What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-08-06 21:47:56 | Bits and octets: Analyser des bits, une porte dérobée nouvellement identifiée BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor (lien direct) |
## Instantané
Elastic Security Labs a identifié une porte dérobée Windows appelée bitsloth, qui utilise le service de transfert intelligent (bits) de fond pour la communication de commande et de contrôle.
## Description
Cette porte dérobée a été découverte lors d'une intrusion dans la région de Latam et serait en développement depuis plusieurs années.L'itération la plus récente de Bitsland comprend 35 fonctions de gestionnaire, le blogging, les capacités de capture d'écran et les fonctionnalités pour la découverte, l'énumération et l'exécution de la ligne de commande, indiquant sa conception pour la collecte de données.
Observés lors d'une intrusion dans un ministère des Affaires étrangères du gouvernement sud F1CB)en tandem avec des bits pour mener leur intrusion.Il utilise des bits pour se fondre dans le trafic réseau normal et assurer la persistance.Le malware peut exécuter des commandes, télécharger et télécharger des fichiers et collecter des données sensibles, ce qui en fait un outil sophistiqué pour l'exfiltration des données et le compromis système.
## Détections / requêtes de chasse
Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de menace comme le FMALWOWIRS DE SOWNING:
- * [hacktool: win32 / mimikatz] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=hacktool:win32/mimikatz) *
- * [hacktool: win64 / mimikatz] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=hacktool:win64/mimikatz& ;Thereatid=-2147280206) *
## Recommandations
Microsoft RECOMMENT les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées.
- Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement des outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues.
- Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité.
- Exécuter [Détection et réponse Endpoint (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode) afin que le défenseur pour le point final puisse bloquerDes artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte.
- Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre au défenseur de final de prendre des mesures immédiates sur des alertes pour résoudre les brèches, réduisant considérablement le volume d'alerte.
## Les références
[Bits and octets: analyser des bits, une porte dérobée nouvellement identifiée] (https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth).Elastic Security Labs (consulté en 2024-08-06)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Elastic Security Labs identified a Windows backdoor called BITSLOTH, which uses the Background Intelligent Transfer Service (BITS) for command-and-control communication. ## Description This backdoor was uncovered during an intrusion in the LATA |
Threat Malware Tool | ||
 |
2024-08-06 20:58:14 | Les attaquants utilisent plusieurs techniques pour contourner la sécurité basée sur la réputation Attackers Use Multiple Techniques to Bypass Reputation-Based Security (lien direct) |
Les protections comme Windows Smart App Control sont utiles mais sensibles aux attaques qui permettent aux acteurs de menace un accès initial à un environnement sans déclencher d'alertes.
Protections like Windows Smart App Control are useful but susceptible to attacks that allow threat actors initial access to an environment without triggering any alerts. |
Threat | ||
|
2024-08-06 19:51:15 | Sharprhino & # 8211;New Hunters International Rat identifié par le cyber SharpRhino – New Hunters International RAT identified by Quorum Cyber (lien direct) |
## Snapshot Researchers at Quorum Cyber identified a new Remote Access Trojan (RAT) named SharpRhino, utilized by the threat actor group Hunters International. ## Description This malware, written in C#, was delivered through a typosquatting domain impersonating the legitimate tool, Angry IP Scanner. Once executed, SharpRhino establishes persistence and provides remote access to the device, allowing the attacker to progress the attack using previously unseen techniques to obtain high-level permissions. Hunters International, a Ransomware-as-a-Service (RaaS) group, has been attributed to 134 attacks in 2024 and is known for exfiltrating data, encrypting files, and demanding ransom payments via the TOR network. The group has targeted various sectors for financial gain and has been linked to the now defunct Russian-based Hive ransomware group. The malware was identified as a 32-bit Portable Executable (PE) Nullsoft installer with a self-extracting archive, and it masquerades as a legitimate network administration tool called AngryIP. The malware establishes persistence by modifying the registry and uses a LOLBIN (Living off the Land Binary) to execute additional files for Command and Control. The investigation also revealed that the malware communicates with the attacker\'s infrastructure using an encryption routine. ## Additional Analysis According to Quorum Cyber\'s report on [Hunters International Ransomware](https://www.quorumcyber.com/wp-content/uploads/2023/11/QC-Hunters-International-Ransomware-Report-TI.pdf), Hunters International is a Ransomware-as-a-Service (RaaS) group that emerged in 2023, displaying significant code similarities with the notorious Hive ransomware. Approximately 60% of its code overlaps with Hive ransomware version 61, suggesting a possible connection with the disrupted Hive cartel, although Hunters International denies any affiliation. The group\'s primary objective is to exfiltrate data from targets and demand ransom for its return. The ransomware encrypts files by appending a ".LOCKED" extension and leaves instructions for victims to contact the group on the dark web to negotiate. Successful attacks result in significant data exfiltration and ransom demands based on the compromised organization\'s value. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management?ocid=magicti_ta_abbreviatedmktgpage), can be used to augment data. The Attack Surface Summary dashboard surfaces assets, such as Exchange servers, which require security updates and provide recommended remediation steps. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-securi | Threat Ransomware Malware Tool | ||
 |
2024-08-06 19:27:41 | Une étude de HP Wolf Security révèle qu\'1 entreprise sur 4 en France est touchée par des cyberattaques sur ses chaînes d\'approvisionnement en matériel informatique (lien direct) | Une étude de HP Wolf Security révèle qu'1 entreprise sur 4 en France est touchée par des cyberattaques sur ses chaînes d'approvisionnement en matériel informatique. Cette nouvelle étude met en évidence l'inquiétude croissante suscitée par les menaces d'attaques menées par des Etats-nations qui ciblent les chaînes d'approvisionnement et portent atteinte à l'intégrité des appareils et de leurs firmwares. - Investigations | Threat | ||
|
2024-08-06 19:20:13 | Le package Python malveillant cible les développeurs macOS pour accéder à leurs comptes GCP Malicious Python Package Targets macOS Developers To Access Their GCP Accounts (lien direct) |
## Instantané L'équipe de recherche sur la sécurité de Checkmarx a découvert un package Python malveillant appelé "LR-Utils-lib" sur PYPI, ciblant les développeurs de macOS.L'attaque a impliqué un faux profil LinkedIn pour soutenir éventuellement les tactiques d'ingénierie sociale. ## Description Le malware cible les systèmes MacOS et tente de voler les informations d'identification de la plate-forme Google Cloud en les envoyant à un serveur distant.Le malware est activé lors de l'installation et est situé dans le fichier setup.py du package Python.Le malware vérifie d'abord qu'il fonctionne sur un système macOS, puis procède à la récupération de l'IOPlatformuUID du périphérique MAC, qui est un identifiant unique, et le hache à l'aide de l'algorithme SHA-256.Si une correspondance est trouvée dans la liste de hachage, le processus d'exfiltration des données du malware \\ commence. En plus des logiciels malveillants, un faux profil LinkedIn pour "Lucid Zenith" a été découvert, qui prétend à tort être le PDG d'Apex Companies, LLC, indiquant d'éventuelles tactiques d'ingénierie sociale.L'existence de ce profil soulève des questions sur les tactiques potentielles d'ingénierie sociale qui pourraient être utilisées aux côtés des logiciels malveillants. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux de l'OSINT ces derniers mois pour utiliser des techniques d'attaque en évolution alors que les acteurs de la menace s'adaptent de plus en plus et élargissent leur ciblage de cyber pour inclure les utilisateurs de Mac.Une fois considérés comme un paradis de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à une gamme croissante d'attaques sophistiquées.L'une des tendances récentes observées est de savoir comment les acteurs de la menace utilisent des tactiques d'ingénierie sociale pour inciter les utilisateurs de Mac à télécharger des logiciels chargés de logiciels malveillants.En savoir plus ici sur [les tendances récentes OSINT dans les menaces pour MacOS] (https://sip.security.microsoft.com/intel-explorer/articles/3d13591e "https://sip.security.microsefoft.com/intel-explorer/Articles / 3d13591e "). ## Recommandations Les attaquants sont de plus en plus [en utilisant des identités compromises] (https://security.microsoft.com/thereatanalytics3/4e5f51c4-244f-47ab-a097-6800ce820c26/overview?Search=technique%2520Buse%253a%2520cloud%2520Identity%2520%2588% 2520Overview% 29 & tid = 0553df8d-f650-4a9b-b0b8-f97df0aedfce " un% 2520cloud% 2520Identity% 2520abuse% 2520% 28TREAT% 2520OVERVIEW% 29 & tid = 0553df8d-f650-4a9b-b0b8-f97df0aedfce ") pour l'accès initial et pour établir une persistance à long terme dans un environnement.En mettant en œuvre les meilleures pratiques couramment vues sur prémisses telles que [l'authentification multifactor] (https://learn.microsoft.com/microsoft-365/admin/security-and-ciconseliance/set-ulti-multi-factor-authentication?ocid= magicti_ta_learndoc "https://learn.microsoft.com/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?ocid=magicti_ta_learndoc"), [désactivation de l'authentification de l'héritage] (https: / //learn.microsoft.com/azure/active-directory/conditional-access/howto-conditional-access-policy-lock-legacy?ocid=Magicti_ta_learndoc "https://learn.microsoft.com/azure/active-directory/conditional-Access / howto-conditional-Access-Policy-Block-Legacy? Ocid = magicti_ta_learndoc "), suivant les [principes du moindre privilège] (https://learn.microsoft.com/azure/active-directory/develop/secure-le moins priviled-access? Ocid = magicti_ta_learndoc "https://learn.microsoft.com/azure/active-directory/develop/secure-least-priviled-access?ocid=mAGICTI_TA_LELARNDOC ") et [Zero Trust] (https://learn.microsoft.com/security/zero-trust/deploy/identity?ocid=Magicti_TA_LearnDoc"https://learn.microsoft.com/security/zero-trust/deploy/identity?ocid=magicti_ta_learndoc "), et [surveillance continue] (https: //learn.microso | Threat Malware Cloud | ||
|
2024-08-06 18:23:27 | Pungsan stressé: l'acteur de menace aligné par la RPDC exploite le NPM pour l'accès initial Stressed Pungsan: DPRK-aligned threat actor leverages npm for initial access (lien direct) |
## Instantané Les chercheurs en sécurité de Datadog ont identifié un acteur de menace aligné avec la République de Corée du peuple démocrate (DPRC) en tirant parti du NPM pour obtenir un accès initial. ## Description Le 7 juillet 2024, deux packages malveillants, "Harthat-Hash" et "Harthat-API", ont été publiés dans le registre NPM, contenant du code qui installe des logiciels malveillants supplémentaires à partir d'un serveur de commande et de contrôle (C2).Le serveur C2 a principalement servi des scripts par lots malveillants et une DLL, indiquant un ensemble cible de victimes de fenêtres.Datadog évalue que cette activité s'aligne avec l'acteur de menaceMicrosoft suit comme [Moonstone Sleet] (https://security.microsoft.com/intel-profiles/8ba84cecf73bd9aca4e4ff90230dc1f277c039f78c40c1938b6f74b1b7cce20f). LeL'acteur de menace a réutilisé le code à partir d'un référentiel GitHub bien connu et a publié les packages sous un faux auteur, démontrant une tactique utilisée pour éviter d'être bloqué sur le site du gestionnaire de packages.Les forfaits malveillants ont été supprimés quelques heures après avoir été publiés.La DLL de l'acteur de menace a été livrée sans obscurcissement, et l'analyse statique initiale a révélé que Windows API appelle des fonctions suspectes comme IsdebuggerPresent et GettickCount, couramment utilisé à des fins anti-désabuggeant et anti-réverse.Cependant, une analyse plus approfondie n'a révélé aucun comportement malveillant supplémentaire, conduisant à la conclusion que la DLL peut ne pas être armée ou que l'acteur de menace a poussé par erreur une version inachevée. ## Analyse Microsoft Microsoft Threat Intelligence évalue que cette activité malveillante estattribué à [Moonstone Sleet] (https://security.microsoft.com/intel-profiles/8ba84cecf73bd9aca4e4ff90230dc1f277c039f78c40c1938b6f74b1b7cce20f)Sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité de grésillement de pierre de lune précédemment observée.Moonstone Sleet est un groupe d'activités de l'État-nation basé en Corée du Nord, connu pour cibler principalement les individus et les organisations au sein des secteurs de base de développement logiciel, de technologies de l'information, d'éducation et de défense avec des attaques axées sur l'objectif de l'espionnage et de la génération de revenus. Depuis début janvier 2024, Microsoft a observé Moonstone Sleet à l'aide de fausses sociétés de développement de logiciels pour solliciter des travaux ou de la coopération.Cet acteur a également ciblé des individus à la recherche de travail dans le développement de logiciels, envoyant des candidats un «test de compétences» qui fournit plutôt des logiciels malveillants via un package NPM malveillant. ## Recommandations Microsoft recommande que les atténuations suivantes se défendent contre les attaques par la pierre de lune: - Activer [Accès aux dossiers contrôlés] (https://learn.microsoft.com/defender-endpoint/enable-ctrelled-folders). - Assurez-vous que [la protection de la sténogéTAMPER-PROTECTION) est activé dans Microsoft Dender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/defender-endpoint/enable-network-protection) dans Microsoft Defender pour Endpoint. - Follow the credential hardening recommendations in our [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/overview) to defend against common credential theft techniques like LSASSaccéder. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans le | Threat Malware Tool Industrial | ||
 |
2024-08-06 17:18:46 | Google dit qu'Android Zero-Day a été exploité dans la nature Google says Android zero-day was exploited in the wild (lien direct) |
Pas de details / No more details | Threat Mobile Vulnerability | ★★ | |
 |
2024-08-06 16:47:00 | Pirates nord-coréens Moonstone Sleet Pousser les packages JS malveillants au registre NPM North Korean Hackers Moonstone Sleet Push Malicious JS Packages to npm Registry (lien direct) |
L'acteur de menace en Corée du Nord connue sous le nom de Moonstone Sheet a continué de pousser les packages NPM malveillants au registre des packages JavaScript dans le but d'infecter les systèmes Windows, soulignant la nature persistante de leurs campagnes.
Les forfaits en question, Harthat-API et Harthat-Hash, ont été publiés le 7 juillet 2024, selon Datadog Security Labs.Les deux bibliothèques n'ont pas attiré
The North Korea-linked threat actor known as Moonstone Sleet has continued to push malicious npm packages to the JavaScript package registry with the aim of infecting Windows systems, underscoring the persistent nature of their campaigns. The packages in question, harthat-api and harthat-hash, were published on July 7, 2024, according to Datadog Security Labs. Both the libraries did not attract |
Threat | ★★★ | |
 |
2024-08-06 16:00:00 | Wiz and Netskope: Making IaaS Zero Trust Magic (lien direct) | > Netskope et Wiz aident les organisations à simplifier et à automatiser la gestion des politiques dans des environnements cloud complexes.Ce partenariat met en évidence l'intégration transparente entre le partage de la sécurité des services de sécurité et les informations sur les menaces pour permettre à NetSkope de modifier automatiquement les politiques existantes ou d'élaborer de nouvelles.Ci-dessous, nous présentons deux des principaux cas d'utilisation que les clients exploitent avec notre conjoint [& # 8230;]
>Netskope and Wiz help organizations simplify and automate policy management across complex cloud environments. This partnership highlights the seamless integration between Wiz sharing security risk and threat insights to enable Netskope to modify existing policies or craft new ones automatically. Below, we present two of the primary use cases that customers leverage with our joint […] |
Threat Cloud | ★★★ | |
|
2024-08-06 15:06:22 | Le rapport sur les menaces de Darktrace semestriel 2024 révèle des menaces persistantes de cybercriminalité en tant que service au milieu du paysage d'attaque évolutif Darktrace Half-Year Threat Report 2024 Reveals Persistent Cybercrime-as-a-Service Threats Amidst Evolving Attack Landscape (lien direct) |
Malware-as-a-Service (MAAS) et ransomware-as-a-service (RAAS) continuent de dominer le paysage de la menace
Le phishing par e-mail reste une menace supérieure, avec 17,8 millions de courriels de phishing détectés entre décembre 2023 et juillet 2024, et 62% de contournement des chèques DMARC conçus pour sauvegarder contre l'utilisation non autorisée
Émergence de nouvelles menaces telles que les ransomwares de Qilin et l'exploitation accrue des vulnérabilités d'infrastructure de bord
-
mise à jour malveillant
Malware-as-a-Service (MaaS) and Ransomware-as-a-Service (RaaS) continue to dominate the threat landscape Email phishing remains a top threat, with 17.8 million phishing emails detected between December 2023 and July 2024, and 62% bypassing DMARC checks designed to safeguard against unauthorized use Emergence of new threats such as Qilin ransomware and increased exploitation of edge infrastructure vulnerabilities - Malware Update |
Threat Ransomware | ★★★ | |
|
2024-08-06 15:06:00 | Nouveau logiciel spyware Android Lianspy Évite la détection à l'aide de Yandex Cloud New Android Spyware LianSpy Evades Detection Using Yandex Cloud (lien direct) |
Les utilisateurs de Russie ont été la cible d'un logiciel spymétrique Android post-compromise auparavant sans papiers appelé Lianspy depuis au moins 2021.
Le fournisseur de cybersécurité Kaspersky, qui a découvert le malware en mars 2024, a noté son utilisation de Yandex Cloud, un service de cloud russe, pour les communications de commandement et de contrôle (C2) comme moyen d'éviter d'avoir une infrastructure dédiée et d'éviter la détection.
"Cette menace est
Users in Russia have been the target of a previously undocumented Android post-compromise spyware called LianSpy since at least 2021. Cybersecurity vendor Kaspersky, which discovered the malware in March 2024, noted its use of Yandex Cloud, a Russian cloud service, for command-and-control (C2) communications as a way to avoid having a dedicated infrastructure and evade detection. "This threat is |
Threat Malware Cloud Mobile | ★★★ | |
|
2024-08-06 14:31:12 | LianSpy: new Android spyware targeting Russian users (lien direct) | ## Instantané
Des chercheurs de SecureList ont découvert une campagne ciblant les individus en Russie avec un nouveau logiciel espion Android appelé "Lianspy", actif depuis juillet 2021. Ce logiciel malveillant est capable de capturer des screencasts, d'exfiltrant les fichiers utilisateur et de la récolte des journaux d'appels et des listes d'applications.Il utilise le disque Yandex de service cloud russe pour les communications de commandement et de contrôle (C2) et évite les infrastructures dédiées pour échapper à la détection.
## Description
Lianspy détermine d'abord s'il s'exécute en tant qu'application système, qui reçoit automatiquement les autorisations dont elle a besoin.Sinon, il demande des autorisations de superposition d'écran, de notifications, d'activité de fond, de contacts, de journaux d'appels, etc. Une fois autorisée, le logiciel espion vérifie qu'il ne fonctionne pas dans un environnement de débogage.Lianspy configure ensuite sa configuration, qui persiste à travers les redémarrages de périphériques, avec des valeurs prédéfinies et stocke ces données comme une collection de paires de valeurs clés localement en utilisant des relevés de partage.Le logiciel espion cache son icône, utilise un récepteur de diffusion pour déclencher des tâches malveillantes et met à jour de manière autonome sa configuration à partir de fichiers sur le disque Yandex.Il crypte les données collectées à l'aide d'un schéma de chiffrement impliquant des clés AES et RSA.
Les techniques de logiciels espions incluent le dégagement de la fuite comme une application légitime, le contournement des indicateurs de confidentialité dans Android 12 et la suppression des notifications.Il utilise la commande d'écran avec des autorisations racine pour capturer des captures d'écran sans laisser de traces et s'appuie fortement sur les services légitimes de cloud et de col pour l'exfiltration et les mises à jour de commande.
La communication avec le serveur C2 de Lianspy \\ est unidirectionnelle via le service de cloud russe.De plus, la langue russe est utilisée dans certains de ses composants et les données de télémétrie de sécurité qui suggèrent que les victimes ont inclus des utilisateurs russes.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- Installez uniquement les applications à partir de sources de confiance et de magasins officiels, comme le Google Play Store et Apple App Store.
- Ne jamais cliquer sur les liens inconnus reçus via des annonces, des messages SMS, des e-mails ou des sources non fiables similaires.
- Utilisez des solutions mobiles telles que [Microsoft Defender pour Endpoint] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-android?view=o365-worldwide) sur Androidtodétecter les applications malveillantes
- Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues.
- Évitez d'accorder des autorisations SMS, un accès à l'auditeur de notification ou un accès à l'accessibilité à toute application sans comprendre pourquoi la demande en a besoin.Ce sont des autorisations puissantes qui ne sont pas généralement nécessaires.
- Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil.
## Les références
[Lianspy: Nouveau logiciel spydrome Android ciblant les utilisateurs russes] (https://securelist.com/lianspy-android-spyware/113253/).Kaspersky (2024-08-05)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Securelist discovered a campaign targeting individuals in Russia with a new Android spyware called "Li |
Threat Malware Cloud Mobile | ★★★ | |
 |
2024-08-06 13:00:00 | Hijacked: How Cybercriminals Are Turning Anti-Virus Software Against You (lien direct) | Executive Summary LevelBlue Labs has identified a new evolution in the toolset of threat actors. Threat actors are hijacking legitimate anti-virus software to carry out malicious activities undetected. A new tool, named SbaProxy, has been found masquerading as legitimate anti-virus components to establish proxy connections through a command and control (C&C) server. This tool, distributed in various formats such as DLLs, EXEs, and PowerShell scripts, is challenging to detect due to its sophisticated design and legitimate appearance. By modifying legitimate anti-virus binaries and using valid certificates, the threat actors have made SbaProxy particularly stealthy. This threat has a significant impact, as it can be used to create proxy services that facilitate malicious activities and potentially be sold for financial gain. LevelBlue Labs is committed to continuing its efforts to monitor and combat this evolving threat. What you need to understand at the highest level: Hijacking of Legitimate Software. Threat actors leverage legitimate anti-virus components, modifying them to serve malicious purposes while maintaining their appearance as benign software, making detection difficult. In this new iteration of the campaign, we have observed Malwarebytes, BitDefender, APEX products, and others being targeted. Introduction of SbaProxy. A new tool, SbaProxy, has been identified as part of this threat actor\'s evolving toolkit, capable of establishing proxy connections they use to generate revenue. Sophisticated Evasion Tactics. The malicious binaries are signed with valid or seemingly valid certificates, which helps them bypass security checks and evade detection. Variety of Distribution Formats. SbaProxy is being distributed in multiple formats, including DLLs, EXEs, and PowerShell scripts, all with the same underlying functionality, increasing the attack\'s resilience. Ongoing Threat Monitoring. LevelBlue Labs is actively tracking this threat to stay ahead of the actors\' evolving techniques and protect their clients from emerging cyber risks. Technical Analysis: A Closer Look at How It’s Done. In early June, LevelBlue Labs observed suspicious activity originating from seemingly legitimate anti-virus binaries. Upon investigation, this activity was from a new tool associated with the campaign already reported by Sophos in late April. It marks a new iteration in the toolset used by this threat actor. It’s controlled from a C&C server and establishes a proxy connection between the C&C server and a target through the infected machine. We believe this proxy service is then sold to other criminals. We are tracking this as SbaProxy following the nomenclature given by Sophos. SbaProxy is being distributed in several formats: PowerShell scripts DLL libraries EXE binaries. Even though the format varies and there are technical differences among the different types of files, the functionality offered is the same. Notably, when the chosen format is DLL or EXE, the samples are based on the legitimate anti-virus components they are trying to imitate but are modified to include malicious code. This is done to disguise their binaries as legitimate, as the larger portion of the code is benign. Of course, the original anti-virus binaries were signed by their respective manufacturers, and the modifications performed by the malicious threat actor broke the signature. The threat actor has opted to sign the files again with counterfeit certificates. While some of the certificates used by the threat | Threat Malware Tool Technical Prediction | ★★ | |
 |
2024-08-06 10:00:00 | Le projet de loi de renseignement augmenterait les ransomwares à une menace terroriste Intelligence bill would elevate ransomware to a terrorist threat (lien direct) |
> Au milieu d'une touche d'attaques de ransomwares, le Comité du renseignement du Sénat veut traiter le phénomène comme le terrorisme.
>Amid a rash of ransomware attacks, the Senate Intelligence Committee wants to treat the phenomenon like terrorism. |
Threat Ransomware | ★★ | |
|
2024-08-06 09:46:00 | Le nouveau défaut zéro-jour dans Apache Ofbiz ERP permet l'exécution du code distant New Zero-Day Flaw in Apache OFBiz ERP Allows Remote Code Execution (lien direct) |
Une nouvelle vulnérabilité d'exécution de code à distance pré-authentification zéro-jour a été divulguée dans le système APACHE OFBIZ Open-Source Enterprise Planning (ERP) qui pourrait permettre aux acteurs de la menace d'atteindre l'exécution du code distant sur les instances affectées.
Suivi sous le nom de CVE-2024-38856, le défaut a un score CVSS de 9,8 sur un maximum de 10,0.Il affecte les versions Apache Ofbiz avant 18.12.15.
"Le
A new zero-day pre-authentication remote code execution vulnerability has been disclosed in the Apache OFBiz open-source enterprise resource planning (ERP) system that could allow threat actors to achieve remote code execution on affected instances. Tracked as CVE-2024-38856, the flaw has a CVSS score of 9.8 out of a maximum of 10.0. It affects Apache OFBiz versions prior to 18.12.15. "The |
Threat Vulnerability | ★★★ | |
 |
2024-08-06 04:37:34 | Proficio dévoile le service de simulation de violation et d'attaque probas Proficio Unveils ProBAS Breach and Attack Simulation Service (lien direct) |
Proficio, un fournisseur de détection et de réponse géré (MDR), a déployé son service de simulation de violation et d'attaque des problèmes.La solution teste «rigoureusement» les entreprises de sécurité, pour s'assurer qu'elles peuvent empêcher des événements de compromis et détecter les attaques tout au long du processus de détection et de réponse des menaces.Des journaux d'alerte de l'appareil à SIEM, à la détection SOC et aux actions de réponse au confinement, Probas [...]
Proficio, a Managed Detection and Response (MDR) provider, has rolled out its ProBAS Breach and Attack Simulation service. The solution “rigorously” tests businesses\' security defenses, to ensure they can prevent compromise events and detect attacks throughout the entire threat detection and response process. From device alert logs to SIEM, SOC detection, and containment response actions, ProBAS [...] |
Threat | ★★★ | |
 |
2024-08-06 03:41:20 | Ascroqueries de la saison des ouragans: ce que vous devez savoir Hurricane Season Scams: What you need to know (lien direct) |
Les cybercriminels sont connus pour leur opportunisme.Aucune situation n'est interdite: qu'elles exploitent les conflits et les souffrances humaines, le chantage des individus vulnérables en menaçant de divulguer des notes de thérapie, ou même de mettre les organisations de soins de santé à genoux, les cybercriminels ne s'arrêteront à rien pour faire de l'argent rapidement.La saison des ouragans est une période particulièrement lucrative de l'année pour les cybercriminels.Chaque année, les intempéries déchirent l'Atlantique et le golfe du Mexique, causant des milliards de dollars de dommages et mettant des vies en danger.Cette année, la saison de \\ a commencé avec une férocité inhabituelle en tant qu'ouragan Beryl ...
Cybercriminals are notorious for their opportunism. No situation is off limits: whether they exploit conflict and human suffering, blackmail vulnerable individuals by threatening to leak therapy notes, or even bring healthcare organizations to their knees, cybercriminals will stop at nothing to make a quick buck. Hurricane season is a particularly lucrative time of year for cybercriminals. Every year, inclement weather rips through the Atlantic and Gulf of Mexico, causing billions of dollars in damage and putting lives at risk. This year\'s season began with unusual ferocity as Hurricane Beryl... |
Threat Medical | ★★ | |
|
2024-08-05 21:26:54 | Russian APT Fighting Ursa cible les diplomates avec des logiciels malveillants de tête à l'aide de fausses annonces de vente de voitures Russian APT Fighting Ursa Targets Diplomats with HeadLace Malware Using Fake Car Sale Ads (lien direct) |
#### Industries ciblées - agences et services gouvernementaux - Diplomatie / relations internationales ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne probablement attribuée à l'acteur de menace russe combattant Ursa (aka [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/dd75f93b2a71c9510dceec817b9d34d868c2d1353d08c8c1647d868c2d1353d08c8c1647d868c2d1353d08c8c847De067270f. , Apt28, ours fantaisie) qui a utilisé unAPUTER LA VOLAGE DE VENTE comme un leurre pour distribuer les logiciels malveillants de la porte de la tête.La campagne a ciblé les diplomates et a commencé en mars 2024. ## Description Le leurre initial a été hébergé par le service légitime webhook.site et a conduit à la distribution de la page HTML malveillante.Le logiciel malveillant téléchargé, déguisé en publicité automobile, contenait la porte dérobée de la tête, qui a exécuté par étapes pour échapper à la détection.L'attaque s'appuyait fortement sur les services publics et gratuits pour héberger des leurres et diverses étapes de l'attaque.Le code HTML vérifie les ordinateurs Windows et redirige les visiteurs non-Windows vers une image de leurre sur IMGBB.Le code crée ensuite une archive zip à partir du texte Base64, l'offrant pour le téléchargement et la tentative de l'ouvrir avec la fonction javascript click ().L'archive zip téléchargée contient un fichier avec une double extension de .jpg.exe, qui est une copie du fichier de calculatrice de Windows légitime que Calc.exe a utilisé pour mettre à côté le fichier DLL inclus WindowsCodecs.dll, un composant de la porte arrière de la tête. La lutte contre l'Ursa est connue pour exploiter continuellement des vulnérabilités connues même après que leur couverture a été soufflée.L'infrastructure du groupe \\ évolue constamment, et il devrait continuer à utiliser des services Web légitimes dans son infrastructure d'attaque. ## Analyse Microsoft Cette tactique de l'utilisation de leurres de phishing diplomatique de voitures diplomatiques a été précédemment observée avec d'autres groupes de menaces russes.En septembre 2023, Microsoft Threat Intelligence a observé probablement [Midnight Blizzard]. 831] (https://sip.security.Microsoft.com/intel-explorer/cves/cve-2023-38831/description) Vulnérabilité dans Rarlabs Winrar pour cibler les réseaux de plus de 40 organisations diplomatiques et intergouvernementales (IGO).Les acteurs de la menace ont envoyé des courriels de phishing de lance avec des archives zippées malveillantes, demandant aux destinataires d'ouvrir la pièce jointe pour voir les détails d'une voiture diplomatique à vendre.Lire la suite [ici] (https://sip.security.microsoft.com/intel-explorer/articles/af5bdd1c). ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme malWare: - [Trojan: script / obfuse] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:js/obfuse) - [Trojan: html / phish] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:html/phish) ## Recommandations Investissez dans des solutions avancées et anti-phishing qui surveillent les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble une gestion des incidents et des alertes à travers les e-mails, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentify and Block] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_LearnDoc) sont des sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing. • Exécutez la détection et la | Threat Malware Tool Vulnerability | APT 28 | ★★★★ |
|
2024-08-05 20:25:04 | CheckMarx introduit la sécurité avancée des conteneurs Checkmarx Introduces Advanced Container Security (lien direct) |
CheckMarx introduit la sécurité avancée des conteneurs, offrant une réduction de vulnérabilité jusqu'à 40% et des gains d'efficacité significatifs
La détection de menace améliorée combine une analyse statique avec une analyse des packages malveillants et des informations d'exécution sysdig intégrées
-
revues de produits
Checkmarx Introduces Advanced Container Security, Delivering Up to 40% Vulnerability Reduction and Significant Efficiency Gains Enhanced threat detection combines static analysis with malicious package analysis and integrated Sysdig runtime insights - Product Reviews |
Threat Vulnerability | ★★★ | |
|
2024-08-05 20:18:04 | Cybersixgill présente Pulse Cybersixgill Introduces Pulse (lien direct) |
Cybersixgill introduit Pulse: perturber l'intelligence de la cyber-menace avec un flux de contenu personnalisé
-
revues de produits
Cybersixgill Introduces Pulse: Disrupting Cyber Threat Intelligence with Personalized Content Stream - Product Reviews |
Threat | ★★ | |
|
2024-08-05 20:11:48 | Bloody Wolf frappe les organisations au Kazakhstan avec des logiciels malveillants commerciaux Strrat Bloody Wolf strikes organizations in Kazakhstan with STRRAT commercial malware (lien direct) |
#### Géolocations ciblées - Kazakhstan ## Instantané Depuis la fin de 2023, Bi.zone Threat Intelligence a suivi le groupe sanglant des organisations de ciblage au Kazakhstan avec le malware Strrat, également connu sous le nom de Master Strigoi. ## Description Les attaquants envoient des e-mails de phishing imitant le ministère des Finances et d'autres agences, avec des pièces jointes PDF liées à des logiciels malveillants et à un guide d'installation d'interprète Java.L'utilisation de fichiers JAR aide à contourner les défenses et les services Web légitimes comme Pastebin sont exploités pour la communication, éludant des mesures de sécurité du réseau.Une fois les logiciels malveillants installés, il télécharge des dépendances, y compris les bibliothèques KeyLogger et se copie dans le répertoire AppData de l'utilisateur \\.Il établit la persistance par le biais de tâches et d'entrées de registre planifiées, puis se connecte aux serveurs C2 à l'aide d'URL pastebin.STRRAT collecte les informations système, exécute diverses commandes à partir du serveur C2 et exfiltre des données à l'aide d'outils comme [Lumma Stealer] (https: //security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad).Les capacités du malware \\ incluent KeystrokeL'interception, la gestion des fichiers à distance et le contrôle du navigateur, ce qui en fait une menace puissante pour les systèmes compromis. ## Analyse supplémentaire Observé pour la première fois en 2020, Strrat est un logiciel malveillant basé sur Java qui est généralement réparti comme un attachement malveillant.Selon [Malpedia] (https://malpedia.caad.fkie.fraunhofer.de/details/jar.strrat), le malware est notoire pour son comportement de type ranwomware car il ajoute une extension de nom de fichier ".crimson" à des fichiers aux fichierset affiche une fausse note ransome dans le bloc-notes sans crypter aucun fichier.Strrat Malware affecte les systèmes d'exploitation Windows et possède un certain nombre de capacités de vol et de porte dérobée.Notamment, les logiciels malveillants peuvent recueillir des informations d'identification auprès des navigateurs et des clients de messagerie, enregistrer des touches et aider au déploiement de logiciels malveillants supplémentaires. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Trojan: win32 / strrat] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-secdcopedia-description? Name = Trojan: win32 / strrat) - [Spyware: Win32 / Lummastealer] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-secdClopedia-Description? Name = Spyware: Win32 / Lummastealer) - [Spyware: win64 / Lummastealer] (https://www.microsoft.com/en-US / WDSI / Menaces / Malware-SencyClopedia-Description? Name = Spyware: Win64 / LumMastealer) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-US / WDSI / Menaces / Malware-SencyClopedia-Description? Name = Trojan: Win32 / Leonem) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender A | Threat Ransomware Malware Tool Commercial | ★★★ | |
|
2024-08-05 19:50:40 | Appomni annonce la détection et la réponse des menaces d'identité SAASA (ITDR) AppOmni Announces SaaS-Aware Identity Threat Detection and Response (ITDR) (lien direct) |
Appomni annonce les capacités de détection et de réponse de la menace d'identité SAASA (ITDR) pour lutter contre les attaques contre les applications SaaS
● L'analyse centrée sur l'identité se combine désormais avec des règles de seuil et de séquence dans le moteur de détection de menace en attente de brevet d'Appomni \\ pour fournir une précision de détection inégalée
● La matrice de maturité des événements SAAS open source améliorée fournit une plus grande clarté sur les événements de chaque application SaaS pour affiner les règles de détection
● Le nouveau tableau de bord de la santé de la sécurité SaaS offre une vision holistique basée sur des métriques sur la santé globale du domaine SaaS pour identifier et atténuer les risques
-
revues de produits
AppOmni Announces SaaS-Aware Identity Threat Detection and Response (ITDR) Capabilities to Combat Attacks Against SaaS Applications ● Identity-centric analysis now combines with threshold and sequence rules in AppOmni\'s patent pending threat detection engine to provide unparalleled detection accuracy ● Enhanced open source SaaS Event Maturity Matrix provides greater clarity on events from each SaaS app to refine detection rules ● New SaaS Security Health Dashboard provides a holistic metrics-based view on overall health of the SaaS estate to identify and mitigate risks - Product Reviews |
Threat Cloud | ★★★ | |
 |
2024-08-05 18:40:48 | Google fixe le noyau Android Zero-Day exploité dans des attaques ciblées Google fixes Android kernel zero-day exploited in targeted attacks (lien direct) |
Android Security met à jour ce mois-ci les vulnérabilités du correctif 46, y compris une exécution de code distante à haute sévérité (RCE) exploitée dans des attaques ciblées.[...]
Android security updates this month patch 46 vulnerabilities, including a high-severity remote code execution (RCE) exploited in targeted attacks. [...] |
Threat Mobile Vulnerability | ★★★ | |
|
2024-08-05 18:32:00 | Les chercheurs découvrent les défauts de Windows Smart App Control et SmartScreen Researchers Uncover Flaws in Windows Smart App Control and SmartScreen (lien direct) |
Les chercheurs en cybersécurité ont découvert les faiblesses de conception dans le contrôle des applications intelligentes de Microsoft \\ et SmartScreen qui pourraient permettre aux acteurs de menace d'obtenir un accès initial aux environnements cibles sans augmenter les avertissements.
Smart App Control (SAC) est une fonctionnalité de sécurité alimentée par le cloud introduit par Microsoft dans Windows 11 pour bloquer les applications malveillantes, non fiables et potentiellement indésirables
Cybersecurity researchers have uncovered design weaknesses in Microsoft\'s Windows Smart App Control and SmartScreen that could enable threat actors to gain initial access to target environments without raising any warnings. Smart App Control (SAC) is a cloud-powered security feature introduced by Microsoft in Windows 11 to block malicious, untrusted, and potentially unwanted apps from being run |
Threat | ★★★ | |
|
2024-08-05 18:12:00 | Organisations kazakhs ciblées par \\ 'Bloody Wolf \\' Cyber Attacks Kazakh Organizations Targeted by \\'Bloody Wolf\\' Cyber Attacks (lien direct) |
Les organisations au Kazakhstan sont la cible d'un cluster d'activités de menace surnommé Bloody Wolf qui offre un logiciel malveillant de marchandise appelé Strrat (AKA Strigoi Master).
"Le programme qui se vend à 80 $ sur les ressources souterrains permet aux adversaires de prendre le contrôle des ordinateurs d'entreprise et de détourner des données restreintes", a déclaré le fournisseur de cybersécurité Bi.Zone dans une nouvelle analyse.
Les cyberattaques utilisent
Organizations in Kazakhstan are the target of a threat activity cluster dubbed Bloody Wolf that delivers a commodity malware called STRRAT (aka Strigoi Master). "The program selling for as little as $80 on underground resources allows the adversaries to take control of corporate computers and hijack restricted data," cybersecurity vendor BI.ZONE said in a new analysis. The cyber attacks employ |
Threat Malware | ★★★ | |
|
2024-08-05 16:43:22 | Crowdsstrike pointe le doigt de Delta après que la compagnie aérienne a menacé de poursuivre les pannes CrowdStrike points finger back at Delta after airline threatened to sue over outages (lien direct) |
> Delta devra tenir compte de ses propres lacunes si elle suit une menace basée sur un «récit trompeur», a déclaré Crowdstrike.
>Delta will have to account for its own shortcomings if it follows through on a threat based on a “misleading narrative,” CrowdStrike said. |
Threat | ★★★ | |
|
2024-08-05 16:41:23 | Comment les variantes de ransomware "professionnelles" augmentent les groupes de cybercriminalité How "professional" ransomware variants boost cybercrime groups (lien direct) |
## Instantané Des chercheurs de SecureList par Kaspersky ont identifié trois groupes de ransomwares utilisant des variantes de ransomware divulguées ou publiées pour mener des attaques, "Sexi", "Key Group" et "Mallox". ## Description Le groupe SEXI cible les applications ESXI utilisant Babuk pour Linux et Lockbit pour Windows, et utilise un ID utilisateur associé à l'application de messagerie de session pour le contact.Key Group, également connu sous le nom de KeyGroup777, utilise au moins huit familles de ransomwares différentes, ajustant leurs tactiques avec chaque nouvelle variante et en utilisant divers mécanismes de persistance.Enfin, [Mallox] (https://security.microsoft.com/intel-profiles/7FBE39C998C8A495A1652AC6F8BD34852C00F97DC61278CAFC56DCA1D443131e), également connu en tant que Fargo, a comparu dans le programme 2021 et a été lancé dans un programme ANFIERELIA Mallox s'associe uniquement avec des experts russes,nécessite des revenus d'au moins 10 millions de dollars et aucun hôpital ou établissement d'enseignement.SecureList rapporte également que l'activité des affiliés du groupe Mallox a diminué au fil du temps. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / lockbit.ak! Ibt] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = ransom: win32 / lockbit.ak! ibt) - [Ransom: MSIL / FileCcoder.Ad! Mtb] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=ransom:mil/filecoder.ad!mtb) - [Ransom: win32 / sorikrypt.a] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:win32/sorikrypt.a) - [Ransom: win32 / garrantdecrypt.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win32/garrantdecrypt.pa) - [Trojan: LiNux / FileCoder! Mtb] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=trojan:linux/FileCoder!MTB) - [Ransom: win32 / mallox] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / mallox! Mtb) - [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win64/mallox) - [Trojan: MSIL / Mallox] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-deÉcriture? Name = Trojan: MSIL / Mallox) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-firSt-Sight-Microsoft-Defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) dans Microsoft DefeNDER Antivirus ou l'équivalent pour que votre produit antivirus couvre les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti%3CEM%3ETA%3C/em%3elearndoc) de sorte que Microsoft Defender pour le point de terminaison peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) p | Threat Ransomware Malware Tool | ★★★ | |
|
2024-08-05 15:01:41 | Cybercriminalité : Fighting Ursa utilise une annonce de vente de voiture comme leurre (lien direct) | Un acteur malveillant russe, suivi par l'Unit 42 sous le nom de Fighting Ursa, cabinet de conseil et de recherche/réponse aux cyber menaces de Palo Alto Networks, a utilisé une annonce de vente de voiture comme leurre pour distribuer le malware backdoor HeadLace. - Malwares | Threat Malware | APT 28 | ★★★ |
 |
2024-08-05 14:55:21 | 5 août & # 8211;Rapport de renseignement sur les menaces 5th August – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations American Blood Donation Center Oneblood ont été victimes d'une attaque de ransomware qui a perturbé son système logiciel, affectant les opérations dans plus de 350 hôpitaux en Floride, en Géorgie et [& # 8230;]
>For the latest discoveries in cyber research for the week of 5th August, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American blood donation center OneBlood has been a victim of a ransomware attack that caused disruption to its software system, affecting operations across more than 350 hospitals in Florida, Georgia, and the […] |
Threat Ransomware | ★★★ | |
|
2024-08-05 13:21:04 | Les pirates nord-coréens exploitent la mise à jour de mise à jour VPN pour installer des logiciels malveillants North Korean hackers exploit VPN update flaw to install malware (lien direct) |
Le National Cyber Security Center (NCSC) de la Corée du Sud avertit que les pirates DPRC soutenus par l'État ont détourné des défauts dans une mise à jour logicielle d'un VPN \\ pour déployer des logiciels malveillants et des réseaux de violation.[...]
South Korea\'s National Cyber Security Center (NCSC) warns that state-backed DPRK hackers hijacked flaws in a VPN\'s software update to deploy malware and breach networks. [...] |
Threat Malware | ★★★ | |
|
2024-08-05 11:37:00 | Les appareils d'automatisation de Flaw Critical dans Rockwell permettent un accès non autorisé Critical Flaw in Rockwell Automation Devices Allows Unauthorized Access (lien direct) |
Une vulnérabilité de contournement de sécurité à haute sévérité a été divulguée dans les dispositifs Rockwell Automation Contrôlogix 1756 qui pourraient être exploités pour exécuter des commandes de programmation et de configuration de protocole industriel commun (CIP).
La faille, qui se voit l'identifiant CVE CVE-2024-6242, propose un score CVSS V3.1 de 8,4.
"Une vulnérabilité existe dans les produits affectés qui permet à un acteur de menace de
A high-severity security bypass vulnerability has been disclosed in Rockwell Automation ControlLogix 1756 devices that could be exploited to execute common industrial protocol (CIP) programming and configuration commands. The flaw, which is assigned the CVE identifier CVE-2024-6242, carries a CVSS v3.1 score of 8.4. "A vulnerability exists in the affected products that allows a threat actor to |
Threat Industrial Vulnerability | ★★★★ | |
|
2024-08-05 10:51:17 | Faits saillants hebdomadaires, 5 août 2024 Weekly OSINT Highlights, 5 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de Osint mettent en évidence plusieurs tendances clés du paysage cyber-menace, caractérisées par des tactiques d'attaque sophistiquées et des acteurs de menace adaptables.Les types d'attaques prédominants impliquent le phishing, l'ingénierie sociale et l'exploitation des vulnérabilités des logiciels, avec des vecteurs courants, y compris des pièces jointes malveillantes, des sites Web compromis, l'empoisonnement du DNS et la malvertisation.Les campagnes notables ont ciblé les utilisateurs de l'UKR.NET, les clients de la BBVA Bank et les pages de médias sociaux détournées pour imiter les éditeurs de photos populaires de l'IA.De plus, l'exploitation des erreurs de configuration dans des plates-formes largement utilisées telles que Selenium Grid et TryCloudflare Tunnel indique une focalisation stratégique sur la mise en œuvre d'outils légitimes à des fins malveillantes. Les acteurs de la menace vont de groupes d'État-nation comme les acteurs nord-coréens, l'APT41 et le Sidewinder, aux cybercriminels et à des groupes hacktiviste motivés financièrement tels que Azzasec.Les techniques d'évasion avancées et les stratégies d'ingénierie sociale sont utilisées par des acteurs comme l'UAC-0102, Black Basta et ceux qui exploitent les problèmes de mise à jour de la crowdsstrike.Les objectifs sont diversifiés, couvrant des organisations gouvernementales et militaires, des institutions financières, des réseaux d'entreprise, des petites et moyennes entreprises et des utilisateurs individuels dans diverses régions. ## Description 1. [Campagne révisée de dev # popper] (https://sip.security.microsoft.com/intel-explorer/articles/9f6ee01b): les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels à l'aide de fausses entretiens d'emploi pour distribuer des logiciels malveillants via des packages de fichiers zip.La campagne, affectant plusieurs systèmes d'exploitation et régions, utilise des tactiques avancées d'obscurcissement et d'ingénierie sociale pour le vol de données et la persistance. 2. [Specula Framework exploite Outlook] (https://sip.security.microsoft.com/intel-explorer/articles/4b71ce29): un nouveau cadre post-exploitation appelé "Specula" lever.En dépit d'être corrigé, cette méthode est utilisée par l'APT33 parrainé par l'iranien pour atteindre la persistance et le mouvement latéral dans les systèmes Windows compromis. 3. [Phishing with Sora AI Branding] (https://sip.security.microsoft.com/intel-explorer/articles/b90cc847): les acteurs de menace exploitent l'excitation autour de Sora AI inédite en créant des sites de phishing pour se propager des logiciels malveillants.Ces sites, promus via des comptes de médias sociaux compromis, déploient des voleurs d'informations et des logiciels d'extraction de crypto-monnaie. 4. [vulnérabilité VMware ESXi exploitée] (https: //sip.security.microsoft.com/intel-explorer/articles/63b1cec8): des gangs de ransomware comme Storm-0506 et Octo Tempest Exploiter un VMware ESXi Authentification Typass VULnerabilité pour l'accès administratif.Cette vulnérabilité, ajoutée au catalogue exploité des vulnérabilités exploitées \\ 'connues, est utilisée pour voler des données, se déplacer latéralement et perturber les opérations. 5. [APT41 cible la recherche taïwanaise] (https://sip.security.microsoft.com/intel-explorer/articles/d791dc39): le groupe APT41, suivi comme Typhoon de brass.La campagne consiste à exploiter une vulnérabilité de Microsoft Office et à utiliser la stéganographie pour échapper à la détection. 6. [Trojans bancaire en Amérique latine] (https://sip.security.microsoft.com/intel-explorer/articles/767518e9): Une campagne ciblant les organisations financières utilise des troyens bancaires distribués via des URL géo-frisées.Le malware utilise l'injection de processus et se connecte aux serveurs de commandement et de contrôle pour voler des informations sensibles. 7. [MINT STACER MALWARED] ( | Threat Ransomware Spam Malware Tool Mobile Vulnerability | APT33 APT 41 APT 33 APT-C-17 | ★★★ |
|
2024-08-05 09:46:00 | Les pirates liés à la Chine compromettent le FAI pour déployer des mises à jour logicielles malveillantes China-Linked Hackers Compromise ISP to Deploy Malicious Software Updates (lien direct) |
L'acteur de menace lié à la Chine connue sous le nom de Panda évasif a compromis un fournisseur de services Internet sans nom (ISP) pour pousser les mises à jour logicielles malveillantes vers des entreprises ciblées à la mi-2023, mettant en évidence un nouveau niveau de sophistication associé au groupe.
Evasif Panda, également connu sous les noms Bronze Highland, Daggerfly et Stormbamboo, est un groupe de cyber-espionnage qui a été actif depuis au moins 2012,
The China-linked threat actor known as Evasive Panda compromised an unnamed internet service provider (ISP) to push malicious software updates to target companies in mid-2023, highlighting a new level of sophistication associated with the group. Evasive Panda, also known by the names Bronze Highland, Daggerfly, and StormBamboo, is a cyber espionage group that\'s been active since at least 2012, |
Threat | ★★★ | |
|
2024-08-05 08:49:14 | ESET Research dévoile une vague massive de phishing ciblant les PME en Europe de l\'Est (lien direct) | ● En mai 2024, ESET a identifié neuf campagnes de phishing significatives utilisant ModiLoader, ciblant des PME de la Pologne, la Roumanie et l'Italie. ● La Pologne a été la cible principale, avec sept des neuf campagnes. Dans ce pays, les solutions ESET ont protégé plus de 21 000 utilisateurs contre ces menaces. ● Les cybercriminels ont utilisé ModiLoader pour déployer trois types de logiciels malveillants voleurs d'informations : Rescoms, Agent Tesla et Formbook. ● Pour mener leurs attaques, les attaquants ont exploité des infrastructures d'entreprises compromises pour diffuser leurs malwares, les héberger et collecter les données volées. - Malwares | Threat | ★★★ | |
 |
2024-08-05 00:00:00 | Ressecurity a introduit le contexte AI pour accélérer les capacités de l'intelligence des menaces et de la réponse aux incidents Resecurity introduced Context AI to accelerate threat intelligence and incident response capabilities (lien direct) |
Pas de details / No more details | Threat | ★★★ | |
|
2024-08-03 09:29:00 | Les pirates exploitent des cahiers de jupyter mal conçu avec un outil Minecraft DDOS réutilisé Hackers Exploit Misconfigured Jupyter Notebooks with Repurposed Minecraft DDoS Tool (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'une nouvelle campagne d'attaque du déni de service distribué (DDOS) ciblant les cahiers de jupyter à tort erroné.
L'activité, nommé Panamorfi de Cloud Security Firm Aqua, utilise un outil basé à Java appelé Mineping pour lancer une attaque DDOS de la crue TCP.Mineping est un package DDOS conçu pour les serveurs de jeux Minecraft.
Les chaînes d'attaque impliquent l'exploitation
Cybersecurity researchers have disclosed details of a new distributed denial-of-service (DDoS) attack campaign targeting misconfigured Jupyter Notebooks. The activity, codenamed Panamorfi by cloud security firm Aqua, utilizes a Java-based tool called mineping to launch a TCP flood DDoS attack. Mineping is a DDoS package designed for Minecraft game servers. Attack chains entail the exploitation |
Threat Cloud Tool | ★★★ | |
 |
2024-08-02 23:10:38 | La proposition de valeur de la construction et du maintien d'une équipe de chasse aux menaces internes… The value-proposition of building and maintaining an internal Threat Hunting team… (lien direct) |
Les discussions IT / Cyber Buy vs Build se concentrent souvent sur et présentent le problème en tant que jeu Zerosum.Et dans ce jeu, vous devez choisir entre & # 8216; acheter & # 8217;ou & # 8216; build & # 8217;.Comment limiter & # 8230;Tl; dr;Cet article suggère que vous devriez & # 8230; ContinuerReading & # 8594;
The IT/cyber Buy vs. Build discussions often focus on, and present the issue at hand as a zerosum game. And in this game you MUST choose between either ‘Buy’ or ‘Build’. How limiting… TL;DR; This article suggests that you should … Continue reading → |
Threat | ★★★ | |
|
2024-08-02 22:02:00 | Les pirates APT41 utilisent ShadowPad, Cobalt Strike in Taiwanais Institute Cyber Attack APT41 Hackers Use ShadowPad, Cobalt Strike in Taiwanese Institute Cyber Attack (lien direct) |
Un institut de recherche affilié au gouvernement taïwanais spécialisé dans l'informatique et les technologies associés a été violé par des acteurs de la menace nationale avec des liens avec la Chine, selon de nouvelles découvertes de Cisco Talos.
L'organisation anonyme a été ciblée dès la mi-juillet 2023 pour livrer une variété de déambularité et d'outils post-compromis comme ShadowPad et Cobalt Strike.Il a été attribué
A Taiwanese government-affiliated research institute that specializes in computing and associated technologies was breached by nation-state threat actors with ties to China, according to new findings from Cisco Talos. The unnamed organization was targeted as early as mid-July 2023 to deliver a variety of backdoors and post-compromise tools like ShadowPad and Cobalt Strike. It has been attributed |
Threat Tool | APT 41 | ★★★ |
|
2024-08-02 21:46:00 | APT28 cible les diplomates avec des logiciels malveillants de tête via la vente de phishing APT28 Targets Diplomats with HeadLace Malware via Car Sale Phishing Lure (lien direct) |
Un acteur de menace lié à la Russie a été lié à une nouvelle campagne qui employait une voiture à vendre comme leurre de phishing pour livrer une porte dérobée de fenêtres modulaires appelée Headlace.
"La campagne a probablement ciblé les diplomates et a commencé dès mars 2024", a déclaré l'unité Palo Alto Networks 42 dans un rapport publié aujourd'hui, l'attribuant avec un niveau moyen à élevé de confiance à l'APT28, qui est également appelé
A Russia-linked threat actor has been linked to a new campaign that employed a car for sale as a phishing lure to deliver a modular Windows backdoor called HeadLace. "The campaign likely targeted diplomats and began as early as March 2024," Palo Alto Networks Unit 42 said in a report published today, attributing it with medium to high level of confidence to APT28, which is also referred to as |
Threat Malware | APT 28 | ★★★★ |
|
2024-08-02 21:37:59 | Threat Actor Abuses Cloudflare Tunnels to Deliver RATs (lien direct) | ## Snapshot Researchers at Proofpoint have observed an increase in malware delivery via TryCloudflare Tunnel abuse. The threat activity is unattributed at this point in time but is financially motivated and delivers remote access trojans (RATs). ## Description The threat actors have modified tactics, techniques, and procedures to bypass detection and improve efficacy. The activity abuses the TryCloudflare feature to create a one-time tunnel without creating an account, allowing the delivery of malware. The campaigns lead to the delivery of Xworm, a remote access trojan (RAT), and other malware such as AsyncRAT, VenomRAT, GuLoader, and Remcos. The threat actor behind the campaigns has been observed modifying different parts of the attack chain to increase sophistication and defense evasion. The use of Cloudflare tunnels provides the threat actors with a way to use temporary infrastructure to scale their operations, making it harder for defenders to detect and take down instances in a timely manner. The attack chain requires significant victim interaction, giving the recipient multiple opportunities to identify suspicious activity and disrupt the attack chain before successful execution. ## Microsoft Analysis ProofPoint\'s findings fit with the trend [other security researchers]([https:/security.microsoft.com/intel-explorer/articles/7f0d7aa3]) have noted of hackers utilizing DNS tunneling as a covert communication method and for bypassing traditional security measures. Although ProofPoint does not attribute the activity to a tracked Threat Actor, Microsoft Threat Intelligence has also observed threat actors such as [Aqua Blizzard](https://sip.security.microsoft.com/intel-profiles/9b01de37bf66d1760954a16dc2b52fed2a7bd4e093dfc8a4905e108e4843da80) (ACTINIUM) utilize Cloudflare tunnels to obfuscate their command and control (C2) communication. The process began with phishing activities that downloaded the cloudflared.exe client, which doesn\'t require configuration or licensing. This client sets up a tunnel through Cloudflare\'s infrastructure, masking the connection to the C2 IP address and making it difficult for network security software to detect the threat actor\'s infrastructure. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:VBS/XWorm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/XWorm) - [Trojan:Win32/Guloader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Guloader) - [Backdoor:JS/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:JS/Remcos) - [Trojan:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Remcos) - [PWS:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Remcos) - [Backdoor:MSIL/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MSIL/Remcos) - [Backdoor:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Remcos) - [TrojanDownloader:O97M/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:O97M/Remcos) - [TrojanDownloader:AutoIt/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:AutoIt/Remcos) - [Trojan:XML/AsyncRat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:XML/AsyncRat) - [Backdoor:Win32/Asyncrat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Asyncrat) - [Trojan:VBS/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/AsyncRAT) - [Trojan:VBA/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descript | Threat Spam Malware Tool Prediction | ★★★ | |
|
2024-08-02 21:00:42 | Campagne d'escroquerie "Eriakos": détectée par l'équipe de renseignement sur la fraude de paiement Future_S enregistrée "ERIAKOS" Scam Campaign: Detected by Recorded Future_s Payment Fraud Intelligence Team (lien direct) |
#### Industries ciblées - Services financiers - Retail des consommateurs ## Instantané Les chercheurs de l'équipe de renseignement sur la fraude à Payment de Future enregistrée ont découvert un réseau de commerce électronique d'escroque nommé la campagne «Eriakos», ciblant les utilisateurs de Facebook. ## Description Détectée le 17 avril 2024, cette campagne implique 608 sites Web frauduleux utilisant une imitation de marque et des tactiques de malvertisation pour voler des données personnelles et financières.Les sites Web de Scam étaient accessibles uniquement via des appareils mobiles et des leurres publicitaires, susceptibles d'échapper aux scanners automatisés.Les comptes marchands liés à ces sites Web traités par les principaux réseaux de cartes et les PSP chinois, ajoutant de la complexité à la fraude. L'analyse technique a identifié quatre indicateurs clés reliant les 608 domaines à la campagne Eriakos, permettant à un avenir enregistré de cartographier toute l'étendue du réseau d'escroquerie.L'utilisation de techniques de dépistage avancées dans cette campagne suggère une tendance croissante qui pourrait remettre en question les technologies de détection actuelles, ce qui entraîne potentiellement une durée de vie de l'escroquerie prolongée et une exposition accrue aux victimes. En plus de la victime ciblée, cette campagne d'arnaque présente des institutions financières à risque de fraude financière grâce à des litiges de rétrofacturation et à des pertes financières irrécupérables, tandis que les entreprises impurables sont confrontées à un risque de réputation en raison de la tactique d'identité de marque, en particulier parmi les victimes touchées. ## Recommandations Recommandations de l'avenir enregistré pour ** Institutions financières **: - Identifier et liste des comptes marchands noirs associés aux domaines de l'escroquerie. - Bloquer les transactions des clients avec ces marchands. - Surveiller les données de transaction historiques pour détecter une exposition potentielle à ces escroqueries. - Encouragez les clients à signaler des sites Web et des transactions suspects. - Partager le site Web d'escroquerie mène avec un avenir enregistré pour une identification plus large des menaces. - Tire de levier Recordé Future Fraud Intelligence (PFI) pour détecter et atténuer les sites Web d'escroquerie possibles à l'aide de l'ensemble de données PFI Common Point-of-achat (CPP). - Tire de levier L'intelligence future enregistrée pour détecter et atténuer les menaces d'usurpation d'identité de marque. Recommandations de l'avenir enregistré pour ** Consommations **: - fournir uniquement des informations personnelles et de paiement sur des sites Web sécurisés et fiables. - Companies de recherche à fond avant d'effectuer des achats. - Vérifiez la légitimité des sites Web de commerce électronique et leurs sous-domaines de paiement. - Soyez prudent des communications ou publicités non sollicitées. - Signalez toutes les escroqueries à votre émetteur de cartes et au Better Business Bureau (BBB). Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Installez uniquement les applications à partir de sources de confiance et de magasins officiels, comme le Google Play Store et Apple App Store. - Ne jamais cliquer sur les liens inconnus reçus via des annonces, des messages SMS, des e-mails ou des sources non fiables similaires. - Utilisez des solutions mobiles telles que [Microsoft Defender pour Endpoint] (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint-android?view=o365-worldwide) sur Androidto Detect Malicectapplications. - Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues. - Évitez d'accorder des autorisations SMS, un acc | Threat Technical Prediction Mobile | ★★★ | |
|
2024-08-02 20:39:07 | Black Basta ransomware switches to more evasive custom malware (lien direct) | ## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do | Threat Ransomware Malware Cloud Tool Vulnerability Legislation | ★★★ | |
|
2024-08-02 20:30:41 | Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft (lien direct) | ## Snapshot Researchers at Trend Micro identified a malvertising campaign where threat actors hijack social media pages, rename them to mimic popular AI photo editors, and post malicious links to fake websites. ## Description These attackers use spam messages with phishing links to steal admin credentials, leading to fake account protection pages. Once they gain control, they post ads promoting the AI photo editor, which directs victims to download an endpoint management utility disguised as the photo editor. The ITarian software is then used to execute additional payloads like Lumma Stealer, which exfiltrates sensitive data such as cryptocurrency wallet files, browser data, and password manager databases. This campaign exploits the popularity of AI tools by using them as lures for malicious activities. Cybercriminals have been observed changing social media page names to those of popular AI tools and using paid ads to boost their malicious posts. Victims are tricked into downloading software that allows attackers to remotely control their devices, leading to data and credential theft. ## Additional Analysis Threat actors frequently capitalize on current trends and events to enhance the credibility of their phishing scams, and the recent surge in interest around AI is no exception. By leveraging the excitement surrounding new AI technologies, cybercriminals create convincing phishing sites and promotional materials that mimic legitimate AI platforms. These scams often employ sophisticated social engineering tactics, including the use of compromised social media accounts, to distribute malware under the guise of AI applications. Security researchers at [Cyble Research and Intelligence Labs](https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/) have observed cybercriminals using branding for OpenAI\'s Sora, to create convincing phishing sites promoted through compromised social media accounts. This strategy not only increases the perceived legitimacy of their malicious campaigns but also exploits the public\'s eagerness to engage with cutting-edge technologies, thereby maximizing the reach and impact of their attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](http | Threat Ransomware Spam Malware Tool Prediction | ★★★ | |
|
2024-08-02 19:20:49 | L'APT41 de la Chine cible le Taiwan Research Institute for Cyber Espionage China\\'s APT41 Targets Taiwan Research Institute for Cyber Espionage (lien direct) |
L'acteur de menace chinois parrainé par l'État a eu accès à trois systèmes et a volé au moins certaines données de recherche sur l'informatique et les technologies connexes.
The state-sponsored Chinese threat actor gained access to three systems and stole at least some research data around computing and related technologies. |
Threat | APT 41 | ★★★ |
|
2024-08-02 19:00:46 | StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms (lien direct) | ## Instantané
À la mi-2023, les chercheurs de volexité ont détecté plusieurs incidents où Stormbamboo, également connu sous le nom de panda évasif, a utilisé l'empoisonnement du DNS pour compromettre les systèmes au niveau du FAI.
## Description
Cette attaque a permis à Stormbamboo de manipuler les réponses DNS et de mécanismes de mise à jour des logiciels cibles pour cibler pour installer subrepticement des logiciels malveillants sur MacOS et Windows Systems.Les logiciels malveillants clés déployés comprenaient de nouvelles variantes du malware MACMA, montrant une convergence avec la famille de logiciels malveillants Gimmick.Les attaquants ont également utilisé une extension de navigateur malveillant, Reloadext, pour exfiltrer les données par e-mail des machines victimes.Une analyse a révélé que le vecteur d'infection était l'empoisonnement du DNS au niveau du FAI, redirigeant les demandes de mise à jour du logiciel aux serveurs contrôlés par attaquant.Cette méthode d'attaque a exploité les vulnérabilités dans les mécanismes de mise à jour qui ne validaient pas correctement les signatures numériques, similaires aux attaques précédentes attribuées à DriftingBamboo.Volexity a confirmé cette méthode dans un scénario du monde réel, mettant en évidence la nature sophistiquée et persistante des opérations de Stormbamboo \\.
## Détections / requêtes de chasse
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants:
- * [Backdoor: macOS / macma] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:macos/macma) *
## Les références
[Stormbamboo compromet le FAI pour abuser des mécanismes de mise à jour des logiciels peu sûrs] (https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-at-abuse-insecure-software-upmechanisms/).Volexité (consulté en 2024-08-02)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot In mid-2023, researchers at Volexity detected multiple incidents where StormBamboo, also known as Evasive Panda, used DNS poisoning to compromise systems at the ISP level. ## Description This attack allowed StormBamboo to manipulate DNS responses and target insecure software update mechanisms to surreptitiously install malware on macOS and Windows systems. Key malware deployed included new variants of the MACMA malware, showing a convergence with the GIMMICK malware family. The attackers also utilized a malicious browser extension, RELOADEXT, to exfiltrate email data from victim machines. An analysis revealed that the infection vector was DNS poisoning at the ISP level, redirecting software update requests to attacker-controlled servers. This attack method exploited vulnerabilities in update mechanisms that did not properly validate digital signatures, similar to previous attacks attributed to DriftingBamboo. Volexity confirmed this method in a real-world scenario, highlighting the sophisticated and persistent nature of StormBamboo\'s operations. ## Detections/Hunting Queries **Microsoft Defender Antivirus** Microsoft Defender Antivirus detects the following threat components as malware: - *[Backdoor:MacOS/Macma](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MacOS/Macma)* ## References [StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms](https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/). Volexity (accessed 2024-08-02) ## Copyright **© Microsoft 2024**. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibit |
Threat Malware Vulnerability | ★★★★ | |
|
2024-08-02 17:13:44 | Mise à jour de la recherche: les acteurs de la menace derrière la campagne Dev # Popper se sont réoutillants et continuent de cibler les développeurs de logiciels via l'ingénierie sociale Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering (lien direct) |
#### Géolocations ciblées - Corée - Amérique du Nord - Moyen-Orient - L'Europe de l'Est - Europe du Nord - Europe du Sud - Europe de l'Ouest #### Industries ciblées - Informatique - Produits informatiques et services ## Instantané Les chercheurs de Securonix ont découvert une campagne de [Dev # Popper] (https://security.microsoft.com/intel-explorer/articles/7309c) par des acteurs de la menace nord-coréenne, ciblant les développeurs de logiciels par le biais de techniques avancées d'ingénierie sociale. ## Description La campagne est répandue et a eu un impact sur les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient.De plus, la campagne a élargi son pool de victimes pour cibler les utilisateurs de Windows, Linux et MacOS.L'attaque est lancée par de fausses entretiens d'embauche, où les acteurs de la menace présentent à la personne interrogée un package de fichiers zip contenant des logiciels malveillants. Ce malware utilise un code JavaScript fortement obscurci, C2 Communications, Téléchargements de charge utile et exécution Python, avec de nouvelles fonctionnalités de persistance à l'aide de AnyDesk RMM.Le logiciel malveillant basé sur Python comprend des capacités de vol de données sensibles, une prise en charge du système multi-opératoires, une obscurité améliorée et un codage, un réseau, une exécution de commande distante, une exfiltration de données, une journalisation du presse-papiers et des casques de touche et une fonctionnalité FTP étendue.La campagne implique également l'abus des tactiques d'ingénierie sociale et l'extraction des références stockées et des cookies de session de divers navigateurs. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste R opportunisteLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsof | Threat Ransomware Malware Tool | ★★★ | |
 |
2024-08-02 16:47:03 | Les nouveaux cahiers Jupyter DDOS Panamorfi exploits New Panamorfi DDoS Attack Exploits Misconfigured Jupyter Notebooks (lien direct) |
& # 8220; Panamorfi, & # 8221;Une nouvelle attaque DDOS, exploite Discord, Minecraft et Jupyter Notebooks.Les chercheurs en cybersécurité préviennent cette menace ciblant & # 8230;
“Panamorfi,” a new DDoS attack, exploits Discord, Minecraft, and Jupyter Notebooks. Cybersecurity researchers warn of this threat targeting… |
Threat | ★★★ | |
|
2024-08-02 15:33:50 | La campagne de force brute liée à la Russie cible l'UE via l'infrastructure Microsoft Russia-Linked Brute-Force Campaign Targets EU via Microsoft Infrastructure (lien direct) |
Une enquête récente de Heimdal révèle que l'UE fait face à une augmentation des cyberattaques par force brute sur les réseaux d'entreprise et institutionnels, provenant principalement de la Russie.
Ces attaquants exploitent l'infrastructure de Microsoft, en particulier en Belgique et aux Pays-Bas, pour éviter la détection.
-
rapports spéciaux
A recent investigation by Heimdal reveals that the EU is facing a surge in brute force cyber-attacks on corporate and institutional networks, primarily originating from Russia. These attackers exploit Microsoft infrastructure, particularly in Belgium and the Netherlands, to avoid detection. - Special Reports |
Threat | ★★★ | |
 |
2024-08-02 14:44:13 | Briser l'économie de la confiance: comment les bustes affectent les gangs de logiciels malveillants Breaking the economy of trust: How busts affect malware gangs (lien direct) |
Il est difficile de retrouver les individus, alors pourquoi ne pas perturber le marché souterrain lui-même? Fonction Certains des ransomwares les plus notoires du monde \\Les opérateurs de logiciels malveillants en tant que service (RAAS / MAAS) ont fermé l'atelier au cours des 12 derniers mois grâce aux efforts internationaux de l'application des lois, mais simplement parce que les noms de ménages comme Conti, Lockbit et Alphv / Blackcat sont sur les cordes, il ne fait pas\\ 'ne signifie pas que nous sommes exempts de la menace des logiciels malveillants de marchandises.…
It\'s hard to track down individuals, so why not disrupt the underground market itself? Feature Some of the world\'s most notorious ransomware and malware-as-a-service (RaaS/MaaS) operators have shut up shop in the past 12 months thanks to international law enforcement efforts, but just because household names like Conti, LockBit, and ALPHV/BlackCat are on the ropes, it doesn\'t mean we\'re free from the threat of commodity malware.… |
Threat Ransomware Malware Legislation | ★★★ | |
|
2024-08-02 09:19:09 | Au lendemain de la panne Crowdsstrike, les défis du maintien de la qualité des logiciels à grande échelle. In the aftermath of the CrowdStrike outage, the challenges of maintaining software quality at scale. (lien direct) |
La situation Crowdsstrike rappelle que la fourniture de la qualité des logiciels à grande échelle est incroyablement difficile.Bien qu'il soit facile d'empiler les critiques, l'industrie de la sécurité et ses clients devraient saisir cette occasion pour réfléchir à nos propres pratiques et examiner nos modèles de menace pour s'assurer que lorsque des choses comme celle-ci se produisent à l'avenir & # 8211; et ilsWill & # 8211; Nous avons en place des stratégies de prévention et de résilience pour atténuer l'impact.
-
opinion
The CrowdStrike situation is a reminder that delivering software quality at scale is incredibly difficult. While it\'s easy to pile on the criticism, the security industry and its customers should take this opportunity to reflect on our own practices and review our threat models to ensure that when things like this happen in the future–and they will–we have prevention and resilience strategies in place to mitigate the impact. - Opinion |
Threat | ★★★ |
To see everything:
Our RSS (filtrered)
