What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-27 13:47:57 | Menlo Security expose trois nouvelles campagnes de l'État-nation Menlo Security Exposes Three New Nation-State Campaigns (lien direct) |
Menlo Security expose trois nouvelles campagnes de l'État-nation
Les acteurs de la menace parrainés par l'État ont vu des techniques évasives pour cibler les organisations gouvernementales, bancaires et de soins de santé
-
rapports spéciaux
Menlo Security Exposes Three New Nation-State Campaigns State-sponsored threat actors seen employing evasive techniques to target government, banking, and healthcare organizations - Special Reports |
Threat Medical | ||
 |
2024-06-27 12:12:56 | DMARC: Pourquoi il passe d'une meilleure pratique à un incontournable DMARC: Why It\\'s Moving from a Best Practice to a Must-Have (lien direct) |
It is widely understood that email is the number one threat vector for cyberattacks. This stems from the fact that email was not designed with security in mind, and cybercriminals do not need highly technical skills to exploit it. In this blog, we\'ll look at how threat actors exploit human vulnerabilities by impersonating people and brands, why DMARC is becoming mandatory, and how Proofpoint can help. Are you for real? Looking legitimate to gain trust Most cyberattacks today are initiated via email. As a result, many users have started to block or delete emails from unknown sources as a precautionary measure. Cybercriminals realize this and have learned that their best chance is to fool the receiver into believing that they are dealing with a known source-ideally, a trusted source. And this is where sender impersonation comes into play. Spoofing is a common form of sender impersonation. There are two main types: Domain spoofing. This is when a bad actor forges a sender\'s domain in an email to make it appear as if the email is from a trusted source. Header spoofing. In this case, an attacker manipulates the email\'s header information-including various fields such as “From,” “To,” “Reply-To” and others-so that it looks like the email is from a different source than its true source (the attacker). Both tactics are designed to make recipients believe that they are interacting with a trusted source and can appear very legitimate. If someone believes they are communicating with a trusted person, they are more likely to divulge sensitive information or perform actions that compromise their security, such as handing over their credentials. If an attacker is spoofing your company to target your partners or customers, it can cause significant damage to your brand\'s reputation. To prevent this type of brand abuse, some companies have implemented email authentication technology as a “best practice.” But this trend is not as widespread as you might expect. An overview of email authentication technology To combat domain spoofing, Sender Policy Framework (SPF) was introduced, followed by Domain Key Identified Mail (DKIM), with the goal of validating that email is coming from an approved sending IP address and the message hasn\'t been tampered with en route. A company can create an SPF record that contains a list of all the “approved” IP addresses that can send email on the organization\'s behalf. This allows a system receiving an email to do a quick check to determine if the email is coming from an authorized server. If the sending IP address isn\'t on the SPF list, it fails authentication. DKIM goes a step further by using public and private keys, allowing a receiving system to compare the keys in the email to confirm that it came from who it says it did and that nothing in the email was changed after it was sent. Someone sending a domain-spoofed email would fail both SPF and DKIM authentication. Email authentication is becoming mandatory Email authentication tools have been available for years, so you would think that all companies would have implemented them by now. However, some businesses have been slow to act for various reasons, including: Resource limitations Budget limitations Concerns about legitimate email being blocked Whatever the cause for the lag in implementing these tools, the delay has allowed cybercriminals to continue to exploit the lack of security to initiate their attacks. Major email providers are making moves to force companies to catch up and use email authentication. Some highly publicized examples include the October 2023 announcements from Google, Yahoo and Apple around mandatory email authentication requirements (including DMARC) for bulk senders sending email to Gmail, Yahoo and iCloud accounts. This should significantly reduce spam and fraudulent emails hitting their customers\' inboxes. | Spam Tool Vulnerability Threat Prediction Technical | Yahoo | |
 |
2024-06-27 09:28:48 | Le FBI avertit le public des faux cabinets d'avocats qui s'attaquent aux victimes d'escroquerie de crypto FBI Warns Public About Fake Law Firms Preying on Crypto Scam Victims (lien direct) |
> La crypto-monnaie a révolutionné le paysage financier, offrant des transactions décentralisées et sécurisées.Cependant, cette innovation a également attiré une myriade d'escroqueries, avec des fraudeurs conçus en permanence de nouvelles façons d'exploiter les victimes sans méfiance.Récemment, le FBI a émis un avertissement concernant une nouvelle tendance inquiétante: de faux cabinets d'avocats ciblant les personnes qui ont déjà été victimes de crypto-monnaies.& # 8230;
>Cryptocurrency has revolutionized the financial landscape, offering decentralized and secure transactions. However, this innovation has also attracted a myriad of scams, with fraudsters continuously devising new ways to exploit unsuspecting victims. Recently, the FBI issued a warning about a disturbing new trend: fake law firms targeting individuals who have already fallen victim to cryptocurrency scams. … |
Threat Prediction | ||
 |
2024-06-27 01:30:31 | UAC-0184 déploie le rat Xworm via une charge de touche DLL basée sur Python en Ukraine UAC-0184 Deploys XWorm RAT via Python-Based DLL Sideloading in Ukraine (lien direct) |
#### Géolocations ciblées - Ukraine ## Instantané Cyble Research and Intelligence Labs (CRIL) a identifié une campagne de logiciels malveillants soutenue par le groupe d'acteurs de menace UAC-0184 ciblant l'Ukraine avec le rat Xworm. ## Description La dernière campagne de l'UAC-0184 \\ exploite des fichiers LNK malveillants, probablement diffusés par des e-mails de phishing ou de spam avec des pièces jointes à zip.Lorsqu'il est exécuté, le fichier LNK déclenche un script PowerShell qui télécharge un fichier zip contenant des composants Python légitimes et malveillants, y compris une charge utile cryptée.Cette campagne marque un passage de leur utilisation précédente du Remcos Rat au rat Xworm.Le processus d'infection utilise une charge de touche DLL, où un exécutable Python légitime est utilisé aux côtés d'une DLL Python malveillante, permettant à la charge utile finale, Xworm Rat, d'être exécutée sans détection.Le rat Xworm tente ensuite de se connecter à un serveur de commande et de contrôle (C & C) pour les activités d'accès à distance, bien qu'au moment de l'analyse, le serveur était inactif. Le déploiement du rat Xworm indique que l'objectif principal du groupe \\ est d'établir un accès à distance aux systèmes compromis.Les opérations de l'UAC-0184 \\ démontrent un effort soutenu pour infiltrer les cibles ukrainiennes à des fins stratégiques, reflétant une évolution continue de leurs tactiques pour échapper aux mesures de sécurité et assurer une livraison réussie de la charge utile.L'UAC-0184 a des antécédents de ciblage des entités ukrainiennes, utilisant auparavant des techniques telles que les fichiers d'image stéganographiques et le chargeur IDAT pour la distribution de charge utile. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Trojan: Win32 / Coinminder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/coinminer& threattid=-2147294768) - [Trojan: MSIL / COINMINER] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-Description? Name = Trojandownloader: MSIL / COINMINER & menaceID = -2147272065) - [Trojan: Win32 / Killav] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=trojan:win32/killav&thereatid=6492) - [Trojan: MSIL / XWORM] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-senceClopedia-Description? Name = Trojan: MSIL / XWORM.CXR! MTB & AMP; NOFENID = -2147123843) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-secdClopedia-Description? Name = Trojan: win32 / winlnk & menaceID = -2147239159) ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents e | Spam Malware Threat | ||
 |
2024-06-27 00:00:00 | Les escroqueries ICO lentent 2024 Jeux olympiques pour attirer les victimes, utilisez l'IA pour les faux sites ICO Scams Leverage 2024 Olympics to Lure Victims, Use AI for Fake Sites (lien direct) |
Dans ce blog, nous découvrons des acteurs de menace utilisant les Jeux olympiques de 2024 pour attirer les victimes d'investir dans une offre initiale de pièces (ICO).Il a été constaté que des schémas similaires utilisent des images générées par l'AI pour leurs faux sites Web ICO.
In this blog we uncover threat actors using the 2024 Olympics to lure victims into investing in an initial coin offering (ICO). Similar schemes have been found to use AI-generated images for their fake ICO websites. |
Threat | ||
 |
2024-06-26 23:00:00 | Épisode 34: Votre toast à la gestion des risques est-il? EPISODE 34: IS YOUR RISK MANAGEMENT TOAST? (lien direct) |
Cet épisode nous sommes rejoints par Michael Walford-Williams , un consultant spécialisé dans la résilience opérationnelle et la gestion des risques tiers.Son conseil Westbourne Consultancy Limited le voit travailler pour divers clients fournissant des services de gestion des risques pour l'industrie des services financiers. Dans cet épisode, nous examinons comment l'appétit des risques évolue avec le temps, le pouvoir de équipe rouge , comment permettre à tout le monde de se soucier de risque et de poser la question: \\ 'est votreToast de gestion des risques? \\ ' Prise des clés: L'appétit de risque est une cible en mouvement: juste parce qu'une menace ne vous a pas encore frappée, ne signifie pas qu'elle a gagné \\ 't.Apprenez à adapter votre stratégie de gestion des risques à l'évolution des menaces. Les tests sont parfaits (ou du moins plus préparés): n'attendez pas une véritable attaque pour exposer votrefaiblesses.Des attaques simulées comme les campagnes de phishing et l'équipe rouge peuvent exposer les vulnérabilités avant qu'elles soient exploitées. du papier à la réalité: tester la résilience de la cybersécurité ne devrait pas être simplement les meilleurs effortsSur un morceau de papier (documentation de continuité des activités). meilleur rouge que pain!L'équipe rouge se déchaîne: tests, des simulations de phishing aux évaluations physiques, en passant par les activités d'équipe rouge à part entière, toutes jouent un rôle central dans l'autonomisation des employés et l'augmentation de la vigilance organisationnelle.Et rappelez-vous, il ne s'agit pas de pointer des doigts - it \\ 's sur l'autonomisation. Propriété du risque: Le risque n'est pasproblème.C'est le travail de tout le monde.De la salle de conférence aux fronts, nous sommes tous ensemble.Nous vous montrerons comment redéfinir la propriété des risques. Liens vers tout ce que nous avons discuté dans cet épisode peut être trouvé dans les notes de l'émission et si vous avez aimé le spectacle,Veuillez faire laissez-nous une revue . Suivez-nous sur toutes les bonnes plateformes de podcasting et via notre chaîne YouTube, et n'oubliez pas de Partager sur LinkedIn et dans vos équipes . Cela nous aide vraiment diffuser le mot et obtenir des invités de haute qualité, sur les épisodes futurs. & nbsp; Nous espérons que vous avez apprécié cet épisode - à la prochaine fois, restez en sécurité, et n'oubliez pas de vous demander, \\ 'Suis-je la position compromettante ici? \' & nbsp; Mots-clés: cybersécurité, risque, résilience, équipe rouge, appétit des risques, raci, ai Afficher les notes \\ 'La plus grande cyber-risque est la complaisance, et non les pirates \' - Le commissaire à l'information britannique émet un avertissement en tant que société de construction amendé et livre; 4,4 millions. ico Le point de basculement: combien de peu les choses peuvent faire une grande différence par Malcolm Gladwell À propos de Michael Walford-Williams Michael Walford-Williams est un consultant spécialisé dans la résilience opérationnelleet gestion des risques tiers.Son conseil Westbourne Consultancy Li | Vulnerability Threat | ||
|
2024-06-26 20:06:12 | Les logiciels malveillants XCTDOOOR étant utilisés pour attaquer les entreprises nationales Xctdoor malware being used to attack domestic companies (lien direct) |
#### Géolocations ciblées
- Corée
#### Industries ciblées
- Base industrielle de la défense
- Fabrication critique
## Instantané
Ahnlab Security Intelligence Center (ASEC) a identifié une attaque récente ciblant les sociétés coréennes en utilisant le malware XCTDOOOR.Les attaquants ont initialement infiltré des systèmes en ciblant le serveur de mise à jour d'une entreprise spécifique de planification des ressources d'entreprise (ERP), affectant les sociétés de défense et de fabrication.
## Description
Dans cette attaque, les acteurs de la menace ont ciblé le serveur de mise à jour d'un système ERP spécifique pour déployer le logiciel malveillant de porte dérobée XCTDOOOR.Ce logiciel malveillant, développé dans le langage Go, utilise le processus RegSVR32.exe pour exécuter des fichiers DLL et s'injecter dans des processus système comme taskhost.exe et explorateur.exe.Il réalise la persistance en se copie sur un chemin spécifique et en créant un raccourci dans le dossier de démarrage.XCTDOOR, une fois opérationnel, communique avec un serveur de commande et de contrôle (C & C) utilisant le protocole HTTP, cryptant sa communication avec les algorithmes Mersenne Twister et Base64.Il peut exécuter les commandes reçues du serveur C&C, la capture de captures d'écran, les touches de journal et le volet du presse-papiers et des informations supplémentaires.
L'attaque impliquait également le malware de l'injecteur XCLoader, qui est responsable de l'injection de la charge utile XCTDOOOR dans les processus système.Xcloader s'est avéré être développé dans les langues C et GO et a été vu dans des attaques récentes contre les serveurs Web de Windows IIS, exploitant des vulnérabilités ou des erreurs de configuration.Les journaux d'attaque ont montré l'exécution des commandes pour collecter des informations système et éventuellement installer des shells Web, indiquant un compromis approfondi des systèmes ciblés.De plus, l'utilisation de Ngrok - un programme de tunneling - suggère aux attaquants destinés à maintenir un accès à distance pour une nouvelle exploitation.
AhnLabs n'attribue pas l'attaque, mais rapporte que les TTP ressemblent à l'activité antérieure par le groupe de menaces sponorées de l'État nord-coréenNdariel, suivi par Microsoft comme [Onyx Sleet] (https://ssecurity.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bAD8833C0).
## Détections / requêtes de chasse
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- [Trojan: Win32 / Tiggre] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/tiggre&theretid=-2147242786)
## Les références
[Xctdoor malware utilisés pour attaquer les sociétés nationales] (https://asec.ahnlab.com/ko/67034/).Ahnlab Security Intelligence Center (ASEC) (consulté en 2024-06-25)
#### Targeted Geolocations - Korea #### Targeted Industries - Defense Industrial Base - Critical Manufacturing ## Snapshot AhnLab Security Intelligence Center (ASEC) identified a recent attack targeting Korean companies using the Xctdoor malware. The attackers initially infiltrated systems by targeting the update server of a specific Korean enterprise resource planning (ERP) company, affecting defense and manufacturing companies. ## Description In this attack, the threat actors targeted the update server of a specific ERP system to deploy the Xctdoor backdoor malware. This malware, developed in the Go language, uses the Regsvr32.exe process to execute DLL files and inject itself into system processes like taskhost.exe and explorer.exe. It achieves persistence by copying itself to a specific path and creating a shortcut in the startup folder. Xctdoor, once operational, communicates with a command and control (C&C) server using |
Malware Vulnerability Threat Industrial | ||
|
2024-06-26 19:07:50 | (Déjà vu) Fickle Stealer Distributed via Multiple Attack Chain (lien direct) | ## Instantané Fortiguard Labs Menace Research a identifié un voleur basé sur la rouille appelée Sceneer Fickle, observé en mai 2024. ## Description Ce voleur est distribué à l'aide de diverses méthodes telles que le dropper VBA, le téléchargeur VBA, le téléchargeur de liens et le téléchargeur exécutable.La chaîne d'attaque est divisée en trois étapes: livraison, travail préparatoire et charge utile des emballeurs et du voleur. Le travail préparatoire consiste à contourner le contrôle des comptes d'utilisateurs (UAC) et à exécuter le voleur capricieux, à créer une nouvelle tâche pour exécuter le moteur.PS1 après 15 minutes, et à envoyer des messages au bot télégramme de l'attaquant \\.De plus, Fickle Stealer est protégé par un packer déguisé en exécutable légal, ce qui rend difficile la détection en utilisant certaines règles de détection.Le malware laisse tomber une copie de lui-même dans le dossier temporaire avec un nom aléatoire, exécute la copie et termine le voleur en cours d'exécution.Il communique ensuite avec le serveur pour envoyer des données volées, y compris les informations de victime, les applications cibles et les mots clés et le contenu de fichiers spécifique au format JSON.Le serveur répond par une liste cible cryptée à l'aide d'un algorithme RC4, et le malware traite diverses cibles telles que les portefeuilles crypto, les plugins, les extensions de fichiers, les chemins partiels, les applications, les navigateurs de moteur Gecko et les navigateurs à base de chrome.Enfin, le malware envoie une capture d'écran au serveur et se supprime.Fickle Stealer est conçu pour recevoir une liste cible du serveur, le rendant plus flexible, et est observé comme ayant mis à jour des variantes, indiquant un développement continu. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [delete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azur | Ransomware Spam Malware Tool Threat | ||
 |
2024-06-26 18:53:39 | Le logiciel de progression augmente la gravité du nouveau bug de mouvement vers \\ 'critique \\' alors que l'exploit tentant de sauter Progress Software elevates severity of new MOVEit bug to \\'critical\\' as exploit attempts jump (lien direct) |
Pas de details / No more details | Threat | ||
 |
2024-06-26 15:43:00 | Les pirates chinois et nord-coréens ciblent l'infrastructure mondiale avec ransomware Chinese and N. Korean Hackers Target Global Infrastructure with Ransomware (lien direct) |
Les acteurs de menaces soupçonnés de liens avec la Chine et la Corée du Nord ont été liés à des attaques de ransomwares et de chiffrement des données ciblant les secteurs du gouvernement et des infrastructures critiques à travers le monde entre 2021 et 2023.
Alors qu'un groupe d'activités a été associé au Chamelgang (alias camofei), le deuxième cluster chevauche une activité précédemment attribuée aux chinois et au nord-coréen
Threat actors with suspected ties to China and North Korea have been linked to ransomware and data encryption attacks targeting government and critical infrastructure sectors across the world between 2021 and 2023. While one cluster of activity has been associated with the ChamelGang (aka CamoFei), the second cluster overlaps with activity previously attributed to Chinese and North Korean |
Ransomware Threat | ||
 |
2024-06-26 11:06:26 | Les États-Unis interdisent Kaspersky The US Is Banning Kaspersky (lien direct) |
Ce mouvement arrive depuis longtemps.
L'administration Biden a déclaré jeudi qu'elle était l'interdiction de l'entreprise de vendre ses produits à de nouveaux clients basés aux États-Unis à partir du 20 juillet, avec la société uniqueMises à jour des clients existants jusqu'au 29 septembre./ Wired-Awake-140917 / "> Années d'avertissements De la communauté du renseignement américain sur le fait que Kaspersky soit une menace de sécurité nationale parce que Moscou pourrait aurait réquisitionner son logiciel antivirus qui voit tout>
This move has been coming for a long time. The Biden administration on Thursday said it\'s banning the company from selling its products to new US-based customers starting on July 20, with the company only allowed to provide software updates to existing customers through September 29. The ban—the first such action under authorities given to the Commerce Department in 2019—follows years of warnings from the US intelligence community about Kaspersky being a national security threat because Moscow could allegedly commandeer its all-seeing antivirus software to spy on its customers... |
Threat | ||
 |
2024-06-26 10:00:00 | Les tenants et aboutissants de l'évaluation de la posture de cybersécurité en 2024 The Ins and Outs of Cybersecurity Posture Assessment in 2024 (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Whether you\'re working with on-premises infrastructure, fully embracing the cloud, or running a hybrid solution, one thing is certain: a robust security posture is essential to safeguarding the environment. This article will explore today’s fundamentals of security posture assessment in both on-premises and cloud environments while briefly touching on the added complexities a hybrid setup will entail. What Is Security Posture Assessment? Before going any further, it is good to understand what security posture assessment really is and why knowing your security posture is essential to every organization. In short, a security posture assessment is a comprehensive evaluation of the currently utilized security measures safeguarding essential organizational data, processes to prevent breaches, and decisions to maintain business continuity. Any company should have a comprehensive assessment of its environment conducted at least annually. These assessments are used to identify vulnerabilities in processes and systems, point out areas for improvement, and comprehensively assess the overall resiliency of the organization’s entire IT ecosystem. The main goal is to fully understand the current security level and be able to take the necessary steps to remediate possible issues. Assessing On-Premises Security With on-premises system management, all the responsibility falls on the local IT team, so they need to have a comprehensive view of the currently deployed hardware and software to be able to successfully secure both. Let’s go over the components of such an exercise: ● Asset inventory: It is imperative to know the total scope of the organization\'s assets, including workstations, mobile devices, servers, network equipment, and all the software applications in use. This helps pinpoint outdated assets that either need to be removed from the environment or brought up-to-date with hardware or software upgrades. ● Patch management: New software vulnerabilities are being constantly unearthed, so prompt software updating and comprehensive patch management are instrumental in every environment. While it is a good idea to verify the stability of new updates first, automated patch management tools can help streamline this process. ● Network segmentation: Adversaries are always looking for opportunities for lateral movement in a network, so the isolation of systems and processes through network segmentation is an important step in limiting the potential damage a breach can cause. All in all, the evaluation of on-premises security requires an all-around review of the physical and digital protections within the organization’s data centers. This additionally includes vetting firewalls, intrusion detection systems, and access controls to thwart unauthorized access. Regular security audits and penetration tests are crucial to identify and address vulnerabilities before they can be weaponized. Assessing Cloud Security Working with cloud-based solutions keeps growing in popularity, since it effectively outsources the underlying hardware management to the cloud service provider, lessening the burden on the local IT team. This isn\'t to say that there is n | Tool Vulnerability Threat Patching Mobile Cloud | ||
 |
2024-06-26 09:55:48 | Chamelgang & Friends |Groupes de cyberespionnage attaquant une infrastructure critique avec un ransomware ChamelGang & Friends | Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
Les acteurs de la menace de l'écosystème du cyberespionnage utilisent des ransomwares pour le gain financier, la perturbation, la distraction, la mauvaise attribution et l'élimination des preuves.
Threat actors in the cyberespionage ecosystem are using ransomware for financial gain, disruption, distraction, misattribution, and the removal of evidence. |
Ransomware Threat | ||
|
2024-06-26 08:04:29 | WatchGuard lance la solution ThreatSync+ NDR (lien direct) | WatchGuard lance la solution ThreatSync+ NDR assistée par l'IA, pour renforcer la détection et la réponse globales aux cybermenaces WatchGuard poursuit sa stratégie de XDR ouvert. Avec ThreatSync+ NDR, WatchGuard offre à toutes les organisations une visibilité unifiée sur les menaces dans leur trafic réseau, une corrélation des alertes et une réponse coordonnée aux menaces. - Produits | Threat | ||
 |
2024-06-26 08:00:00 | Insigne d'analyse des menaces: voleur d'informations sur le Risepro Threat Analysis Insight: RisePro Information Stealer (lien direct) |
Risepro est un voleur d'informations multifonctionnel souvent vendu sur des forums souterrains comme une offre de logiciels malveillants en tant que service (MAAS).Dans ce blog, nous allons approfondir le Risepro et examiner sa chaîne d'infection et son fonctionnement interne.
RisePro is a multifunctional information-stealer often sold on underground forums as a Malware-as-a-Service (MaaS) offering. In this blog, we\'ll delve deeper into RisePro and examine its infection chain and inner workings. |
Threat | ||
|
2024-06-26 07:31:22 | Tenable permet à West Burton Energy d\'améliorer la sécurité et l\'efficacité de ses activités OT (lien direct) | Tenable permet à West Burton Energy d'améliorer la sécurité et l'efficacité de ses activités OT Avec Tenable OT Security, West Burton Energy a réduit les alertes de détection des menaces de 98 % et amélioré l'efficacité de 87 %, économisant ainsi plus de 200 heures par an. - Marchés | Threat Industrial | ||
 |
2024-06-26 03:09:26 | Les 5 industries les plus vulnérables aux violations de données en 2024 The 5 Industries Most Vulnerable to Data Breaches in 2024 (lien direct) |
Alors que nous passons à mi-chemin de 2024, des violations de données restent en augmentation.Les cybercriminels trouvent des moyens de plus en plus inventifs pour infiltrer les organisations, exploitant des vulnérabilités dans les réseaux, les logiciels et le comportement humain.Des schémas de phishing et des attaques de ransomwares aux menaces d'initiés et aux compromis de la chaîne d'approvisionnement, la menace des cyberattaques se poursuit.C'est une mauvaise nouvelle, en particulier pour certaines industries.Les conséquences de ces violations s'étendent bien au-delà des pertes financières.Les entreprises qui sont victimes peuvent être confrontées à des amendes réglementaires et à des problèmes juridiques civils.Plusieurs industries ont été ciblées ...
As we pass the halfway mark of 2024, data breaches remain on the rise. Cybercriminals are finding more and more inventive ways to infiltrate organizations, exploiting vulnerabilities in networks, software, and human behavior. From phishing schemes and ransomware attacks to insider threats and supply chain compromises, the threat of cyber attacks continues. This is bad news, especially for certain industries. The consequences of these breaches extend far beyond financial losses. Companies that fall victim can face regulatory fines and civil legal problems. Several industries have been targeted... |
Ransomware Vulnerability Threat | ||
|
2024-06-25 21:14:40 | Resurgence de Strelastealer: suivi d'un voleur d'identification axé sur JavaScript ciblant l'Europe StrelaStealer Resurgence: Tracking a JavaScript-Driven Credential Stealer Targeting Europe (lien direct) |
#### Targeted Geolocations - Poland - Spain - Italy - Germany ## Snapshot The SonicWall Capture Labs threat research team has been monitoring an increase in the spread of StrelaStealer, an information stealer (infostealer) malware that first emerged in 2022. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description In mid-June, there was a notable surge in JavaScript spreading StrelaStealer, which targets Outlook and Thunderbird email credentials. StrelaStealer\'s infection chain remains similar to previous versions but now includes checks to avoid infecting Russian systems. Its targets are primarily in Poland, Spain, Italy, and Germany. The initial infection vector is an obfuscated JavaScript file sent via email in archive files. This file drops a copy in the user\'s directory with a random name and then executes a batch file to check the system language, excluding Russian users by detecting the OSLanguage code "1049". If non-Russian, a base64-encoded PE file is dropped, decoded, and a DLL is created and executed using regsvr32.exe. The DLL\'s obfuscated code decrypts the actual PE file and injects it into the current process. The stealer dynamically loads necessary APIs and checks the keyboard layout to determine the system\'s geographic location. It targets languages such as Spanish, Basque, Polish, Catalan, Italian, and German. The malware starts its stealing functionality with Mozilla Thunderbird, looking for specific files and sending data to a designated IP address. It also targets Outlook by retrieving information from specific registry keys and sending this data to the same IP. ## Additional Analysis OSINT reporting about StrelaStealer indicates that its operators tend to initiate large-scale campaigns targeting organizations in specific geographic regions or countries. Initially, the malware primarily targeted Spanish-speaking users, but has since evolved to target users speaking English and other European languages. According to Palo Alto Network\'s 2024 [report](https://unit42.paloaltonetworks.com/strelastealer-campaign/) on StrelaStealer, the malware\'s main goal, to steal email login data from email clients, has not changed. However, the malware\'s infection chain and packer have been modified to evade detection and make analysis more difficult. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Trojan:JS/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/StrelaStealer!MSR&threatId=-2147061639)* - *[Trojan:Win64/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/StrelaStealer.GPAX!MTB&threatId=-2147056969)* - *[Trojan:Win32/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/StrelaStealer.ASS!MTB&threatId=-2147054947)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly a | Ransomware Spam Malware Tool Threat | ||
|
2024-06-25 19:51:24 | Activités malveillantes liées à l'ensemble d'intrusion Nobelium Malicious Activities Linked to the Nobelium Intrusion Set (lien direct) |
#### Géolocations ciblées
- France
#### Industries ciblées
- agences et services gouvernementaux
- Diplomatie / relations internationales
- Informatique
## Instantané
L'Agence française de cybersécurité (ANSSI), ainsi que ses partenaires nationaux, ont identifié plusieurs cyberattaques contre des entités diplomatiques françaises liées à Nobelium, suivis par Microsof 3E28BE2D484CE874616).
## Description
Nobelium, attribué au Service de renseignement étranger de la Fédéation russe (SVR), est actif depuis au moins octobre 2020 et cible principalement des entités diplomatiques occidentales de grande valeur à des fins d'espionnage.De plus, les sociétés informatiques ont déclaré avoir été ciblées par les opérateurs de Nobelium \\ à la fin de 2023 et 2024. Les attaques impliquent des campagnes de phishing contre des entités publiques et diplomatiques françaises, visant à exfiltrer les renseignements stratégiques et aux attaques contre les sociétés informatiques internationales pour potentiellement renforcer les capacités offensives offensives et les capacités offensives offensives pour potentiellement renforcer les capacités offensives offensives et les capacités offensives et potentiellement renforcer les capacités offensives offensives et les capacités offensives potentiellement pour renforcer les capacités offensives offensives et les capacités offensives potentiellement pour renforcer les capacités offensives offensives et les capacités offensives potentiellement pour renforcer les capacités offensives Offensive.Ces activités posent un problème de sécurité nationale et mettent en danger les intérêts diplomatiques français et européens.
## Analyse Microsoft
Évaluation Microsoft que [Midnight Blizzard] (https://security.microsoft.com/intel-profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616) est cohérente et persistant dans leur ciblage, et leur objectif.L'acteur de menace cible principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les prestataires de services informatiques, en particulier aux États-Unis et en Europe.L'objectif principal de l'acteur est de collecter des renseignements grâce à des activités d'espionnage à long terme axées sur les intérêts étrangers, une pratique qui peut être retracée au début de 2018.
Les opérations de Midnight Blizzard \\ impliquent souvent des comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d'authentification au sein des organisations pour étendre l'accès et échapper à la détection.
## Les références
[Activités malveillantes liées à l'ensemble d'intrusion Nobelium] (https://www.cert.ssi.gouv.fr/cti/certfr-2024-cti-006/).Asi (consulté en 2024-06-25)
[APT26 cible les entités diplomatiques françaises et européennes dans des cyberattaques persistantes - IOC actifs] (https://www.rewterz.com/Threat-advisory/APT29-Targets-french-and-european-diplomatic-entities-in-persistent-cyberAttacks-actif-IOCS).Rewterz (consulté en 2024-06-25)
[Midnight Blizzard] (https://security.microsoft.com/intel-profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616).Microsoft (consulté en 2024-06-25)
#### Targeted Geolocations - France #### Targeted Industries - Government Agencies & Services - Diplomacy/International Relations - Information Technology ## Snapshot The French Cybersecurity Agency (ANSSI), along with its national partners, have identified several cyberattacks against French diplomatic entities linked to Nobelium, tracked by Microsoft as [Midnight Blizzard](https://security.microsoft.com/intel-profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616). ## Description Nobelium, attributed to the Foreign Intelligence Service of the Russian Fedeation (SVR), has been |
Threat | ||
 |
2024-06-25 19:36:10 | L'acteur de menace peut avoir accédé à des informations sensibles sur l'application CISA Chemical Threat Actor May Have Accessed Sensitive Info on CISA Chemical App (lien direct) |
Un adversaire inconnu a compromis une application CISA contenant les données via une vulnérabilité dans l'appareil sécurisé Ivanti Connect en janvier.
An unknown adversary compromised a CISA app containing the data via a vulnerability in the Ivanti Connect Secure appliance this January. |
Vulnerability Threat | ||
 |
2024-06-25 17:01:23 | Je suis gluant (chargeur) I am Goot (Loader) (lien direct) |
Threat | |||
|
2024-06-25 16:12:00 | Une nouvelle technique d'attaque exploite les fichiers de console de gestion Microsoft New Attack Technique Exploits Microsoft Management Console Files (lien direct) |
Les acteurs de la menace exploitent une nouvelle technique d'attaque à l'état sauvage qui exploite des fichiers de console enregistrés en gestion spéciale (MSC) pour obtenir une exécution complète de code à l'aide de la console de gestion Microsoft (MMC) et d'évader les défenses de sécurité.
Elastic Security Labs a nommé l'approche GrimResource après avoir identifié un artefact ("SCCM-UpDater.MSC") qui a été téléchargé sur le malware Virustotal
Threat actors are exploiting a novel attack technique in the wild that leverages specially crafted management saved console (MSC) files to gain full code execution using Microsoft Management Console (MMC) and evade security defenses. Elastic Security Labs has codenamed the approach GrimResource after identifying an artifact ("sccm-updater.msc") that was uploaded to the VirusTotal malware |
Malware Threat | ||
 |
2024-06-25 15:25:54 | Plugins sur WordPress.org Backdé dans l'attaque de la chaîne d'approvisionnement Plugins on WordPress.org backdoored in supply chain attack (lien direct) |
Un acteur de menace a modifié le code source d'au moins cinq plugins hébergés sur wordpress.org pour inclure des scripts PHP malveillants qui créent de nouveaux comptes avec des privilèges administratifs sur les sites Web qui les exécutent.[...]
A threat actor modified the source code of at least five plugins hosted on WordPress.org to include malicious PHP scripts that create new accounts with administrative privileges on websites running them. [...] |
Threat | ||
 |
2024-06-25 15:00:00 | La menace croissante de logiciels malveillants cachés derrière les services cloud The Growing Threat of Malware Concealed Behind Cloud Services (lien direct) |
Les menaces de cybersécurité tirent de plus en plus des services cloud pour stocker, distribuer et établir des serveurs de commandement et de contrôle (C2).Au cours du dernier mois, Fortiguard Labs a suivi des botnets qui ont adopté cette stratégie.Apprendre encore plus.
Cybersecurity threats are increasingly leveraging cloud services to store, distribute, and establish command and control (C2) servers. Over the past month, FortiGuard Labs has been monitoring botnets that have adopted this strategy. Learn more. |
Malware Threat Cloud | ||
|
2024-06-25 15:00:00 | Nouvelle cybernatreat \\ 'boolka \\' Déploiement de Bmanager Trojan via des attaques SQLI New Cyberthreat \\'Boolka\\' Deploying BMANAGER Trojan via SQLi Attacks (lien direct) |
Un acteur de menace sans papiers auparavant surnommé Boolka a été observé en compromettant des sites Web avec des scripts malveillants pour livrer un copain de Troie modulaire Bmanager.
"L'acteur de menace derrière cette campagne a mené des attaques opportunistes d'injection de SQL contre les sites Web dans divers pays depuis au moins 2022", a déclaré les chercheurs du groupe-IB Rustam Mirkasymov et Martijn van den Berk
A previously undocumented threat actor dubbed Boolka has been observed compromising websites with malicious scripts to deliver a modular trojan codenamed BMANAGER. "The threat actor behind this campaign has been carrying out opportunistic SQL injection attacks against websites in various countries since at least 2022," Group-IB researchers Rustam Mirkasymov and Martijn van den Berk said in a |
Threat | ||
 |
2024-06-25 14:00:00 | IDOR: Un guide complet pour exploiter les vulnérabilités avancées d'IDOR IDOR: A complete guide to exploiting advanced IDOR vulnerabilities (lien direct) |
> IDOR -Short pour la référence d'objets directs non sécurisée - Les vulnérabilités sont l'une des vulnérabilités de sécurité Web les plus couramment trouvées dans les applications Web modernes et les API.pour repérer et exploiter et sont par nature des vulnérabilités de haute sévérité.[& # 8230;]
>IDOR -short for insecure direct object reference- vulnerabilities are one of the most commonly found web security vulnerabilities in modern web applications and APIs.It is no wonder that they are often recommended to new bug bounty hunters who are just starting as they are easy to spot and exploit and are by nature high-severity vulnerabilities. […] |
Vulnerability Threat | ||
|
2024-06-25 13:08:53 | Cisco Talos détaille diverses cibles de logiciels malveillants de Sugargh 0st, alors que les pirates sneakychef élargissent la portée Cisco Talos details diverse SugarGh0st malware targets, as SneakyChef hackers widen scope (lien direct) |
> Les chercheurs de Cisco Talos ont révélé une campagne en cours de Sneakychef, un acteur de menace nouvellement identifié utilisant Sugargh 0st malware ...
>Cisco Talos researchers have revealed an ongoing campaign by SneakyChef, a newly identified threat actor using SugarGh0st malware... |
Malware Threat | ||
 |
2024-06-25 13:00:00 | Gérer les menaces d'IA avec la bonne architecture technologique Manage AI threats with the right technology architecture (lien direct) |
> Dans un monde de plus en plus numérique, les entreprises sont continuellement confrontées à la menace des cyberattaques.Les progrès actuels de l'intelligence artificielle (IA) promettent des améliorations significatives dans la détection et la défense contre de telles menaces.Cependant, ce n'est pas un secret que les attaquants utilisent de plus en plus l'IA.Les cyber-criminels exploitent l'IA et l'apprentissage automatique pour optimiser et automatiser les attaques.Les logiciels malveillants dirigés par AI peuvent rapidement [& # 8230;]
>In an increasingly digital world, companies continuously face the threat of cyberattacks. Current advances in artificial intelligence (AI) promise significant improvements in detecting and defending against such threats. However, it is no secret that attackers are increasingly using AI. Cyber criminals leverage AI and machine learning to optimize and automate attacks. AI-driven malware can quickly […] |
Malware Threat | ||
|
2024-06-25 12:23:34 | Bitdefender étend la collaboration Arrow Electronics avec de puissantes solutions de cybersécurité basées sur un abonnement pour les entreprises Bitdefender Expands Arrow Electronics Collaboration with Powerful Subscription-Based Cybersecurity Solutions for Businesses (lien direct) |
Bitdefender étend la collaboration Arrow Electronics avec de puissantes solutions de cybersécurité basées sur un abonnement pour les entreprises
La collaboration prolongée offre des solutions avancées de prévention, de détection et de réponse, y compris XDR et MDR, aux organisations sur les principaux marchés européens
-
nouvelles commerciales
Bitdefender Expands Arrow Electronics Collaboration with Powerful Subscription-Based Cybersecurity Solutions for Businesses Extended Collaboration Delivers Advanced Threat Prevention, Detection and Response Solutions, Including XDR and MDR, to Organizations Across Key European Markets - Business News |
Threat | ||
 |
2024-06-25 10:00:39 | Cybersécurité dans l'espace SMB - une menace croissante Cybersecurity in the SMB space - a growing threat (lien direct) |
Les analystes de Kaspersky expliquent quelles applications sont le plus ciblées et comment les entreprises peuvent se protéger contre le phishing et le spam.
Kaspersky analysts explain which applications are targeted the most, and how enterprises can protect themselves from phishing and spam. |
Spam Threat | ||
|
2024-06-25 10:00:00 | Le rôle de la cybersécurité dans la construction et la fabrication modernes The Role of Cybersecurity in Modern Construction and Manufacturing (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity and threat preparedness may be at the forefront of your mind, and you may have protections in place against more common threats. Yet, as these threats continue to evolve, vigilance and adaptation are crucial for construction and manufacturing organizations. Cybercriminals have gotten both more prolific and more creative. 2023 saw a record-breaking spike in cyberattacks, with well over 300 million victims falling prey to data breaches, and the average corporate data breach cost 4.45 million dollars. In an industry where reputation is everything, a single breach could sink your ship in more ways than one. As we proceed, we’ll unpack the many ways that a cyberattack could impact your ability to turn a profit, making you aware of vulnerabilities that exist within your organization’s structure. Then we’ll provide you with practical suggestions to patch these vulnerabilities, insulating you from outside threats and keeping you on track to remain profitable. Computer Vision and Vulnerabilities As you use new technologies to support your existing processes, you must be aware of vulnerabilities that new systems can create. If you’ve looked into leveraging recent tech advancements in your field, you’re probably familiar with computer vision technology. Computer vision technology uses data gathered from physical images, importing them into the digital realm and unlocking a variety of potential benefits. Takeoff software and AI-powered planning systems streamline the project liftoff process by, simplifying cost estimation, identifying and correcting blueprint errors, and even advancing sustainability goals. While these systems can be leveraged to optimize a wide variety of processes, they also shift the balance of project planning from human input to automated computing processes. This in turn puts you more at risk for being a victim of a cyberattack. Malefactors can access automated systems through a wide variety of channels. Whether they break into your network via access to an IoT-connected device that someone misplaced in the workspace, or secret malicious code into the data sources your devices consume to function, increasing your use of technology also increases their windows of opportunity. As these systems increase in scope and importance, leaving windows like these open increases the risk of potentially profitable projects turning belly up. Process Disruption However, cybercriminals don’t need you to use newfangled technology solutions to cause havoc throughout your processes. Cybercriminals already have a tried-and-true playbook that they’ve been using on your competitors for years, and to great effect. Some of the ways cyberthreats can fracture manufacturers’ processes include: ● Ransomware: If a cybercriminal gains access to mission-critical data, they can then lock that data behind a ransomware program. Ransomware holds company d | Ransomware Malware Tool Vulnerability Threat Patching | ||
 |
2024-06-25 09:04:07 | Une vulnérabilité zero-day pour des caméras en vente (lien direct) | Les "inventeurs" de 0day préfèrent vendre leurs créations directement dans le dark web plutôt que de passer par des brokers ou des programmes de bug bounty. Une vulnérabilité pour caméra IP est vendue 400 000 dollars. | Vulnerability Threat | ||
|
2024-06-25 01:00:00 | Les équipes de cyber-espionnage liées à la Chine ciblent les télécommunications asiatiques China-Linked Cyber-Espionage Teams Target Asian Telecoms (lien direct) |
Dans les dernières violations, les groupes de menaces ont compromis les sociétés de télécommunications dans au moins deux pays asiatiques, installant des délais et éventuellement écouter ou préspositionner pour une future attaque.
In the latest breaches, threat groups compromised telecommunications firms in at least two Asian nations, installing backdoors and possibly eavesdropping or pre-positioning for a future attack. |
Threat | ||
 |
2024-06-25 00:00:00 | WatchGuard lance la solution ThreatSync+ NDR assistée par l\'IA, pour renforcer la détection et la réponse globales aux cybermenaces (lien direct) | Paris, le 25 juin 2024. WatchGuard® Technologies, l\'un des leaders mondiaux de la cybersécurité unifiée, annonce le lancement de ThreatSync+ NDR et de WatchGuard Compliance Reporting. ThreatSync+ NDR est une solution adaptée aux entreprises de toute taille, qui disposent d\'équipes informatiques réduites ou de ressources limitées en matière de cybersécurité. Premier produit de la nouvelle gamme ThreatSync+, ThreatSync+ NDR automatise et simplifie le monitoring continu, ainsi que la détection des menaces et la prise de mesures correctives à l\'aide d\'un moteur de détection avancé basé sur l\'IA. La solution se fraye un chemin à travers les milliards de flux du réseau pour mettre en évidence les risques et les menaces exploitables, avec rapidité et efficacité. Cette solution XDR ouverte offre une visibilité sur le trafic réseau est-ouest et nord-sud qui n\'était auparavant accessible qu\'aux grandes entreprises disposant des ressources nécessaires pour gérer leur propre SOC (centre d\'opérations de sécurité). L\'IA moderne pour une détection et une réponse améliorées aux menaces ThreatSync+ NDR utilise un moteur d\'IA avancé reposant sur une approche de réseau neuronal à double couche, une technologie clé issue de l\'acquisition de CyGlass par WatchGuard en 2023. Le moteur d\'IA de ThreatSync+ corrèle et présente les anomalies sous forme d\'incidents classés par risque et par ordre de priorité. Les fournisseurs de services managés (MSP) et les professionnels de la sécurité informatique disposent ainsi d\'un tableau de bord intuitif indiquant l\'emplacement de l\'incident, les appareils, les utilisateurs et la chronologie, ce qui leur permet de se concentrer sur les menaces les plus critiques, de passer en revue les directives de mitigation et, en fin de compte, de mieux protéger leurs organisations. Gilles Macchioni, Directeur Technique Régional d\'OCI Informatique et Digital. explique : " WatchGuard ThreatSync+ NDR fournit une couche de protection avancée supplémentaire qui était auparavant hors de portée. Auparavant, la mise en œuvre du NDR était difficile en raison de sa complexité et des coûts d\'exploitation élevés qu\'il entraînait. Étant donné que l\'architecture de WatchGuard basée dans le Cloud ne nous oblige pas à installer ou à gérer du matériel complémentaire, nous pouvons déployer ThreatSync+ NDR pour nos clients rapidement, aisément et de manière rentable. Grâce à la protection avancée et abordable basée sur l\'IA proposée par WatchGuard ThreatSync+NDR, nous pouvons désormais offrir à nos clients une protection accrue tout en créant des opportunités de croissance significatives pour notre entreprise ". ThreatSync+ NDR en action ThreatSync+ NDR surveille les attaques à mesure qu\'elles surviennent sur le réseau et excelle dans la détection des attaques qui ont échappé aux défenses périmétriques, notamment les ransomwares, les vulnérabilités et les attaques touchant la supply chain. Les attaquants ne peuvent pas déceler ThreatSync+ NDR car la solution utilise l\'IA pour rechercher les actions des attaquants dissimulées dans le trafic du réseau. Par ailleurs, les attaquants ne peuvent pas se cacher de ThreatSync+, car ils doivent utiliser le réseau pour étendre leur attaque. Cela signifie que le NDR est le seul à pouvoir détecter les différentes étapes d\'une attaque, notamment les appels de commande et de contrôle, les mo | Tool Threat Cloud | ||
|
2024-06-25 00:00:00 | Rapport OMDIA: Trend a divulgué 60% des vulnérabilités Omdia Report: Trend Disclosed 60% of Vulnerabilities (lien direct) |
Le dernier rapport de vulnérabilité OMDIA montre que Trend Microtm Zero Day InitiativeTM (ZDI) a dirigé 60% des divulgations de 2023, soulignant son rôle dans la prévention des menaces de cybersécurité.
The latest Omdia Vulnerability Report shows Trend MicroTM Zero Day InitiativeTM (ZDI) spearheaded 60% of 2023 disclosures, underscoring its role in cybersecurity threat prevention. |
Vulnerability Threat Prediction | ||
|
2024-06-24 21:29:22 | RedJuliett parrainé par l'État chinois s'intensifie le cyber-espionnage taïwanais via l'exploitation du périmètre du réseau Chinese State-Sponsored RedJuliett Intensifies Taiwanese Cyber Espionage via Network Perimeter Exploitation (lien direct) |
#### Targeted Geolocations - Taiwan #### Targeted Industries - Government Agencies & Services - Diplomacy/International Relations - Information Technology - Education - Higher Education ## Snapshot Recorded Future\'s Insikt Group identified cyber-espionage activities conducted by RedJuliett, tracked by Microsoft as [Flax Typhoon](https://security.microsoft.com/intel-profiles/1d86849881abbb395d908d2739d9ad57e901d557fa8c25e0b3fd281e13764ff0), targeting government, academic, technology, and diplomatic organizations in Taiwan. ## Description Researchers have identified that RedJuliett has compromised 24 organizations, including government entities in Taiwan, Laos, Kenya, and Rwanda. They have also conducted network reconnaissance and exploitation attempts against over 70 academic, government, think tank, and technology organizations in Taiwan, as well as a number of de facto embassies on the island. RedJuliett\'s exploitation techniques involve creating SoftEther VPN bridges or clients within victim networks. They use Acunetix Web Application Security Scanners for reconnaissance and exploit attempts, focusing on SQL injection and directory traversal attacks against web and SQL applications. After gaining access, they employ open-source web shells and exploit privilege escalation vulnerabilities in the Linux operating system. Their infrastructure management involves SoftEther VPN, utilizing both threat actor-controlled leased servers and compromised infrastructure from Taiwanese universities. These activities align with Beijing\'s strategic goals to gather intelligence on Taiwan\'s economic policies, trade, and diplomatic relations. Additionally, the group has targeted critical technology companies, underscoring the sector\'s significance to Chinese state-sponsored threat actors. ## Microsoft Analysis Active since 2021, Flax Typhoon is a nation-state activity group based in China. The group is known to primarily target government, education, critical manufacturing, and information technology organizations in Taiwan. Flax Typhoon typically conducts espionage, data theft, and credential access. Microsoft has [previously reported](https://security.microsoft.com/intel-explorer/articles/3a50641d) on Flax Typhoon leveraging SoftEther VPN and living-off-the-land (LOTL) techniques to gain initial access and maintain persistince within Taiwanese victim networks. LOTL techniques leverage trusted tools and processes to bypass security detections. ## Recommendations ### Defending against Flax Typhoon attacks - Keep public-facing servers up to date to defend against malicious activity. As prime targets for threat actors, public-facing servers need additional monitoring and security. User input validation, file integrity monitoring, behavioral monitoring, and web application firewalls can all help to better secure these servers. - Monitor the Windows registry for unauthorized changes. The [Audit Registry](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-registry) feature allows administrators to generate events when specific registry keys are modified. Such policies can detect registry changes that undermine the security of a system, like those made by Flax Typhoon. - Use network monitoring and intrusion detection systems to identify unusual or unauthorized network traffic. If an organization does not use RDP for a specific business purpose, any RDP traffic should be considered unauthorized and generate alerts. - Ensure that Windows systems are kept updated with the latest security patches. - Mitigate the risk of compromised valid accounts by enforcing strong multifactor authentication (MFA) policies using hardware security keys or Microsoft Authenticator. [Passwordless sign-in methods](https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless) (for example, Windows Hello, FID | Tool Vulnerability Threat | ||
|
2024-06-24 20:35:34 | LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations (lien direct) | #### Géolocations ciblées
- Chine
## Instantané
LevelBlue Labs a récemment découvert un nouveau chargeur hautement évasif qui est livré à des cibles spécifiques par des pièces jointes de phishing.
## Description
Levelblue Labs a nommé ce malware «Squidloader», compte tenu de ses efforts clairs sur leur leurre et ses délais.
Le logiciel malveillant en charge utile de deuxième étape que Squidloader a livré est un échantillon de frappe Cobalt, qui avait été modifié pour le durcir contre l'analyse statique.Sur la base de la configuration de SquidLoader \\, LevelBlue Labs a évalué que ce même acteur inconnu a été observé pour offrir des campagnes sporadiques au cours des deux dernières années, ciblant principalement les victimes de langue chinoise.Malgré l'étude d'un acteur de menace qui semble se concentrer sur un pays spécifique, leurs techniques et tactiques peuvent être reproduites, peut-être contre des organisations non chinaises dans un avenir proche par d'autres acteurs ou créateurs de logiciels malveillants qui tentent d'éviter les détections.
## Les références
[LevelBlue Labs découvre un nouveau chargeur hautement évasif ciblant les organisations chinoises] (https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (consulté en 2024-06-24)
#### Targeted Geolocations - China ## Snapshot LevelBlue Labs recently discovered a new highly evasive loader that is being delivered to specific targets through phishing attachments. ## Description LevelBlue Labs has named this malware “SquidLoader,” given its clear efforts at decoy and evasion. The second-stage payload malware that SquidLoader delivered is a Cobalt Strike sample, which had been modified to harden it against static analysis. Based on SquidLoader\'s configuration, LevelBlue Labs has assessed that this same unknown actor has been observed delivering sporadic campaigns during the last two years, mainly targeting Chinese-speaking victims. Despite studying a threat actor who seems to focus on a specific country, their techniques and tactics may be replicated, possibly against non-Chinese speaking organizations in the near future by other actors or malware creators who try to avoid detections. ## References [LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations](https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (Accessed 2024-06-24) |
Malware Threat | ||
|
2024-06-24 17:31:43 | HC3 publie un profil de menace sur les ransomwares Qilin ciblant les soins de santé mondiaux, d'autres secteurs critiques HC3 releases threat profile on Qilin ransomware targeting global healthcare, other critical sectors (lien direct) |
Le centre de coordination de la cybersécurité du secteur de la santé (HC3) du Département américain de la santé & # 38;Les services humains (HHS) ont ...
The Health Sector Cybersecurity Coordination Center (HC3) of the U.S. Department of Health & Human Services (HHS) has... |
Ransomware Threat Medical | ||
|
2024-06-24 16:51:00 | Saisissez le fardeau avec les rapports de renseignement sur les menaces de l'IA Ease the Burden with AI-Driven Threat Intelligence Reporting (lien direct) |
Découvrez les menaces critiques qui peuvent avoir un impact sur votre organisation et les mauvais acteurs derrière eux des experts des menaces de Cybersixgill.Chaque histoire met en lumière les activités souterraines, les acteurs de la menace impliqués et pourquoi vous devriez vous soucier, ainsi que ce que vous pouvez faire pour atténuer les risques. & NBSP;
Les professionnels de la cybersécurité sont confrontés à des défis sans précédent alors qu'ils s'efforcent de gérer les charges de travail croissantes
Learn about critical threats that can impact your organization and the bad actors behind them from Cybersixgill\'s threat experts. Each story shines a light on underground activities, the threat actors involved, and why you should care, along with what you can do to mitigate risk. Cybersecurity professionals are facing unprecedented challenges as they strive to manage increasing workloads |
Threat | ||
 |
2024-06-24 15:30:00 | Les utilisateurs d'Android ont mis en garde contre l'augmentation de la menace de logiciels malveillants de Rafel Rat Android Users Warned of Rising Malware Threat From Rafel RAT (lien direct) |
Une publication antérieure par Check Point Research avait déjà lié Rafel à l'équipe APT-C-35 / Donot
An earlier publication by Check Point Research had already linked Rafel to the APT-C-35/DoNot Team |
Malware Threat Mobile | ||
|
2024-06-24 14:59:36 | Symantec avertit la campagne d'espionnage par le renseignement chinois ciblant les opérateurs de télécommunications asiatiques Symantec warns of espionage campaign by Chinese Intelligence targeting Asian telecom operators (lien direct) |
Les chercheurs de l'équipe Hunter de Symantec \\ ont émis une alerte sur une vaste campagne d'espionnage en utilisant des outils liés à ...
Researchers from Symantec\'s Threat Hunter Team issued an alert over an extensive espionage campaign using tools related to... |
Tool Threat | ||
|
2024-06-24 14:46:29 | La nouvelle plate-forme PHAAS permet aux attaquants de contourner l'authentification à deux facteurs New PhaaS Platform Lets Attackers Bypass Two-Factor Authentication (lien direct) |
#### Targeted Geolocations - Eastern Europe - Northern Europe - Southern Europe - Western Europe - Middle East - Central America and the Caribbean - North America - South America #### Targeted Industries - Financial Services ## Snapshot EclecticIQ analysts discovered phishing campaigns targeting financial institutions using QR codes embedded in PDF attachments to direct victims to phishing URLs. ## Description The attacks were facilitated by a Phishing-as-a-Service (PhaaS) platform called ONNX Store, which operates through Telegram bots. ONNX Store includes a two-factor authentication (2FA) bypass mechanism that intercepts 2FA requests, increasing the success rate of Business Email Compromise (BEC) attacks. The phishing pages mimic Microsoft 365 login interfaces, tricking targets into entering their authentication details. Analysts believe with high confidence that ONNX Store is likely a rebranded version of the Caffeine phishing kit, discovered by Mandiant in 2022, based on overlapping infrastructure and Telegram advertisements. The Arabic-speaking threat actor MRxC0DER is thought to be the developer and maintainer of Caffeine, and likely provides client support for ONNX Store. ONNX Store offers various services via Telegram bots, including phishing templates, webmail services, and bulletproof hosting. It leverages Cloudflare to delay takedown processes and evade detection, using features like CAPTCHA and IP proxying to protect malicious sites. ONNX Store distributes PDF documents with embedded QR codes that direct victims to phishing pages, often impersonating reputable services like Adobe or Microsoft 365. These QR codes are difficult for organizations to detect, especially on mobile devices. Most phishing campaigns target financial institutions in the EMEA and AMER regions, including banks and credit unions. The phishing kit uses encrypted JavaScript to evade detection and captures 2FA tokens in real-time, relaying them to attackers. ONNX Store also provides bulletproof hosting, allowing cybercriminals to operate without shutdown risks. The broader implications of these phishing toolkits include aiding credential theft and ransomware attacks. ## Microsoft Analysis ## Detections/Hunting Queries EclecticIQ identified two YARA Rules that can be used to identifiy potentially malicious domains or PDF Files from the ONNX Store. HUNT\_CRIME\_ONNX\_PHISHING\_URL is designed to identify specific patterns associated with malicious domains that utilize ONNX Store API such as default error messages and Telegram support links. | rule HUNT\_CRIME\_ONNX\_PHISHING\_URL { meta: description = "Searches for default ONNX Store API error" author = "Arda Buyukkaya" date = "2024-05-23" hash = "77e03c77a2bdbc09d5279fa316a35db0" strings: $contact\_link = "https://t.me/ONNXIT" $support\_message = "Please contact ONNX SUPPORT" $expired\_api = "Your API has been expired" condition: all of them } | | --- | MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR is designed to detect potenetioally malcioius QR codes with PDF files. | rule MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR { meta: description = "Detects potentially malicious PDFs based on structural patterns" author = "Arda Buyukkaya" date = "2024-05-17" hash = "0250a5ba26791e7ffddb4b294d486479" strings: $pdf = "%PDF-" $magic\_classic = "%!FontType1-1." $magic\_font = /obj\s\*]\*\/Subtype\s\*\/Type1/ $magic\_font2 = /obj\s\* | Ransomware Tool Threat Mobile | ||
|
2024-06-24 14:16:35 | Sécurité centrée sur l'homme dans l'écosystème de cybersécurité et la stratégie Better Together de Pointpoint \\ Human Centric Security in the Cybersecurity Ecosystem and Proofpoint\\'s Better Together Strategy (lien direct) |
In my previous blog, I detailed how Proofpoint has redefined email security, a central pillar of what Gartner has termed Human-Centric Security, one of their three strategic priorities for CISOs in 2024 and 2025. Now I\'d like to give you an idea of how we think human-centric security fits with the rest of the modern security stack and how the current trend toward more comprehensive security solution architectures is influencing our strategic direction. The Third Era It\'s worthwhile to start with a bit of history. In our view, we\'ve entered the third major evolution of cybersecurity. In the earliest period, the perimeter was established, and basic controls were put in place. The technologies were fewer and less capable, but the consequences of security failures were nowhere near as severe as they are now. In the second era, the perimeter largely dissolved and the rapid adoption of new technologies during the heyday of digital transformation led to a massive proliferation of point security solutions, cropping up nearly as fast as the tools they were meant to secure. Unfortunately, the cost of the security engineering, operational integration, and alert response required for these tools to be effective often outweighed the risk mitigation they provided. Now we\'ve arrived a phase where the security architectures of the future are finally taking shape. They share several key characteristics: they\'re highly integrated, cloud-deployed, and align to what security teams really need to protect: their infrastructure, the apps that run on it, the data that powers those applications, and of course the humans that simultaneously constitute their organization\'s greatest asset and biggest risk. The Pillars of a Modern Security Architecture To protect the spectrum between infrastructure and people, five key control planes have emerged. The first of those components is the network, where controls have moved past the classic confines of the firewall, proxy, VPN, and other network devices to the cloud-based consolidated services that make up the modern Secure Access Services Edge (SASE). Secondly, endpoint and server protection evolved into first Endpoint Detection and Response (EDR) and then XDR as servers were increasingly replaced by cloud workloads. That of course leaves the human element, to which I\'ll return shortly, and the two cross-architecture layers: the operational processes, increasingly automated, that drive the controls and respond to the alerts they generate, and the identity fabric, both human and machine, that ties everything together. These architectures are powerful on their own, and their effectiveness compounds when they\'re well integrated. Attackers have often exploited the gaps between poorly implemented and monitored security controls to pass from a compromise of a person\'s credentials through the network to the administrative privileges that make ransomware so disruptive. Frustrating adversaries becomes much more achievable when well-integrated security controls reinforce each other, providing not just defense in depth but also defense in breadth. For example, an attacker\'s job is much harder when the malicious attachment they use to try and target a person is blocked and analyzed, with the resulting intelligence shared across SASE and XDR. Human-Centric Security and the Ecosystem With the rise of these modern security architectures, our controls for protecting networks, endpoints, and infrastructure have evolved, becoming more comprehensive, adaptive, and effective. With over 90% of breaches involving the human element, Proofpoint\'s human-centric security platform uniquely does the same for people and integrates with the key leaders across the other five components of the modern security stack. In pioneering human-centric security, we\'ve brought together previously disconnected functionality to accomplish two critical goals. The first is helping organizations protect their people from targeted attacks, impersonation, and supplier risk, along with making their people more resilien | Ransomware Tool Threat Prediction Cloud | ||
|
2024-06-24 13:20:50 | (Déjà vu) Vérifier Rapport de sécurité du cloud de Point \\: Navigation de l'intersection de la cybersécurité Check Point\\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber Security (lien direct) |
Vérifier le point de la sécurité du cloud du point \\ de 2024: naviguer dans l'intersection de la cybersécurité
• 91% considèrent l'adoption de l'intelligence artificielle en priorité, mettant en évidence l'évaluation de la vulnérabilité et la détection des menaces comme avantages clés
• Néanmoins, seulement 61% des répondants ont reconnu que leur organisation était dans les phases de planification ou de développement de l'adoption de l'IA et de la ML pour la cybersécurité
• Les résultats de l'enquête révèlent un manque de sensibilisation au rôle crucial des contrôles internes et des politiques de gouvernance lorsque l'IA est impliquée
-
rapports spéciaux
Check Point\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber Security • 91% view the adoption of artificial intelligence as a priority, highlighting vulnerability assessment and threat detection as key benefits • Nevertheless, only 61% of respondents acknowledged that their organization is in the planning or development phases of adopting AI and ML for cyber security • Survey results reveal a lack of awareness about the crucial role of internal controls and governance policies when AI is involved - Special Reports |
Vulnerability Threat Cloud | ||
|
2024-06-24 13:19:00 | La campagne de cyber-espionnage de RedJuliett frappe 75 organisations taïwanaises RedJuliett Cyber Espionage Campaign Hits 75 Taiwanese Organizations (lien direct) |
Un acteur de menace parrainé par l'État probablement lié à la Chine a été lié à une campagne de cyber-espionnage ciblant les organisations gouvernementales, universitaires, technologiques et diplomatiques à Taïwan entre novembre 2023 et avril 2024.
Le groupe INSIKT Recred Future \\ suit l'activité sous le nom de RedJuliett, le décrivant comme un cluster qui exploite Fuzhou, en Chine, pour soutenir l'intelligence de Pékin \\
A likely China-linked state-sponsored threat actor has been linked to a cyber espionage campaign targeting government, academic, technology, and diplomatic organizations in Taiwan between November 2023 and April 2024. Recorded Future\'s Insikt Group is tracking the activity under the name RedJuliett, describing it as a cluster that operates Fuzhou, China, to support Beijing\'s intelligence |
Threat | ||
 |
2024-06-24 13:12:32 | 24 juin & # 8211;Rapport de renseignement sur les menaces 24th June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 24 juin, veuillez télécharger notre bulletin de renseignement sur les menaces.Les meilleures attaques et violations Le groupe de ransomware de NoirSuit a perturbé les opérations chez CDK Global, un fournisseur important de solutions de marketing informatique et numérique à l'industrie automobile, ciblant leurs plateformes SaaS aux États-Unis et [& # 8230;]
>For the latest discoveries in cyber research for the week of 24th June, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES The BlackSuit ransomware group has disrupted operations at CDK Global, a significant provider of IT and digital marketing solutions to the automotive industry, targeting their SaaS platforms across the United States and […] |
Ransomware Threat Cloud | ||
|
2024-06-24 12:48:47 | Faits saillants hebdomadaires OSINT, 24 juin 2024 Weekly OSINT Highlights, 24 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a persistent focus on sophisticated cyber espionage and ransomware campaigns by state-sponsored threat actors and advanced cybercriminal groups. Key trends include the exploitation of known vulnerabilities in network devices and hypervisors by Chinese groups like Velvet Ant and UNC3886, leveraging custom malware for long-term access and data theft. Meanwhile, actors active in the Middle Eastern and South Asian such as Arid Viper and UTA0137 continue to target adversaries with trojanized apps and Linux malware, respectively. Additionally, innovative social engineering techniques, like those used by TA571 and ClearFake, highlight the evolving methods threat actors employ to deliver diverse payloads, including ransomware and information stealers. The consistent targeting of critical infrastructure, government entities, and high-value enterprises underscores the need for robust, multi-layered cybersecurity defenses to mitigate these sophisticated and persistent threats. ## Description 1. **[Arid Viper Espionage Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/19d9cd7d)**: ESET researchers uncovered Arid Viper\'s espionage campaigns targeting Android users in Egypt and Palestine. The campaigns distribute trojanized apps through dedicated websites, focusing on user data espionage with their AridSpy malware, a sophisticated multistage Android spyware. 2. **[Velvet Ant Exploits F5 BIG-IP](https://sip.security.microsoft.com/intel-explorer/articles/e232b93d)**: Sygnia analysts revealed that the Chinese cyberespionage group Velvet Ant exploited vulnerabilities in F5 BIG-IP appliances to deploy malware like PlugX, enabling long-term access and data theft. These incidents emphasize the threat posed by persistent threat groups exploiting network device vulnerabilities. 3. **[UNC3886 Targets Hypervisors](https://sip.security.microsoft.com/intel-explorer/articles/faed9cc0)**: Google Cloud reported that Mandiant investigated UNC3886, a suspected Chinese cyberespionage group, targeting hypervisors with sophisticated malware and exploiting vulnerabilities in FortiOS and VMware technologies. The group utilized rootkits and custom malware for persistence and command and control. 4. **[UTA0137 Cyber-Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bc2b5c55)**: Volexity identified Pakistan-based UTA0137 targeting Indian government entities with DISGOMOJI malware, which uses Discord for command and control. The campaign targets Linux systems, employing various persistence mechanisms and exploiting vulnerabilities like DirtyPipe for privilege escalation. 5. **[Proofpoint Highlights Copy-Paste Attacks](https://sip.security.microsoft.com/intel-explorer/articles/c75089e9)**: Proofpoint researchers reported that threat actors, including TA571 and ClearFake, are using techniques that prompt users to copy and paste malicious PowerShell scripts. These campaigns deliver various malware, including DarkGate and NetSupport, through clever social engineering tactics that trick users into compromising their systems. 6. **[Shinra and Limpopo Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b7a96cbd)**: FortiGuard Labs identified the emergence of Shinra and Limpopo ransomware strains in early 2024. Shinra ransomware exfiltrates data before encryption, while Limpopo targets ESXi environments, affecting multiple countries and causing significant disruptions. 7. **[CVE-2024-4577 Vulnerability Exploits](https://sip.security.microsoft.com/intel-explorer/articles/8635c515)**: Cyble Global Sensor Intelligence detected multiple scanning attempts exploiting CVE-2024-4577, a vulnerability in Windows affecting PHP installations. Threat actors are using this flaw to deploy ransomware and malware, emphasizing the urgent need for organizations to upgrade PHP versions to mitigate risks. 8. **[SmallTiger Malware Targets South Korea](https://sip.security.microsoft.com/intel-explorer/articles/3f29a6c8)**: The AhnLab Securi | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT-C-23 | |
|
2024-06-24 12:36:55 | Le rôle de l\'IA dans la Cybersécurité : entre Menaces et opportunités (lien direct) | L'ère numérique actuelle connaît une évolution rapide, et l'intelligence artificielle (IA) en est un acteur majeur. Selon le McKinsey Global Institute, l'IA générative pourrait apporter entre 2,6 et 4,4 milliards de dollars à l'économie mondiale chaque année. Cependant, cette avancée s'accompagne de risques significatifs, notamment dans le domaine de la cybersécurité. | Threat | ||
|
2024-06-24 10:56:43 | Coinstats dit que les pirates nord-coréens ont violé 1 590 portefeuilles crypto CoinStats says North Korean hackers breached 1,590 crypto wallets (lien direct) |
Coinstats a subi une violation de sécurité massive qui a compromis 1 590 portefeuilles de crypto-monnaie, l'attaque soupçonnée d'avoir été menée par des acteurs de la menace nord-coréenne.[...]
CoinStats suffered a massive security breach that compromised 1,590 cryptocurrency wallets, with the attack suspected to have been carried out by North Korean threat actors. [...] |
Threat | ||
|
2024-06-24 10:34:00 | Multiples acteurs de menace déploient un rat Rafel open source pour cibler les appareils Android Multiple Threat Actors Deploying Open-Source Rafel RAT to Target Android Devices (lien direct) |
Les acteurs de menaces multiples, y compris les groupes de cyber-espionnage, utilisent un outil d'administration à distance Android open source appelé Rafel Rat pour atteindre leurs objectifs opérationnels en le faisant passer pour Instagram, WhatsApp et diverses applications de commerce électronique et antivirus.
"Il offre aux acteurs malveillants une boîte à outils puissante pour l'administration et le contrôle à distance, permettant une gamme d'activités malveillantes
Multiple threat actors, including cyber espionage groups, are employing an open-source Android remote administration tool called Rafel RAT to meet their operational objectives by masquerading it as Instagram, WhatsApp, and various e-commerce and antivirus apps. "It provides malicious actors with a powerful toolkit for remote administration and control, enabling a range of malicious activities |
Tool Threat Mobile |
To see everything:
