2024 Hash 1fb736438694ab9e84511a5eeae9bfd9d 281676c7327643588505e44077f413937 3c13c2a5dccf2eedcedbb4a676fbe06eb URL 1http[:]//fmktrk[.]live/ 2http[:]//altruisticemergency[.]com/ 3http[:]//ald[.]my[.]id/ IP 186[.]131[.]79[.]14 2216[.]10[.]245[.]180 3157[.]245[.]80[.]76 234,170 33,007 568 Top1 India 15,675 Top1 TCP 80 26,794 |
|
|
★★
|
|
2024-07-25 15:00:00 |
La vie à Fortinet: les différents chemins de carrière de la cybersécurité Life at Fortinet: The Various Career Pathways in Cybersecurity (lien direct) |
En l'honneur de la Journée nationale des stagiaires, lisez notre Q & A avec le stagiaire Fortinet, David Gutierrez.
In honor of National Intern Day, read our Q&A with Fortinet intern, David Gutierrez. |
|
|
★★★
|
|
2024-07-25 14:52:42 |
Le groupe de phishing SMS chinois frappe les utilisateurs d'iPhone en Inde Post Scam Chinese SMS Phishing Group Hits iPhone Users in India Post Scam (lien direct) |
Le célèbre gang de triade de smirs chinois, connu pour ses attaques de phishing SMS contre le Pakistan, les États-Unis, et l'Europe & # 8230;
The notorious Chinese Smishing Triad gang, known for its SMS phishing attacks against Pakistan, the US, and European… |
Mobile
|
|
★★★
|
|
2024-07-25 14:41:59 |
5 stratégies pour établir les bonnes KPI de cybersécurité 5 Strategies for Setting the Right Cybersecurity KPIs (lien direct) |
Les indicateurs de performance clés de la cybersécurité (KPI) mesurent l'efficacité du programme de cybersécurité de l'organisation.Dans un paysage de menace en évolution rapide caractérisée par de nouvelles identités, environnements et méthodes d'attaque, de nombreux KPI potentiels existent pour suivre.Mesurer aussi ...
Cybersecurity key performance indicators (KPIs) measure the efficacy of an organization\'s cybersecurity program. In a rapidly changing threat landscape characterized by new identities, environments and attack methods, many potential KPIs exist to track. Measuring too... |
Threat
|
|
★★★
|
|
2024-07-25 14:28:24 |
Belarus-linked hackers target Ukrainian orgs with PicassoLoader malware (lien direct) |
Pas de details / No more details |
Malware
|
|
★★★
|
|
2024-07-25 14:03:28 |
NEXO CEMENT Sécurité des données des utilisateurs avec l'évaluation SOC 3 et le renouvellement de l'audit SOC 2 Nexo Cements User Data Security with SOC 3 Assessment and SOC 2 Audit Renewal (lien direct) |
La réévaluation SOC 2 de NEXO SOC 2 de Type II et le nouveau rapport SOC 3 sont la dernière étape de l'organisation \\ 'S & # 8230;
Nexo’s SOC 2 Type II reassessment and new SOC 3 report is the latest step in the organization\'s… |
|
|
★★★
|
|
2024-07-25 14:00:00 |
Notre eau est-elle sûre à boire?Sécuriser notre infrastructure critique Is Our Water Safe to Drink? Securing Our Critical Infrastructure (lien direct) |
Nos systèmes critiques peuvent être protégés contre les menaces imminentes en adoptant une approche proactive, en investissant dans l'éducation et en favorisant la collaboration entre les professionnels de l'informatique et des OT.
Our critical systems can be protected from looming threats by embracing a proactive approach, investing in education, and fostering collaboration between IT and OT professionals. |
Industrial
|
|
★★★
|
|
2024-07-25 14:00:00 |
Ransomware et BEC représentent 60% des cyber-incidents Ransomware and BEC Make Up 60% of Cyber Incidents (lien direct) |
Cisco Talos a constaté que les ransomwares et BEC représentaient 60% de tous les cyber incidents au T2 2024, avec un ransomware augmentant de 22% par rapport au premier trimestre
Cisco Talos found that ransomware and BEC accounted for 60% of all cyber incidents in Q2 2024, with ransomware rising by 22% compared to Q1 |
Ransomware
|
|
★★
|
|
2024-07-25 14:00:00 |
APT45: Machine militaire numérique de la Corée du Nord APT45: North Korea\\'s Digital Military Machine (lien direct) |
Written by: Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan, Michael Barnhart
Executive Summary
APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009.
APT45 has gradually expanded into financially-motivated operations, and the group\'s suspected development and deployment of ransomware sets it apart from other North Korean operators.
APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.
Among the groups assessed to operate from the Democratic People\'s Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure.
Overview
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group\'s earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities.
Shifts in Targeting and Expanding Operations
Similar to other cyber threat activity attributed to North Korea-nexus groups, shifts in APT45 operations have reflected the DPRK\'s changing priorities. Malware samples indicate the group was active as early as 2009, although an observed focus on government agencies and the defense industry was observed beginning in 2017. Identified activity in 2019 aligned with Pyongyang\'s continued interest in nuclear issues and energy. Although it is not clear if financially-motivated operations are a focus of APT45\'s current mandate, the group is distinct from other North Korean operators in its suspected interest in ransomware. Given available information, it is possible that APT45 is carrying out financially-motivated cybercrime not only in support of its own operations but to generate funds for other North Korean state priorities.
Financial Sector
Like other North Korea |
Threat
Ransomware
Malware
Tool
Medical
|
APT 37
APT 43
|
★★★★★
|
|
2024-07-25 13:59:00 |
Les chercheurs révèlent une vulnérabilité de fonction confuse dans Google Cloud Platform Researchers Reveal ConfusedFunction Vulnerability in Google Cloud Platform (lien direct) |
Les chercheurs en cybersécurité ont divulgué une vulnérabilité d'escalade des privilèges impactant le service de fonctions cloud de Google Cloud Platform \\ qu'un attaquant pourrait exploiter pour accéder à d'autres services et données sensibles de manière non autorisée.
Tenable a donné à la vulnérabilité le nom ConfusedFunction.
"Un attaquant pourrait dégénérer ses privilèges sur le compte de service de construction de cloud par défaut et
Cybersecurity researchers have disclosed a privilege escalation vulnerability impacting Google Cloud Platform\'s Cloud Functions service that an attacker could exploit to access other services and sensitive data in an unauthorized manner.
Tenable has given the vulnerability the name ConfusedFunction.
"An attacker could escalate their privileges to the Default Cloud Build Service Account and |
Threat
Cloud
Vulnerability
|
|
★★★
|
|
2024-07-25 13:45:14 |
Le nouveau rapport d'évaluation des risques de l'UE évalue la cybersécurité en Europe \\ Télécommunications, secteurs de l'électricité New EU risk assessment report assesses cybersecurity in Europe\\'s telecommunications, electricity sectors (lien direct) |
Les États membres de l'UE, soutenus par la Commission européenne et Enisa, l'Agence de l'UE pour la cybersécurité, ont publié l'initiale ...
EU Member States, supported by the European Commission and ENISA, the EU Agency for Cybersecurity, released the initial...
|
Studies
Industrial
|
|
★★★★
|
|
2024-07-25 13:30:02 |
Mise en conformité avec NIS2 : RSSI et DPO, deux postes complémentaires (lien direct) |
Dans de trop nombreuses entreprises, les rôles de RSSI et de DPO sont souvent attribués à la même personne. Il devient indispensable de répartir les responsabilités entre les deux postes pour garantir une gestion efficace et éviter que ces rôles ne se réduisent à de simples acronymes. |
|
|
★★★
|
|
2024-07-25 13:08:08 |
Coucoo Spear & # 8211;le dernier acteur de menace nationale ciblant les entreprises japonaises Cuckoo Spear – the latest Nation-state Threat Actor targeting Japanese companies (lien direct) |
Les menaces de cybersécurité hautement sophistiquées, bien financées et à motivation stratégique sont complexes et difficiles, nécessitant des mesures de cybersécurité avancées, une intelligence des menaces et une coopération internationale.Les agences gouvernementales ou les groupes parrainés par l'État se livrent à des cyberattaques pour diverses raisons, notamment l'espionnage, le sabotage ou pour l'influence politique. & NBSP;
Highly sophisticated, well-funded, and strategically motivated nation-state cybersecurity threats are complex and challenging, requiring advanced cybersecurity measures, threat intelligence, and international cooperation. Government agencies or state-sponsored groups, are engaging in cyber-attacks for various reasons, including espionage, sabotage, or for political influence. |
Threat
|
|
★★★
|
|
2024-07-25 13:05:25 |
Les mises à jour de liaison résolvent les vulnérabilités DOS de haute sévérité BIND Updates Resolve High-Severity DoS Vulnerabilities (lien direct) |
> Les dernières mises à jour de sécurité de liaison abordent des vulnérabilités exploitables à distance menant au déni de service.
>The latest BIND security updates address remotely exploitable vulnerabilities leading to denial-of-service.
|
Vulnerability
|
|
★★★
|
|
2024-07-25 13:02:02 |
Doppelgänger : Opérations de manipulation de l\'information en cours en Europe et aux Etats-Unis (lien direct) |
L'équipe de Cyber Threat Research d'HarfangLab a enquêté sur les opérations de manipulation de l'information Doppelgänger, de la mi-juin à la mi-juillet, afin d'apporter des renseignements complémentaires sur l'infrastructure, les tactiques et les motivations associées en Europe et aux États-Unis, où les élections politiques occupent l'attention des médias et des réseaux sociaux.
-
Investigations |
Threat
|
|
★★★★
|
|
2024-07-25 13:00:05 |
Protéger votre application cloud contre les risques inconnus Protecting Your Cloud Application Against Unknown Risks (lien direct) |
> Les mesures de sécurité des indigènes cloud sont principalement axées sur la sauvegarde contre les menaces identifiables, l'utilisation de technologies innovantes comme les mégadonnées et l'IA pour surveiller et préempter les attaques potentielles.Malgré ces efforts, cependant, aucun système ne peut jamais être complètement imperméable aux menaces.Même avec des protections de pointe en place, la sécurité du cloud n'est jamais vraiment assez bonne s'il reste des vulnérabilités non identifiées.Dans cet article, nous explorons comment l'application Web de nouvelle génération de CloudGuard peut aider à atténuer ces risques inconnus et à renforcer votre posture de sécurité globale.Les experts en sécurité se concentrent sur les indicateurs de risque connus.Notre industrie se concentre généralement sur l'examen des voies potentielles pour l'exploitation par [& # 8230;]
>Cloud native security measures are primarily focused on safeguarding against identifiable threats, employing innovative technologies like big data and AI to monitor and preempt potential attacks. Despite these efforts, however, no system can ever be completely impervious to threats. Even with state-of-the-art protections in place, cloud security is never truly good enough if there remain unidentified vulnerabilities. In this article, we explore how CloudGuard‘s next-generation Web Application and API Protection can help mitigate these unknown risks and strengthen your overall security posture. Security experts focus on known risk indicators. Our industry typically focuses on examining potential avenues for exploitation by […]
|
Cloud
Vulnerability
|
|
★★★
|
|
2024-07-25 13:00:00 |
Campagne de phishing ciblant les utilisateurs mobiles en Inde en utilisant les leurres en Inde Phishing Campaign Targeting Mobile Users in India Using India Post Lures (lien direct) |
L'équipe de recherche sur les menaces de Fortiguard Labs a récemment observé un certain nombre de publications sur les réseaux sociaux commentant une campagne de fraude ciblant les publications de l'Inde.Apprendre encore plus.
The FortiGuard Labs Threat Research team recently observed a number of social media posts commenting on a fraud campaign targeting India Post users. Learn more. |
Threat
Mobile
|
|
★★★
|
|
2024-07-25 13:00:00 |
Sécurité mobile parmi les équipes olympiques aux Jeux olympiques d'été de Paris 2024 Mobile Security Amongst Olympic Teams at the Paris 2024 Summer Olympics (lien direct) |
> Les appareils mobiles sont devenus indispensables pour les équipes olympiques, fournissant des données critiques pour la formation, le suivi des performances et l'analyse en temps réel.Cependant, avec la dépendance croissante à l'égard de la technologie mobile, le besoin pressant de mesures de sécurité mobile robustes pour protéger les données sensibles et assurer des performances ininterrompues.
>Mobile devices have become indispensable for Olympic teams, providing critical data for training, performance tracking, and real-time analysis. However, with the increasing reliance on mobile technology comes the pressing need for robust mobile security measures to protect sensitive data and ensure uninterrupted performance.
|
Mobile
|
|
★★★
|
|
2024-07-25 12:03:21 |
Kaspersky dit que l'oncle Sam a snobbed proposition d'ouvrir son code pour une revue tierce Kaspersky says Uncle Sam snubbed proposal to open up its code for third-party review (lien direct) |
Ces affirmations de menace de sécurité nationale?\\ 'Aucune preuve, \' VP indique au reg exclusif malgré la détermination des fédérales \\ 'à interdire le logiciel de sécurité de Kaspersky \\ aux États-Unis, le RusseLes entreprises avancent avec une autre proposition d'ouvrir ses données et ses produits à l'examen tiers & # 8211;et prouve à l'oncle Sam que son code n'a pas été compromis par les espions du Kremlin.…
Those national security threat claims? \'No evidence,\' VP tells The Reg Exclusive Despite the Feds\' determination to ban Kaspersky\'s security software in the US, the Russian business is moving forward with another proposal to open up its data and products to third-party review – and prove to Uncle Sam that its code hasn\'t been compromised by Kremlin spies.… |
Threat
|
|
★★★
|
|
2024-07-25 11:24:55 |
Police française pousse la charge utile d'auto-destruction de logiciels malveillants pour nettoyer les PCS French police push PlugX malware self-destruct payload to clean PCs (lien direct) |
La police française et Europol poussent une "solution de désinfection" qui supprime automatiquement le malware Plugx des appareils infectés en France.[...]
The French police and Europol are pushing out a "disinfection solution" that automatically removes the PlugX malware from infected devices in France. [...] |
Malware
Legislation
|
|
★★★★
|
|
2024-07-25 11:17:00 |
Le défaut de moteur Docker critique permet aux attaquants de contourner les plugins d'autorisation Critical Docker Engine Flaw Allows Attackers to Bypass Authorization Plugins (lien direct) |
Docker avertit un défaut critique ayant un impact sur certaines versions de Docker Engine qui pourraient permettre à un attaquant de contourner les plugins d'autorisation (AUTHZ) dans des circonstances spécifiques.
Suivi en CVE-2024-41110, la vulnérabilité d'escalade de contournement et de privilège comporte un score CVSS de 10,0, indiquant une gravité maximale.
"Un attaquant pourrait exploiter un contournement à l'aide d'une demande d'API avec un ensemble de longueur de contenu
Docker is warning of a critical flaw impacting certain versions of Docker Engine that could allow an attacker to sidestep authorization plugins (AuthZ) under specific circumstances.
Tracked as CVE-2024-41110, the bypass and privilege escalation vulnerability carries a CVSS score of 10.0, indicating maximum severity.
"An attacker could exploit a bypass using an API request with Content-Length set |
Threat
Vulnerability
|
|
★★★
|
|
2024-07-25 11:09:14 |
FAQ du Fake IT de la FAC des travailleurs nord-coréens North Korean Fake IT Worker FAQ (lien direct) |
Frequently Asked Questions About KnowBe4\'s Fake IT Worker Blog
July 23, 2024, I wrote a
blog post about how KnowBe4 inadvertently hired
a skillful North Korean IT worker who used the stolen identity of a US citizen. He participated in several rounds of video interviews and circumvented background check processes commonly used.
The intent was to share an organizational learning moment, so you can make sure this does not happen to you. The story went viral, which is exactly what I had hoped for. Do we have egg on our face? Yes. And I am sharing that lesson with you. It\'s why I started KnowBe4 in 2010. In 2024 our mission is more important than ever.
Q1:
Was any KnowBe4 system breached in this North Korean IT worker incident?
No.
KnowBe4 was not breached. When we hire new employees, their user account is granted only limited permissions that allow them to proceed through our new hire onboarding process and training. They can access only a minimal number of necessary apps to go through our new employee training.
Q2:
What access do new employees get?
These are apps such as their email inbox, slack, and zoom. The workstation they receive is locked down and has no data residing on it, it is essentially a laptop with nothing on it except our endpoint security and management tools
Q3:
Did the new employee get access to customer data?
No. This person never had access to any customer data, KnowBe4\'s private networks, cloud infrastructure, code, or any KnowBe4 confidential information. They had basic communication apps and a factory-new provisioned laptop. We detected suspicious activity and responded within minutes, quarantining the entire laptop.
Q4:
Was any malware executed on the machine?
No.
No malware was executed on the machine as it was blocked by our security tooling. A complete review of all processes, commands, network connections, and other activity on the laptop was conducted and we concluded that no further action was needed as there was suspicious activity outside of what was detected and blocked.
|
Data Breach
Malware
Cloud
|
|
★★★
|
|
2024-07-25 11:05:10 |
Portefeuilles de données utilisant le protocole solide Data Wallets Using the Solid Protocol (lien direct) |
Je suis le chef de l'architecture de la sécurité à Inruut, Inc. , la société qui commercialise Tim Berners-lee & # 8217; solide Standard W3C ouvert pour la propriété de données distribuée.Cette semaine, nous annoncé Un portefeuille numérique basé sur l'architecture solide.
Les détails sont ici , mais fondamentalement, un portefeuille numérique est un référentiel pour les données et les documents personnels.À l'heure actuelle, il y a des centaines de portefeuilles différents, mais pas de standard.Nous pensons que la conception d'un portefeuille autour de Solid est logique pour beaucoup de raisons.Un portefeuille est plus qu'un magasin de données & # 8212; les données dans les portefeuilles sont destinées à utiliser et à partager.Cela nécessite l'interopérabilité, ce que vous obtenez d'un niveau ouvert.Il nécessite également des autorisations à grain fin et une sécurité robuste, et que ce que les protocoles solides fournissent ...
I am the Chief of Security Architecture at Inrupt, Inc., the company that is commercializing Tim Berners-Lee’s Solid open W3C standard for distributed data ownership. This week, we announced a digital wallet based on the Solid architecture.
Details are here, but basically a digital wallet is a repository for personal data and documents. Right now, there are hundreds of different wallets, but no standard. We think designing a wallet around Solid makes sense for lots of reasons. A wallet is more than a data store—data in wallets is for using and sharing. That requires interoperability, which is what you get from an open standard. It also requires fine-grained permissions and robust security, and that’s what the Solid protocols provide... |
|
|
★★★
|
|
2024-07-25 11:00:48 |
Dégeler votre stratégie de sécurité des e-mails avec le rapport radar 2024 de Frost \\: un paysage dynamique de cyber-menace Thawing Your Email Security Strategy with Frost\\'s 2024 Radar Report: A Dynamic Cyber Threat Landscape (lien direct) |
> Dans l'ère numérique d'aujourd'hui, le courrier électronique reste le principal conduit pour la communication d'entreprise, ce qui en fait une cible privilégiée pour les cybercriminels.Le rapport de recherche sur le radar Frost sur la sécurité des e-mails pour 2024 souligne l'importance critique des mesures de sécurité par e-mail robustes au milieu d'un paysage de menace en constante évolution.Avec la prolifération des attaques de phishing et des logiciels malveillants, la nécessité d'un [& # 8230;] avancé [& # 8230;]
Le post dégeler votre stratégie de sécurité par e-mail avec Frost \'sRapport radar 2024: Un paysage dynamique de cyber-menaces est apparu pour la première fois sur slashnext .
>In today’s digital age, email remains the primary conduit for business communication, making it a prime target for cybercriminals. The Frost Radar Research Report on Email Security for 2024 underscores the critical importance of robust email security measures amidst an ever-evolving threat landscape. With the proliferation of phishing attacks and malware, the need for advanced […]
The post Thawing Your Email Security Strategy with Frost\'s 2024 Radar Report: A Dynamic Cyber Threat Landscape first appeared on SlashNext. |
Threat
Malware
|
|
★★★
|