What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-21 02:03:23 | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns (lien direct) |
#### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T | Malware Threat Mobile | APT-C-23 | |
 |
2024-06-20 21:55:34 | Qu'est-ce que l'intelligence OT Cyber Threat? What Is OT Cyber Threat Intelligence? (lien direct) |
> Dragos est une entreprise de cybersécurité industrielle tirant parti des logiciels, des renseignements et des services professionnels pour protéger la civilisation.Le SANS Institute rend la cybersécurité ...
Le post Qu'est-ce que l'OT Cyber Threat Intelligence? = "https://www.dragos.com"> dragos .
>Dragos is an industrial cybersecurity company leveraging software, intelligence, and professional services to safeguard civilization. The SANS Institute empowers cybersecurity... The post What Is OT Cyber Threat Intelligence? first appeared on Dragos. |
Threat Industrial | ||
|
2024-06-20 19:50:16 | Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) | ## Instantané En septembre 2022, Google Cloud a rendu compte des enquêtes de Mandiant \\ sur "UNC3886", soupçonnées de mandiant d'être un groupe de cyber-espionnage lié au chinois, après la découverte de logiciels malveillants dans les hyperviseurs Esxi.UNC3886 ciblé globalOrganisations stratégiques, exploitation des vulnérabilités dans Fortios ([CVE-2022-41328] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview)) et VMware Technologies ([CVE-2022-22948](https://security.microsoft.com/vulnerabilities/vulnerability/cve-2022-22948/overview), [cve-2023-20867] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-com20867 / Overview)), y compris une vulnérabilité zéro-jour dans VMware vcenter ([CVE-2023-34048] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-34048/aperçu)). ## Description L'UNC3886 a utilisé des mécanismes de persistance sophistiqués à travers les dispositifs de réseau, les hyperviseurs et les machines virtuelles, en utilisant des rootkits comme Reptile et Medusa, avec Medusa installé via son composant d'installation, Sealfe, pour un accès à long terme.L'acteur de menace a également déployé des logiciels malveillants personnalisés tels que MopSled et Riflespine, tirant parti des services tiers de confiance pour la commande et le contrôle.Mandiant a également oberved partage C6) De plus, Mandiant rapporte que l'acteur de menace a tenté d'étendre son accès aux appareils réseau en ciblant un serveur TACACS + en utilisant le revers de renifleur.En outre, UNC3886 les délais exploités pour exploiter l'interface de communication virtuelle (VMCI), y compris des variantes comme VirtualShine, VirtualPie et VirtualSphere, pour faciliter l'exécution de la commande et le mouvement latéral dans des environnements ciblés. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: LiNux / Reptile] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:linux/reptile.a& ;thered=-2147118004) - [Backdoor: Linux / Reptile] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description? Name = Backdoor: Linux / Reptile! Mtb & menaceID = -2147058920) - [Trojan: Win32 / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/medusa.a& threattid=-2147462289) - [Trojandownloader: sh / medusa] (https: //www.miCrosost.com/nus/wds/threets/malwaore-encycription.metcrid - Salut: Py: PyThon / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=pua:pyTHON / MEDUSA.A & AMP; NOFENID = 314289) - [Trojandownloader: sh / medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: sh / medusa.a! mtb & menaceid = -2147127030) - [Comportement: win32 / medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/medusa.a&theatid=-2147078674) - [Trojan: Msil / Medusa] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: MSIL / MEDUSA! - [Trojan: Python / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:python/medusa.c& threattid=-2147066576) - [Trojan: Bat / Medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:bat/medusa!mtb&theretid=-2147064383) ## Recommandations [CVE-2022-41328] (HTtps: //security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview) Mettez à niveau vers Fortinet Fortios version 7.2.4, 7.0.10 ou 6.4.11 pour atténuer cette vulnérabilité. [CVE-2022-22948] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-22948/overview) Passez à la dernière version de VMware vCenter Server et Cloud Foundation. [CVE | Malware Vulnerability Threat Cloud | ||
 |
2024-06-20 19:27:14 | Comment la nouvelle application Splunk pour Scout peut enrichir et accélérer vos enquêtes How the New Splunk App for Scout Can Enrich and Accelerate Your Investigations (lien direct) |
Pure Signal, l'océan des données de renseignement sur les menaces du monde \\ est maintenant disponible en tant que tableau de bord Splunk Notre mission à Team Cymru a ...
Pure Signal, the world\'s largest threat intelligence data ocean is now available as a Splunk Dashboard Our mission at Team Cymru has... |
Threat | ||
 |
2024-06-20 17:12:20 | Piquet au travail, confronté à l'église: pourquoi les élections ont quitté le poste Picketed at work, confronted at church: Why election workers have left the job (lien direct) |
> Les assistants des élections confrontés à un harcèlement sans précédent prennent leur retraite en grand nombre, constituant une menace pour le système de vote américain.
>Election workers facing unprecedented harassment are retiring in huge numbers, posing a threat to the U.S. voting system. |
Threat | ||
 |
2024-06-20 16:00:00 | Les installations d'eau ont été averties d'améliorer la cybersécurité Water facilities warned to improve cybersecurity (lien direct) |
> Les installations d'eau des États-Unis, qui comprennent 150 000 systèmes d'eau publique, sont devenus une cible de plus en plus à risque pour les cybercriminels ces dernières années.Cette menace croissante a exigé plus d'attention et des politiques se sont concentrées sur l'amélioration de la cybersécurité.Les systèmes d'eau et d'eaux usées sont l'une des 16 infrastructures critiques aux États-Unis. La définition de l'inclusion dans ce [& # 8230;]
>United States water facilities, which include 150,000 public water systems, have become an increasingly high-risk target for cyber criminals in recent years. This rising threat has demanded more attention and policies focused on improving cybersecurity. Water and wastewater systems are one of the 16 critical infrastructures in the U.S. The definition for inclusion in this […] |
Threat | ||
 |
2024-06-20 15:54:24 | \\ 'Vortax \\' Meeting Le logiciel construit une marque élaborée, répartit les infostelleurs \\'Vortax\\' Meeting Software Builds Elaborate Branding, Spreads Infostealers (lien direct) |
Les acteurs de la menace "Markopolo" ont construit une marque convaincante et une présence sur le Web pour de faux logiciels pour fournir le dangereux voleur de macos atomique, entre autres logiciels malveillants, pour exercer des braquages de crypto-monnaie.
The "Markopolo" threat actors built a convincing brand and Web presence for fake software to deliver the dangerous Atomic macOS stealer, among other malware, to carry out cryptocurrency heists. |
Malware Threat | ★★ | |
 |
2024-06-20 15:52:00 | Le cyber-espionnage chinois cible les opérateurs de télécommunications en Asie depuis 2021 Chinese Cyber Espionage Targets Telecom Operators in Asia Since 2021 (lien direct) |
Les groupes de cyber-espionnage associés à la Chine ont été liés à une campagne de longue durée qui a infiltré plusieurs opérateurs de télécommunications situés dans un seul pays asiatique au moins depuis 2021.
"Les attaquants ont placé des délais sur les réseaux d'entreprises ciblées et ont également tenté de voler des titres de compétences", a déclaré l'équipe Symantec Threat Hunter, qui fait partie de Broadcom, dans un rapport partagé avec le Hacker News
Cyber espionage groups associated with China have been linked to a long-running campaign that has infiltrated several telecom operators located in a single Asian country at least since 2021. "The attackers placed backdoors on the networks of targeted companies and also attempted to steal credentials," the Symantec Threat Hunter Team, part of Broadcom, said in a report shared with The Hacker News |
Threat | ★★ | |
 |
2024-06-20 15:00:36 | RAFEL RAT, Android Malware de l'espionnage aux opérations de ransomware Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) |
> En ce qui concerne les appareils mobiles, Android est le système d'exploitation le plus populaire et le plus utilisé avec plus de 3,9 milliards d'utilisateurs actifs dans plus de 190 pays.Les trois quarts de tous les appareils mobiles fonctionnent sur Android.Cependant, avec son adoption généralisée et son environnement ouvert vient le risque d'activité malveillante.Android Malware, un logiciel malveillant conçu pour cibler les appareils Android, constitue une menace importante pour les utilisateurs & # 8217;confidentialité, sécurité et intégrité des données.Ces programmes malveillants se présentent sous diverses formes, y compris les virus, les chevaux de Troie, les ransomwares, les logiciels espions et les logiciels publicitaires, et ils peuvent infiltrer des appareils via plusieurs vecteurs, tels que les téléchargements d'applications, les sites Web malveillants, les attaques de phishing et même [& # 8230;]
>When it comes to mobile devices, Android is the most popular and used operating system with over 3.9 billion active users in over 190 countries. Three-quarters of all mobile devices run on Android. However, with its widespread adoption and open environment comes the risk of malicious activity. Android malware, a malicious software designed to target Android devices, poses a significant threat to users’ privacy, security, and data integrity. These malicious programs come in various forms, including viruses, Trojans, ransomware, spyware, and adware, and they can infiltrate devices through multiple vectors, such as app downloads, malicious websites, phishing attacks, and even […] |
Ransomware Malware Threat Mobile | ★★ | |
 |
2024-06-20 14:07:45 | Netskope Threat Labs : les acteurs de la menace se concentrent sur l\'utilisation des applications cloud dans le secteur des télécommunications (lien direct) | Netskope Threat Labs : les acteurs de la menace se concentrent sur l'utilisation des applications cloud dans le secteur des télécommunications - Investigations | Threat Cloud | ★★ | |
|
2024-06-20 13:16:23 | Cybersixgill et partenaire de menace Cybersixgill and ThreatQuotient Partner to Deliver Access to Unparalleled Cyber Threat Context and Actionable Insights (lien direct) |
Cybersixgill et partenaire de menace pour offrir un accès à
Contexte cyber-menace et perspectives exploitables
Le partenariat stratégique accélère la détection, l'enquête et la réponse des menaces;Motive la prise de décision éclairée;et renforce les clients \\ 'Posture de sécurité proactive
-
revues de produits
Cybersixgill and ThreatQuotient Partner to Deliver Access to Unparalleled Cyber Threat Context and Actionable Insights Strategic Partnership Accelerates Threat Detection, Investigation and Response; Drives Informed Decision-Making; and Strengthens Customers\' Proactive Security Posture - Product Reviews |
Threat | ★★ | |
|
2024-06-20 13:00:33 | Vérifier Rapport de sécurité du cloud de Point \\: Navigation de l'intersection de la cybersécurité Check Point\\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber security (lien direct) |
> 91% considèrent l'adoption de l'intelligence artificielle comme une priorité, mettant en évidence l'évaluation de la vulnérabilité et la détection des menaces comme des avantages clés, néanmoins, seulement 61% des répondants ont reconnu que leur organisation était dans les phases de planification ou de développement de l'adoption de l'IA et de la ML pour le cyber-cyberLes résultats de l'enquête sur la sécurité révèlent un manque de sensibilisation au rôle crucial des contrôles internes et des politiques de gouvernance lorsque l'IA est impliquée de l'intelligence artificielle et de l'apprentissage automatique (IA et ML) sont reconnues comme des parties importantes de l'avenir de la cybersécurité et de la sécurité du cloud.Mais dans quelle mesure ces technologies dans les fonctions de cybersécurité sont-elles intégrées actuellement?Une enquête récente [& # 8230;]
>91% view the adoption of artificial intelligence as a priority, highlighting vulnerability assessment and threat detection as key benefits Nevertheless, only 61% of respondents acknowledged that their organization is in the planning or development phases of adopting AI and ML for cyber security Survey results reveal a lack of awareness about the crucial role of internal controls and governance policies when AI is involved Artificial Intelligence and Machine Learning (AI and ML) are recognized as important parts of the future of cyber security and cloud security. But how integrated are these technologies in cyber security functions currently? A recent survey […] |
Vulnerability Threat Cloud | ★★★ | |
 |
2024-06-20 12:30:00 | Entités diplomatiques françaises ciblées par le nobélium aligné russe French Diplomatic Entities Targeted by Russian-Aligned Nobelium (lien direct) |
L'Agence française de cybersécurité a averti que l'acteur de menace aligné russe vise des organisations publiques depuis des années
The French cybersecurity agency has warned that Russian-aligned threat actor has been targeting public organizations for years |
Threat | ★★★ | |
 |
2024-06-20 11:24:25 | Les logiciels malveillants très évasive Squidloader cible la Chine Highly Evasive SquidLoader Malware Targets China (lien direct) |
> Un acteur de menace ciblant les victimes de langue chinoise a utilisé le chargeur de logiciels malveillants Squidloader dans les attaques récentes.
>A threat actor targeting Chinese-speaking victims has been using the SquidLoader malware loader in recent attacks. |
Malware Threat | ★★★ | |
 |
2024-06-20 11:15:58 | Le nouveau voleur en vol exploite des défauts logiciels pour voler la crypto, les données du navigateur New Fickle Stealer Exploits Software Flaws to Steal Crypto, Browser Data (lien direct) |
Fortiguard Labs de Fortinet \\ expose le voleur détruit, un malware utilisant plusieurs méthodes d'attaque pour voler des connexions, des détails financiers, etc.Apprenez à vous protéger de cette menace en évolution.
Fortinet\'s FortiGuard Labs exposes the Fickle Stealer, a malware using multiple attack methods to steal logins, financial details, and more. Learn how to protect yourself from this evolving threat. |
Malware Threat | ★★★ | |
 |
2024-06-20 10:29:06 | Qilin: Nous savions que notre attaque Synnovis entraînerait une crise des soins de santé dans les hôpitaux de Londres Qilin: We knew our Synnovis attack would cause a healthcare crisis at London hospitals (lien direct) |
Les cybercriminels affirment qu'ils ont utilisé un jour zéro pour vioder les systèmes du fournisseur de pathologie \\ interview Le gang de ransomware responsable de la crise actuelle des soins de santé dans les hôpitaux de Londres dit qu'il aAucun regret sur l'attaque, qui était entièrement délibéré, il a dit à le registre dans une interview.…
Cybercriminals claim they used a zero-day to breach pathology provider\'s systems Interview The ransomware gang responsible for the current healthcare crisis at London hospitals says it has no regrets about the attack, which was entirely deliberate, it told The Register in an interview.… |
Ransomware Vulnerability Threat Medical | ★★★ | |
 |
2024-06-20 10:00:14 | Projet Nap-temps: évaluation des capacités de sécurité offensive des modèles de gros langues Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models (lien direct) |
Posted by Sergei Glazunov and Mark Brand, Google Project Zero IntroductionAt Project Zero, we constantly seek to expand the scope and effectiveness of our vulnerability research. Though much of our work still relies on traditional methods like manual source code audits and reverse engineering, we\'re always looking for new approaches. As the code comprehension and general reasoning ability of Large Language Models (LLMs) has improved, we have been exploring how these models can reproduce the systematic approach of a human security researcher when identifying and demonstrating security vulnerabilities. We hope that in the future, this can close some of the blind spots of current automated vulnerability discovery approaches, and enable automated detection of "unfuzzable" vulnerabilities. Earlier this year, Meta released CyberSecEval 2 (Bhatt et al., 2024), which includes new LLM benchmarks for discovering and exploiting memory safety issues. The authors presented the following conclusion: Another theme is that none of the LLMs do very well on these challenges. For each challenge, scoring a 1.0 means the challenge has been passed, with any lower score meaning the LLM only partially succeeded. The average scores of all LLMs over all tests suggests that LLMs have a ways to go before performing well on this benchmark, and aren’t likely to disrupt cyber exploitation attack and defense in their present states. We find that, by refining the testing methodology to take advantage of modern LLM capabilities, significantly better performance in vulnerability discovery can be achieved. To facilitate effective evaluation of LLMs for vulnerability discovery, we propose below a set of guiding principles. We\'ve implemented these principles in our LLM-powered vulnerability research framework, which increased CyberSecEval2 benchmark performance by up to 20x from the original paper. This approach achieves new top scores of 1.00 on the “Buffer Overflow" tests (from 0.05) and 0.76 on the "Advanced Memory Corruption" tests (from 0.24). We have included a full example trajectory/log in Appendix A. While we have shown that principled agent design can greatly improve the performance of general-purpose LLMs on challenges in the security domain, it\'s the opinion of the Project Zero team that substantial progress is still needed before these tools can have a meaningful impact on the daily work of security researchers. | Tool Vulnerability Threat | ||
|
2024-06-20 08:30:00 | L'acteur de menace réclame les violations AMD et Apple Threat Actor Claims AMD and Apple Breaches (lien direct) |
L'acteur de menace notoire Intelbroker prétend avoir volé des données à Apple et AMD
Notorious threat actor IntelBroker is claiming to have stolen data from Apple and AMD |
Threat | ★★ | |
|
2024-06-20 07:21:24 | Splunk présente un ensemble d\'innovations visant à renforcer la détection des menaces et les opérations de cybersécurité (lien direct) | .conf24 : Splunk présente des nouvelles innovations dans le domaine de la cybersécurité pour alimenter le SOC de demain Un écosystème de cybersécurité unifié offre des capacités de visibilité complète, de détection précise et de réponse rapide aux menaces Cisco Talos fournit aux équipes en charge de la cybersécurité de la threat intelligence en temps réel - Produits | Threat | ★★★ | |
|
2024-06-19 22:10:00 | Kraken Crypto Exchange a frappé par 3 millions de dollars de vol exploitant un défaut zéro-jour Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw (lien direct) |
Crypto Exchange Kraken a révélé qu'un chercheur de sécurité sans nom a exploité un défaut zéro jour "extrêmement critique" dans sa plate-forme pour voler 3 millions de dollars d'actifs numériques et a refusé de les retourner.
Les détails de l'incident ont été partagés par le directeur de la sécurité de Kraken \\, Nick Percoco, sur X (anciennement Twitter), déclarant qu'il avait reçu une alerte du programme de prime de bogue sur un bug qui "leur a permis de
Crypto exchange Kraken revealed that an unnamed security researcher exploited an "extremely critical" zero-day flaw in its platform to steal $3 million in digital assets and refused to return them. Details of the incident were shared by Kraken\'s Chief Security Officer, Nick Percoco, on X (formerly Twitter), stating it received a Bug Bounty program alert about a bug that "allowed them to |
Vulnerability Threat | ★★★ | |
 |
2024-06-19 20:43:09 | T-Mobile nie qu'il a été piraté, les liens ont divulgué des données à la violation des fournisseurs T-Mobile denies it was hacked, links leaked data to vendor breach (lien direct) |
T-Mobile a nié avoir été violé ou que le code source a été volé après qu'un acteur de menace a affirmé vendre des données volées à la société de télécommunications.[...]
T-Mobile has denied it was breached or that source code was stolen after a threat actor claimed to be selling stolen data from the telecommunications company. [...] |
Threat | ★★★ | |
|
2024-06-19 20:39:00 | Le groupe de cyber-espionnage chinois exploite Fortinet, Ivanti et VMware Zero-Days Chinese Cyber Espionage Group Exploits Fortinet, Ivanti and VMware Zero-Days (lien direct) |
L'acteur de cyber-espionnage China-Nexus lié à l'exploitation zéro-jour des défauts de sécurité dans les dispositifs de Fortinet, Ivanti et VMware a été observé en utilisant plusieurs mécanismes de persistance afin de maintenir un accès sans entrée à des environnements compromis.
"Les mécanismes de persistance englobaient les dispositifs de réseau, les hyperviseurs et les machines virtuelles, garantissant que des canaux alternatifs restent disponibles
The China-nexus cyber espionage actor linked to the zero-day exploitation of security flaws in Fortinet, Ivanti, and VMware devices has been observed utilizing multiple persistence mechanisms in order to maintain unfettered access to compromised environments. "Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available |
Vulnerability Threat | ★★★ | |
|
2024-06-19 19:28:22 | Les pirates utilisent des logiciels malveillants Big-IP F5 pour voler furtivement des données pendant des années Hackers use F5 BIG-IP Malware to Stealthily Steal Data for Years (lien direct) |
## Instantané Les analystes de Sygnia ont constaté que le groupe de cyberespionnage chinois fourmi en velours utilisait des logiciels malveillants personnalisés sur des appareils Big-IP F5 pour établir plusieurs anciensréseau. Lire la couverture de Microsoft \\ de [Plugx ici.] (Https://security.microsoft.com/intel-profiles/028c3995955a4a710d67d5d4e9a5f067355bc7ad58e5c5d1c1931e708e41b38) ## Dépissage Les attaquants ont initialement compromis les appareils Big-IP F5 en utilisant des défauts d'exécution de code distants connus, leur permettant de déployer divers logiciels malveillants, y compris Plugx, PMCD, MCDP, Samrid et Esrde.Cela a permis aux acteurs de la menace de voler furtivement des informations sensibles aux clients et financières pendant près de trois ans sans détection. Malgré les efforts d'éradication, les pirates ont redémarré le plugx avec de nouvelles configurations pour éviter la détection, en utilisant des dispositifs internes compromis comme les appareils F5 pour conserver l'accès.De plus, l'article mentionne d'autres cas d'acteurs de menace parrainés par l'État exploitant des vulnérabilités dans les appareils réseau, tels que Fortinet, Sonicwall, Barracuda et Palo Alto Networks, pour installer des logiciels malveillants personnalisés et voler des données.Ces incidents mettent en évidence la menace continue posée par des groupes de menaces sophistiqués et persistants, soulignant la nécessité d'une approche de sécurité multicouche et holistique pour détecter et atténuer ces attaques. ## Détections / requêtes de chasse ### Microsoft Dantivirus efender Microsoft Defender Antivirus détecte les composants de la menace Plugx. - [Backdoor: win32 / plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Backdoor: Win32 / Plugx) - [Trojan: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [tRojandRopper: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [Trojan: Msil / Plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Trojan: MSIL / Plugx) Microsoft Defender Antivirus détecte les composants de la menace KorPlug. - [Trojan: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/korplug!msr&Theratid=214752072) - [Backdoor: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=backdoor:win32/korplug) - [TrojandRopper: Win32 / KorPlug] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojandropper: win32 / korplug & menaceid = -2147068922) - [Trojan: VBS / Korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-enCyclopedia-Description? Name = Trojan: VBS / KorPlug! McLg & menaceID = -2147156848) ### Chasse avancée ** Chargement des lecteurs avec le caractère NBSP dans le chemin du fichier ** Identifiez les événements de charge d'image amovibles où le chemin de fichier comprend le caractère NBSP.Ce chemin de fichier peut être associé à l'activité Plugx sur le système.Exécutez la requête dans Microsoft 365 Security Center. Laissez NBSP = MAKe_string (tolong (\\ '0xa0 \'));// Caractère d'espace non révolutionnaire Laisse nbspdir = strcat (@ "\", nbsp, @ "\"); DeviceMageLoADADEVENTS |où folDerpath! Startwith "C:" // Chasse sur les médias amovibles |où le pistolet a_cs nbspdir |Project-Reorder DeviceName, nom de fichier, Folderpath, SHA1, InitiantProcessFilename ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/enable-cloud-protection-microsoft-defender-antivi | Malware Vulnerability Threat | ★★★★ | |
|
2024-06-19 19:13:51 | The Hunt: Décodage du comportement humain dans la chasse aux menaces The Hunt: Decoding Human Behavior in OT Threat Hunting (lien direct) |
> Les erreurs sont humaines.Nous les minimitons.Nous les excusons comme si nous étions une bonne exception à la règle.Notre ...
Le post la chasse: décodage du comportement humain dans la chasse aux menaces est apparu pour la première fois sur dragos .
>Mistakes are human. We downplay them. We excuse them as if we are a worthy exception to the rule. Our... The post The Hunt: Decoding Human Behavior in OT Threat Hunting first appeared on Dragos. |
Threat Industrial | ★★★ | |
 |
2024-06-19 16:43:55 | Une vulnérabilité zero-day pour Windows en vente pour 120 000 dollars (lien direct) | Pour 120 000 dollars, un pirate informatique met en vente une élévation locale de privilèges (LPE) sur les systèmes d'exploitation Windows.... | Vulnerability Threat | ★★★ | |
|
2024-06-19 15:53:00 | Void Arachne utilise Deepfakes et AI pour livrer des VPN malveillants aux utilisateurs chinois Void Arachne Uses Deepfakes and AI to Deliver Malicious VPNs to Chinese Users (lien direct) |
Les utilisateurs de langue chinois sont la cible d'un cluster d'activités de menace jamais vu auprès du nom de codé nommé Arachne qui utilise des fichiers d'installation de Windows malveillants (MSI) pour les réseaux privés virtuels (VPN) pour livrer un cadre de commandement et de contrôle (C & c)appelé winos 4.0.
"La campagne promeut également les fichiers MSI compromis intégrés avec des nudificateurs et des logiciels de génération de pornographie DeepFake, ainsi que
Chinese-speaking users are the target of a never-before-seen threat activity cluster codenamed Void Arachne that employs malicious Windows Installer (MSI) files for virtual private networks (VPNs) to deliver a command-and-control (C&C) framework called Winos 4.0. "The campaign also promotes compromised MSI files embedded with nudifiers and deepfake pornography-generating software, as well as |
Threat | ★★ | |
|
2024-06-19 15:48:55 | DISGOMOJI Malware Used to Target Indian Government (lien direct) | ## Snapshot Volexity identified a cyber-espionage campaign by a suspected Pakistan-based threat actor, "UTA0137", targeting Indian government entities using DISGOMOJI malware. This Golang-written malware, designed for Linux systems, uses the Discord messaging service for command and control, leveraging emojis for communication. ## Description DISGOMOJI malware gains initial access using Linux malware paired with decoy documents, specifically targeting users of the Indian government\'s who use a custom Linux distribution named BOSS as their daily desktop. DISGOMOJI employs various persistence mechanisms, including cron jobs and XDG autostart entries, and is capable of data exfiltration, including USB device content. Volexity also uncovered UTA0137\'s use of the DirtyPipe ([CVE-2022-0847](https://security.microsoft.com/intel-explorer/cves/CVE-2022-0847/)) privilege escalation exploit against “BOSS 9” systems which, after analysis, Volexity determined are still vulnerable to this years-old exploit. UTA0137 has improved DISGOMOJI over time, including the change to the way Discord tokens are managed by the malware, making it harder for Discord to act against the attacker\'s servers, as the client configuration can simply be updated by the attacker when required. Additionally, BleepingComputer writes about further concerns with the use of emojis instead of text, possibly allowing malware to go undetected by security software. Post-exploitation activities involve network scanning with Nmap, network tunneling with Chisel and Ligolo, and social engineering via malicious dialog boxes created with Zenity. Volexity attributes this activity to Pakistan, due to the time zone settings, language use, infrastructure links, and targeted organizations. ## Recommendations Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) 365 brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://docs.microsoft.com/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of | Malware Threat | ★★ | |
|
2024-06-19 15:45:57 | Advance Auto Parts confirme la violation des données Informations sur les employés exposés Advance Auto Parts confirms data breach exposed employee information (lien direct) |
Advance Auto Parts a confirmé qu'elle avait subi une violation de données après qu'un acteur de menace a tenté de vendre des données volées sur un forum de piratage plus tôt ce mois-ci.[...]
Advance Auto Parts has confirmed it suffered a data breach after a threat actor attempted to sell stolen data on a hacking forum earlier this month. [...] |
Data Breach Threat | ★★★ | |
|
2024-06-19 15:38:00 | AVERTISSEMENT: l'escroquerie de Markopolo \\ ciblant les utilisateurs de crypto via un faux logiciel de réunion Warning: Markopolo\\'s Scam Targeting Crypto Users via Fake Meeting Software (lien direct) |
Un acteur de menace qui passe par Alias Markopolo a été identifié comme derrière une arnaque multiplateforme à grande échelle qui cible les utilisateurs de monnaie numérique sur les réseaux sociaux avec des logiciels malveillants d'informations et propose un vol de crypto-monnaie.
Les chaînes d'attaque impliquent l'utilisation d'un prétendu logiciel de réunion virtuel nommé Vortax (et 23 autres applications) qui sont utilisés comme un conduit pour livrer des Rhadamanthys, Stealc,
A threat actor who goes by alias markopolo has been identified as behind a large-scale cross-platform scam that targets digital currency users on social media with information stealer malware and carries out cryptocurrency theft. The attack chains involve the use of a purported virtual meeting software named Vortax (and 23 other apps) that are used as a conduit to deliver Rhadamanthys, StealC, |
Malware Threat | ★★ | |
|
2024-06-19 15:06:17 | 1 million de dollars pour un 0Day QuickBook (lien direct) | Le Service Veille ZATAZ a repéré un pirate informatique prêt à mettre 1 million de dollars sur la table pour une faille QuickBooks.... | Threat | ★★ | |
 |
2024-06-19 15:00:00 | Sceau de poing distribué via une chaîne d'attaque multiple Fickle Stealer Distributed via Multiple Attack Chain (lien direct) |
Fortiguard Labs a découvert une nouvelle menace, Fickle Stealer, qui est
distribué via diverses stratégies.En savoir plus.
FortiGuard Labs has uncovered a fresh threat, Fickle stealer, which is distributed via various strategies. Read more. |
Threat | ★★★ | |
|
2024-06-19 13:00:00 | La campagne de quitte cible les citoyens chinois via de faux documents officiels Quishing Campaign Targets Chinese Citizens via Fake Official Documents (lien direct) |
Le fournisseur de renseignement du cyber-menace Cyble a observé une nouvelle campagne de phishing de code QR malveillant ciblant les citoyens chinois
Cyber threat intelligence provider Cyble observed a new malicious QR code phishing campaign targeting Chinese citizens |
Threat | ★★ | |
 |
2024-06-19 09:30:00 | Le hacktivisme évolue & # 8211;Et cela pourrait être une mauvaise nouvelle pour les organisations partout Hacktivism is evolving – and that could be bad news for organizations everywhere (lien direct) |
Le hacktivisme n'est pas nouveau, mais les lignes de plus en plus floues entre le hacktivisme traditionnel et les opérations soutenues par l'État en font une menace plus puissante
Hacktivism is nothing new, but the increasingly fuzzy lines between traditional hacktivism and state-backed operations make it a more potent threat |
Threat | ★★ | |
|
2024-06-18 20:33:27 | From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) | ## Instantané Les chercheurs de ProofPoint ont identifié une technique qui ordonne aux utilisateurs de copier et de coller des scripts PowerShell malveillants pour infecter leurs ordinateurs par des logiciels malveillants.Des acteurs de menace, dont TA571 et les acteurs derrière le cluster d'activités Clearfake, utilisent cette méthode pour fournir des logiciels malveillants, notamment Darkgate, Matanbuchus, Netsupport et divers voleurs d'informations. ## Description Proofpoint a observé cette technique dans plusieurs campagnes récentes impliquant plusieurs acteurs de menace, y compris ceux qui sont derrière Clearfake et l'acteur de menace TA571, connu pour la distribution des spams menant à des logiciels malveillants et à des infections au ransomware.La chaîne d'attaque nécessite une interaction importante des utilisateurs pour réussir, mais l'ingénierie sociale est suffisamment intelligente pour présenter à quelqu'un ce qui ressemble à un vrai problème et une solution simultanément, ce qui peut inciter un utilisateur à prendre des mesures sans considérer le risque. La campagne Clearfake est un faux cluster d'activités de mise à jour du navigateur qui compromet les sites Web légitimes avec un HTML et un JavaScript malveillants.Le script initial a ensuite chargé un deuxième script à partir d'un domaine qui a utilisé Keitaro TDS pour le filtrage.Si ce deuxième script se chargeait et passait divers chèques, et si la victime continuait de parcourir le site Web, il a été présenté avec une fausse superposition d'avertissement sur le site Web compromis.Cet avertissement leur a demandé d'installer un "certificat racine" pour afficher correctement le site Web. La campagne TA571 comprenait plus de 100 000 messages et ciblé des milliers d'organisations dans le monde.Les e-mails contenaient une pièce jointe HTML qui affichait une page ressemblant à Microsoft Word.La page a également affiché un message d'erreur qui disait l'extension «\\» word en ligne \\ 'n'est pas installée »et a présenté deux options pour continuer:« comment réparer »et« automatique ». Les charges utiles observées comprennent Darkgate, Matanbuchus, Netsupport, Amadey Loader, XMRIG et Lummma Stealer.Les acteurs de la menace expérimentent activement différentes méthodes pour améliorer l'efficacité et trouver plus de voies d'infection pour compromettre un plus grand nombre de systèmes. ## Analyse Microsoft Ces dernières années, Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises.Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont annoncés comme un logiciel malveillant en tant que service (MAAS) offrant & # 8211;Un modèle d'entreprise où les développeurs louent la charge utile de l'infostealer aux distributeurs moyennant des frais. Les voleurs d'informations sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maladucs.En règle générale, une fois que l'utilisateur télécharge et lance la charge utile malveillante, il établit des connexions de commande et de contrôle (C2) avec des domaines suspects.Une fois infecté, l'infostaler tente de collecter et finalement exfilter les informations du système, y compris les fichiers, les navigateurs, les appareils et les applications orientés sur Internet aux serveurs C2.En savoir plus [ici sur l'analyse des infostelleurs de Microsoft \\] (https://security.microsoft.com/intel-profileS / 2296D491EA381B532B24F2575F9418D4B6723C17B8A1F507D20C2140A75D16D6). - [darkgate] (https://securit | Ransomware Spam Malware Tool Threat | ★★★★ | |
|
2024-06-18 19:53:36 | Blackbaud a condamné à une amende de 6,75 millions de dollars après 2020 Ransomware Attack Blackbaud Fined $6.75M After 2020 Ransomware Attack (lien direct) |
Les acteurs de la menace ont pu violer les systèmes de Blackbaud et compromettre les données sensibles, en grande partie à cause des mauvaises pratiques de cybersécurité de l'entreprise et du manque de données cryptées, a déclaré l'AG.
Threat actors were able to breach Blackbaud\'s systems and compromise sensitive data, largely because of the company\'s poor cybersecurity practices and lack of encrypted data, the AG said. |
Ransomware Threat | ★★ | |
|
2024-06-18 19:00:00 | Les cybercriminels exploitent des leurres logiciels libres pour déployer le chargeur de hivers et le voleur Vidar Cybercriminals Exploit Free Software Lures to Deploy Hijack Loader and Vidar Stealer (lien direct) |
Les acteurs de la menace attirent les utilisateurs sans méfiance avec des versions gratuites ou piratées de logiciels commerciaux pour livrer un chargeur de logiciels malveillants appelée Hijack Loader, qui déploie ensuite un voleur d'informations connu sous le nom de voleur Vidar.
"Les adversaires avaient réussi à inciter les utilisateurs à télécharger des fichiers d'archives protégés par mot de passe contenant des copies trojanisées d'une application de réunions Cisco WebEx (PTService.exe)"
Threat actors are luring unsuspecting users with free or pirated versions of commercial software to deliver a malware loader called Hijack Loader, which then deploys an information stealer known as Vidar Stealer. "Adversaries had managed to trick users into downloading password-protected archive files containing trojanized copies of a Cisco Webex Meetings App (ptService.exe)," Trellix security |
Malware Threat Commercial | ★★★ | |
|
2024-06-18 18:22:59 | Ransomware Roundup _ Shinra et Limpopo Ransomware Ransomware Roundup _ Shinra and Limpopo Ransomware (lien direct) |
#### Géolocations ciblées - Israël - Pologne - Russie - Royaume-Uni - États-Unis ## Instantané Fortiguard Labs Researcha identifié le ransomware Shinra et Limpopo dans leur rapport Ransomware Roundup.Les souches de ransomware de Shinra et Limpopo, émergeant au début de 2024, présentent des techniques avancées et ont ciblé plusieurs pays, provoquant des perturbations importantes en cryptant des fichiers et en exigeant des rançons. ## Description Le ransomware de Shinra, vu pour la première fois en avril 2024, exfiltre les données de la victime avant de chiffrer les fichiers et de supprimer des copies fantômes de volume.Il affecte les victimes en Israël, en Pologne, en Russie, au Royaume-Uni et aux États-Unis, met fin aux processus et aux services, modifie le papier peint de bureau et évite de crypter des fichiers et des répertoires spécifiques. Les ransomwares limpopo, liés aux ransomwares Socotra, ciblent les environnements ESXi et ont été soumis pour scanning en février 2024. Le vecteur d'infection pour les ransomwares limpopo est inconnu, mais il affecte plusieurs pays et crypte des fichiers avec des extensions spécifiques, ajoutant une prolongation ".limpopo" ".aux fichiers de liste blanche.Il laisse tomber une note de rançon exigeant la coopération et fournit un lien pour d'autres instructions. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menaceComme les logiciels malveillants suivants: - Ransom: Linux / Babuk - Ransom: win64 / akira - rançon: win32 / conti - Trojan: Linux / Filecoder ## ReCommensions Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des pa | Ransomware Malware Tool Threat | ★★★ | |
 |
2024-06-18 17:58:40 | Entités brésiliennes de plus en plus ciblées par les attaques de phishing de l'État-nation Brazilian Entities Increasingly Targeted by Nation-State Phishing Attacks (lien direct) |
Phishing provient d'acteurs de menace basés en Chine, en Corée du Nord et en Russie.
Mandiant has published a report looking at cyber threats targeting Brazil, finding that more than 85% of government-backed phishing activity comes from threat actors based in China, North Korea and Russia. |
Threat | ★★★ | |
|
2024-06-18 17:26:26 | AMD enquête sur la violation après les données à vendre sur le forum de piratage AMD investigates breach after data for sale on hacking forum (lien direct) |
AMD enquête sur la question de savoir si elle a subi une cyberattaque après qu'un acteur de menace a prétendument volé des données à vendre sur un forum de piratage, affirmant qu'il contient des informations, des documents financiers et des informations confidentielles des employés AMD.[...]
AMD is investigating whether it suffered a cyberattack after a threat actor put allegedly stolen data up for sale on a hacking forum, claiming it contains AMD employee information, financial documents, and confidential information. [...] |
Threat | ★★★ | |
 |
2024-06-18 14:00:00 | Couchée et secrète: Découvrir les opérations d'espionnage UNC3886 Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) |
Written by: Punsaen Boonyakarn, Shawn Chew, Logeswaran Nadarajan, Mathew Potaczek, Jakub Jozwiak, Alex Marvi
Following the discovery of malware residing within ESXi hypervisors in September 2022, Mandiant began investigating numerous intrusions conducted by UNC3886, a suspected China-nexus cyber espionage actor that has targeted prominent strategic organizations on a global scale. In January 2023, Mandiant provided detailed analysis of the exploitation of a now-patched vulnerability in FortiOS employed by a threat actor suspected to be UNC3886. In March 2023, we provided details surrounding a custom malware ecosystem utilized on affected Fortinet devices. Furthermore, the investigation uncovered the compromise of VMware technologies, which facilitated access to guest virtual machines. Investigations into more recent operations in 2023 following fixes from the vendors involved in the investigation have corroborated Mandiant\'s initial observations that the actor operates in a sophisticated, cautious, and evasive nature. Mandiant has observed that UNC3886 employed several layers of organized persistence for redundancy to maintain access to compromised environments over time. Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available even if the primary layer is detected and eliminated. This blog post discusses UNC3886\'s intrusion path and subsequent actions that were performed in the environments after compromising the guest virtual machines to achieve access to the critical systems, including: The use of publicly available rootkits for long-term persistence Deployment of malware that leveraged trusted third-party services for command and control (C2 or C&C) Subverting access and collecting credentials with Secure Shell (SSH) backdoors Extracting credentials from TACACS+ authentication using custom malware Mandiant has published detection and hardening guidelines for ESXi hypervisors and attack techniques employed by UNC3886. For Google SecOps Enterprise+ customer |
Malware Tool Vulnerability Threat Cloud Technical | APT 41 | ★★★ |
|
2024-06-18 12:56:24 | Les pivots d'araignée dispersés vers les attaques d'application SaaS Scattered Spider Pivots to SaaS Application Attacks (lien direct) |
L'année dernière, Microsoft a décrit l'acteur de menace - connu sous le nom de UNC3944, araignée dispersée, porcs dispersés, octo tempest et 0ktapus - comme l'un des adversaires actuels les plus dangereux.
Microsoft last year described the threat actor - known as UNC3944, Scattered Spider, Scatter Swine, Octo Tempest, and 0ktapus - as one of the most dangerous current adversaries. |
Threat Cloud | ★★ | |
 |
2024-06-18 12:00:00 | Comment surveiller le trafic du réseau: Résultats du rapport Cisco Cyber Threat Tendances How to Monitor Network Traffic: Findings from the Cisco Cyber Threat Trends Report (lien direct) |
Le rapport sur les tendances des cyber-menaces Cisco examine les domaines malveillants pour les tendances et les modèles.Voyez ce que les données nous indiquent le paysage des menaces. 
The Cisco Cyber Threat Trends report examines malicious domains for trends and patterns. See what the data tells us about the threat landscape. |
Threat | ★★★ | |
 |
2024-06-18 11:03:00 | LevelBlue Labs découvre un nouveau chargeur très évasif ciblant les organisations chinoises LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations (lien direct) |
Executive Summary LevelBlue Labs recently discovered a new highly evasive loader that is being delivered to specific targets through phishing attachments. A loader is a type of malware used to load second-stage payload malware onto a victim’s system. Due to the lack of previous samples observed in the wild, LevelBlue Labs has named this malware “SquidLoader,” given its clear efforts at decoy and evasion. After analysis of the sample LevelBlue Labs retrieved, we uncovered several techniques SquidLoader is using to avoid being statically or dynamically analyzed. LevelBlue Labs first observed SquidLoader in campaigns in late April 2024, and we predict it had been active for at least a month prior. The second-stage payload malware that SquidLoader delivered in our sample is a Cobalt Strike sample, which had been modified to harden it against static analysis. Based on SquidLoader’s configuration, LevelBlue Labs has assessed that this same unknown actor has been observed delivering sporadic campaigns during the last two years, mainly targeting Chinese-speaking victims. Despite studying a threat actor who seems to focus on a specific country, their techniques and tactics may be replicated, possibly against non-Chinese speaking organizations in the near future by other actors or malware creators who try to avoid detections. Loader Analysis In late April 2024, LevelBlue Labs observed a few executables potentially attached to phishing emails. One of the samples observed was ‘914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635’ with a Chinese filename translating to “Huawei industrial-grade router related product introduction and excellent customer cases.” All the samples LevelBlue Labs observed were named for Chinese companies, such as: China Mobile Group Shaanxi Co Ltd, Jiaqi Intelligent Technology, or Yellow River Conservancy Technical Institute (YRCTI). All the samples had descriptive filenames aimed at luring employees to open them, and they carried an icon corresponding to a Word Document, while in fact being executable binaries. These samples are loaders that download and execute a shellcode payload via a GET HTTPS request to the /flag.jpg URI. These loaders feature heavy evasion and decoy mechanisms which help them remain undetected while also hindering analysis. The shellcode that is delivered is also loaded in the same loader process, likely to avoid writing the payload to disk and thus risk being detected. Due to all the decoy and evasion techniques observed in this loader, and the absence of previous similar samples, LevelBlue Labs has named this malware “SquidLoader”. Most of the samples LevelBlue Labs observed use a legitimate expired certificate to make the file look less suspicious. The invalid certificate (which expired on July 15, 2021) was issued to Hangzhou Infogo Tech Co., Ltd. It has the thumbprint “3F984B8706702DB13F26AE73BD4C591C5936344F” and serial number “02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB.” However, it is not the only invalid certificate used to sign the malicious samples. The command and control (C&C) servers SquidLoader uses employ a self-signed certificate. In the course of this investigation all the discovered C&C servers use a certificate with the following fields for both the issuer and the subject: Common Name: localhost Organizational Unit: group Organization: Company Locality: Nanjing State/Province: Jiangsu Country: CN When first executed, the SquidLoader duplicates to a predefined location (unless the loader is already present) and then restarts from the new location. In this case the target location was C:\BakFiles\install.exe. This action appears to be an intentional decoy, executing the loader with a non-suspicio | Malware Tool Threat Mobile Prediction Technical | ★★ | |
 |
2024-06-18 05:00:00 | BlackBerry efficace contre Blackcat / AlphV et Menupass dans les évaluations de Mitre ATT & CK BlackBerry Effective Against BlackCat/ALPHV and menuPass in MITRE ATT&CK Evaluations (lien direct) |
BlackBerry a récemment participé aux évaluations d'atténuité d'Engenuity ATT & CK pour les services gérés.Cette série de tests indépendants a émulé les groupes BlackCat / AlphV et Menupass, soulignant la nécessité de solutions de sécurité robustes et adaptatives face à des adversaires sophistiqués.
BlackBerry recently participated in the MITRE Engenuity ATT&CK Evaluations for Managed Services. This round of independent testing emulated the BlackCat/ALPHV and menuPass threat groups, highlighting the need for robust, adaptive security solutions in the face of sophisticated adversaries. |
Threat | APT 10 | ★★ |
 |
2024-06-18 00:00:00 | Le président de la cybersécurité Donna O \\ 'Shea remporte le prestigieux innovationward. MTU Chair of Cyber Security Donna O\\'Shea Wins Prestigious InnovationAward. (lien direct) |
L'équipe Cyber Skills de Munster Technological University (MTU) est ravie de mettre en lumière une réalisation significative de notre chaire de cybersécurité, Dr Donna O \\ 'Shea.Donna a reçu le prestigieux Innovator Achievement Award 2024, présenté par Maggie Cusack, présidente de MTU, Josette O \\ 'Mullane, gestionnaire d'innovation et d'entreprise chez MTU et Michael Loftus, vice-président des affaires extérieures chez MTU.Ce prix reconnaît les contributions exceptionnelles de Donna à l'innovation et son dévouement à faire progresser la cybersécurité en MTU et au-delà.
Parlant du prix, le Dr Donna O \\ 'Shea a déclaré: «Je suis ravi de recevoir ce prix en reconnaissance du leadership éclairé de la cybersécurité, de l'innovation et de l'entrepreneuriat de Mtu \\.Cet impact que nous avons atteint est dû à l'engagement de l'équipe de recherche Cyber Explore que j'ai le privilège de diriger, et le soutien et le leadership de la fonction d'innovation et d'entreprise de MTU \\ ».Elle a ensuite expliqué comment l'innovation de cybersécurité est d'une importance cruciale.En raison du paysage de menace de plus en plus complexe et en expansion, nous avons besoin de cyber capacités indigènes développées.Cela offrira des opportunités pour engager des talents de main-d'œuvre existants.Par conséquent, cela soutient la création de nouvelles start-ups, emplois et investissements tout en développant simultanément des capacités de cybersécurité à l'intérieur de nos propres frontières.
La cérémonie de remise des prix a eu lieu aux Third Innovation Awards de Munster Technological University, organisé au Nimbus Research Center sur le campus de Bishopstown.Cet événement annuel célèbre le travail et les efforts que le personnel a mis dans leurs inventions et leurs collaborations de l'industrie de la recherche au cours de l'année.Cette année, les catégories de prix de cette année comprenaient:
• Prix du formulaire de divulgation d'invention (IDF) • Prix de collaboration de recherche sur l'industrie • Prix de réalisation de l'innovation
La cérémonie a commencé avec des présentations des nominés présentant leurs projets de formulaire de divulgation d'invention (IDF) de l'année écoulée.C'était fantastique de voir certaines des fabuleuses inventions divulguées par le personnel en 2023.
Les prix des juges pour le formulaire de divulgation d'invention (FDI) comprenaient David Corkery de l'University College Cork et Paul Dillon de l'Université de Limerick.David a souligné l'importance de ces récompenses pour reconnaître à la fois les individus et les opportunités, faisant remarquer que la concurrence est une entreprise collaborative.Il a discuté de l'importance d'apprendre les uns des autres et de s'efforcer de s'améliorer en tant que collectif et en tant qu'individus.
Nous avons été ravis d'apprendre que le Science Foundation Ireland Connect Center a honoré Donna O \\ 'Shea avec son prestigieux prix EPE lors de leur plénière annuel.Cette distinction reconnaît ses contributions exceptionnelles à la formation d'une vision de cybersécurité unifiée pour l'Irlande, qu'elle a présentée au comité conjoint des transports et des communications.Il a également reconnu son leadership dans le développement du service de contrôle de l'Irlande \\ (www.checkmylink.ie), visant à améliorer la cyber-résilience des citoyens de tous les jours.Gagner deux prix en une semaine est une réalisation remarquable.
The Cyber Skills team at Munster Technological University (MTU) is thrilled to spotlight a significant achievement by our Chair of Cybersecurity, Dr Donna O\'Shea. Donna has been awarded the prestigious Innovator Achievement Award 2024, presented by Maggie Cusack, President of MTU, Josette O\'Mullane, Innovation and Enterprise Manager at MTU and Michael Loftus, Vice President for External Affairs at MTU. This award acknowledges Donna\'s outstanding contributions to innovation and her dedication to advancing cybersecurit |
Threat | ★★ | |
|
2024-06-17 20:44:39 | Databee lance des innovations pour une surveillance améliorée des menaces et une implémentation de confiance zéro DataBee Launches Innovations for Enhanced Threat Monitoring and Zero Trust Implementation (lien direct) |
Pas de details / No more details | Threat | ★★ | |
|
2024-06-17 20:40:46 | CVE-2024-4577: exploitation continue d'une vulnérabilité de PHP critique CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability (lien direct) |
## Instantané
Cyble Global Sensor Intelligence (CGSI) a détecté plusieurs tentatives de balayage liées à [CVE-2024-4577] (https://security.microsoft.com/intel-explorer/cves/cve-2024-4577/) provenant de divers emplacements.La vulnérabilité découle des erreurs dans les conversions de codage des caractères, affectant en particulier la fonction «la meilleure ajustement» sur les systèmes d'exploitation Windows.L'exploitation de cette faille pourrait potentiellement permettre aux acteurs de menace d'exécuter à distance du code arbitraire, posant des risques de sécurité importants aux installations PHP sur toutes les versions exécutées sur les plates-formes Windows.
## Description
Le 7 juin, PHP a publié un patch officiel pour aborder la vulnérabilité.Le lendemain, Watchtowr Labs a publié un code d'exploitation de preuve de concept (POC) pour le CVE-2024-4577 et les acteurs de la menace ont ensuite utilisé la vulnérabilité au déploiement du ransomware sur les systèmes vulnérables.CGSI rapporte plusieurs campagnes de logiciels malveillants associées à cette nouvelle vulnérabilité, inculant la campagne Ransomware de TellyouthPass et Muhstik malware.
Le CVE-2024-4577 a un impact explicitement sur le mode CGI de PHP \\, où le serveur Web interprète HTTP demande et les transmet à un script PHP pour le traitement.Si un personnage comme un trait d'union doux (0xad) est utilisé dans un paramètre URL, le gestionnaire CGI sur Windows, après sa cartographie de la meilleure ajustement, peut interpréter ce caractère différemment que prévu.Cette mauvaise interprétation permet à un attaquant d'exécuter du code arbitraire sur le serveur PHP vulnérable.
CGSI rapporte que l'exposition des instances de PHP potentiellement vulnérables est alarmante.Les organisations devraient donner la priorité aux mises à niveau vers les dernières versions PHP: 8.3.8, 8.2.20 et 8.1.29.
## Les références
[CVE-2024-4577: Exploitation continue d'une vulnérabilité de PHP critique] (https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerabilité/).Cyble Global Sensor Intelligence (consulté en 2024-06-17)
## Snapshot Cyble Global Sensor Intelligence (CGSI) has detected multiple scanning attempts related to [CVE-2024-4577](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4577/) originating from various locations. The vulnerability stems from errors in character encoding conversions, particularly affecting the “Best Fit” feature on Windows operating systems. Exploiting this flaw could potentially enable threat actors to remotely execute arbitrary code, posing significant security risks to PHP installations across all versions running on Windows platforms. ## Description On June 7th, PHP released an official patch to address the vulnerability. The following day, WatchTowr Labs published a proof-of-concept (PoC) exploit code for CVE-2024-4577 and threat actors subsequently utilized the vulnerability to deploy ransomware on vulnerable systems. CGSI reports several malware campaigns associated with this new vulnerability, inculding the TellYouThePass ransomware campaign and Muhstik malware. CVE-2024-4577 explicitly impacts PHP\'s CGI mode, where the web server interprets HTTP requests and forwards them to a PHP script for processing. If a character like a soft hyphen (0xAD) is used in a URL parameter, the CGI handler on Windows, following its Best Fit mapping, may interpret this character differently than intended. This misinterpretation allows an attacker to execute arbitrary code on the vulnerable PHP server. CGSI reports that the exposure of potentially vulnerable PHP instances is alarmingly high. Organizations should prioritze upgrades to the latest PHP versions: 8.3.8, 8.2.20, and 8.1.29. ## References [CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability](https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/). Cyble Glob |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-06-17 19:56:08 | KnowBe4 lance la fonctionnalité Intel Phisher Plus Threat KnowBe4 Launches PhishER Plus Threat Intel Feature (lien direct) |
Pas de details / No more details | Threat | ★★ | |
|
2024-06-17 19:39:10 | Le département du comté de la violation des données de santé publique a un impact sur 200K LA County Dept. of Public Health Data Breach Impacts 200K (lien direct) |
Les acteurs de la menace ont pu violer le département en utilisant les informations d'identification accessibles via des e-mails de phishing.
Threat actors were able to breach the department using the credentials accessed through phishing emails. |
Data Breach Threat | ★★ | |
|
2024-06-17 16:56:55 | Chine \\ 'S \\' Velvet Ant \\ 'APT NESTS À l'intérieur de l'effort d'espionnage pluriannuel China\\'s \\'Velvet Ant\\' APT Nests Inside Multiyear Espionage Effort (lien direct) |
La campagne est particulièrement remarquable pour les durées remarquables auxquelles l'acteur de menace est allé maintenir la persistance de l'environnement cible.
The campaign is especially notable for the remarkable lengths to which the threat actor went to maintain persistence on the target environment. |
Threat | ★★ |
To see everything:
Our RSS (filtrered)
