What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-08-06 19:51:15 | Sharprhino & # 8211;New Hunters International Rat identifié par le cyber SharpRhino – New Hunters International RAT identified by Quorum Cyber (lien direct) |
## Snapshot Researchers at Quorum Cyber identified a new Remote Access Trojan (RAT) named SharpRhino, utilized by the threat actor group Hunters International. ## Description This malware, written in C#, was delivered through a typosquatting domain impersonating the legitimate tool, Angry IP Scanner. Once executed, SharpRhino establishes persistence and provides remote access to the device, allowing the attacker to progress the attack using previously unseen techniques to obtain high-level permissions. Hunters International, a Ransomware-as-a-Service (RaaS) group, has been attributed to 134 attacks in 2024 and is known for exfiltrating data, encrypting files, and demanding ransom payments via the TOR network. The group has targeted various sectors for financial gain and has been linked to the now defunct Russian-based Hive ransomware group. The malware was identified as a 32-bit Portable Executable (PE) Nullsoft installer with a self-extracting archive, and it masquerades as a legitimate network administration tool called AngryIP. The malware establishes persistence by modifying the registry and uses a LOLBIN (Living off the Land Binary) to execute additional files for Command and Control. The investigation also revealed that the malware communicates with the attacker\'s infrastructure using an encryption routine. ## Additional Analysis According to Quorum Cyber\'s report on [Hunters International Ransomware](https://www.quorumcyber.com/wp-content/uploads/2023/11/QC-Hunters-International-Ransomware-Report-TI.pdf), Hunters International is a Ransomware-as-a-Service (RaaS) group that emerged in 2023, displaying significant code similarities with the notorious Hive ransomware. Approximately 60% of its code overlaps with Hive ransomware version 61, suggesting a possible connection with the disrupted Hive cartel, although Hunters International denies any affiliation. The group\'s primary objective is to exfiltrate data from targets and demand ransom for its return. The ransomware encrypts files by appending a ".LOCKED" extension and leaves instructions for victims to contact the group on the dark web to negotiate. Successful attacks result in significant data exfiltration and ransom demands based on the compromised organization\'s value. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management?ocid=magicti_ta_abbreviatedmktgpage), can be used to augment data. The Attack Surface Summary dashboard surfaces assets, such as Exchange servers, which require security updates and provide recommended remediation steps. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-securi | Threat Ransomware Malware Tool | ||
|
2024-08-06 18:23:27 | Pungsan stressé: l'acteur de menace aligné par la RPDC exploite le NPM pour l'accès initial Stressed Pungsan: DPRK-aligned threat actor leverages npm for initial access (lien direct) |
## Instantané Les chercheurs en sécurité de Datadog ont identifié un acteur de menace aligné avec la République de Corée du peuple démocrate (DPRC) en tirant parti du NPM pour obtenir un accès initial. ## Description Le 7 juillet 2024, deux packages malveillants, "Harthat-Hash" et "Harthat-API", ont été publiés dans le registre NPM, contenant du code qui installe des logiciels malveillants supplémentaires à partir d'un serveur de commande et de contrôle (C2).Le serveur C2 a principalement servi des scripts par lots malveillants et une DLL, indiquant un ensemble cible de victimes de fenêtres.Datadog évalue que cette activité s'aligne avec l'acteur de menaceMicrosoft suit comme [Moonstone Sleet] (https://security.microsoft.com/intel-profiles/8ba84cecf73bd9aca4e4ff90230dc1f277c039f78c40c1938b6f74b1b7cce20f). LeL'acteur de menace a réutilisé le code à partir d'un référentiel GitHub bien connu et a publié les packages sous un faux auteur, démontrant une tactique utilisée pour éviter d'être bloqué sur le site du gestionnaire de packages.Les forfaits malveillants ont été supprimés quelques heures après avoir été publiés.La DLL de l'acteur de menace a été livrée sans obscurcissement, et l'analyse statique initiale a révélé que Windows API appelle des fonctions suspectes comme IsdebuggerPresent et GettickCount, couramment utilisé à des fins anti-désabuggeant et anti-réverse.Cependant, une analyse plus approfondie n'a révélé aucun comportement malveillant supplémentaire, conduisant à la conclusion que la DLL peut ne pas être armée ou que l'acteur de menace a poussé par erreur une version inachevée. ## Analyse Microsoft Microsoft Threat Intelligence évalue que cette activité malveillante estattribué à [Moonstone Sleet] (https://security.microsoft.com/intel-profiles/8ba84cecf73bd9aca4e4ff90230dc1f277c039f78c40c1938b6f74b1b7cce20f)Sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité de grésillement de pierre de lune précédemment observée.Moonstone Sleet est un groupe d'activités de l'État-nation basé en Corée du Nord, connu pour cibler principalement les individus et les organisations au sein des secteurs de base de développement logiciel, de technologies de l'information, d'éducation et de défense avec des attaques axées sur l'objectif de l'espionnage et de la génération de revenus. Depuis début janvier 2024, Microsoft a observé Moonstone Sleet à l'aide de fausses sociétés de développement de logiciels pour solliciter des travaux ou de la coopération.Cet acteur a également ciblé des individus à la recherche de travail dans le développement de logiciels, envoyant des candidats un «test de compétences» qui fournit plutôt des logiciels malveillants via un package NPM malveillant. ## Recommandations Microsoft recommande que les atténuations suivantes se défendent contre les attaques par la pierre de lune: - Activer [Accès aux dossiers contrôlés] (https://learn.microsoft.com/defender-endpoint/enable-ctrelled-folders). - Assurez-vous que [la protection de la sténogéTAMPER-PROTECTION) est activé dans Microsoft Dender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/defender-endpoint/enable-network-protection) dans Microsoft Defender pour Endpoint. - Follow the credential hardening recommendations in our [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/overview) to defend against common credential theft techniques like LSASSaccéder. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans le | Threat Malware Tool Industrial | ||
 |
2024-08-06 18:04:50 | Les outils d'IA ont augmenté la sophistication des attaques d'ingénierie sociale AI Tools Have Increased the Sophistication of Social Engineering Attacks (lien direct) |
|
Tool | ★★★ | |
 |
2024-08-06 16:35:36 | Hunters International déguise le rat Sharprhino comme un outil d'administration du réseau légitime Hunters International Disguises SharpRhino RAT as Legitimate Network Admin Tool (lien direct) |
Le groupe RAAS qui distribue des ransomwares de ruche fournit de nouveaux logiciels malveillants en tant que logiciel d'administration de réseau signé valablement signé pour obtenir un accès initial et une persistance sur les réseaux ciblés
The RaaS group that distributes Hive ransomware delivers new malware impersonating as validly signed network-administration software to gain initial access and persistence on targeted networks |
Ransomware Malware Tool | ★★★ | |
 |
2024-08-06 13:00:10 | Sécuriser les données à l'ère AI: introduire un point de contrôle harmonie DLP Securing Data in the AI Era: Introducing Check Point Harmony DLP (lien direct) |
> Dans le paysage numérique d'aujourd'hui, les données sont l'élément vital des organisations.Avec l'adoption rapide d'outils d'IA génératifs pour stimuler la productivité, les données sont partagées à des taux sans précédent.Bien que cette révolution dans l'IA promet d'immenses avantages, il introduit également de nouveaux risques à la sécurité des données.Comment les entreprises peuvent-elles adopter l'innovation de l'IA sans compromettre leurs précieuses informations?Entrez la prévention de la perte de données sur les données sur l'harmonie (DLP) & # 8211;Une solution de pointe conçue pour le lieu de travail basé sur l'IA.Équilibrer l'innovation et la sécurité Le défi pour les organisations modernes est claire: exploitez la puissance de l'IA pour rester compétitive tout en assurant une protection solide des données.L'harmonie DLP monte à [& # 8230;]
>In today’s digital landscape, data is the lifeblood of organizations. With the rapid adoption of Generative AI tools to boost productivity, data is being shared at unprecedented rates. While this revolution in AI promises immense benefits, it also introduces new risks to data security. How can businesses embrace AI innovation without compromising their valuable information? Enter Check Point Harmony Data Loss Prevention (DLP) – a cutting-edge solution designed for the AI-driven workplace. Balancing Innovation and Security The challenge for modern organizations is clear: leverage the power of AI to stay competitive while ensuring robust data protection. Harmony DLP rises to […] |
Tool | ★★ | |
 |
2024-08-06 13:00:00 | Hijacked: How Cybercriminals Are Turning Anti-Virus Software Against You (lien direct) | Executive Summary LevelBlue Labs has identified a new evolution in the toolset of threat actors. Threat actors are hijacking legitimate anti-virus software to carry out malicious activities undetected. A new tool, named SbaProxy, has been found masquerading as legitimate anti-virus components to establish proxy connections through a command and control (C&C) server. This tool, distributed in various formats such as DLLs, EXEs, and PowerShell scripts, is challenging to detect due to its sophisticated design and legitimate appearance. By modifying legitimate anti-virus binaries and using valid certificates, the threat actors have made SbaProxy particularly stealthy. This threat has a significant impact, as it can be used to create proxy services that facilitate malicious activities and potentially be sold for financial gain. LevelBlue Labs is committed to continuing its efforts to monitor and combat this evolving threat. What you need to understand at the highest level: Hijacking of Legitimate Software. Threat actors leverage legitimate anti-virus components, modifying them to serve malicious purposes while maintaining their appearance as benign software, making detection difficult. In this new iteration of the campaign, we have observed Malwarebytes, BitDefender, APEX products, and others being targeted. Introduction of SbaProxy. A new tool, SbaProxy, has been identified as part of this threat actor\'s evolving toolkit, capable of establishing proxy connections they use to generate revenue. Sophisticated Evasion Tactics. The malicious binaries are signed with valid or seemingly valid certificates, which helps them bypass security checks and evade detection. Variety of Distribution Formats. SbaProxy is being distributed in multiple formats, including DLLs, EXEs, and PowerShell scripts, all with the same underlying functionality, increasing the attack\'s resilience. Ongoing Threat Monitoring. LevelBlue Labs is actively tracking this threat to stay ahead of the actors\' evolving techniques and protect their clients from emerging cyber risks. Technical Analysis: A Closer Look at How It’s Done. In early June, LevelBlue Labs observed suspicious activity originating from seemingly legitimate anti-virus binaries. Upon investigation, this activity was from a new tool associated with the campaign already reported by Sophos in late April. It marks a new iteration in the toolset used by this threat actor. It’s controlled from a C&C server and establishes a proxy connection between the C&C server and a target through the infected machine. We believe this proxy service is then sold to other criminals. We are tracking this as SbaProxy following the nomenclature given by Sophos. SbaProxy is being distributed in several formats: PowerShell scripts DLL libraries EXE binaries. Even though the format varies and there are technical differences among the different types of files, the functionality offered is the same. Notably, when the chosen format is DLL or EXE, the samples are based on the legitimate anti-virus components they are trying to imitate but are modified to include malicious code. This is done to disguise their binaries as legitimate, as the larger portion of the code is benign. Of course, the original anti-virus binaries were signed by their respective manufacturers, and the modifications performed by the malicious threat actor broke the signature. The threat actor has opted to sign the files again with counterfeit certificates. While some of the certificates used by the threat | Threat Malware Tool Technical Prediction | ★★ | |
|
2024-08-06 13:00:00 | Nouvelles solutions génératives alimentées par AI pour sécuriser l'espace de travail New Generative AI-Powered Solutions to Secure the Workspace (lien direct) |
> Assister au chapeau noir?Rejoignez-nous au stand # 2936 pour avoir un aperçu de toutes nos nouvelles capacités pour sécuriser votre espace de travail et au-delà.Le risque d'être victime des attaques de ransomwares et de divulguer des données sur les outils d'ombre en tant que service (SaaS) et les outils génératifs de l'intelligence artificielle (Genai) est exacerbée par les connexions utilisateur distantes sur les réseaux non sécurisés et les appareils BYOD.L'année dernière a marqué une augmentation de 90% des victimes de ransomwares extorquées publiquement et environ 55% des événements de perte de données sont dus à l'utilisation de Genai.Aujourd'hui, nous annonçons des capacités innovantes alimentées par Genai à travers l'harmonie [& # 8230;]
>Attending Black Hat? Join us at booth #2936 to get a glimpse of all our newest capabilities to secure your workspace and beyond. The risk of falling victim to ransomware attacks and leaking data to shadow software as a service (SaaS) and generative artificial intelligence (GenAI) tools is exacerbated by remote user connections over unsecured networks and BYOD devices. Attesting to these concerns are some alarming numbers: last year marked a 90% increase in publicly extorted ransomware victims and an estimated 55% of data loss events are due to GenAI usage. Today, we are announcing innovative GenAI-powered capabilities across the Harmony […] |
Ransomware Tool | ★★ | |
 |
2024-08-06 11:39:50 | Pourquoi devrais-je payer pour la protection en ligne? Why Should I Pay for Online Protection? (lien direct) |
>
We all love free stuff. (Costco samples, anyone?) However, when it comes to your family\'s security, do free online protection tools offer the coverage...
>
We all love free stuff. (Costco samples, anyone?) However, when it comes to your family\'s security, do free online protection tools offer the coverage...
|
Tool | ★★ | |
 |
2024-08-06 09:35:11 | Wordstar 7, la dernière version DOS, est réédité gratuitement WordStar 7, the last ever DOS version, is re-released for free (lien direct) |
L'outil préféré d'Arthur C Clarke, Anne Rice et George R R Martin Avant WordPerfect, le processeur de travail le plus populaire était Wordstar.Maintenant, la dernière version DOS a été regroupée et libérée par l'un de ses plus grands fans.…
The preferred tool of Arthur C Clarke, Anne Rice and George R R Martin Before WordPerfect, the most popular work processor was WordStar. Now, the last ever DOS version has been bundled and set free by one of its biggest fans.… |
Tool | ★★★ | |
|
2024-08-06 06:25:45 | Le gardien mobile du vendeur MDM a attaqué, conduisant à un essuyage à distance de 13 000 appareils MDM vendor Mobile Guardian attacked, leading to remote wiping of 13,000 devices (lien direct) |
Singapour Ministère de l'Éducation Orders Logiciel supprimé après que la chaîne de snafus Le fournisseur de gestion des appareils mobiles basés au Royaume-Uni, Mobile Guardian, a admis que le 4 août, il avait subi un incident de sécurité qui impliquait un accès non autorisé aux appareils iOS et ChromeosGéré par ses outils, qui ne sont actuellement pas disponibles.À Singapour, l'incident a entraîné l'essuyage à distance et a vu le ministère de l'éducation de l'éducation de la nation avec le vendeur.…
Singapore Ministry of Education orders software removed after string of snafus UK-based mobile device management vendor Mobile Guardian has admitted that on August 4 it suffered a security incident that involved unauthorized access to iOS and ChromeOS devices managed by its tools, which are currently unavailable. In Singapore, the incident resulted in 13,000 devices being remotely wiped and saw the nation\'s Education Ministry cut ties with the vendor.… |
Tool Mobile | ★★★ | |
 |
2024-08-06 06:00:00 | Proton VPN ajoute \\ 'Icônes discrètes \\' pour masquer l'application sur les appareils Android Proton VPN adds \\'Discreet Icons\\' to hide app on Android devices (lien direct) |
Proton VPN a annoncé une série de mises à jour de ses applications Windows et Android pour aider les utilisateurs à lutter contre la censure, à contourner les blocs et à se protéger des gouvernements autoritaires en raison de l'utilisation d'outils interdits.[...]
Proton VPN has announced a series of updates to its Windows and Android apps to help users combat censorship, circumvent blocks, and protect themselves from authoritarian governments due to using forbidden tools. [...] |
Tool Mobile | ★★★ | |
|
2024-08-05 21:26:54 | Russian APT Fighting Ursa cible les diplomates avec des logiciels malveillants de tête à l'aide de fausses annonces de vente de voitures Russian APT Fighting Ursa Targets Diplomats with HeadLace Malware Using Fake Car Sale Ads (lien direct) |
#### Industries ciblées - agences et services gouvernementaux - Diplomatie / relations internationales ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne probablement attribuée à l'acteur de menace russe combattant Ursa (aka [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/dd75f93b2a71c9510dceec817b9d34d868c2d1353d08c8c1647d868c2d1353d08c8c1647d868c2d1353d08c8c847De067270f. , Apt28, ours fantaisie) qui a utilisé unAPUTER LA VOLAGE DE VENTE comme un leurre pour distribuer les logiciels malveillants de la porte de la tête.La campagne a ciblé les diplomates et a commencé en mars 2024. ## Description Le leurre initial a été hébergé par le service légitime webhook.site et a conduit à la distribution de la page HTML malveillante.Le logiciel malveillant téléchargé, déguisé en publicité automobile, contenait la porte dérobée de la tête, qui a exécuté par étapes pour échapper à la détection.L'attaque s'appuyait fortement sur les services publics et gratuits pour héberger des leurres et diverses étapes de l'attaque.Le code HTML vérifie les ordinateurs Windows et redirige les visiteurs non-Windows vers une image de leurre sur IMGBB.Le code crée ensuite une archive zip à partir du texte Base64, l'offrant pour le téléchargement et la tentative de l'ouvrir avec la fonction javascript click ().L'archive zip téléchargée contient un fichier avec une double extension de .jpg.exe, qui est une copie du fichier de calculatrice de Windows légitime que Calc.exe a utilisé pour mettre à côté le fichier DLL inclus WindowsCodecs.dll, un composant de la porte arrière de la tête. La lutte contre l'Ursa est connue pour exploiter continuellement des vulnérabilités connues même après que leur couverture a été soufflée.L'infrastructure du groupe \\ évolue constamment, et il devrait continuer à utiliser des services Web légitimes dans son infrastructure d'attaque. ## Analyse Microsoft Cette tactique de l'utilisation de leurres de phishing diplomatique de voitures diplomatiques a été précédemment observée avec d'autres groupes de menaces russes.En septembre 2023, Microsoft Threat Intelligence a observé probablement [Midnight Blizzard]. 831] (https://sip.security.Microsoft.com/intel-explorer/cves/cve-2023-38831/description) Vulnérabilité dans Rarlabs Winrar pour cibler les réseaux de plus de 40 organisations diplomatiques et intergouvernementales (IGO).Les acteurs de la menace ont envoyé des courriels de phishing de lance avec des archives zippées malveillantes, demandant aux destinataires d'ouvrir la pièce jointe pour voir les détails d'une voiture diplomatique à vendre.Lire la suite [ici] (https://sip.security.microsoft.com/intel-explorer/articles/af5bdd1c). ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme malWare: - [Trojan: script / obfuse] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:js/obfuse) - [Trojan: html / phish] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:html/phish) ## Recommandations Investissez dans des solutions avancées et anti-phishing qui surveillent les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble une gestion des incidents et des alertes à travers les e-mails, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentify and Block] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_LearnDoc) sont des sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing. • Exécutez la détection et la | Threat Malware Tool Vulnerability | APT 28 | ★★★★ |
|
2024-08-05 20:11:48 | Bloody Wolf frappe les organisations au Kazakhstan avec des logiciels malveillants commerciaux Strrat Bloody Wolf strikes organizations in Kazakhstan with STRRAT commercial malware (lien direct) |
#### Géolocations ciblées - Kazakhstan ## Instantané Depuis la fin de 2023, Bi.zone Threat Intelligence a suivi le groupe sanglant des organisations de ciblage au Kazakhstan avec le malware Strrat, également connu sous le nom de Master Strigoi. ## Description Les attaquants envoient des e-mails de phishing imitant le ministère des Finances et d'autres agences, avec des pièces jointes PDF liées à des logiciels malveillants et à un guide d'installation d'interprète Java.L'utilisation de fichiers JAR aide à contourner les défenses et les services Web légitimes comme Pastebin sont exploités pour la communication, éludant des mesures de sécurité du réseau.Une fois les logiciels malveillants installés, il télécharge des dépendances, y compris les bibliothèques KeyLogger et se copie dans le répertoire AppData de l'utilisateur \\.Il établit la persistance par le biais de tâches et d'entrées de registre planifiées, puis se connecte aux serveurs C2 à l'aide d'URL pastebin.STRRAT collecte les informations système, exécute diverses commandes à partir du serveur C2 et exfiltre des données à l'aide d'outils comme [Lumma Stealer] (https: //security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad).Les capacités du malware \\ incluent KeystrokeL'interception, la gestion des fichiers à distance et le contrôle du navigateur, ce qui en fait une menace puissante pour les systèmes compromis. ## Analyse supplémentaire Observé pour la première fois en 2020, Strrat est un logiciel malveillant basé sur Java qui est généralement réparti comme un attachement malveillant.Selon [Malpedia] (https://malpedia.caad.fkie.fraunhofer.de/details/jar.strrat), le malware est notoire pour son comportement de type ranwomware car il ajoute une extension de nom de fichier ".crimson" à des fichiers aux fichierset affiche une fausse note ransome dans le bloc-notes sans crypter aucun fichier.Strrat Malware affecte les systèmes d'exploitation Windows et possède un certain nombre de capacités de vol et de porte dérobée.Notamment, les logiciels malveillants peuvent recueillir des informations d'identification auprès des navigateurs et des clients de messagerie, enregistrer des touches et aider au déploiement de logiciels malveillants supplémentaires. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Trojan: win32 / strrat] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-secdcopedia-description? Name = Trojan: win32 / strrat) - [Spyware: Win32 / Lummastealer] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-secdClopedia-Description? Name = Spyware: Win32 / Lummastealer) - [Spyware: win64 / Lummastealer] (https://www.microsoft.com/en-US / WDSI / Menaces / Malware-SencyClopedia-Description? Name = Spyware: Win64 / LumMastealer) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-US / WDSI / Menaces / Malware-SencyClopedia-Description? Name = Trojan: Win32 / Leonem) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender A | Threat Ransomware Malware Tool Commercial | ★★★ | |
|
2024-08-05 16:41:23 | Comment les variantes de ransomware "professionnelles" augmentent les groupes de cybercriminalité How "professional" ransomware variants boost cybercrime groups (lien direct) |
## Instantané Des chercheurs de SecureList par Kaspersky ont identifié trois groupes de ransomwares utilisant des variantes de ransomware divulguées ou publiées pour mener des attaques, "Sexi", "Key Group" et "Mallox". ## Description Le groupe SEXI cible les applications ESXI utilisant Babuk pour Linux et Lockbit pour Windows, et utilise un ID utilisateur associé à l'application de messagerie de session pour le contact.Key Group, également connu sous le nom de KeyGroup777, utilise au moins huit familles de ransomwares différentes, ajustant leurs tactiques avec chaque nouvelle variante et en utilisant divers mécanismes de persistance.Enfin, [Mallox] (https://security.microsoft.com/intel-profiles/7FBE39C998C8A495A1652AC6F8BD34852C00F97DC61278CAFC56DCA1D443131e), également connu en tant que Fargo, a comparu dans le programme 2021 et a été lancé dans un programme ANFIERELIA Mallox s'associe uniquement avec des experts russes,nécessite des revenus d'au moins 10 millions de dollars et aucun hôpital ou établissement d'enseignement.SecureList rapporte également que l'activité des affiliés du groupe Mallox a diminué au fil du temps. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / lockbit.ak! Ibt] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = ransom: win32 / lockbit.ak! ibt) - [Ransom: MSIL / FileCcoder.Ad! Mtb] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=ransom:mil/filecoder.ad!mtb) - [Ransom: win32 / sorikrypt.a] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:win32/sorikrypt.a) - [Ransom: win32 / garrantdecrypt.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win32/garrantdecrypt.pa) - [Trojan: LiNux / FileCoder! Mtb] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=trojan:linux/FileCoder!MTB) - [Ransom: win32 / mallox] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / mallox! Mtb) - [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win64/mallox) - [Trojan: MSIL / Mallox] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-deÉcriture? Name = Trojan: MSIL / Mallox) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-firSt-Sight-Microsoft-Defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) dans Microsoft DefeNDER Antivirus ou l'équivalent pour que votre produit antivirus couvre les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti%3CEM%3ETA%3C/em%3elearndoc) de sorte que Microsoft Defender pour le point de terminaison peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) p | Threat Ransomware Malware Tool | ★★★ | |
 |
2024-08-05 13:00:00 | Sécuriser les systèmes cyber-physiques avec la plate-forme de sécurité Fortinet OT Securing Cyber-Physical Systems with the Fortinet OT Security Platform (lien direct) |
À mesure que les environnements de technologie opérationnelle (OT) deviennent plus connectés, ils deviennent également plus vulnérables, nécessitant des stratégies de sécurité évoluées, y compris des appareils robustes, un accès à distance sécurisé et des outils de sécurité spécifiques à l'OT intégrés.Découvrez l'engagement de Fortinet \\ à faire progresser sa plate-forme de sécurité OT.
As operational technology (OT) environments become more connected, they also become more vulnerable, requiring evolved security strategies, including ruggedized devices, secure remote access, and integrated OT-specific security tools. Learn about Fortinet\'s commitment to advancing its OT security platform. |
Tool Industrial | ★★★ | |
|
2024-08-05 10:51:17 | Faits saillants hebdomadaires, 5 août 2024 Weekly OSINT Highlights, 5 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de Osint mettent en évidence plusieurs tendances clés du paysage cyber-menace, caractérisées par des tactiques d'attaque sophistiquées et des acteurs de menace adaptables.Les types d'attaques prédominants impliquent le phishing, l'ingénierie sociale et l'exploitation des vulnérabilités des logiciels, avec des vecteurs courants, y compris des pièces jointes malveillantes, des sites Web compromis, l'empoisonnement du DNS et la malvertisation.Les campagnes notables ont ciblé les utilisateurs de l'UKR.NET, les clients de la BBVA Bank et les pages de médias sociaux détournées pour imiter les éditeurs de photos populaires de l'IA.De plus, l'exploitation des erreurs de configuration dans des plates-formes largement utilisées telles que Selenium Grid et TryCloudflare Tunnel indique une focalisation stratégique sur la mise en œuvre d'outils légitimes à des fins malveillantes. Les acteurs de la menace vont de groupes d'État-nation comme les acteurs nord-coréens, l'APT41 et le Sidewinder, aux cybercriminels et à des groupes hacktiviste motivés financièrement tels que Azzasec.Les techniques d'évasion avancées et les stratégies d'ingénierie sociale sont utilisées par des acteurs comme l'UAC-0102, Black Basta et ceux qui exploitent les problèmes de mise à jour de la crowdsstrike.Les objectifs sont diversifiés, couvrant des organisations gouvernementales et militaires, des institutions financières, des réseaux d'entreprise, des petites et moyennes entreprises et des utilisateurs individuels dans diverses régions. ## Description 1. [Campagne révisée de dev # popper] (https://sip.security.microsoft.com/intel-explorer/articles/9f6ee01b): les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels à l'aide de fausses entretiens d'emploi pour distribuer des logiciels malveillants via des packages de fichiers zip.La campagne, affectant plusieurs systèmes d'exploitation et régions, utilise des tactiques avancées d'obscurcissement et d'ingénierie sociale pour le vol de données et la persistance. 2. [Specula Framework exploite Outlook] (https://sip.security.microsoft.com/intel-explorer/articles/4b71ce29): un nouveau cadre post-exploitation appelé "Specula" lever.En dépit d'être corrigé, cette méthode est utilisée par l'APT33 parrainé par l'iranien pour atteindre la persistance et le mouvement latéral dans les systèmes Windows compromis. 3. [Phishing with Sora AI Branding] (https://sip.security.microsoft.com/intel-explorer/articles/b90cc847): les acteurs de menace exploitent l'excitation autour de Sora AI inédite en créant des sites de phishing pour se propager des logiciels malveillants.Ces sites, promus via des comptes de médias sociaux compromis, déploient des voleurs d'informations et des logiciels d'extraction de crypto-monnaie. 4. [vulnérabilité VMware ESXi exploitée] (https: //sip.security.microsoft.com/intel-explorer/articles/63b1cec8): des gangs de ransomware comme Storm-0506 et Octo Tempest Exploiter un VMware ESXi Authentification Typass VULnerabilité pour l'accès administratif.Cette vulnérabilité, ajoutée au catalogue exploité des vulnérabilités exploitées \\ 'connues, est utilisée pour voler des données, se déplacer latéralement et perturber les opérations. 5. [APT41 cible la recherche taïwanaise] (https://sip.security.microsoft.com/intel-explorer/articles/d791dc39): le groupe APT41, suivi comme Typhoon de brass.La campagne consiste à exploiter une vulnérabilité de Microsoft Office et à utiliser la stéganographie pour échapper à la détection. 6. [Trojans bancaire en Amérique latine] (https://sip.security.microsoft.com/intel-explorer/articles/767518e9): Une campagne ciblant les organisations financières utilise des troyens bancaires distribués via des URL géo-frisées.Le malware utilise l'injection de processus et se connecte aux serveurs de commandement et de contrôle pour voler des informations sensibles. 7. [MINT STACER MALWARED] ( | Threat Ransomware Spam Malware Tool Mobile Vulnerability | APT33 APT 41 APT 33 APT-C-17 | ★★★ |
 |
2024-08-03 09:29:00 | Les pirates exploitent des cahiers de jupyter mal conçu avec un outil Minecraft DDOS réutilisé Hackers Exploit Misconfigured Jupyter Notebooks with Repurposed Minecraft DDoS Tool (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'une nouvelle campagne d'attaque du déni de service distribué (DDOS) ciblant les cahiers de jupyter à tort erroné.
L'activité, nommé Panamorfi de Cloud Security Firm Aqua, utilise un outil basé à Java appelé Mineping pour lancer une attaque DDOS de la crue TCP.Mineping est un package DDOS conçu pour les serveurs de jeux Minecraft.
Les chaînes d'attaque impliquent l'exploitation
Cybersecurity researchers have disclosed details of a new distributed denial-of-service (DDoS) attack campaign targeting misconfigured Jupyter Notebooks. The activity, codenamed Panamorfi by cloud security firm Aqua, utilizes a Java-based tool called mineping to launch a TCP flood DDoS attack. Mineping is a DDoS package designed for Minecraft game servers. Attack chains entail the exploitation |
Threat Cloud Tool | ★★★ | |
|
2024-08-02 22:02:00 | Les pirates APT41 utilisent ShadowPad, Cobalt Strike in Taiwanais Institute Cyber Attack APT41 Hackers Use ShadowPad, Cobalt Strike in Taiwanese Institute Cyber Attack (lien direct) |
Un institut de recherche affilié au gouvernement taïwanais spécialisé dans l'informatique et les technologies associés a été violé par des acteurs de la menace nationale avec des liens avec la Chine, selon de nouvelles découvertes de Cisco Talos.
L'organisation anonyme a été ciblée dès la mi-juillet 2023 pour livrer une variété de déambularité et d'outils post-compromis comme ShadowPad et Cobalt Strike.Il a été attribué
A Taiwanese government-affiliated research institute that specializes in computing and associated technologies was breached by nation-state threat actors with ties to China, according to new findings from Cisco Talos. The unnamed organization was targeted as early as mid-July 2023 to deliver a variety of backdoors and post-compromise tools like ShadowPad and Cobalt Strike. It has been attributed |
Threat Tool | APT 41 | ★★★ |
|
2024-08-02 21:37:59 | Threat Actor Abuses Cloudflare Tunnels to Deliver RATs (lien direct) | ## Snapshot Researchers at Proofpoint have observed an increase in malware delivery via TryCloudflare Tunnel abuse. The threat activity is unattributed at this point in time but is financially motivated and delivers remote access trojans (RATs). ## Description The threat actors have modified tactics, techniques, and procedures to bypass detection and improve efficacy. The activity abuses the TryCloudflare feature to create a one-time tunnel without creating an account, allowing the delivery of malware. The campaigns lead to the delivery of Xworm, a remote access trojan (RAT), and other malware such as AsyncRAT, VenomRAT, GuLoader, and Remcos. The threat actor behind the campaigns has been observed modifying different parts of the attack chain to increase sophistication and defense evasion. The use of Cloudflare tunnels provides the threat actors with a way to use temporary infrastructure to scale their operations, making it harder for defenders to detect and take down instances in a timely manner. The attack chain requires significant victim interaction, giving the recipient multiple opportunities to identify suspicious activity and disrupt the attack chain before successful execution. ## Microsoft Analysis ProofPoint\'s findings fit with the trend [other security researchers]([https:/security.microsoft.com/intel-explorer/articles/7f0d7aa3]) have noted of hackers utilizing DNS tunneling as a covert communication method and for bypassing traditional security measures. Although ProofPoint does not attribute the activity to a tracked Threat Actor, Microsoft Threat Intelligence has also observed threat actors such as [Aqua Blizzard](https://sip.security.microsoft.com/intel-profiles/9b01de37bf66d1760954a16dc2b52fed2a7bd4e093dfc8a4905e108e4843da80) (ACTINIUM) utilize Cloudflare tunnels to obfuscate their command and control (C2) communication. The process began with phishing activities that downloaded the cloudflared.exe client, which doesn\'t require configuration or licensing. This client sets up a tunnel through Cloudflare\'s infrastructure, masking the connection to the C2 IP address and making it difficult for network security software to detect the threat actor\'s infrastructure. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:VBS/XWorm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/XWorm) - [Trojan:Win32/Guloader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Guloader) - [Backdoor:JS/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:JS/Remcos) - [Trojan:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Remcos) - [PWS:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Remcos) - [Backdoor:MSIL/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MSIL/Remcos) - [Backdoor:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Remcos) - [TrojanDownloader:O97M/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:O97M/Remcos) - [TrojanDownloader:AutoIt/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:AutoIt/Remcos) - [Trojan:XML/AsyncRat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:XML/AsyncRat) - [Backdoor:Win32/Asyncrat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Asyncrat) - [Trojan:VBS/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/AsyncRAT) - [Trojan:VBA/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descript | Threat Spam Malware Tool Prediction | ★★★ | |
|
2024-08-02 20:39:07 | Black Basta ransomware switches to more evasive custom malware (lien direct) | ## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do | Threat Ransomware Malware Cloud Tool Vulnerability Legislation | ★★★ | |
|
2024-08-02 20:30:41 | Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft (lien direct) | ## Snapshot Researchers at Trend Micro identified a malvertising campaign where threat actors hijack social media pages, rename them to mimic popular AI photo editors, and post malicious links to fake websites. ## Description These attackers use spam messages with phishing links to steal admin credentials, leading to fake account protection pages. Once they gain control, they post ads promoting the AI photo editor, which directs victims to download an endpoint management utility disguised as the photo editor. The ITarian software is then used to execute additional payloads like Lumma Stealer, which exfiltrates sensitive data such as cryptocurrency wallet files, browser data, and password manager databases. This campaign exploits the popularity of AI tools by using them as lures for malicious activities. Cybercriminals have been observed changing social media page names to those of popular AI tools and using paid ads to boost their malicious posts. Victims are tricked into downloading software that allows attackers to remotely control their devices, leading to data and credential theft. ## Additional Analysis Threat actors frequently capitalize on current trends and events to enhance the credibility of their phishing scams, and the recent surge in interest around AI is no exception. By leveraging the excitement surrounding new AI technologies, cybercriminals create convincing phishing sites and promotional materials that mimic legitimate AI platforms. These scams often employ sophisticated social engineering tactics, including the use of compromised social media accounts, to distribute malware under the guise of AI applications. Security researchers at [Cyble Research and Intelligence Labs](https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/) have observed cybercriminals using branding for OpenAI\'s Sora, to create convincing phishing sites promoted through compromised social media accounts. This strategy not only increases the perceived legitimacy of their malicious campaigns but also exploits the public\'s eagerness to engage with cutting-edge technologies, thereby maximizing the reach and impact of their attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](http | Threat Ransomware Spam Malware Tool Prediction | ★★★ | |
|
2024-08-02 17:13:44 | Mise à jour de la recherche: les acteurs de la menace derrière la campagne Dev # Popper se sont réoutillants et continuent de cibler les développeurs de logiciels via l'ingénierie sociale Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering (lien direct) |
#### Géolocations ciblées - Corée - Amérique du Nord - Moyen-Orient - L'Europe de l'Est - Europe du Nord - Europe du Sud - Europe de l'Ouest #### Industries ciblées - Informatique - Produits informatiques et services ## Instantané Les chercheurs de Securonix ont découvert une campagne de [Dev # Popper] (https://security.microsoft.com/intel-explorer/articles/7309c) par des acteurs de la menace nord-coréenne, ciblant les développeurs de logiciels par le biais de techniques avancées d'ingénierie sociale. ## Description La campagne est répandue et a eu un impact sur les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient.De plus, la campagne a élargi son pool de victimes pour cibler les utilisateurs de Windows, Linux et MacOS.L'attaque est lancée par de fausses entretiens d'embauche, où les acteurs de la menace présentent à la personne interrogée un package de fichiers zip contenant des logiciels malveillants. Ce malware utilise un code JavaScript fortement obscurci, C2 Communications, Téléchargements de charge utile et exécution Python, avec de nouvelles fonctionnalités de persistance à l'aide de AnyDesk RMM.Le logiciel malveillant basé sur Python comprend des capacités de vol de données sensibles, une prise en charge du système multi-opératoires, une obscurité améliorée et un codage, un réseau, une exécution de commande distante, une exfiltration de données, une journalisation du presse-papiers et des casques de touche et une fonctionnalité FTP étendue.La campagne implique également l'abus des tactiques d'ingénierie sociale et l'extraction des références stockées et des cookies de session de divers navigateurs. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste R opportunisteLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsof | Threat Ransomware Malware Tool | ★★★ | |
|
2024-08-02 17:05:00 | Webinaire: Découvrez la solution de cybersécurité tout-en-un pour les PME Webinar: Discover the All-in-One Cybersecurity Solution for SMBs (lien direct) |
Dans le champ de bataille numérique d'aujourd'hui, les petites et moyennes entreprises (PME) sont confrontées aux mêmes cyber-menaces que les grandes entreprises, mais avec moins de ressources.Les prestataires de services gérés (MSP) ont du mal à répondre à la demande de protection.
Si votre stratégie de cybersécurité actuelle ressemble à une maison de cartes & # 8211;un gâchis complexe et coûteux de différents fournisseurs et outils & # 8211;Il est temps pour un changement.
Présentation
In today\'s digital battlefield, small and medium businesses (SMBs) face the same cyber threats as large corporations, but with fewer resources. Managed service providers (MSPs) are struggling to keep up with the demand for protection. If your current cybersecurity strategy feels like a house of cards – a complex, costly mess of different vendors and tools – it\'s time for a change. Introducing |
Tool | ★★★ | |
 |
2024-08-02 15:44:13 | Trend Micro Plateforme dépasse 10 000 clients de grandes entreprises, étend une solution éprouvée aux petites entreprises Trend Micro Platform Exceeds 10K Large Enterprise Customers, Extends Proven Solution to Small Enterprises (lien direct) |
plate-forme alimentée par AI avec ponts de gestion des risques intégrés pénurie de talents de cybersécurité, soutient la consolidation des fournisseurs
Trend Micro Incorporated a atteint de nouveaux étapes de croissance et de disponibilité pour sa plate-forme de cybersécurité.Trend Vision One ™ dessert désormais plus de 10 000 clients d'entreprise dans le monde et a également été étendu pour aider les petites et moyennes entreprises (PME) à mieux gérer leur cyber-risque.Amélioré avec de nouveaux outils de gestion et opérationnels conçus spécifiquement pour les prestataires de services gérés (MSP), la plate-forme simplifie la gestion des risques pour les entreprises tout en permettant aux MSP d'obtenir des efficacités opérationnelles, d'élargir leurs services et de monétiser l'opportunité du marché.
-
revues de produits
AI-powered platform with built-in risk management bridges cybersecurity talent shortage, supports vendor consolidation Trend Micro Incorporated has achieved new growth and availability milestones for its cybersecurity platform. Trend Vision One™ now serves over 10,000 enterprise customers worldwide and has also been extended to help small- and mid-sized enterprises (SMEs) better manage their cyber risk. Enhanced with new management and operational tools designed specifically for Managed Service Providers (MSPs), the platform simplifies risk management for enterprises while also allowing MSPs to gain operational efficiencies, expand their services and monetize the market opportunity. - Product Reviews |
Tool Prediction | ★★★ | |
|
2024-08-02 14:32:33 | Fausses annonces d'éditeur d'IA sur Facebook Push Password Staling Malewware Fake AI editor ads on Facebook push password-stealing malware (lien direct) |
Une campagne Facebook malvertising cible les utilisateurs à la recherche d'outils d'édition d'image AI et vole leurs informations d'identification en les incitant à installer de fausses applications qui imitent les logiciels légitimes.[...]
A Facebook malvertising campaign targets users searching for AI image editing tools and steals their credentials by tricking them into installing fake apps that mimic legitimate software. [...] |
Malware Tool | ★★★ | |
|
2024-08-02 10:45:51 | Le Royaume-Uni prévoit de réorganiser les outils nationaux de cyber-défense est déjà en mouvement UK plans to revamp national cyber defense tools are already in motion (lien direct) |
Le travail vise à s'appuyer sur le succès de l'initiative 2016 de NCSC \\ & # 8211;et le secteur privé jouera un rôle Le National Cyber Security Center (NCSC) du Royaume-Uni dit qu'il a été dans les étapes de planification de la mise en place d'une nouvelle suite de services à sa cyber-défense active existante(ACD) Programme.…
Work aims to build on the success of NCSC\'s 2016 initiative – and private sector will play a part The UK\'s National Cyber Security Centre (NCSC) says it\'s in the planning stages of bringing a new suite of services to its existing Active Cyber Defence (ACD) program.… |
Tool | ★★ | |
 |
2024-08-02 09:50:00 | NCSC dévoile la cyberdéfense 2.0 avancée pour lutter contre l'évolution des menaces NCSC Unveils Advanced Cyber Defence 2.0 to Combat Evolving Threats (lien direct) |
Le NCSC du Royaume-Uni lance ACD 2.0, une suite avancée d'outils et de services de cybersécurité conçus pour protéger les entreprises contre l'évolution des cyber-menaces
The UK\'s NCSC is launching ACD 2.0, an advanced suite of cybersecurity tools and services designed to protect businesses from evolving cyber threats |
Tool | ★★★ | |
 |
2024-08-02 06:00:00 | Utilisez l'apprentissage ciblé pour réduire exponentiellement vos risques de cybersécurité Use Targeted Learning to Exponentially Reduce Your Cybersecurity Risks (lien direct) |
The days of a one-size fits all security awareness program are over. The State of the Phish report from Proofpoint notes that over 98% of businesses have a security awareness program. Yet a staggering 68% of users say they take risky actions despite knowing the risks. These statistics underscore the frustrations that we hear from prospective clients every day. They tell us that while they run a continuous educational program, they struggle to achieve the desired behavior improvements among their users. Some of the key challenges they face are: Not knowing who represents the greatest risk to the organization Not knowing what policies, threats and vulnerabilities to educate users about at any given moment Not being able to keep a program agile without exhausting resources, constantly updating user groups or continually tailoring curriculums These issues highlight the critical need to go beyond traditional security awareness and think holistically to build a human risk management program. A good place to start is focusing on highly targeted user groups. It\'s these users who are often the ones responsible for most of the security issues within a business. When you can tailor education to the specific needs of these users, you can mitigate individual vulnerabilities. You can also fortify your entire defense against potential attacks. A new workflow from Proofpoint focuses on these users to produce exponentially positive results in helping you reduce overall risk. In this blog, we\'ll explore why focusing on human risk management is so important. And we\'ll explain how Proofpoint can help you do just that. What is human risk management? Human risk management builds on existing security best practices to automate cyberattack prevention and response. What makes it different is that it places people at the center. Fundamental to a human risk management solution is an ability to ingest user event and identity activity across multiple security tools within a given environment. The solution will track: Attack risk. The likelihood a user will be attacked Vulnerability risk. The likelihood that the attack may be successful Privilege risk. The damage that a successful attack may cause the organization Then it quantifies an overall risk score for each individual. With this insight, companies and their security teams can: Gain visibility into which individuals or groups are prime targets and prioritize strategies to best protect them Intervene with technical controls to immediately prevent a risky action or provide contextual nudges that advise users about their risks and how to avoid them Automatically enroll risky users into tailored education curriculums, which empowers them to protect themselves and the company against future cyberattacks Easily track improvements in user behaviors and foster a positive security culture These are the issues that the new Adaptive Threat and User-Risk Response Workflow within Proofpoint Security Awareness is designed to address. In short, this new workflow lets you take advantage of everything that is great about Proofpoint. Our Adaptive Threat and User-Risk Response Workflow The new workflow integrates three core capabilities. It enables you to: Dynamically create and manage user groups based on the user risk profiles and groups derived from Proofpoint Nexus People Risk Explorer (NPRE) and Proofpoint Targeted Attack Protection (TAP) using Adaptive Groups Create a threat-driven educational curriculum based on the defined Threat Families tracked by our own Threat Research and reported via TAP Build an Adaptive Assignment to auto-enroll new users into the curriculum whenever a new user qualifies for the previously created Adaptive Group This adaptive learning approach prioritizes education for highly targeted groups. It helps to drive maximum user engagement, too, by enabling administrators to tailor | Threat Cloud Tool Technical Vulnerability | ★★★ | |
|
2024-08-02 00:53:15 | Un nouvel outil Specula utilise Outlook pour l'exécution du code distant sous Windows New Specula tool uses Outlook for remote code execution in Windows (lien direct) |
## Instantané
TrustEdSec a identifié un nouveau cadre post-exploitation de l'équipe rouge appelée "Specula", qui tire parti d'une vulnérabilité dans Microsoft Outlook pour exécuter à distance le code en définissant des pages d'accueil malveillantes via des modifications du registre.
## Description
Le nouveau cadre de spéculations exploite [CVE-2017-11774] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-11774/overview), une fonctionnalité de sécurité de contournement de la vulnérabilité dans Outlook qui permet aux acteurs de menace àDéfinissez une page d'accueil Outlook personnalisée via des clés de registre et exécutez VBScript ou JScript pour exécuter des commandes arbitraires sur des systèmes Windows compromis.Bien qu'ils soient corrigés, les attaquants peuvent toujours créer des pages d'accueil malveillantes en utilisant des valeurs de registre Windows, leur permettant de réaliser de la persistance et de se propager latéralement à d'autres systèmes.La méthode est remarquable pour sa capacité à contourner les logiciels de sécurité en tirant parti de l'état du processus de confiance d'Outlook.
Pour que Specula exécute avec succès le code distant, les attaquants doivent d'abord compromettre une machine pour accéder.
En 2018, la vulnérabilité des perspectives du CVE-2017-11774 a été utilisée pour cibler les agences gouvernementales américaines et a été liée au groupe de cyber-espionnage APT33 parrainé par l'Iran par les chercheurs en sécurité de Chronicle, Fireeye et Palo Alto.
## Recommandations
La source fournit les recommandations suivantes:
- Tout d'abord, si possible pour votre organisation, commencez à utiliser la nouvelle Outlook \\ '\\.
- Deuxièmement, dans les versions à venir de Windows 11, le moteur VBScript sera un composant qui peut être supprimé et paralysera ce vecteur d'attaque car VBScript est nécessaire pour exécuter le code.
- Troisièmement, l'objet de stratégie de groupe (GPO) peut être utilisé pour configurer les clés associées et définir d'autres qui désactivent purement WebView.
- La quatrième option consiste à tirer parti des lignes de base dans la boîte à outils de conformité Microsoft Security.Lors des tests, les lignes de base semblent avoir verrouillé le moteur Web que Outlook utilise pour rendre HTML et VBScript, ce qui ne fait pas d'exécuter les scripts.
## Les références
[SPECULA - transformant Outlook en un C2 avec un changement de registre] (https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change).TrustEdSec (consulté en 2024-07-31)
[New Specula Tool utilise Outlook pour l'exécution de code distant sous Windows] (https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-bout-out--for-memote-code-execution-in-windows/).Bleeping Computer (consulté en 2024-07-31)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot TrustedSec identified a new red team post-exploitation framework called "Specula," which leverages a vulnerability in Microsoft Outlook to remotely execute code by setting malicious home pages via registry modifications. ## Description The novel Specula framework exploits [CVE-2017-11774](https://sip.security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-11774/overview), a security feature bypass vulnerability in Outlook that allows threat actors to set a custom Outlook home page via registry keys and run vbscript or jscript to execute arbitrary commands on compromised Windows systems. Despite being patched, attackers can still create malicious home pages using Windows Registry values, enabling them to achieve persistence and laterally spread to other systems. The method is notable for its ability to bypass security software by leveraging Outl |
Threat Tool Vulnerability | APT33 APT 33 | ★★★ |
|
2024-08-01 19:06:45 | Black Basta développe des logiciels malveillants personnalisés dans le sillage de Qakbot Takedown Black Basta Develops Custom Malware in Wake of Qakbot Takedown (lien direct) |
Le groupe de ransomware prolifiques s'est éloigné du phishing comme méthode d'entrée dans les réseaux d'entreprise, et utilise désormais les courtiers d'accès initiaux ainsi que ses propres outils pour optimiser ses attaques les plus récentes.
The prolific ransomware group has shifted away from phishing as the method of entry into corporate networks, and is now using initial access brokers as well as its own tools to optimize its most recent attacks. |
Ransomware Malware Tool | ★★★ | |
|
2024-08-01 18:42:27 | APT41 a probablement compromis l'institut de recherche affilié au gouvernement taïwanais avec ShadowPad et Cobalt Strike APT41 likely compromised Taiwanese government-affiliated research institute with ShadowPad and Cobalt Strike (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Cisco Talos a identifié une campagne malveillante ciblant un institut de recherche affilié au gouvernement taïwanais à partir de juillet 2023. ## Description La campagne, censée être orchestrée par APT41, suivie par Microsoft sous le nom de typhon en laiton, a impliqué l'utilisation de Malware de ShadowPad, [Cobalt Strike] (https://sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc?tid=72f988bf-86f1-41af-91abpour les activités post-compromis.APT41 a exploité un Microsoft Office IME binaire obsolète ([CVE-2018-0824] (https://security.microsoft.com/intel-explorer/cves/cve-2018-0824/)) pour déploier ShadowPad et levier une exécution du code à distanceVulnérabilité à l'escalade des privilèges.En août 2023, des commandes PowerShell anormales ont été détectées, se connectant à une adresse IP pour télécharger des scripts, indiquant des attaques en cours.La campagne s'aligne sur les tactiques, techniques et procédures connues d'APT41 \\, telles que le phishing de lance et l'utilisation d'exécutables BitDefender pour l'élevage de latérus.Les attaquants ont également utilisé la stéganographie dans des chargeurs de frappe de cobalt pour échapper à la détection. ## Analyse supplémentaire ShadowPad, un cheval de Troie à distance à distance (RAT), est déployé par APT-41 depuis au moins 2017 et par d'autres groupes de menaces chinoises depuis 2019. [SecureWorks] (https://www.secureworks.com/research/shadowpad-malware--Analyse) Évalue que les logiciels malveillants ont probablement été développés par les acteurs de la menace associés à l'APT-41 et partagés avec d'autres acteurs affiliés au ministère chinois de la sécurité des États (MSS) et à l'Armée de libération du peuple (PLA).Le malware a été déployé à l'échelle mondiale et a affecté les organisations dans diverses industries. ShadowPad est utilisé pour maintenir un accès persistant à des environnements compromis et permet aux acteurs de menace d'exécuter des commandes et d'effectuer un ciblage de suivi avec des charges utiles supplémentaires.ShadowPad est déployé via Dynamic Link Library (DLL) l'élevage de tours et a été observé dans le fait de se déguiser en tant qu'ApplAunch.exe, Consent.exe et Bdreinit.exe, entre autres. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [baCKDOOR: WIN64 / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Backdoor: Win64 / Cobaltsstrike) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:win64/cobaltstrike) - [Trojan: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/shadowpad) - [BackDoor: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win32/shadowpad) ## Recommandations - Activer [Tamper Protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) pour empêcher les attaques de s'arrêter ou d'interféreravec Microsoft Defender Antivirus. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Utilisez le pare-feu Windows Defender et votre pare-feu réseau pour empêcher la communication RPC et SMB le long des points de terminai | Threat Malware Tool Vulnerability | APT 41 | ★★★ |
|
2024-08-01 15:51:01 | (Déjà vu) Dangers invisibles qui se cachent derrière Evasive SecureServer.NET URL Unseen Dangers Lurking Behind Evasive Secureserver.net URLs (lien direct) |
#### Géolocations ciblées - Le Portugal - Espagne - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Services financiers ## Instantané Des chercheurs de X-Labs ont identifié une campagne ciblant les grandes organisations financières dans le monde, avec un accent spécifique sur les régions espagnoles et portugais, en particulier l'Amérique latine. ## Description Les acteurs de la menace utilisent le domaine net SecureServer \ [. \] Pour distribuer des chevaux de Troie bancaires via des URL géoloyantes intégrées dans les e-mails.Lors de l'accès à l'URL, un fichier d'archive est supprimé, lançant une série d'activités qui conduisent finalement à l'injection de processus dans la mémoire du système.Le malware est conçu pour échapper à la détection en vérifiant la langue du système, l'emplacement et d'autres variables environnementales.Après une exécution réussie, il se connecte aux serveurs de commandement et de contrôle malveillants, de vol d'informations sensibles et d'utiliser des techniques de phishing. ## Analyse supplémentaire Les acteurs de la menace personnalisent souvent les chevaux de Troie bancaires pour cibler des pays ou des régions spécifiques en raison de plusieurs facteurs: - Langue et localisation: les cybercriminels élaborent leurs e-mails de phishing et leurs logiciels malveillants pour correspondre à la langue et aux nuances culturelles du pays cible, augmentant leurs chances de succès. - Environnement réglementaire: les pays diffèrent dans leurs niveaux de réglementation et d'application de la cybersécurité.Les attaquants ciblent souvent les pays avec des défenses de cybersécurité plus faibles ou des réglementations plus indulgentes. - Infrastructure bancaire: Certains pays peuvent avoir des systèmes bancaires moins sûrs ou des applications bancaires populaires plus sensibles à l'exploitation. - Facteurs économiques: les nations ayant une plus grande activité économique et la richesse sont des objectifs plus lucratifs, offrant un potentiel plus élevé de rendements financiers. - Succès antérieur: les cybercriminels peuvent persister à cibler un pays où ils ont déjà réussi, améliorant continuellement leurs méthodes en fonction des stratégies efficaces passées. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-e | Threat Ransomware Malware Tool Legislation | ★★★ | |
 |
2024-08-01 11:00:00 | Un outil open source de 500 $ permet à quiconque pirater des puces informatiques avec des lasers A $500 Open-Source Tool Lets Anyone Hack Computer Chips With Lasers (lien direct) |
Le Rayv Lite rendra des centaines de fois moins cher pour que quiconque réalise des exploits en physique de piratage matériel.
The RayV Lite will make it hundreds of times cheaper for anyone to carry out physics-bending feats of hardware hacking. |
Hack Tool | ★★★★ | |
|
2024-08-01 10:25:29 | Création de déploiements de kubernetes évolutifs avec des mesures personnalisées Creating Scalable Kubernetes Deployments with Custom Metrics (lien direct) |
Engineering Insights is an ongoing blog series that gives a behind-the-scenes look into the technical challenges, lessons and advances that help our customers protect people and defend data every day. Each post is a firsthand account by one of our engineers about the process that led up to a Proofpoint innovation. Proofpoint Enterprise Archive offers a central, searchable repository that allows ingestion and meets Financial Industry Regulatory Authority (FINRA) standards for compliance. This blog explores how we achieved scale using Kubernetes as our deployment platform. Kubernetes and Horizontal Pod Autoscaler (HPA) Kubernetes is an open-source platform that provides straightforward container orchestration, scalability, resilience and fault tolerance for microservices. All of these factors made it a clear choice as a deployment platform for our application. HPA in Kubernetes is a built-in feature that automatically adjusts the number of replicas (pods) of a deployment based on observed metrics. In a regular environment, HPA queries the Kubernetes metric server, calculates the intended number of replicas and updates a deployment with a desired replica count. The deployment scales the pod count to the desired value. Horizontal Pod Autoscaler (HPA) in Kubernetes. Scaling a deployment based on custom metrics Autoscaling solutions are typically based on runtime metrics like CPU load. However, built-in system metrics are not always adequate for making autoscaling decisions. You need custom metrics to make useful autoscaling decisions. The Proofpoint Enterprise Archive includes a task scheduling system that takes tasks from the queue and executes them one by one. CPU-based autoscaling might not be optimal here because: Tasks can be IO-bound, not CPU-bound Tasks can have priorities, schedules and deadlines For prolonged periods, NO tasks might be scheduled to run at all; in this case, the scaling solution ideally would downscale to zero pods Another applicable scenario would be to scale proactively based on an artificial intelligence (AI) system that predicts load based on past usage patterns. For our use case, the tasks queue length can be a better metric to make scaling decisions, but it requires a custom queue length metric. Although you can set up Kubernetes HPA for this type of scaling, it can be challenging to implement custom metrics for scaling. Furthermore, HPA does not support scaling down to zero pods, which is essential to manage costs. Kubernetes Event Driven Autoscaling (KEDA) is a complementary autoscaling technology you can integrate into HPA. It offers a wide variety of scalers that can fetch metrics from various sources, including Prometheus monitors. KEDA uses these metrics for its integration with Kubernetes HPA. KEDA using its Prometheus Scaler to query metrics from Prometheus. The diagram above shows KEDA using its Prometheus Scaler to query metrics from Prometheus. In our system, the external metrics are mostly exposed by the application itself. KEDA uses these metrics to manage the HPA thereby indirectly controlling the pods\' replica count. KEDA also allows scaling the pods to zero by simply deleting the HPA object. When metrics demand the creation of pods, KEDA recreates the HPA object and starts to manage it. Sample definition and scaling behavior of a processor As a scaling example, we will show a background task processor (BTP) that waits for customer-driven events, picks them up and processes them. It is idle when there are no events to process. Our application exposes metrics that signal when and how many processors are required to handle customer events at any given time. Prometheus scrapes these metrics and makes them available to KEDA for processing. KEDA scale definition The above KEDA query definition includes the following parameters: btp_scaling_metrics is the Prometheus metric for scaling& | Cloud Tool Technical | ★★★ | |
|
2024-08-01 01:09:55 | Sceau de menthe: une étude complète d'un voleur d'informations basé sur un python Mint Stealer: A Comprehensive Study of a Python-Based Information Stealer (lien direct) |
## Snapshot Researchers at Cyfirma have identified Mint Stealer, an [information-stealing malware](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) operating within a malware-as-a-service (MaaS) framework. Mint Stealer is designed to covertly exfiltrate a wide-range of sensitive data from compromised systems, including web browser data, cryptocurrency wallet details, gaming credentials, VPN client information, messaging app data, FTP client data, and more. ## Description Mint-stealer\'s capabilities include capturing system information, detecting debuggers and analysis tools, continuously capturing clipboard data through PowerShell commands, encrypting exfiltrated data, and communicating with its C2 server for updates and instructions. Mint Stealer is created using the Nuitka Python compiler and relies on Python dynamic modules to support its functionality. The initial payload acts as a dropper, with the main payload hidden in a compressed form within the resources section of the executable. It uploads stolen data to free file-sharing websites and communicates with its command-and-control server (C2) for updates and instructions. The threat actor behind Mint Stealer is associated with another malware-selling website, cashout\[.\]pw, and offers hosting services that do not respect DMCA requests. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Often, infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. The new class of actors enabled by the infostealer ecosystem demonstrate that it is possible to gain initial access to an organization with minimal native malware development skills, by purchasing tools already available. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. They can target a range of information like session tokens and cookies, saved passwords, financial information, and credentials for internet-facing systems and applications. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win32/Casdet ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Information stealing malware activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magic | Threat Ransomware Spam Malware Studies Tool | ★★★ | |
|
2024-07-31 22:40:07 | Rapport trimestriel de la cyber-menace: MITER ATT & CK Framework Trends in Osint (avril 2024 & # 8211; juin 2024) Quarterly cyber threat report: MITRE ATT&CK framework trends in OSINT (April 2024 – June 2024) (lien direct) |
## Snapshot This report presents an analysis of recent trends in cyber threats based on 111 articles published by threat researchers across the security community between April and June 2024. These articles are curated by Microsoft Threat Intelligence from across a number of trusted sources and included in Microsoft Defender Threat Intelligence as open source intelligence (OSINT) articles. The analysis focuses on the nearly 1,000 MITRE ATT&CK framework tags correlated to the content in each article. By distilling insights from these tags and the related intelligence, we can highlight prevalent tactics, techniques, and procedures (TTPs) observed in the cyber security landscape over the past quarter. This dataset is not exhaustive but represents a curated set of most high-profile cyber threat intelligence reporting from across the security community. When prioritizing cyber security efforts, it\'s essential to understand the trending TTPs observed in the wild. This knowledge helps defenders make informed decisions about the most effective strategies to implement, especially where to focus engineering efforts and finite resources. ## Activity Overview - **Initial access: Phishing**: Phishing remains a prevalent initial access method, mentioned in a third of reports, including spear-phishing attachments and links. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. - **Defense evasion: Obfuscated files or information:** Over a third of reports highlighted the use of obfuscation techniques, such as dynamic API resolution and steganography, to evade detection. This trend is likely underpinned by factors such as the cybercrime market for obfuscating even basic credential theft malware as well as the growing sophistication in some malware to bypass traditional security measures. - **Command and control: Ingress tool transfer:** Ingress tool transfer was the most frequently referenced technique, involving the transfer of tools from an external system to a compromised one. Key threats driving the prevalence of this tactic included an increase in OSINT reporting on threat actors misusing the ms-appinstaller URI scheme (App Installer) to distribute malware. - **Execution: Command and scripting interpreter/PowerShell:** Execution through PowerShell was prominent, continuing its trend of broad adoption in attacks over the past decade. The widespread adoption of PowerShell to launch malicious code is in part due to numerous toolkits that have been developed to allow quick deployment of a wide range of attacks. - **Exfiltration: Exfiltration over C2 channel:** The most commonly referenced exfiltration method was over the command-and-control (C2) channel, highlighting the critical need for network monitoring and anomaly detection to identify and mitigate data breaches. The frequent reports on infostealers such as Lumma and DarkGate-commodity malware used to steal information from a target device and send it to the threat actor-are likely key drivers of this MITRE tag\'s prominence. - **Impact: Data encrypted for impact:** Ransomware involving data encryption was the most frequently observed impact technique, with LockBit and other groups exploiting vulnerabilities. The use of Bring Your Own Vulnerable Driver (BYOVD) tactics, such as Warp AV Killer, remained common. #### Initial access: Phishing Phishing remains a significant initial access method in open-source research, with a third of the reports mentioning its use. This includes both spear-phishing attachments and spear-phishing links. Phishing involves deceptive attempts to trick individuals into divulging sensitive information or installing malicious software, often through seemingly legitimate emails. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. Phishing remains a dominant method for initial access in cyber threat landscapes due to its effective | Threat Ransomware Spam Malware Cloud Tool Prediction Vulnerability Legislation | ★★★ | |
|
2024-07-31 21:17:43 | (Déjà vu) «Echospoofing» - une campagne de phishing massive exploitant la protection par e-mail de Proofpoint \\ pour envoyer des millions de courriels parfaitement usurpés “EchoSpoofing” - A Massive Phishing Campaign Exploiting Proofpoint\\'s Email Protection to Dispatch Millions of Perfectly Spoofed Emails (lien direct) |
## Snapshot In a coordinated report, Guardio Labs and Proofpoint detailed spam campaigns, which exploited weak permissions in Proofpoint\'s email protection service to send millions of spoofed emails impersonating major entities like Disney, Nike, IBM, and Coca-Cola to Fortune 100 companies. ## Description The campaign, which began in January 2024, involved an average of 3 million spoofed emails per day, peaking at 14 million emails in early June. Threat actors utilized their own SMTP (Simple Mail Transfer Protocol) servers to create spoofed emails with manipulated headers and relayed them through compromised or rogue Microsoft Office 365 accounts via Proofpoint\'s relay servers. As of July 30th, Guardio Labs reported that a number of the Microsoft accounts have been removed. The attackers leveraged Virtual Private Servers (VPS) hosted by OVHCloud and Centrilogic, as well as various domains registered through Namecheap to conduct the campaign. Proofpoint assesses that this activity was likely conducted by one actor, who is currently unknown. The phishing emails were designed to steal sensitive personal information and incur unauthorized charges, and they passed SPF and DKIM checks, allowing them to bypass spam filters and reach recipients\' inboxes. Proofpoint, after being notified by Guardio Labs, tightened security measures and provided new settings and advice to mitigate these attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft Defender XDR customers can turn on the following [attack surface reduction rule](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) to prevent common attack techniques used for ransomware. - - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-content-from-email-client-and-webmai | Threat Ransomware Spam Tool | ★★★ | |
|
2024-07-31 20:02:49 | (Déjà vu) Socgholish malware attaquant les utilisateurs de Windows à l'aide d'une fausse mise à jour du navigateur SocGholish Malware Attacking Windows Users Using Fake Browser Update (lien direct) |
## Snapshot GData Software analysts found that the [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) malware, favored by threat groups like Evil Corp (tracked by Microsoft as [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc)) and TA569 (tracked by Microsft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9)), is actively targeting Windows users with fake browser updates. ## Description This complex JavaScript downloader uses drive-by download techniques to silently install malware on user machines. It has evolved to exploit vulnerable WordPress plugins using the Keitaro traffic distribution system, with its infrastructure traced to Russian-hosted servers. The malware employs advanced techniques such as user profiling, browser fingerprinting, and fake browser update pages as lures. Potential payloads associated with SocGholish include backdoors, information stealers, remote access Trojans, and ransomware. Recent infections indicate the use of PowerShell scripts for persistence on compromised systems, enhancing its adaptability and evasion capabilities. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actors [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft) and [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc) use SocGholish/FakeUpdates as their primary technique to gain intial access. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [TrojanDownloader:JS/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/FakeUpdates.J&threatId=-2147133367?ocid=magicti_ta_ency) - [Behavior:Win32/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/FakeUpdates.A&threatId=-2147140656?ocid=magicti_ta_ency) - [Trojan:JS/FakeUpdate](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/FakeUpdate.C) - [Behavior:Win32/Socgolsh](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB&threatId=-2147152249?ocid=magicti_ta_ency) - [TrojanDownloader:JS/SocGholish](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/SocGholish!MSR&threatId=-2147135220?ocid=magicti_ta_ency) - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - [Behavior:Win32/Socgolsh.SB](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB) - [Trojan:Win32/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Blister.A&threatId=-2147152044?ocid=magicti_ta_ency) - [Trojan:Win64/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Blister.A&threatId=-2147153518?ocid=magicti_ta_ency) - [Behavior:Win32/SuspRclone](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Sus | Threat Ransomware Malware Tool | ★★★ | |
|
2024-07-31 18:17:54 | (Déjà vu) Donot APT GROUP ciblant le Pakistan Donot APT Group Targeting Pakistan (lien direct) |
#### Targeted Geolocations - United States - Eastern Europe - Northern Europe - Western Europe - Southern Europe - Central Asia - East Asia - South Asia - Southeast Asia #### Targeted Industries - Government Agencies & Services - Information Technology - Defense Industrial Base ## Snapshot Rewterz published a profile on APT-C-35, also known as the Donot APT group, a cyber espionage group active since at least 2013. ## Description The Donot APT group is known to target government and military organizations, as well as companies in the aerospace, defense, and high-tech industries. Their activities have been observed in several regions, including the United States, Europe, and Asia. The Donot group\'s motivations are information theft and espionage. The group is known for targeting Pakistani users with Android malware named StealJob, disguised under the name “Kashmiri Voice” to steal confidential information and intellectual property. In July 2022, they used Comodo\'s certificate to sign their spyware, demonstrating their high level of technical skill. The Donot APT group employs various tactics such as spear-phishing emails, malware, and custom-developed tools, often using third-party file-sharing websites for malware distribution. They are well-funded and use sophisticated techniques to evade detection, including encryption and file-less malware. ## Additional Analysis According to a number of additional sources, Donot group is likely [linked to the Indian government](https://socradar.io/apt-profile-apt-c-35-donot-team/). Initial access to victim environments is typically achieved through phishing campaigns and the group has been observed exploiting vulnerabilities in Microsoft Office, including [CVE-2018-0802](https://security.microsoft.com/intel-explorer/cves/CVE-2018-0802/), [CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/), and [CVE-2017-8570](https://security.microsoft.com/intel-explorer/cves/CVE-2017-8570/). Donot group is a persistent and consistent actor. [ESET researchers](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) note the group is known to repeatedly attacks the same target, even if they are removed fromt he victim environment. In some cases, the Donot group launched spearphishing campaigns against targets every two to four months. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender f | Threat Ransomware Malware Tool Technical Mobile Industrial Vulnerability | ★★★ | |
|
2024-07-31 16:40:35 | (Déjà vu) Phishing targeting Polish SMBs continues via ModiLoader (lien direct) | #### Géolocations ciblées - Pologne - Roumanie - Italie ## Instantané Des chercheurs de l'ESET ont détecté des campagnes de phishing généralisées ciblant les petites et moyennes entreprises (PME) en Pologne, en Roumanie et en Italie en mai 2024. ## Description Les campagnes visant à distribuer diverses familles de logiciels malveillants, y compris les remcos à distance à distance (rat), [agent Tesla] (https://security.microsoft.com/intel-profiles/0116783AB9DA099992EC014985D7C56BFE2D8C360C6E7DD6CD39C8D6555555538) et FormBook) et Forme Modiloader (également connu sous le nom de dbatloader).Cela marque un changement de tactique comme dans les campagnes précédentes, les acteurs de la menace ont exclusivement utilisé l'accryptor pour offrir des charges utiles de suivi. Dans les campagnes les plus récentes, les attaquants ont utilisé précédemment les comptes de messagerie et les serveurs d'entreprise pour diffuser des e-mails malveillants, héberger des logiciels malveillants et collecter des données volées.Les e-mails de phishing contenaient des pièces jointes avec des noms comme RFQ8219000045320004.TAR ou ZAM & OACUTE; WIENIE \ _NR.2405073.IMG, qui ont été utilisés pour livrer Modiloader.Une fois lancé, Modiloader a téléchargé et exécuté la charge utile finale, qui variait entre les différentes campagnes.Les attaquants ont exfiltré des données utilisant différentes techniques, y compris SMTP et des serveurs Web compromis. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Modiloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/modiloader) - [Backdoor: JS / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos) - [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name=backdoor: MSIL / REMCOS) - [Backdoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-dEscription? Name = Backdoor: Win32 / Remcos) - [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-d-dEscription? Name = Trojan: Win32 / Remcos) - [Trojan: win32 / agenttesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/agenttesla) - [Trojanspy: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojanspy:mil/agenttesla) - [Trojandownloader: MSIL / FormBook] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojandownher:mil/formBook.kan!mtb&agne ;Threatid=-2147130651&ocid = magicti_ta_ency) ## Recommandations Microsoft recommande les atténuations suivantes to Réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) So que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defen | Threat Ransomware Malware Tool | ★★★ | |
|
2024-07-31 15:03:11 | Les fausses mises à jour du navigateur déploient un logiciel Asyncrat et malveillant BOINC Fake Browser Updates Deploy AsyncRAT and Malicious BOINC Software (lien direct) |
## Snapshot Researches at Huntress identified new behaviors associated with SocGholish, or FakeUpdates, malware. Typically, infections start when a user visits a compromised website and downloads a fake browser update, which executes malicious code to download further malware. . ## Description Initial access involves a malicious JavaScript file that downloads subsequent stages of the attack. In this case, two separate chains were identified: one leading to a fileless AsyncRAT installation and the other to a malicious BOINC (Berkeley Open Infrastructure Network Computing Client) installation. The AsyncRAT chain involved several stages with obfuscated PowerShell scripts and anti-VM techniques, eventually leading to a connection to a command and control (C2) server. The BOINC chain involved dropping multiple files, creating directories and scheduled tasks, and renaming executables to disguise their malicious intent. The BOINC software, typically used for legitimate distributed computing projects, was configured to connect to malicious servers, enabling threat actors to collect data and execute tasks on infected hosts. Persistence was maintained through scheduled tasks, and the use of BOINC in this context is relatively unusual. Both chains showed similarities with previous SocGholish activities, such as using fake browser updates and PowerShell scripts. The new campaigns utilized recently registered domains and shared infrastructure noted by other security researchers. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actor, [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft), uses SocGholish/FakeUpdates as their primary technique to gain intial access. Find out more about Mustard Tempest including indicators [here](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=description). [AsyncRAT](https://sip.security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776) is a remote access tool (RAT) that allows a user to control a remote computer. It is designed to evade detection and is often used by attackers to gain unauthorized access to a victim\'s system. AsyncRAT is written in .NET and is capable of running on Windows machines. It can perform various malicious activities such as keylogging, file stealing, and ransomware deployment. Its name comes from its use of asynchronous programming techniques, which allow it to carry out multiple tasks simultaneously without blocking the program\'s main thread. Mirosoft researchers track the AsyncRAT portion of this attack to threat actor, [Storm-0426](https://security.microsoft.com/intel-profiles/2ef8bd6a2aa00638707e7eba5e86040ba0d88c4c0da6ad7bb0c95a8999e2af83). ## Detections/Hunting Queries #### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - Trojan:JS/FakeUpdate.C - Trojan:JS/FakeUpdate.B - Behavior:Win32/Socgolsh.SB #### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - SocGholish command-and-control - Suspicious \'Socgolsh\' behavior was blocked The following aler | Threat Ransomware Malware Tool | ★★★ | |
|
2024-07-31 10:00:00 | Les attaques de ransomwares sont-elles toujours une menace croissante en 2024? Are Ransomware Attacks Still a Growing Threat in 2024? (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Ransomware attacks continue to pose a growing threat to organizations as it has emerged as the number one threat, affecting 66% of organizations in 2023 and pulling over $1 billion from the victims. These attacks have increased in frequency and sophistication, resulting in significant financial loss, operation disruption, theft of sensitive data, and reduced productivity rates. Also, it damages the organization\'s reputation and results in the loss of customer trust and compliance violations. An organization needs a comprehensive protection strategy to reduce the frequency of these attacks and the risks they pose. Ransomware Business Model: How These Attacks Are Evolving? In the past, ransomware attacks mainly relied on phishing emails, remote desktop protocol exploits, and vulnerable ports to increase their chances of success. Additionally, these attacks employ evasion techniques to bypass traditional security measures like firewalls or antivirus software. These methods have resulted in famous attacks like WannaCry, TeslaCrypt, and NotPetya. With time, ransomware attackers have evolved and have become more sophisticated, targeted, and profitable for cybercriminals. Below is an insight into the latest trends that hackers adopt to launch a successful ransomware attack: Exploiting Zero-Day Vulnerabilities The shift in ransomware gangs and their sophisticated tactics and procedures (TTPs) raise the number of ransomware attacks. . Previously, REvil, Conti, and LockBit were the famous ransomware gangs, but now Clop, Cuban, and Play are gaining immense popularity by employing advanced hacking techniques like zero-day vulnerabilities. Sophos\'s State of Ransomware 2024 revealed exploited vulnerabilities as the root cause of ransomware attacks. The Clop ransomware gang has used the zero-day vulnerability in the MOVEit Transfer platform to steal the sensitive data of different organizations. This group also targeted the GoAnywhere zero-day vulnerability in January 2023, affecting 130 organizations, and exploited the Accellion FTA servers in 2020. Similarly, Cuban and Play used the same attacking technique to compromise the unpatched Microsoft Exchange servers. Double and Triple Extortion Another reason for the rise in ransomware attacks is the introduction of the double or triple extortion technique. Cybersecurity firm Venafi reported that 83% of ransomware attacks included multiple ransom demands in 2022. Cybercriminals encrypt the data, exfiltrate sensitive information, and threaten to release it or sell it on the dark web if the ransom is not paid in a double extortion scheme. This tactic prove | Threat Ransomware Malware Studies Tool Technical Prediction Vulnerability Medical Legislation | NotPetya Wannacry Deloitte | ★★★ |
|
2024-07-30 21:34:07 | Rapport d'analyse technique des ransomwares Azzasec AzzaSec Ransomware Technical Analysis Report (lien direct) |
#### Géolocations ciblées - Israël - Ukraine ## Instantané Des chercheurs de ThreatMon ont publié un rapport sur Azzaseec Ransomware, A Ransomware As a Service (RAAS), développé par le groupe Azzasec Hacktivist. ## Description Utilisé par le groupe lui-même et vendu à d'autres acteurs de menace en tant que RAAS, les ransomwares azzasec ont été livrés via une attachement de phishing et via des serveurs Windows distants infectés.Une fois qu'Azzasec infecte un système cible, il peut chiffrer 120 formats de fichiers différents et supprime des points de restauration pour empêcher les victimes de pouvoir restaurer leur système à une date de pré-infection. ThreatMon évalue que le groupe Azzasec Hactivist a été fondé en février 2024 et a des motivations financières.Les analystes suggèrent que le groupe est basé en Italie, mais aligné avec la Russie, et collabore avec le groupe de menaces russes APT44.Le groupe et ses ransomwares sont une menace pour l'Ukraine, Israël et leurs alliés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Interfaces de numérisation publique, telles que [Microsoft Defender External Attack Surface Management] (https://www.microsoft.com/security/business/cloud-security/microsoft-defender-extern-attack-surface-management?ocid=Magicti_TA_ABBReviatedMkTgpage),,,,,,peut être utilisé pour augmenter les données.Le tableau de bord du résumé de la surface d'attaque fait face à des actifs, tels que les serveurs d'échange, qui nécessitent des mises à jour de sécurité et fournissent des étapes de remédiation recommandées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_ta_learndoc) pour ce défenseurPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode entièrement automatisé pour permettre au Defender pour le point de terminaison de prendre des mesures immédiates sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lire Microsoft \'s [Présentation des menaces de ransomware] (https: // secUrity.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStre | Threat Ransomware Tool Technical | ★★ | |
|
2024-07-30 17:42:47 | (Déjà vu) SideWinder Utilizes New Infrastructure to Target Ports and Maritime Facilities in the Mediterranean Sea (lien direct) | #### Targeted Geolocations - Pakistan - Egypt - Sri Lanka - Bangladesh - Myanmar - Nepal - Maldives #### Targeted Industries - Transportation Systems - Maritime Transportation ## Snapshot The BlackBerry Threat Research and Intelligence team has uncovered a new campaign by the nation-state threat actor SideWinder, also known as Razor Tiger and Rattlesnake, which has upgraded its infrastructure and techniques since mid-2023. ## Description The campaign targets ports and maritime facilities in the Indian Ocean and Mediterranean Sea, with specific focus on Pakistan, Egypt, and Sri Lanka initially, and expanding to Bangladesh, Myanmar, Nepal, and the Maldives. SideWinder employs spear-phishing emails using familiar logos and themes to lure victims into opening malicious documents, which exploit vulnerabilities in Microsoft Office to gain access to systems. The group\'s objective is believed to be espionage and intelligence gathering, consistent with its past campaigns targeting military, government, and business entities in South Asia. The malicious documents use visual bait, such as fake port authority letters, to provoke fear and urgency, leading victims to download malware. The documents exploit a known vulnerability ([CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/)) in Microsoft Office, relying on outdated or unpatched systems to deliver their payload. Once opened, the documents download additional malicious files that execute shellcode to ensure the system is not a virtual environment, before proceeding with further stages of the attack. The campaign\'s infrastructure includes the use of Tor nodes to mask network traffic and protective DNS data to evade detection. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Exploit:O97M/CVE-2017-0199](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:O97M/CVE-2017-0199!MSR) - [Trojan:Win32/Casdet](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Casdet!rfn) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recom | Threat Ransomware Malware Tool Vulnerability | APT-C-17 | ★★★ |
|
2024-07-30 16:56:00 | La puissance et le péril des outils RMM The Power and Peril of RMM Tools (lien direct) |
Alors que de plus en plus de personnes travaillent à distance, les services informatiques doivent gérer les appareils distribués sur différentes villes et pays qui s'appuient sur les VPN et les outils de surveillance et de gestion à distance (RMM) pour l'administration du système. & NBSP;
Cependant, comme toute nouvelle technologie, les outils RMM peuvent également être utilisés avec malveillance.Les acteurs de menace peuvent établir des connexions à un appareil de victime et exécuter des commandes, exfilter les données et rester
As more people work remotely, IT departments must manage devices distributed over different cities and countries relying on VPNs and remote monitoring and management (RMM) tools for system administration. However, like any new technology, RMM tools can also be used maliciously. Threat actors can establish connections to a victim\'s device and run commands, exfiltrate data, and stay |
Threat Tool | ★★★ | |
|
2024-07-30 14:55:41 | Le ransomware Black Basta passe à des logiciels malveillants personnalisés plus évasifs Black Basta ransomware switches to more evasive custom malware (lien direct) |
Le gang de ransomware Black Basta a montré de la résilience et une capacité à s'adapter à un espace de change constant, en utilisant de nouveaux outils et tactiques personnalisés pour échapper à la détection et à se propager dans un réseau.[...]
The Black Basta ransomware gang has shown resilience and an ability to adapt to a constantly shifting space, using new custom tools and tactics to evade detection and spread throughout a network. [...] |
Ransomware Malware Tool | ★★★ | |
|
2024-07-30 10:00:00 | Juste une attaque sur 10 signalée par des outils de sécurité Just One in 10 Attacks Flagged By Security Tools (lien direct) |
PICUS SECURITY réclame que 12% des attaques simulées déclenchent une alerte
Picus Security claims just 12% of simulated attacks trigger an alert |
Tool | ★★★ | |
|
2024-07-30 08:29:37 | Kaspersky détecte une nouvelle campagne signée Mandrake passée inaperçue depuis deux ans, avec plus de 32 000 téléchargements via Google Play (lien direct) | Les chercheurs de Kaspersky ont identifié une nouvelle campagne distribuant le logiciel espion Mandrake via Google Play, sous l'apparence d'applications légitimes relatives aux crypto-monnaies, à l'astronomie et aux outils utilitaires. Les experts de Kaspersky ont découvert cinq applications Mandrake sur Google Play, disponibles sur la plateforme pendant deux ans et téléchargées plus de 32 000 fois. Les échantillons les plus récents intègrent des techniques d'offuscation et d'évasion avancées, permettant aux malwares de ne pas être détectés par les solutions antivirus. - Investigations | Tool | ★★ | |
|
2024-07-30 01:18:05 | Cyberattaques UAC-0102 visant à voler les données d'authentification des comptes d'utilisateurs UKR.NET UAC-0102 cyberattacks aimed at stealing authentication data of UKR.NET user accounts (lien direct) |
#### Géolocations ciblées - Ukraine #### Industries ciblées - agences et services gouvernementaux ## Instantané Le groupe UAC-0102 a ciblé les utilisateurs de l'UKR.NET avec des e-mails de phishing contenant des pièces jointes malveillantes conçues pour voler des informations d'authentification, selon les rapports de l'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA). ## Description En juillet 2024, le groupe UAC-0102 a effectué des cyberattaques impliquant des e-mails de phishing avec des pièces jointes qui contiennent des fichiers HTML, comme indiqué par CERT-UA.Lorsqu'ils sont ouverts, ces fichiers redirigent les utilisateurs vers une fausse page de connexion UKR.NET, capturant les informations d'authentification Targets \\ '.Les attaquants exploitent le manque d'outils de protection par e-mail pour cibler les employés des agences gouvernementales ukrainiennes, des militaires et d'autres organisations, en utilisant ces informations d'identification pour un accès non autorisé.Les documents téléchargés servent d'appât pour compromettre davantage l'ordinateur de la victime. ## Recommandations Microsoft recommande la mise en œuvre d'authentification multifactrice (MFA) pour réduire l'impact de cette menace et atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer [Accès conditionnel] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview?ocid=Magicti_TA_LearnDoc).Les polices d'accès conditionnelles sont évaluées et appliquées chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour Office365] (https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdo?ocid=Magicti_TA_Learndoc) rassemble une gestion d'incident et d'alerte à travers le courrier électronique, les appareils, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui identifient et bloquent automatiquement les sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing.Pour renforcer la résilience contre les attaques de phishing en général, les organisations peuvent utiliser [les politiques anti-phishing] (https://learn.microsoft.com/en-us/defenderofice-365/anti-phishing-polices-about?view=o365-WorldWide) pour activer les paramètres d'intelligence de la boîte aux lettres, ainsi que la configuration des paramètres de protection d'identification pour des messages spécifiques et des domaines d'expéditeur.Activer [SafeLinks] (https://learn.microsoft.com/en-us/defenderofice-365/safe-links-about?view=o365-worldwide) garantit une protection en temps réel en scannant au moment de la livraison et à la livraisonheure du clic. - Surveillez les activités suspectes ou anormales et recherchez des tentatives de connexion avec des caractéristiques suspectes (par exemple l'emplacement, le fournisseur de services Internet \ [ISP \], l'agent utilisateur et l'utilisation des services d'anonymissage).L'activité peut être identifiée et étudiée avec [Microsoft Defender for Identity] (https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdi?ocid=Magicti_ta_learndoc), qui contribue à l'identité-Les informations ont concentré les incidents et les al | Threat Tool | ★★★ | |
 |
2024-07-30 00:00:00 | Les outils DeepFake alimentés par AI deviennent plus accessibles que jamais AI-Powered Deepfake Tools Becoming More Accessible Than Ever (lien direct) |
Trend Micro Research découvre de nouveaux outils de cybercriminalité posant des menaces accrues à la sécurité, mettant en évidence l'évolution rapide des services de piratage alimentés par l'IA et leur potentiel d'exploitation de masse
Trend Micro research uncovers new cybercrime tools posing increased threats to security, highlighting the rapid evolution of AI-powered hacking services and their potential for mass exploitation |
Tool Prediction | ★★★ |
To see everything:
Our RSS (filtrered)
