What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-12 16:21:00 | La vulnérabilité critique du serveur de messagerie exim expose des millions à des pièces jointes malveillantes Critical Exim Mail Server Vulnerability Exposes Millions to Malicious Attachments (lien direct) |
Un problème de sécurité critique a été divulgué dans l'agent de transfert de courrier EXIM qui pourrait permettre aux acteurs de menace de livrer des pièces jointes malveillantes aux utilisateurs cibles \\ 'de réception.
La vulnérabilité, suivie comme CVE-2024-39929, a un score CVSS de 9,1 sur 10,0.Il a été abordé dans la version 4.98.
"EXIM à 4,97.1 erroné un nom de fichier d'en-tête RFC 2231 multiliné
A critical security issue has been disclosed in the Exim mail transfer agent that could enable threat actors to deliver malicious attachments to target users\' inboxes. The vulnerability, tracked as CVE-2024-39929, has a CVSS score of 9.1 out of 10.0. It has been addressed in version 4.98. "Exim through 4.97.1 misparses a multiline RFC 2231 header filename, and thus remote attackers can bypass |
Vulnerability Threat | ||
|
2024-07-12 14:00:00 | Les États-Unis saisissent les domaines utilisés par la ferme de bot russe propulsée par l'IA pour la désinformation U.S. Seizes Domains Used by AI-Powered Russian Bot Farm for Disinformation (lien direct) |
Le ministère américain de la Justice (DOJ) a déclaré avoir saisi deux domaines Internet et fouillé près de 1 000 comptes de médias sociaux que les acteurs de la menace russe auraient utilisés pour diffuser secrètement la désinformation du pro-kremlin dans le pays et à l'étranger à grande échelle.
«La ferme de bot sur les médias sociaux a utilisé des éléments de l'IA pour créer
The U.S. Department of Justice (DoJ) said it seized two internet domains and searched nearly 1,000 social media accounts that Russian threat actors allegedly used to covertly spread pro-Kremlin disinformation in the country and abroad on a large scale. "The social media bot farm used elements of AI to create fictitious social media profiles - often purporting to belong to individuals in the |
Threat | ★★★ | |
 |
2024-07-12 12:04:00 | Optiv fait ses débuts sur le service de détection et de réponse gérés sur Google Secops, améliorer la gestion des menaces Optiv debuts managed detection and response service on Google SecOps, enhancing threat management (lien direct) |
Cyber Advisory and Solutions Company Optiv a lancé son service de détection et de réponse gérés, Optiv MDR, sur le ...
Cyber advisory and solutions company Optiv has launched its managed detection and response service, Optiv MDR, on the... |
Threat | ||
 |
2024-07-11 22:03:33 | Dodgebox: une plongée profonde dans l'arsenal mis à jour d'APT41 |Partie 1 DodgeBox: A deep dive into the updated arsenal of APT41 | Part 1 (lien direct) |
## Instantané
En avril 2024, Zscaler ThreatLabz a découvert un nouveau chargeur nommé Dodgebox, une version améliorée et évoluée de Stealthvector, un outil précédemment utilisé par le groupe chinois APT, APT41, suivi par Microsofoft.com / Intel-Profiles / ByExternalid / E49C4119AFE798DB103058C3FFDA5BD85E83534940247449478524d61ae6817a).
## Description
Après leur analyse de Dodgebox, les chercheurs de Zscaler KenenceLabz évaluent que le malware est une version améliorée du chargeur Stealthvector car il existe des similitudes importantes entre les deux Malwares.Écrit en C, Dodgebox est un chargeur de DLL réfléchissant qui a un certain nombre d'attributs, y compris la possibilité de décrypter et de charger des DLL intégrées, d'effectuer des vérifications de l'environnement et d'effectuer des procédures de nettoyage.Notamment, Dodgebox utilise également l'usurpation de pile d'appels, une technique utilisée par les logiciels malveillants pour obscurcir les origines des appels API, ce qui rend difficile la détection et les programmes de réponse aux points finaux (EDR) et les programmes antivirus pour détecter les logiciels malveillants.Dodgebox a été utilisé par APT41 pour livrer la porte dérobée Moonwalk, une nouvelle porte dérobée utilisée par le groupe de menaces.
Dodgebox et Stealthvector ont tous deux des similitudes dans leur:
- Ducchissement de la somme de contrôle et de la configuration,
- Format de configuration déchiffré,
- Keying environnemental
- Stratégie de correction de la Flux Guard (CFG), et
- Utilisation de DLL CALOWING
Zscaler note que leur confiance dans l'attribution des activités Dodgebox à APT41 est modérée car la charge de touche DLL est une technique souvent utilisée par les groupes chinois APT.De plus, les échantillons de Dodgebox téléchargés sur Virustotal proviennent de la Thaïlande et de Taïwan, alimentant avec le ciblage historique de l'Asie du Sud-Est par APT41 en utilisant Stealthvector.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojan: win64 / dllhijack] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/dllhijack.ah!mtb)*
- * [Trojan: Win64 / CoBaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/cobaltsstrike.off!mtb) *
## Les références
[Dodgebox: une plongée profonde dans l'aresenal mis à jour d'APT41 |Partie 1] (https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-parte-1).Zscaler (consulté en 2024-07-11)
## Snapshot In April 2024, Zscaler ThreatLabz discovered a new loader named DodgeBox, an upgraded and evolved version of StealthVector, a tool previously used by the Chinese APT group, APT41, tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/byExternalId/e49c4119afe798db103058c3ffda5bd85e83534940247449478524d61ae6817a). ## Description After their analysis of DodgeBox, researchers from Zscaler ThreatLabz assess that the malware is an enhanced version of StealthVector loader as there are significant similarities between the two malwares. Written in C, DodgeBox is a reflective DLL loader that has a number of attributes, including the ability to decrypt and load embedded DLLs, perform environment checks, and carry out cleanup procedures. Notably, DodgeBox also employs call stack spoofing, a technique used by malware to obfuscate the origins of API calls, making it difficult for Endpoint Detection and Response (EDR) solutions and antivirus programs to detect the malware. DodgeBox has been used by APT41 to deliver the MoonWalk backdoor, a new backdoor being employed by the threat group. DodgeBox and StealthVector both have similarities in their: - checksum and configuration decryption, - decrypted conf |
Malware Tool Threat Patching | APT 41 | ★★★ |
|
2024-07-11 20:36:00 | 60 nouveaux forfaits malveillants découverts dans l'attaque de la chaîne d'approvisionnement de NuGet 60 New Malicious Packages Uncovered in NuGet Supply Chain Attack (lien direct) |
Des acteurs de menace ont été observés publiant une nouvelle vague de packages malveillants au gestionnaire de packages NuGet dans le cadre d'une campagne en cours qui a commencé en août 2023, tout en ajoutant une nouvelle couche de furtivité pour échapper à la détection.
Les packages frais, d'environ 60 au nombre et couvrant 290 versions, démontrent une approche raffinée de l'ensemble précédent qui a été révélé en octobre 2023, Supply Software
Threat actors have been observed publishing a new wave of malicious packages to the NuGet package manager as part of an ongoing campaign that began in August 2023, while also adding a new layer of stealth to evade detection. The fresh packages, about 60 in number and spanning 290 versions, demonstrate a refined approach from the previous set that came to light in October 2023, software supply |
Threat | ★★★ | |
|
2024-07-11 19:38:48 | (Déjà vu) La mécanique de Vipersoftx: exploiter AutOIT et CLR pour une exécution furtive PowerShell The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution (lien direct) |
## Instantané Des chercheurs de Trellix ont publié un rapport sur Vipersoftx, un malware sophistiqué d'informations qui se propage principalement via des logiciels fissurés, et récemment, en tant que livres électroniques sur des sites torrent.En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description Détecté pour la première fois en 2020, Vipersoftx utilise le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans AutOIT, éluant la détection en intégrant la fonctionnalité PowerShell.Les attaquants modifient les scripts de sécurité offensive existants pour s'aligner sur leurs objectifs malveillants, améliorant les tactiques d'évasion des logiciels malveillants. La chaîne d'infection commence lorsque les utilisateurs téléchargent un ebook à partir d'un lien torrent malveillant, contenant des menaces cachées telles que les fichiers de raccourci et les scripts PowerShell déguisés en fichiers JPG.Lorsque l'utilisateur exécute le raccourci, il initie des commandes qui informent un dossier, configurez le planificateur de tâches Windows et copiez des fichiers dans le répertoire système.Le code PowerShell, caché dans des espaces vides, effectue diverses actions malveillantes, y compris l'exfiltration des données et la manipulation du système. Vipersoftx exploite AutOIT pour exécuter les commandes PowerShell en interagissant avec le framework .NET CLR.Le malware corrige l'interface de balayage anti-logiciels (AMSI) pour échapper à la détection, ce qui lui permet de fonctionner non détecté.Il rassemble des informations système, analyse les portefeuilles de crypto-monnaie et envoie des données à son serveur de commande et de contrôle (C2).Le malware télécharge également dynamiquement des charges utiles et des commandes supplémentaires en fonction des réponses du serveur C2. ### Analyse supplémentaire Vipersoftx est un voleur d'informations malveillant connu pour ses capacités d'infiltration et d'exfiltration.L'utilisation principale du malware \\ a été en tant que voleur de crypto-monnaie, et il aurait ciblé 17 portefeuilles de crypto-monnaie différents, notamment Bitcoin, Binance, Delta, Electrum, Exodus, Ledger Live, Metamask, Atomic Wallet et Coinbase.In their April 2023 [report](https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html) on ViperSoftX, Trend Micro noted that consumer and enterprise sectors inL'Australie, le Japon et les États-Unis ont été le plus victimes par les logiciels malveillants. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
 |
2024-07-11 19:04:15 | Advance Auto Parts La violation des données affecte 2,3 millions de clients Advance Auto Parts Data Breach Affects 2.3M Customers (lien direct) |
Les acteurs de la menace ont eu accès aux réseaux du fournisseur automobile pendant plus d'un mois avant leur découverte.
Threat actors had access to the automotive provider\'s networks for more than a month before they were discovered. |
Data Breach Threat | ★★★ | |
|
2024-07-11 18:01:00 | Chinese APT41 améliore le malware Arsenal avec Dodgebox et Moonwalk Chinese APT41 Upgrades Malware Arsenal with DodgeBox and MoonWalk (lien direct) |
Le groupe de menace persistante avancée (APT), lié à la Chine, le nom du nom du nom de code APT41 est soupçonné d'utiliser une "version avancée et améliorée" d'un logiciel malveillant connu appelé Stealthvector pour livrer une porte dérobée non documentée précédemment surnommée Moonwalk.
La nouvelle variante de Stealthvector & # 8211;qui est également appelé poussière & # 8211;a été nommé Dodgebox de Zscaler KenenceLabz, qui a découvert la souche de chargeur
The China-linked advanced persistent threat (APT) group codenamed APT41 is suspected to be using an "advanced and upgraded version" of a known malware called StealthVector to deliver a previously undocumented backdoor dubbed MoonWalk. The new variant of StealthVector – which is also referred to as DUSTPAN – has been codenamed DodgeBox by Zscaler ThreatLabz, which discovered the loader strain in |
Malware Threat | APT 41 | ★★★ |
|
2024-07-11 16:30:00 | Solutions de sécurité rationalisées: PAM pour les petites et moyennes entreprises Streamlined Security Solutions: PAM for Small to Medium-sized Businesses (lien direct) |
Aujourd'hui, toutes les organisations sont exposées à la menace des cyber violations, quelle que soit leur échelle.Historiquement, les grandes entreprises étaient des objectifs fréquents en raison de leurs ressources substantielles, de leurs données sensibles et de leurs responsabilités réglementaires, tandis que les petites entités ont souvent sous-estimé leur attractivité pour les pirates.Cependant, cette hypothèse est précaire, alors que les cybercriminels exploitent fréquemment
Today, all organizations are exposed to the threat of cyber breaches, irrespective of their scale. Historically, larger companies were frequent targets due to their substantial resources, sensitive data, and regulatory responsibilities, whereas smaller entities often underestimated their attractiveness to hackers. However, this assumption is precarious, as cybercriminals frequently exploit |
Threat | ★★★ | |
 |
2024-07-11 15:09:32 | Apple alerte les utilisateurs d'iPhone d'attaques de logiciels espions Apple Is Alerting iPhone Users of Spyware Attacks (lien direct) |
Pas beaucoup de Détails :
Apple a émis une nouvelle série de notifications de menace aux utilisateurs d'iPhone dans 98 pays, les avertissant des attaques potentielles de logiciels spymétriques.Il est la deuxième campagne d'alerte de la société cette année, après un similaireNotification envoyée aux utilisateurs dans 92 nations En avril.
Not a lot of details: Apple has issued a new round of threat notifications to iPhone users across 98 countries, warning them of potential mercenary spyware attacks. It’s the second such alert campaign from the company this year, following a similar notification sent to users in 92 nations in April. |
Threat Mobile | ★★★ | |
|
2024-07-11 12:23:01 | Nozomi rapporte les défis du paysage et de la réglementation des menaces OT / IoT, mettant en évidence l'évolution mondiale de la cyber-menace Nozomi reports on OT/IoT threat landscape and regulatory challenges, highlighting global cyber threat evolution (lien direct) |
Nozomi Networks Labs a publié un rapport évaluant le paysage des menaces OT / IoT en analysant les derniers ICS CVE ...
Nozomi Networks Labs has released a report assessing the OT/IoT threat landscape by analyzing the latest ICS CVEs... |
Threat Studies Industrial | ★★★★ | |
|
2024-07-11 10:49:00 | La vulnérabilité PHP exploitée pour répandre les logiciels malveillants et lancer des attaques DDOS PHP Vulnerability Exploited to Spread Malware and Launch DDoS Attacks (lien direct) |
Plusieurs acteurs de menaces ont été observés exploitant une faille de sécurité récemment divulguée en PHP pour livrer des chevaux de Troie à distance, des mineurs de crypto-monnaie et des botnets de déni de service distribué (DDOS).
La vulnérabilité en question est CVE-2024-4577 (score CVSS: 9.8), qui permet à un attaquant d'exécuter à distance des commandes malveillantes sur les systèmes Windows à l'aide de lieux chinois et japonaise.Il
Multiple threat actors have been observed exploiting a recently disclosed security flaw in PHP to deliver remote access trojans, cryptocurrency miners, and distributed denial-of-service (DDoS) botnets. The vulnerability in question is CVE-2024-4577 (CVSS score: 9.8), which allows an attacker to remotely execute malicious commands on Windows systems using Chinese and Japanese language locales. It |
Malware Vulnerability Threat | ★★★ | |
 |
2024-07-11 09:50:31 | (Déjà vu) June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) | Recherche |Cybersécurité |Rapport sur les menaces mondiales
Juin 2024 \'s Mostware le plus recherché: RansomHub prend la première place en tant que groupe de ransomware le plus répandu à la sillage de Lockbit3 Decline
L'indice de menace de Check Point \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée de Badspace Windows via de fausses mises à jour du navigateur
-
mise à jour malveillant
Research | Cyber Security | Global Threat Report June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates - Malware Update |
Ransomware Malware Threat | ★★★ | |
 |
2024-07-11 05:31:58 | L'agence spatiale japonaise a repéré des attaques zéro-jour tout en nettoyant l'attaque sur M365 Japanese space agency spotted zero-day attacks while cleaning up attack on M365 (lien direct) |
Attaque de logiciels malveillants multiples a vu des données personnelles acées, mais la science des fusées est restée sûre L'Agence japonaise d'exploration spatiale (JAXA) a découvert qu'elle était attaquée à l'aide d'exploits zéro-jour tout en travaillant avec Microsoft pour sonder une cyberattaque de 2023 en 2023sur ses systèmes.… | Malware Vulnerability Threat | ★★★ | |
 |
2024-07-11 01:00:00 | Akira Ransomware cible l'industrie du compagnie aérienne LATAM Akira Ransomware Targets the LATAM Airline Industry (lien direct) |
En juin 2024, un groupe de menaces utilisant un ransomware Akira a été découvert ciblant une compagnie aérienne latino-américaine.Akira est le ransomware associé au groupe Ransomware-as-a-Service (RAAS) appelé Storm-1567.Dans ce blog, nous examinerons la chaîne d'attaque d'Akira \\.
In June 2024, a threat group utilizing Akira ransomware was discovered targeting a Latin American airline. Akira is the ransomware associated with the Ransomware-as-a-Service (RaaS) group referred to as Storm-1567. In this blog, we\'ll examine Akira\'s attack chain. |
Ransomware Threat | ★★★ | |
|
2024-07-10 20:50:57 | Coyote Banking Trojan Targets LATAM with a Focus on Brazilian Financial Institutions (lien direct) | #### Géolocations ciblées - Brésil - Amérique du Sud - L'Amérique centrale et les Caraïbes #### Industries ciblées - Services financiers ## Instantané BlackBerry a publié un rapport détaillant Coyote, un Trojan bancaire .NET qui cible les institutions financières brésiliennes depuis son identification en février 2024. ## Description Les analystes de BlackBerry n'ont pas été en mesure de déterminer exactement comment le coyote est livré aux machines victimes;Cependant, ils évaluent qu'il est probablement livré par attachement de phishing.Coyote déguise son chargeur initial en Squirrel, un logiciel de gestion des applications Windows légitime.Une fois exécuté, Coyote vérifie continuellement la fenêtre du navigateur Internet pour déterminer quand la victime a accédé à un domaine cible.Lorsque cela se produit, Coyote commence la communication avec ses serveurs de commande et de contrôle (C2).Coyote Malware est capable d'exécuter 24 commandes et fonctions, y compris la capture d'écran, affichant des fenêtres de superposition, apportant des modifications du registre, déplaçant la souris de la victime, le keylogging et l'arrêt de la machine. Dans son rapport, Blackberry a inclus les noms de 59 domaines légitimes connus que Coyote a ciblés.Il s'agit notamment des institutions financières brésiliennes, un échange mondial de crypto-monnaie. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le suivant MALLAGIE: - * [Trojan: Msil / Coyote] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:msil/coyote!msr& ;threatid = -2147064768) * - * [Trojan: Win32 / Malgent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/malgent& threattid=-2147172466) * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection livrée par les nuages] (Https: //learn.microsoft.com/en-us/defender-endpoint/cloud-protection-microsoft-defender-antivirus) dans Microsoft Defender aNtivirus ou l'équiva | Malware Tool Threat | ★★★ | |
|
2024-07-10 19:59:19 | Les attaquants tirent parti de Microsoft Zero-Day depuis 18 mois Attackers Have Been Leveraging Microsoft Zero-Day for 18 Months (lien direct) |
Probablement deux acteurs de menaces distinctes utilisent le CVE-2024-38112 du CVE 2024-38112 dans des campagnes d'infostaler ciblées et simultanées.
Likely two separate threat actors are using the just-patched CVE-2024-38112 in targeted, concurrent infostealer campaigns. |
Vulnerability Threat | ★★★ | |
|
2024-07-10 18:36:00 | Nouveau groupe de ransomwares exploitant la vulnérabilité du logiciel de sauvegarde Veeam New Ransomware Group Exploiting Veeam Backup Software Vulnerability (lien direct) |
Un défaut de sécurité maintenant par réglement dans Veeam Backup &Le logiciel de réplication est exploité par une opération de ransomware naissante connue sous le nom d'estateransomware.
Le groupe de Singapour, dont le siège social, a découvert l'acteur de menace début avril 2024, a déclaré que le modus operandi impliquait l'exploitation de CVE-2023-27532 (score CVSS: 7,5) pour mener les activités malveillantes.
Accès initial à la cible
A now-patched security flaw in Veeam Backup & Replication software is being exploited by a nascent ransomware operation known as EstateRansomware. Singapore-headquartered Group-IB, which discovered the threat actor in early April 2024, said the modus operandi involved the exploitation of CVE-2023-27532 (CVSS score: 7.5) to carry out the malicious activities. Initial access to the target |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-07-10 18:00:02 | Arrêt de cybersécurité du mois: les attaques sous les logiciels malveillants de Darkgate depuis la plage Cybersecurity Stop of the Month: Reeling in DarkGate Malware Attacks from the Beach (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) Background Last year, the number of malware attacks worldwide reached 6.08 billion. That\'s a 10% increase compared with 2022. Why are cybercriminals developing so much malware? Because it is a vital tool to help them infiltrate businesses, networks or specific computers to steal or destroy sensitive data. or destroy sensitive data. There are many types of malware infections. Here are just three examples. RYUK (ransomware) Astaroth (fileless malware) DarkGate (multifunctional malware) DarkGate is a notable example. It\'s a sophisticated and adaptive piece of malware that\'s designed to perform various malicious activities. This includes data theft, unauthorized access and system compromise. What makes DarkGate unique are its key characteristics: Multifunctionality. This malware can execute a range of malicious functions, like keylogging, data exfiltration, remote access and more. Evasion techniques. To help avoid detection, it uses advanced evasion techniques, like code obfuscation, encryption and anti-debugging measures. Distribution methods. Bad actors can distribute DarkGate in a variety of ways to trick users into installing it. These methods include phishing emails, malicious attachments, compromised websites and social engineering tactics. Command and control. DarkGate has automatic connectivity to remote control servers. This allows it to receive instructions and exfiltrate data. Its adaptive flexibility is why DarkGate is favored by so many cybercriminals. The scenario In a recent attack, a threat actor (TA571) used DarkGate to try to infiltrate over 1,000 organizations worldwide. The attack spanned across 14,000 campaigns and contained more than 1,300 different malware variants. DarkGate acted as an initial access broker (IAB). The intent was to gain unauthorized access to an organization\'s networks, systems and users\' credentials to exfiltrate data or deploy ransomware. Once they gain remote access, threat actors have been observed selling this access to other bad actors who can then commit further attacks. In this scenario, the threat actor TA571 targeted a resort city on the U.S. East Coast known for its sandy beaches and 10 million tourist visitors annually. The threat: How did the attack happen? Here is how the recent attack unfolded. 1. The deceptive message. Attackers crafted a message that looked like a legitimate email from a known supplier. It detailed the purchase of health and safety supplies for the city\'s office. Instead of including an attachment, the threat actors added embedded URLs to avoid raising suspicion in an attempt to bypass the incumbent email | Ransomware Malware Tool Threat Cloud | ★★★ | |
|
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-10 17:00:00 | Extorsion de smash et de grab Smash-and-Grab Extortion (lien direct) |
Le problème
Le «Rapport de renseignement des attaques en 2024» du personnel de Rapid7 [1] est un rapport bien documenté et bien écrit qui mérite une étude minutieuse.Certains plats clés sont: & nbsp;
53% des plus de 30 nouvelles vulnérabilités qui ont été largement exploitées en 2023 et au début de 2024 étaient zéro-jours.
Plus d'événements de compromis en masse sont venus de vulnérabilités de jour zéro que des vulnérabilités du jour.
The Problem The “2024 Attack Intelligence Report” from the staff at Rapid7 [1] is a well-researched, well-written report that is worthy of careful study. Some key takeaways are: 53% of the over 30 new vulnerabilities that were widely exploited in 2023 and at the start of 2024 were zero-days. More mass compromise events arose from zero-day vulnerabilities than from n-day vulnerabilities. |
Vulnerability Threat Studies | ★★★ | |
 |
2024-07-10 14:12:01 | Durcissement de bit dur Hardening of HardBit (lien direct) |
Threat | ★★★ | ||
|
2024-07-10 13:49:58 | Allo ? Les victimes d\'attaque par rançongiciel harcelées au téléphone par le groupe de cybercriminels Volcano Demon (lien direct) | Le groupe de cybercriminels Volcano Demon vient de franchir un nouveau palier dans l'escalade des menaces en intimidant directement par téléphone les dirigeants d'entreprises, victimes de leurs attaques. - Malwares | Threat | ★★★ | |
 |
2024-07-10 13:00:05 | Juin 2024 \\’s Malingware le plus recherché: RansomHub prend la première place en tant que groupe de ransomwares le plus répandu à la suite de LockBit3 déclin June 2024\\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) |
> L'indice de menace de point de vérification \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée Windows Badspace Windows via de fausses mises à jour du navigateur Notre dernier index mondial des menaces pour le juin 2024 a noté un changement dans le paysage Ransomware-As-A-Service (RAAS), avec le nouveau venu relatif RansomHub Lockbit3 pour devenir le plus répandugroupe selon des sites de honte publiés.Pendant ce temps, une porte dérobée Windows surnommée Badspace a été identifiée, impliquant des sites Web WordPress infectés et de fausses mises à jour du navigateur.Le mois dernier, RansomHub est devenu le groupe RAAS le plus répandu après des mesures d'application de la loi [& # 8230;]
>Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates Our latest Global Threat Index for June 2024 noted a shift in the Ransomware-as-a-Service (RaaS) landscape, with relative newcomer RansomHub unseating LockBit3 to become the most prevalent group according to publicized shame sites. Meanwhile, a Windows backdoor dubbed BadSpace was identified, involving infected WordPress websites and fake browser updates. Last month, RansomHub became the most prevalent RaaS group after law enforcement action […] |
Ransomware Malware Threat Legislation | ★★★ | |
 |
2024-07-10 12:04:16 | Windows Mshtml Zero-Day utilisé dans les attaques de logiciels malveillants depuis plus d'un an Windows MSHTML zero-day used in malware attacks for over a year (lien direct) |
Microsoft a corrigé une vulnérabilité Windows Zero-Day qui a été activement exploitée lors d'attaques pendant dix-huit mois pour lancer des scripts malveillants tout en contournant les fonctionnalités de sécurité intégrées.[...]
Microsoft fixed a Windows zero-day vulnerability that has been actively exploited in attacks for eighteen months to launch malicious scripts while bypassing built-in security features. [...] |
Malware Vulnerability Threat | ★★★ | |
|
2024-07-10 10:53:00 | Kaspersky expose Cloudsorcerer apt ciblant le gouvernement russe à l'aide de centres de commandement basés sur le cloud Kaspersky exposes CloudSorcerer APT targeting Russian government using cloud-based command centers (lien direct) |
> Kaspersky a détaillé lundi une nouvelle menace persistante avancée (APT) nommée Cloudsorcerer qui ciblait les organisations gouvernementales dans le ...
>Kaspersky detailed on Monday a new advanced persistent threat (APT) named CloudSorcerer that targeted government organizations in the... |
Threat | ★★★ | |
|
2024-07-10 08:47:03 | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 (lien direct) | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 Le Threat Index de Check Point met en évidence un changement dans le paysage du ransomware-as-a-Service (RaaS), puisque RansomHub devance LockBit3 et prend la tête du classement des groupes les plus courants. Dans le même temps, les chercheurs sont parvenus à identifier une campagne de porte dérobée BadSpace Windows diffusée via de fausses mises à jour de navigateur - Malwares | Malware Threat | ★★★ | |
 |
2024-07-10 08:40:00 | Microsoft corrige quatre jours zéro en juillet mardi Microsoft Fixes Four Zero-Days in July Patch Tuesday (lien direct) |
Microsoft a abordé deux bogues zéro-jours activement exploités et deux bogues zéro-jours
Microsoft has addressed two actively exploited and two publicly disclosed zero-day bugs this month |
Vulnerability Threat | ★★★ | |
|
2024-07-10 06:26:11 | VIPERSOFTX VARIANT SPOSET ABUSION DE .NET RUNIME pour déguiser le vol de données ViperSoftX variant spotted abusing .NET runtime to disguise data theft (lien direct) |
Freeware AutoIt a également utilisé pour masquer des environnements PowerShell dans les scripts Un logiciel malveillant infostateur en évolution rapide connue sous le nom de Vipersoftx a évolué pour devenir plus dangereux, selon les chercheurs en sécurité du vendeur de détection des menaces Trellix.…
Freeware AutoIt also used to hide entire PowerShell environments in scripts A rapidly-changing infostealer malware known as ViperSoftX has evolved to become more dangerous, according to security researchers at threat detection vendor Trellix.… |
Malware Threat | ★★★ | |
|
2024-07-10 00:59:17 | Bogues de licence Critical Windows, plus deux autres sous attaques, Top Patch Mardi Critical Windows licensing bugs, plus two others under attack, top Patch Tuesday (lien direct) |
Citrix, SAP mérite également votre attention & # 8211;Parce que les mécréants envisagent déjà d'exploiter mercredi patch mardi effacez votre journal de l'administrateur du système Microsoft \\: le bundle de correctifs dans le patch de juillet de Redmond \\ mardi est unDoozy, avec au moins deux bugs sous exploitation active.…
Citrix, SAP also deserve your attention – because miscreants are already thinking about Exploit Wednesday Patch Tuesday Clear your Microsoft system administrator\'s diary: The bundle of fixes in Redmond\'s July Patch Tuesday is a doozy, with at least two bugs under active exploitation.… |
Threat | ★★★ | |
 |
2024-07-10 00:15:44 | Distribution de l'asyncrat déguisé en Ebook Distribution of AsyncRAT Disguised as Ebook (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) Couvrait des cas d'Asyncrat distribués via diverses extensions de fichiers (.chm, .wsf et .lnk).[1] [2] Dans les articles de blog susmentionnés, on peut voir que l'acteur de menace a utilisé des fichiers de documents normaux déguisés en questionnaires pour cacher le malware.Dans la même veine, il y a eu récemment des cas où le malware était déguisé en ebook.2. Les logiciels malveillants exécutés via des scripts Le fichier compressé déguisé en Ebook contient un fichier LNK malveillant déguisé ...
1. Overview AhnLab SEcurity intelligence Center (ASEC) covered cases of AsyncRAT being distributed via various file extensions (.chm, .wsf, and .lnk). [1] [2] In the aforementioned blog posts, it can be seen that the threat actor used normal document files disguised as questionnaires to conceal the malware. In a similar vein, there have been cases recently where the malware was disguised as an ebook. 2. Malware Executed via Scripts The compressed file disguised as an ebook contains a malicious LNK file disguised... |
Malware Threat | ★★★ | |
|
2024-07-09 21:11:51 | (Déjà vu) Eldorado Ransomware: le nouvel empire doré de la cybercriminalité? Eldorado Ransomware: The New Golden Empire of Cybercrime? (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Croatie ## Instantané Des chercheurs de Group-IB ont publié un rapport sur Eldorado, un nouveau Ransomware-as-a-Service (RAAS) annoncé sur le forum Darkweb Rampware Ransomware. ## Description Eldorado propose des versions Windows et Linux du ransomware, qui est écrite en Golang.Le ransomware utilise Chacha20 pour le chiffrement des fichiers et le RSA-OAEP pour le cryptage clé.Eldorado possède également des fonctionnalités personnalisables qui permettent des attaques ciblées contre les organisations, y compris la possibilité de crypter des fichiers sur les réseaux Hared à l'aide du protocole SMB.De plus, les utilisateurs d'Eldorado peuvent personnaliser les notes de rançon et les informations d'identification d'administration. En juin 2024, 16 entreprises de divers pays et industries ont été ciblées par les ransomwares Eldorado.Les organisations aux États-Unis ont notamment été attaquées 13 fois, contribuant à plus de 80% du nombre total d'incidents.De plus, il y a eu deux attaques en Italie et une attaque supplémentaire en Croatie.Le groupe-IB rapporte également que l'industrie immobilière a été le plus ciblé (un total de trois fois) par les ransomwares d'Eldorado;Cependant, l'éducation, les services professionnels, les soins de santé, la fabrication, les télécommunications, les transports et les secteurs gouvernementaux ont également été affectés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process | Ransomware Tool Threat | ★★★ | |
|
2024-07-09 21:10:37 | Resurrection Internet Explorer: acteurs de menace utilisant des astuces zéro-jours dans le dossier de raccourci Internet pour attirer les victimes (CVE-2024-38112) Resurrecting Internet Explorer: Threat Actors Using Zero-day Tricks in Internet Shortcut File to Lure Victims (CVE-2024-38112) (lien direct) |
> Par Haifei Li, l'introduction et la vérification des antécédents ont récemment découvert que les acteurs de la menace ont utilisé de nouvelles astuces (ou précédemment inconnues) pour attirer les utilisateurs de Windows pour l'exécution de code distant.Plus précisément, les attaquants ont utilisé des fichiers spéciaux de raccourci Internet Windows (nom .url Extension), qui, lorsqu'ils cliquaient, appelleraient l'Explorateur Internet à la retraite (IE) pour visiter le [& # 8230;]
>by Haifei Li Introduction and Background Check Point Research recently discovered that threat actors have been using novel (or previously unknown) tricks to lure Windows users for remote code execution. Specifically, the attackers used special Windows Internet Shortcut files (.url extension name), which, when clicked, would call the retired Internet Explorer (IE) to visit the […] |
Vulnerability Threat | ★★★ | |
|
2024-07-09 20:11:45 | Décrit: ransomware Donex et ses prédécesseurs Decrypted: DoNex Ransomware and its Predecessors (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Belgique ## Instantané Les chercheurs AVAST ont identifié un défaut cryptographique dans le ransomware Donexet ses prédécesseurs, affectant les victimes ciblées aux États-Unis, en Italie et en Belgique. ## Description Le ransomware utilise un processus de chiffrement sophistiqué à l'aide de Chacha20, et Avast a fourni un décrypteur aux victimes touchées. Pendant l'exécution du ransomware, une clé de chiffrement est générée par la fonction cryptGenrandom ().Cette clé est ensuite utilisée pour initialiser la clé symétrique Chacha20 et par la suite pour chiffrer les fichiers.Une fois un fichier crypté, la clé de fichier symétrique est chiffrée par RSA-4096 et annexée à la fin du fichier.Les fichiers sont sélectionnés par leur extension et les extensions de fichiers sont répertoriées dans la configuration XML Ransomware. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déployer dans d'autres systèmes pour empêcher le mouvement latéral provenant du psexec et de l'OMM. - [Bloquez les fichiers exécutables d | Ransomware Tool Threat | ★★★ | |
|
2024-07-09 20:00:31 | CPR avertit que les acteurs de la menace tirent parti de l'explorateur Internet dans une nouvelle attaque d'usurpation zéro-jour (CVE-2024-38112) CPR Warns Threat Actors are Leveraging Internet Explorer in New Zero-Day Spoofing Attack (CVE-2024-38112) (lien direct) |
> Vérifier la recherche sur les points (RCR) met en garde contre une nouvelle attaque d'usurpation des acteurs de la menace utilisant des fichiers de raccourci Internet Explorer pour attirer les utilisateurs de Windows 10/11 pour l'exécution de code distant.La RCR recommande immédiatement le correctif des clients Microsoft.Les principaux acteurs de la menace des principaux attirent les utilisateurs de Windows 10/11 dans l'activation de l'exécution du code distant et l'accès à leurs ordinateurs, cette vulnérabilité a été utilisée dans la nature depuis plus d'un an, ce qui a un impact sur des millions d'utilisateurs que la RPR a révélé la vulnérabilité à Microsoft en mai 2024;Microsoft a publié des correctifs le 9 juillet 2024 que la RCR recommande aux utilisateurs régulièrement des correctifs et des mise à jour de tous les logiciels pour assurer la plus grande protection contre les cyber-menaces [& # 8230;]
>Check Point Research (CPR) warns of a new spoofing attack from threat actors using Internet Explorer shortcut files to lure Windows 10/11 users for remote code execution. CPR recommends Microsoft customers patch immediately. Key Findings Threat actors are luring Windows 10/11 users into enabling remote code execution and accessing their computers This vulnerability has been used in the wild for over one year, potentially impacting millions of users CPR disclosed the vulnerability to Microsoft in May 2024; Microsoft published patches on 9 July 2024 CPR recommends users regularly patch and update all software to ensure greatest protection against cyber threats […] |
Vulnerability Threat | ★★★ | |
|
2024-07-09 19:47:09 | République de Chine du peuple (PRC) Ministère de sécurité d'État APT40 Tradecraft en action People\\'s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action (lien direct) |
#### Géolocations ciblées - États-Unis - Australie - Japon - Corée - Nouvelle-Zélande - Allemagne - Royaume-Uni ## Instantané La Cybersecurity and Infrsatructure Security Agency (CISA) a publié un avis rédigé par un certain nombre d'organisations de cybersécurité d'État sur APT40, suivis par Microsoft comme [Gingham Typhoon] (https://security.microsoft.com C04BA1F56F4F603268AAB6). ## Description APT40, également connu sous le nom de Kryptonite Panda, Leviathan et Bronze Mohawk, mène des cyber opérations pour la République de Chine du peuple (PRC) du ministère de la Sécurité des États (MSS).Le groupe a une histoire de ciblage des organisations dans divers pays, dont les États-Unis et l'Australie. APT40 mène régulièrement la reconnaissance contre les réseaux d'intérêt, notamment ceux en Allemagne, en Nouvelle-Zélande, en Corée du Sud, au Japon, en Australie, au Royaume-Uni et aux États-Unis.Cela leur permet d'identifier les appareils vulnérables, de fin de vie ou non maintenus sur les réseaux et de déployer rapidement des exploits.APT40 est apte à exploiter les vulnérabilités dès 2017. De plus, l'APT40 est en mesure de profiter rapidement des vulnérabilités nouvellement publiques dans des logiciels communs tels que Log4J ([CVE-2021-44228] (https://security.microsoft.com/Intel-Explorer / Cves / CVE-2021-44228 /)), Atlassian Confluence ([CVE-2021-26084] (https://security.microsoft.com/intel-profiles/cve-2021-26084), et MicrosoftExchange ([CVE-2021-31207] (https: //sip.security.microsoft.com/intel-profiles/cve-2021-31207?tid=72f988bf-86f1-41af-91ab-2d7cd011db47), [cve-2021-34523] (https://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves:/ CVE-2021-34523 /), [CVE-2021-34473] (https: // security.microsoft.com/intel-profiles/cve-2021-34473)). La CISA et les autres agences de déclaration évaluent que l'APT40 continuera d'exploiter les vulnérabilités nouvellement découvertes dans les heures ou les jours suivant la libération publique. APT40 exploite généralement une infrastructure vulnérable et orientée vers le public plutôt que d'employer des méthodes qui nécessitent une interaction victime, telles que les campagnes de phishing, en outre, le groupe utilise généralement des coquilles Web afin d'établir de la persistance. ## Analyse Microsoft L'acteur Microsoft suit comme [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6) est un groupe de chinois à la base de Chine.Le Typhoon Gingham est connu pour cibler principalement les industries maritimes et de la santé, mais a également été observée ciblant un certain nombre de secteurs verticaux de l'industrie, notamment le monde universitaire, le gouvernement, l'aérospatiale / l'aviation, la base industrielle de la défense, la fabrication et le transport.La plupart des organisations ciblées par Typhoon enrichies se trouvent dans la région de la mer de Chine méridionale, mais le groupe cible également les organisations aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud-Est.Gingham Typoon se concentre généralement sur l'espionnage et le vol de données.Le groupe utilise des logiciels malveillants personnalisés (Moktik, Nuveridap et Fusionblaze), Derusbi et des outils disponibles dans le commerce tels que Cobalt Strike. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: JS / MOKTIK] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=bacKDOOR: JS / MOKTIK & AMP; NOFENID = -2147086029) [HackTool: Win32 / Nuveridap] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = HackTool: Win32 / Nuveridap & menaceID = -2147276557) [Trojan | Malware Tool Vulnerability Threat Patching Legislation Industrial | APT 40 | ★★★ |
|
2024-07-09 19:44:26 | Examining Water Sigbin\'s Infection Routine Leading to an XMRig Cryptominer (lien direct) | ## Instantané Trend Micro Identifiée Water Sigbin \'s Exploitation de [CVE-2017-3506] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-3506/Présentation? Tid = 72F988BF-86F1-41AF-91AB-2D7CD011DB47) et [CVE-2023-21839] (https://sip.security.microsoft.com/vulnerability/vulnerabilité/CVE-2023-21839/overview) à déploier des cryptocurrency/CVE-2023-21839/overview) à Deploy Cirptocurrency/CVE-2023-21839/Overview) à Deploy CirptoCurrencLes mineurs via des scripts PowerShell, en utilisant des techniques d'exécution sans fil telles que la réflexion DLL et l'injection de processus. ## Description L'acteur de menace cible également les serveurs Oracle Weblogic et utilise une technique de chargement en plusieurs étapes pour livrer le chargeur Purecrypter et le mineur de cryptographie XMRIG.La technique de chargement à plusieurs degrés à plusieurs degrés Sigbin \\ de Sigbin implique la création d'un nouveau processus pour se faire passer pour une usurpation légitime, en utilisant l'injection de processus pour charger la charge utile XMRIG en mémoire et offrir la charge utile finale par l'exploitation des vulnérabilités Oracle Weblogic.L'acteur de menace met en évidence l'expertise dans l'exploitation des vulnérabilités, le déploiement de mineurs de crypto-monnaie et l'emploi de mesures anti-débugage, soulignant l'importance des mesures de sécurité robustes et de la vigilance dans la surveillance de nouvelles menaces. ## Détections / requêtes de chasse Microsoft Defender pour antivirus détecte les composants de la menace comme logiciel malveillant suivant: Trojan: Msil / injuke ## Recommandations Recommandations pour identifier et atténuer les attaques de cryptojacking Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez [Gestion des identités privilégiées] (https://learn.microsoft.com/azure/active-directory/priviled-entity-management/pim-configure) ou des comptes séparés pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et [Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview), en particulier pour les comptes avec des rôles élevés. - Implémentez le MFA: assurez-vous une utilisation complète de [MFA] (https://learn.microsoft.com/azure/active-directory/authentication/tutorial-enable-azure-mfa), en particulier pour les comptes avec des privilèges de contributeur de machine virtuel.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité cloud peut être trouvée dans [Recommandations de sécurité & # 8211;un guide de référence] (https://learn.microsoft.com/azure/defender-for-cloud/recommendations-reference?ocid=Magicti_TA_LearnDoc). - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les adresses IP Azure externes: l'authentification des adresses IP non locataires doit être considérée comme anormale.Utilisez la commande | Malware Vulnerability Threat Cloud | ★★★ | |
|
2024-07-09 17:11:08 | Ransomware Eldorado ciblant Windows et Linux avec de nouveaux logiciels malveillants Eldorado Ransomware Targeting Windows and Linux with New Malware (lien direct) |
Un autre jour, une autre menace contre les systèmes Windows et Linux!
Another day, another threat against Windows and Linux systems! |
Ransomware Malware Threat | ★★ | |
|
2024-07-09 17:08:06 | Le groupe de menaces chinois, APT40, exploite les vulnes du jour à un rythme rapide Chinese Threat Group APT40 Exploits N-Day Vulns at Rapid Pace (lien direct) |
Le groupe de menaces parrainé par l'État est capable d'exploiter de nouvelles vulnérabilités logicielles dans les heures suivant leur découverte initiale.
The state-sponsored threat group is capable of exploiting fresh software vulnerabilities within hours of their initial discovery. |
Vulnerability Threat | APT 40 | ★★★ |
|
2024-07-09 15:44:05 | Une nouvelle attaque Blast-Radius contourne l'authentification du rayon largement utilisée New Blast-RADIUS attack bypasses widely-used RADIUS authentication (lien direct) |
BLAST-RADIUS, un contournement d'authentification dans le protocole Radius / UDP largement utilisé, permet aux acteurs de menace de violer les réseaux et les appareils dans les attaques de collision MD5 de l'homme au milieu.[...]
Blast-RADIUS, an authentication bypass in the widely used RADIUS/UDP protocol, enables threat actors to breach networks and devices in man-in-the-middle MD5 collision attacks. [...] |
Threat | ★★★ | |
|
2024-07-09 15:35:00 | Les logiciels malveillants de Guardzoo ciblent plus de 450 militaires du Moyen-Orient GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel (lien direct) |
Le personnel militaire des pays du Moyen-Orient est la cible d'une opération de surveillance continue qui offre un outil de collecte de données Android appelé Guardzoo.
La campagne, censée avoir commencé dès octobre 2019, a été attribuée à un acteur de menace aligné par Houthi-Ira basé sur les leurres d'application, les journaux de serveurs de commandement (C2), de ciblage de l'empreinte et de l'attaque
Military personnel from Middle East countries are the target of an ongoing surveillanceware operation that delivers an Android data-gathering tool called GuardZoo. The campaign, believed to have commenced as early as October 2019, has been attributed to a Houthi-aligned threat actor based on the application lures, command-and-control (C2) server logs, targeting footprint, and the attack |
Malware Tool Threat Mobile | ★★★ | |
 |
2024-07-09 15:14:36 | Alerte Vert Threat: Juillet 2024 Patch mardi Analyse VERT Threat Alert: July 2024 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte VERT de \\ sont des mises à jour de sécurité en juillet 2024 de Microsoft \\.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1114 dès la fin de la couverture.Dans le monde &Divulgué CVES CVE-2024-38112 Une vulnérabilité dans la plate-forme MSHTML Windows pourrait permettre l'usurpation.L'exploitation réussie de cette vulnérabilité nécessite que l'attaquant convainc la victime d'exécuter un dossier malveillant.Microsoft a signalé cette vulnérabilité à la détection de l'exploitation.CVE-2024-38080 Une vulnérabilité dans la plate-forme de virtualisation hyper-v de Microsoft \\ pourrait permettre un ...
Today\'s VERT Alert addresses Microsoft\'s July 2024 Security Updates. VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1114 as soon as coverage is completed. In-The-Wild & Disclosed CVEs CVE-2024-38112 A vulnerability in the Windows MSHTML Platform could allow spoofing to occur. Successful exploitation of this vulnerability requires that the attacker convince the victim to execute a malicious file. Microsoft has reported this vulnerability as Exploitation Detected. CVE-2024-38080 A vulnerability in Microsoft\'s Hyper-V virtualization platform could allow an... |
Vulnerability Threat | ★★★ | |
|
2024-07-09 14:09:45 | Optiv a lancé Optiv MDR Optiv has launched Optiv MDR (lien direct) |
Optiv MDR permet aux organisations de rester de manière proactive en avance sur les cyber-menaces émergentes
Le service géré aborde les clients \\ 'Besoin urgent d'externaliser la détection et la réponse des menaces.
Optiv a lancé son service de détection et de réponse géré, Optiv Mdr
-
revues de produits
Optiv MDR Enables Organizations to Proactively Stay Ahead of Emerging Cyber Threats Managed Service Addresses Clients\' Urgent Need to Outsource Threat Detection and Response. Optiv has launched its managed detection and response service, Optiv MDR - Product Reviews |
Threat | ★★★ | |
|
2024-07-09 13:00:07 | Protéger votre base de code: meilleures pratiques pour une gestion secrète sécurisée Protecting Your Codebase: Best Practices for Secure Secret Management (lien direct) |
> Guide pour protéger les informations sensibles dans le développement de logiciels de développement des équipes de logiciels est confrontée à de nombreux défis quotidiennement, avec quelques-uns aussi critiques que la gestion des informations sensibles, y compris les informations d'identification et les clés API.Une gestion secrète efficace, une pierre angulaire de la défense cyber-menace robuste, est vitale pour les organisations de toutes tailles.L'importance du stockage secret sécurisé dans le développement de logiciels, A & # 8220; Secret & # 8221;fait référence aux informations confidentielles qui donnent accès ou contrôle sur les ressources, telles que les mots de passe, les clés API, les clés SSH, les chaînes de connexion de la base de données et les jetons utilisés par divers services d'application.La sécurisation de ces secrets est essentielle pour maintenir l'intégrité et la sécurité du système.Mauvaise gestion des secrets, y compris le codé en dur [& # 8230;]
>Guide to Safeguarding Sensitive Information in Software Development Software development teams face numerous challenges daily, with few as critical as managing sensitive information, including credentials and API keys. Effective secret management, a cornerstone of robust cyber threat defense, is vital for organizations of all sizes. The Importance of Secure Secret Storage In software development, a “secret” refers to confidential information that gives access or control over resources, such as passwords, API keys, SSH keys, database connection strings, and tokens used by various application services. Securing these secrets is essential for maintaining system integrity and security. Mismanagement of secrets, including hardcoded […] |
Threat | ★★★ | |
|
2024-07-09 11:26:00 | Les agences de cybersécurité mettent en garde contre l'adaptation à l'exploitation rapide d'APT40 \\ Cybersecurity Agencies Warn of China-linked APT40\\'s Rapid Exploit Adaptation (lien direct) |
Les agences de cybersécurité d'Australie, du Canada, d'Allemagne, du Japon, de la Nouvelle-Zélande, de la Corée du Sud, du Royaume-Uni, et des États-Unis ont publié un avis conjoint sur un groupe de cyber-espionnage lié à la Chine appelée APT40, avertissant de sa capacité à coopter les exploits pour les nouveauxa révélé des défauts de sécurité dans les heures ou les jours suivant la libération publique.
"APT 40 a auparavant ciblé des organisations dans divers pays, notamment
Cybersecurity agencies from Australia, Canada, Germany, Japan, New Zealand, South Korea, the U.K., and the U.S. have released a joint advisory about a China-linked cyber espionage group called APT40, warning about its ability to co-opt exploits for newly disclosed security flaws within hours or days of public release. "APT 40 has previously targeted organizations in various countries, including |
Threat | APT 40 | ★★★ |
 |
2024-07-09 11:04:17 | Rockyou2024: 10 milliards de mots de passe uniques exposés & # 8211;et maintenant? RockYou2024: 10 BILLION unique passwords exposed – what now? (lien direct) |
le & # 8220; rockyou2024 & # 8221;La fuite de données a exposé près de 10 milliards de mots de passe en texte clair uniques.Cette violation, découverte par les chercheurs et partagée sur un forum de piratage populaire, représente une augmentation spectaculaire de la menace des attaques de compensations.L'ensemble de données, publié par un utilisateur appelé & # 8220; Obamacare, & # 8221;combine les données de diverses violations au cours des deux dernières décennies, avec le [& # 8230;]
Le post rockyou2024: 10 milliards de mots de passe uniquesexposé & # 8211;Quoi maintenant? est apparu pour la première fois sur gourou de la sécurité informatique .
The “RockYou2024” data leak has exposed nearly 10 billion unique plaintext passwords. This breach, discovered by researchers and shared on a popular hacking forum, represents a dramatic increase in the threat of credential-stuffing attacks. The dataset, posted by a user known as “ObamaCare,” combines data from various breaches over the past two decades, with the […] The post RockYou2024: 10 BILLION unique passwords exposed – what now? first appeared on IT Security Guru. |
Threat | ★★★★ | |
|
2024-07-09 10:18:00 | Packages jQuery trojanisés trouvés sur les référentiels de code NPM, GitHub et JSDelivr Trojanized jQuery Packages Found on npm, GitHub, and jsDelivr Code Repositories (lien direct) |
Des acteurs de menace inconnus ont été trouvés pour propager des versions trojanisées de JQuery sur NPM, GitHub et JSdelivr dans ce qui semble être un exemple d'une attaque de chaîne d'approvisionnement "complexe et persistante.
"Cette attaque se distingue en raison de la grande variabilité entre les packages", a déclaré Phylum dans une analyse publiée la semaine dernière.
"L'attaquant a intelligemment caché le malware dans la fonction \\ 'end \' rarement utilisée de
Unknown threat actors have been found propagating trojanized versions of jQuery on npm, GitHub, and jsDelivr in what appears to be an instance of a "complex and persistent" supply chain attack. "This attack stands out due to the high variability across packages," Phylum said in an analysis published last week. "The attacker has cleverly hidden the malware in the seldom-used \'end\' function of |
Malware Threat | ★★★ | |
 |
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ★★ | |
|
2024-07-09 09:50:31 | Le paysage des menaces évolutives & # 8211;Du ransomware à l'espionnage parrainé par l'État The Evolving Threat Landscape – From Ransomware to State-Sponsored Espionage (lien direct) |
> Bienvenue à notre prochain épisode sur la défense des infrastructures critiques des cyber-menaces.Cette semaine, nous nous attaquons à un ...
>Welcome back to our next installment on defending critical infrastructure from cyber threats. This week, we’re tackling an... |
Ransomware Threat | ★★★ | |
|
2024-07-09 08:35:00 | Ticketmaster Extorsion continue, l'acteur de menace revendique une nouvelle fuite de billets Ticketmaster Extortion Continues, Threat Actor Claims New Ticket Leak (lien direct) |
Des billets pour les concerts de Foo Fighters, Aerosmith, Pink et Usher ont été divulgués par un acteur de menace essayant d'extorquer Ticketmaster
Tickets to Foo Fighters, Aerosmith, Pink and Usher gigs have been leaked by a threat actor trying to extort Ticketmaster |
Threat | ★★★ |
To see everything:
Our RSS (filtrered)
