What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-27 20:01:00 | Le botnet P2Pinfect basé sur la rouille évolue avec des charges utiles de mineur et de ransomwares Rust-Based P2PInfect Botnet Evolves with Miner and Ransomware Payloads (lien direct) |
Le botnet malware pair-to-peer connu sous le nom de p2pinfect a été trouvé ciblant les serveurs redis mal configurés avec des mineurs de ransomware et de crypto-monnaie.
Le développement marque la transition de la menace de ce qui semblait être un botnet dormant avec des motifs peu clairs d'une opération financièrement motivée.
"Avec ses dernières mises à jour du mineur crypto, de la charge utile des ransomwares et des éléments Rootkit, il démontre
The peer-to-peer malware botnet known as P2PInfect has been found targeting misconfigured Redis servers with ransomware and cryptocurrency miners. The development marks the threat\'s transition from what appeared to be a dormant botnet with unclear motives to a financially motivated operation. "With its latest updates to the crypto miner, ransomware payload, and rootkit elements, it demonstrates |
Ransomware Malware Threat | ||
 |
2024-06-27 17:17:13 | P2pinfect malware évolue, ajoute des capacités de ransomware et de cryptomiminage P2Pinfect Malware Evolves, Adds Ransomware and Cryptomining Capabilities (lien direct) |
## Snapshot Cado Security researchers report new versions of rust-based malware P2Pinfect. ## Description The malware initially spread via Redis and a limited SSH spreader, with no clear objective other than spreading. P2Pinfect gains initial access by exploiting the replication features in Redis, turning discovered open Redis nodes into follower nodes of the attacker server. It also abuses Redis config commands to write a cron job to the cron directory. The main payload of P2Pinfect is a worm that scans the internet for more servers to infect and features a basic SSH password sprayer. The botnet, a notable feature of P2Pinfect, acts as a peer-to-peer network for pushing out updated binaries. The main binary of P2Pinfect has undergone a rewrite, now entirely written using tokio, an async framework for rust, and packed with UPX. Additionally, the malware now drops a secondary binary at /tmp/bash for health checking. The miner payload embedded in P2Pinfect becomes active after approximately five minutes, and the ransomware payload, called rsagen, is downloaded and executed upon joining the botnet. The ransomware encrypts files and appends .encrypted to the end of the file name, with a ransom note titled "Your data has been locked!.txt". The attacker has made around 71 XMR, equivalent to roughly £9,660, but the mining pool only shows 1 worker active at 22 KH/s, suggesting another wallet address may be in use. The command to start the ransomware was issued directly by the malware operator, and the download server may be an attacker-controlled server used to host additional payloads. P2Pinfect also includes a usermode rootkit that hides specific information and bypasses checks when a specific environment variable is set. There is speculation that P2Pinfect may be a botnet for hire, as evidenced by the delivery of the ransomware payload from a fixed URL and the separation of the miner and ransomware wallet addresses. However, the distribution of rsagen could also be evidence of initial access brokerage. Overall, P2Pinfect continues to evolve with updated payloads and defensive features, demonstrating the malware author\'s ongoing efforts to profit from illicit access and further spread the network. The ransomware\'s impact is limited due to its initial access vector being Redis, which has restricted permissions and limited data storage capabilities. ## Recommendations # Recommendations to protect against RaaS Microsoft recommends the following mitigations to reduce the impact of RaaS threats. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) , so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Microsoft Defender customers | Ransomware Malware Tool Threat Cloud | ||
 |
2024-06-27 16:52:14 | Bibliothèque de polyfill injectée avec des logiciels malveillants impactant 100 000 sites Web Polyfill Library Injected with Malware Impacting 100,000 Websites (lien direct) |
Une bibliothèque JavaScript de confiance, Polyfill.io, est devenue un système de livraison de logiciels malveillants.Les experts en sécurité ont exposé l'attaque et les conséquences potentielles pour les visiteurs du site Web.Découvrez comment cette attaque de la chaîne d'approvisionnement met en évidence l'importance de la sécurité du développement Web et quelles étapes que les développeurs peuvent prendre pour protéger les utilisateurs.
A trusted JavaScript library, Polyfill.io, became a malware delivery system. Security experts exposed the attack and the potential consequences for website visitors. Learn how this supply chain attack highlights the importance of web development security and what steps developers can take to protect users. |
Malware | ||
 |
2024-06-27 14:00:00 | Le renouveau mondial du hacktivisme nécessite une vigilance accrue des défenseurs Global Revival of Hacktivism Requires Increased Vigilance from Defenders (lien direct) |
Written by: Daniel Kapellmann Zafra, Alden Wahlstrom, James Sadowski, Josh Palatucci, Davyn Baumann, Jose Nazario
Since early 2022, Mandiant has observed the revival and intensification of threat activity from actors leveraging hacktivist tactics and techniques. This comes decades after hacktivism first emerged as a form of online activism and several years since many defenders last considered hacktivism to be a serious threat. However, this new generation of hacktivism has grown to encompass a more complex and often impactful fusion of tactics different actors leverage for their specific objectives. Today\'s hacktivists exhibit increased capabilities in both intrusion and information operations demonstrated by a range of activities such as executing massive disruptive attacks, compromising networks to leak information, conducting information operations, and even tampering with physical world processes. They have leveraged their skills to gain notoriety and reputation, promote political ideologies, and actively support the strategic interests of nation-states. The anonymity provided by hacktivist personas coupled with the range of objectives supported by hacktivist tactics have made them a top choice for both state and non-state actors seeking to exert influence through the cyber domain. This blog post presents Mandiant\'s analysis of the hacktivism threat landscape, and provides analytical tools to understand and assess the level of risk posed by these groups. Based on years of experience tracking hacktivist actors, their claims, and attacks, our insight is meant to help organizations understand and prioritize meaningful threat activity against their own networks and equities. 
Figure 1: Sample of imagery used by hacktivists to promote their threat activity
Proactive Monitoring of Hacktivist Threats Necessary for Defenders to Anticipate Cyberattacks
Mandiant considers activity to be hacktivism when actors claim to or conduct attacks with the publicly stated intent of engaging in political or social activism. The large scale of hacktivism\'s resurgence presents a critical challenge to defenders who need to proactively sift through the noise and assess the risk posed by a multitude of actors with ranging degrees of sophistication. While in many cases hacktivist activity represents a marginal threat, in the most significant hacktivist operations Mandiant has tracked, threat actors have deliberately layered multiple tactics in hybrid operations in such a way that the effect of each component magnified the others. In some cases, hacktivist tactics have been deliberately employed by nation-state actors to support hybrid operations that can seriously harm victims. As the volume and complexity of activity grows and new actors leverage hacktivist tactics, defenders must determine how to filter, assess, and neutralize a range of novel and evolving threats. The proactive moni |
Malware Tool Threat Legislation Industrial Cloud Commercial | APT 38 | |
|
2024-06-27 12:00:04 | Infinidat introduit la protection contre le cyber stockage pour réduire les menaces de ransomware et de logiciels malveillants Infinidat Introduces Cyber Storage Protection to Reduce Ransomware and Malware Threats (lien direct) |
Waltham, Massachusetts, 27 juin 2024, CyberNewswire
Waltham, Massachusetts, 27th June 2024, CyberNewsWire |
Ransomware Malware | ||
 |
2024-06-27 10:39:45 | LightSpy (lien direct) | > également connu sous le nom de heur: trojan-spy.multi.lightriver.a
Type:
Menace hybride
Plateforme:
Mac OS 9
Dernière mise à jour:
27/06/24 17:15 PM
Niveau de menace:
Medium
Description
LightSpy est une menace hybride qui compromet un dispositif Intel (ou Apple Silicon avec Rosetta 2.Ce malware a les capacités à mettre à niveau au fil du temps et inclure des fonctionnalités telles que l'espionnage de l'utilisateur et le vol d'informations à l'utilisateur.
Retrait des menaces légères
MacScan peut détecter et éliminer la menace hybride léger de votre système, ainsi que la protection contre d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace.
télécharger macscan
>also known as HEUR:Trojan-Spy.Multi.Lightriver.a Type: Hybrid Threat Platform: Mac OS 9 Last updated: 06/27/24 5:15 pm Threat Level: Medium Description LightSpy is a hybrid threat that compromises a macOS-enabled Intel (or Apple Silicon with Rosetta 2 enabled) device. This malware has the capabilities to be upgraded over time and include features such as spying on the user and stealing information from the user. LightSpy Threat Removal MacScan can detect and remove LightSpy Hybrid Threat from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan |
Malware Threat | ||
 |
2024-06-27 10:00:00 | Analyse du vidage de mémoire: Utilisation de la chaux pour l'acquisition et la volatilité pour la configuration initiale Memory Dump Analysis: Using LiME for Acquisition and Volatility for Initial Setup (lien direct) |
Le contenu de ce post est uniquement la responsabilité de l'auteur. & nbsp;LevelBlue n'adopte ni n'approuve aucune des vues, positions ou informations fournies par l'auteur dans cet article. & Nbsp;
L'analyse du vidage de mémoire est un aspect crucial de la criminalistique numérique, offrant un instantané de la mémoire volatile d'un système à un moment spécifique.Cela peut révéler des preuves critiques telles que les processus en cours d'exécution, les connexions de réseau ouvertes et l'exécution de logiciels malveillants en mémoire que l'analyse du disque pourrait manquer.Dans un précédent blog , nous avons appris à utiliser le FMEM pour l'acquisition de la mémoire volatile.Dans ce blog, nous explorerons comment créer des vidages de mémoire à l'aide de chaux (extracteur de mémoire Linux) et comment commencer par notre processus d'analyse en utilisant le cadre de volatilité dans nos prochains blogs.
Qu'est-ce que la chaux?
Un module de noyau chargé (LKM) qui permet une acquisition de mémoire volatile à partir de périphériques basés sur Linux et Linux, tels que Android.Cela rend la chaux unique car c'est le premier outil qui permet des captures de mémoire complète sur les appareils Android.Il minimise également son interaction entre les processus d'espace utilisateur et du noyau pendant l'acquisition, ce qui lui permet de produire des captures de mémoire qui sont plus judiciques que celles d'autres outils conçus pour l'acquisition de mémoire Linux.
Pourquoi l'analyse du vidage de mémoire est-elle importante?
L'analyse du vidage de mémoire est vitale en médecine légale numérique pour plusieurs raisons:
Découvrir les données cachées: RAM contient des données transitoires non stockées sur le disque, telles que les clés de chiffrement et les logiciels malveillants en mémoire.
Comprendre l'état du système: Les vidages de mémoire fournissent un snapot des processus actifs, des fichiers ouverts et des connexions réseau.
détection d'activité malveillante: L'analyse peut révéler la présence et le comportement des logiciels malveillants qui fonctionnent principalement en mémoire.
Installation et configuration de chaux
Pour utiliser la chaux, vous devez le construire à partir de la source.Suivez ces étapes pour installer et configurer la chaux:
Clone Le référentiel de chaux: Pour clone dans le référentiel de chaux, vous pouvez utiliser Git Clone:
Git Clone https://github.com/504ensicslabs/lime.git
Assurez-vous que les en-têtes de noyau Linux et les outils de construction sont installés.
Pour installer des éléments essentiels de construction, vous pouvez utiliser: sudo apt installer build-essentiel
maintenant, accédez au sous-répertoire SRC sous Lime Directory:
cd chaux / src
compiler le module de chaux:
Maintenant, utilisez Make pour compiler le module de chaux:
faire
Chargez le module:
Utilisez INSMOD pour charger le module dans le noyau.
|
Malware Tool Mobile | ||
 |
2024-06-27 05:18:51 | CloudFlare: nous n'avons jamais autorisé PolyFill.io à utiliser notre nom Cloudflare: We never authorized polyfill.io to use our name (lien direct) |
Cloudflare, un fournisseur de responsable des services de réseau de livraison de contenu (CDN), la sécurité du cloud et la protection DDOS, a averti qu'il n'avait pas autorisé l'utilisation de son nom ou de son logo sur le site Web Polyfill.io, qui a récemment été capturé en injectant des logiciels malveillants plusà 100 000 sites Web dans une attaque de chaîne d'approvisionnement importante.[...]
Cloudflare, a lead provider of content delivery network (CDN) services, cloud security, and DDoS protection has warned that it has not authorized the use of its name or logo on the Polyfill.io website, which has recently been caught injecting malware on more than 100,000 websites in a significant supply chain attack. [...] |
Malware Cloud | ||
 |
2024-06-27 01:46:12 | Les télécommunications coréens auraient infecté ses utilisateurs P2P par malware Korean telco allegedly infected its P2P users with malware (lien direct) |
kt a peut-être eu une équipe entière dédiée à l'infecticule de ses propres clients Un média sud-coréen a allégué que les télécommunications locales KT ont délibérément infecté certains clients malveillants en raison de leur utilisation excessive de pair-to-Peer (P2P) Téléchargement des outils.… | Malware Tool | ||
|
2024-06-27 01:30:31 | UAC-0184 déploie le rat Xworm via une charge de touche DLL basée sur Python en Ukraine UAC-0184 Deploys XWorm RAT via Python-Based DLL Sideloading in Ukraine (lien direct) |
#### Géolocations ciblées - Ukraine ## Instantané Cyble Research and Intelligence Labs (CRIL) a identifié une campagne de logiciels malveillants soutenue par le groupe d'acteurs de menace UAC-0184 ciblant l'Ukraine avec le rat Xworm. ## Description La dernière campagne de l'UAC-0184 \\ exploite des fichiers LNK malveillants, probablement diffusés par des e-mails de phishing ou de spam avec des pièces jointes à zip.Lorsqu'il est exécuté, le fichier LNK déclenche un script PowerShell qui télécharge un fichier zip contenant des composants Python légitimes et malveillants, y compris une charge utile cryptée.Cette campagne marque un passage de leur utilisation précédente du Remcos Rat au rat Xworm.Le processus d'infection utilise une charge de touche DLL, où un exécutable Python légitime est utilisé aux côtés d'une DLL Python malveillante, permettant à la charge utile finale, Xworm Rat, d'être exécutée sans détection.Le rat Xworm tente ensuite de se connecter à un serveur de commande et de contrôle (C & C) pour les activités d'accès à distance, bien qu'au moment de l'analyse, le serveur était inactif. Le déploiement du rat Xworm indique que l'objectif principal du groupe \\ est d'établir un accès à distance aux systèmes compromis.Les opérations de l'UAC-0184 \\ démontrent un effort soutenu pour infiltrer les cibles ukrainiennes à des fins stratégiques, reflétant une évolution continue de leurs tactiques pour échapper aux mesures de sécurité et assurer une livraison réussie de la charge utile.L'UAC-0184 a des antécédents de ciblage des entités ukrainiennes, utilisant auparavant des techniques telles que les fichiers d'image stéganographiques et le chargeur IDAT pour la distribution de charge utile. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Trojan: Win32 / Coinminder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/coinminer& threattid=-2147294768) - [Trojan: MSIL / COINMINER] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-Description? Name = Trojandownloader: MSIL / COINMINER & menaceID = -2147272065) - [Trojan: Win32 / Killav] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=trojan:win32/killav&thereatid=6492) - [Trojan: MSIL / XWORM] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-senceClopedia-Description? Name = Trojan: MSIL / XWORM.CXR! MTB & AMP; NOFENID = -2147123843) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-secdClopedia-Description? Name = Trojan: win32 / winlnk & menaceID = -2147239159) ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents e | Spam Malware Threat | ||
|
2024-06-27 00:25:52 | Nouveau logiciel malveillant innosetup créé à chaque tentative de téléchargement New InnoSetup Malware Created Upon Each Download Attempt (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert la distribution d'un nouveau type de logiciel malveillant déguisé carfissures et outils commerciaux.Contrairement aux logiciels malveillants antérieurs qui ont effectué des comportements malveillants immédiatement après avoir été exécutés, ce malware affiche une interface utilisateur d'installation et des comportements malveillants sont exécutés lors de la cliquetis sur les boutons pendant le processus d'installation.Il est considéré que lorsque l'utilisateur fait une demande de téléchargement, un logiciel malveillant est instantanément créé pour donner une réponse au lieu de distribuer des logiciels malveillants préfabriqués.Cela signifie que ...
AhnLab SEcurity intelligence Center (ASEC) has discovered the distribution of a new type of malware that is disguised as cracks and commercial tools. Unlike past malware which performed malicious behaviors immediately upon being executed, this malware displays an installer UI and malicious behaviors are executed upon clicking buttons during the installation process. It is deemed that when the user makes a download request, a malware is instantly created to give a reply instead of distributing pre-made malware. This means that... |
Malware Tool Commercial | ||
|
2024-06-27 00:06:52 | DBATloader distribué via des fichiers CMD DBatLoader Distributed via CMD Files (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les logiciels malveillants étaient distribués via des fichiers CMD et l'ont identifié comme unDownloader appelé dbatloader (Modiloader) qui avait été distribué avant les e-mails de phishing au format de fichier RAR contenant un fichier EXE.Le fichier contenait & # 8220; ff, fe & # 8221;Ce qui signifie & # 8220; utf-16Le & # 8221;, donc lorsque le code interne a été ouvert avec un éditeur de texte, le contenu du code n'a pas été affiché correctement.Cependant, si & # 8220; FF, FE & # 8221;est supprimé ou le fichier est converti en & # 8221; utf-8 & # 8243;, le ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered malware being distributed through CMD files and identified it as a downloader called DBatLoader (ModiLoader) that had been distributed before via phishing emails in RAR file format containing an EXE file. The file contained “FF, FE” which means “UTF-16LE”, so when the internal code was opened with a text editor, the content of the code was not displayed correctly. However, if “FF, FE” is deleted or the file is converted to”UTF-8″, the... |
Malware | ||
 |
2024-06-26 21:23:05 | Dangereuse Ai Savel: \\ 'Skeleton Key \\' déverrouille le contenu malveillant Dangerous AI Workaround: \\'Skeleton Key\\' Unlocks Malicious Content (lien direct) |
Les modèles Microsoft, Openai, Google, Meta Genai pourraient être convaincus d'abandonner leurs garde-corps, d'ouvrir la porte aux chatbots donnant des réponses sans entraves sur la construction de bombes, la création de logiciels malveillants et bien plus encore.
Microsoft, OpenAI, Google, Meta genAI models could be convinced to ditch their guardrails, opening the door to chatbots giving unfettered answers on building bombs, creating malware, and much more. |
Malware | ||
|
2024-06-26 20:06:12 | Les logiciels malveillants XCTDOOOR étant utilisés pour attaquer les entreprises nationales Xctdoor malware being used to attack domestic companies (lien direct) |
#### Géolocations ciblées
- Corée
#### Industries ciblées
- Base industrielle de la défense
- Fabrication critique
## Instantané
Ahnlab Security Intelligence Center (ASEC) a identifié une attaque récente ciblant les sociétés coréennes en utilisant le malware XCTDOOOR.Les attaquants ont initialement infiltré des systèmes en ciblant le serveur de mise à jour d'une entreprise spécifique de planification des ressources d'entreprise (ERP), affectant les sociétés de défense et de fabrication.
## Description
Dans cette attaque, les acteurs de la menace ont ciblé le serveur de mise à jour d'un système ERP spécifique pour déployer le logiciel malveillant de porte dérobée XCTDOOOR.Ce logiciel malveillant, développé dans le langage Go, utilise le processus RegSVR32.exe pour exécuter des fichiers DLL et s'injecter dans des processus système comme taskhost.exe et explorateur.exe.Il réalise la persistance en se copie sur un chemin spécifique et en créant un raccourci dans le dossier de démarrage.XCTDOOR, une fois opérationnel, communique avec un serveur de commande et de contrôle (C & C) utilisant le protocole HTTP, cryptant sa communication avec les algorithmes Mersenne Twister et Base64.Il peut exécuter les commandes reçues du serveur C&C, la capture de captures d'écran, les touches de journal et le volet du presse-papiers et des informations supplémentaires.
L'attaque impliquait également le malware de l'injecteur XCLoader, qui est responsable de l'injection de la charge utile XCTDOOOR dans les processus système.Xcloader s'est avéré être développé dans les langues C et GO et a été vu dans des attaques récentes contre les serveurs Web de Windows IIS, exploitant des vulnérabilités ou des erreurs de configuration.Les journaux d'attaque ont montré l'exécution des commandes pour collecter des informations système et éventuellement installer des shells Web, indiquant un compromis approfondi des systèmes ciblés.De plus, l'utilisation de Ngrok - un programme de tunneling - suggère aux attaquants destinés à maintenir un accès à distance pour une nouvelle exploitation.
AhnLabs n'attribue pas l'attaque, mais rapporte que les TTP ressemblent à l'activité antérieure par le groupe de menaces sponorées de l'État nord-coréenNdariel, suivi par Microsoft comme [Onyx Sleet] (https://ssecurity.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bAD8833C0).
## Détections / requêtes de chasse
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- [Trojan: Win32 / Tiggre] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/tiggre&theretid=-2147242786)
## Les références
[Xctdoor malware utilisés pour attaquer les sociétés nationales] (https://asec.ahnlab.com/ko/67034/).Ahnlab Security Intelligence Center (ASEC) (consulté en 2024-06-25)
#### Targeted Geolocations - Korea #### Targeted Industries - Defense Industrial Base - Critical Manufacturing ## Snapshot AhnLab Security Intelligence Center (ASEC) identified a recent attack targeting Korean companies using the Xctdoor malware. The attackers initially infiltrated systems by targeting the update server of a specific Korean enterprise resource planning (ERP) company, affecting defense and manufacturing companies. ## Description In this attack, the threat actors targeted the update server of a specific ERP system to deploy the Xctdoor backdoor malware. This malware, developed in the Go language, uses the Regsvr32.exe process to execute DLL files and inject itself into system processes like taskhost.exe and explorer.exe. It achieves persistence by copying itself to a specific path and creating a shortcut in the startup folder. Xctdoor, once operational, communicates with a command and control (C&C) server using |
Malware Vulnerability Threat Industrial | ||
|
2024-06-26 19:07:50 | (Déjà vu) Fickle Stealer Distributed via Multiple Attack Chain (lien direct) | ## Instantané Fortiguard Labs Menace Research a identifié un voleur basé sur la rouille appelée Sceneer Fickle, observé en mai 2024. ## Description Ce voleur est distribué à l'aide de diverses méthodes telles que le dropper VBA, le téléchargeur VBA, le téléchargeur de liens et le téléchargeur exécutable.La chaîne d'attaque est divisée en trois étapes: livraison, travail préparatoire et charge utile des emballeurs et du voleur. Le travail préparatoire consiste à contourner le contrôle des comptes d'utilisateurs (UAC) et à exécuter le voleur capricieux, à créer une nouvelle tâche pour exécuter le moteur.PS1 après 15 minutes, et à envoyer des messages au bot télégramme de l'attaquant \\.De plus, Fickle Stealer est protégé par un packer déguisé en exécutable légal, ce qui rend difficile la détection en utilisant certaines règles de détection.Le malware laisse tomber une copie de lui-même dans le dossier temporaire avec un nom aléatoire, exécute la copie et termine le voleur en cours d'exécution.Il communique ensuite avec le serveur pour envoyer des données volées, y compris les informations de victime, les applications cibles et les mots clés et le contenu de fichiers spécifique au format JSON.Le serveur répond par une liste cible cryptée à l'aide d'un algorithme RC4, et le malware traite diverses cibles telles que les portefeuilles crypto, les plugins, les extensions de fichiers, les chemins partiels, les applications, les navigateurs de moteur Gecko et les navigateurs à base de chrome.Enfin, le malware envoie une capture d'écran au serveur et se supprime.Fickle Stealer est conçu pour recevoir une liste cible du serveur, le rendant plus flexible, et est observé comme ayant mis à jour des variantes, indiquant un développement continu. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [delete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azur | Ransomware Spam Malware Tool Threat | ||
|
2024-06-26 18:55:21 | NOUVEAU «Snowblind» Android Malware vole les connexions, contourne les fonctionnalités de sécurité New “Snowblind” Android Malware Steals Logins, Bypasses Security Features (lien direct) |
Le nouveau logiciel malveillant Android "Snowblind" contourne la sécurité!Il exploite SecComp de Linux \\ pour lancer des attaques évolutives et voler vos données.Téléchargez en toute sécurité, mettez à jour votre appareil et envisagez la sécurité mobile pour rester protégé.
New Android Malware "Snowblind" bypasses security! It exploits Linux\'s seccomp to launch scalable attacks and steal your data. Download safely, update your device, and consider mobile security to stay protected. |
Malware Mobile | ||
 |
2024-06-26 15:30:00 | Nouveau que les logiciels malveillants bancaires ciblent les clients en Asie du Sud-Est Novel Banking Malware Targets Customers in Southeast Asia (lien direct) |
Une nouvelle souche malveillante, Snowblind, contourne les mesures de sécurité dans les applications bancaires sur Android, entraînant des pertes financières et une fraude, selon Promon
A novel malware strain, Snowblind, bypasses security measures in banking apps on Android, leading to financial losses and fraud, according to Promon |
Malware Mobile | ||
|
2024-06-26 14:07:00 | Nouvelle carte de crédit Skimmer cible les sites WordPress, Magento et OpenCart New Credit Card Skimmer Targets WordPress, Magento, and OpenCart Sites (lien direct) |
Les plates-formes de Systèmes de gestion de contenu (CMS) comme WordPress, Magento et OpenCart ont été ciblées par un nouveau skimmer Web de carte de crédit appelée Caesar Cipher Skimmer.
Un écumoire Web fait référence à des logiciels malveillants qui sont injectés dans des sites de commerce électronique dans le but de voler des informations financières et de paiement. & NBSP;
Selon Sucuri, la dernière campagne consiste à apporter des modifications malveillantes
Multiple content management system (CMS) platforms like WordPress, Magento, and OpenCart have been targeted by a new credit card web skimmer called Caesar Cipher Skimmer. A web skimmer refers to malware that is injected into e-commerce sites with the goal of stealing financial and payment information. According to Sucuri, the latest campaign entails making malicious modifications to the |
Malware | ||
|
2024-06-26 12:30:00 | Les cyberattaquants se tournent vers les services cloud pour déployer des logiciels malveillants Cyber Attackers Turn to Cloud Services to Deploy Malware (lien direct) |
Un nombre croissant d'opérateurs de logiciels malveillants se sont tournés vers des serveurs de commande et de contrôle basés sur le cloud pour déployer des campagnes malveillantes, ont trouvé les chercheurs de Fortinet
A growing number of malware operators have turned to cloud-based command and control servers to deploy malicious campaigns, Fortinet researchers found |
Malware Cloud | ||
|
2024-06-26 11:21:48 | P2pinfect botnet cible désormais les serveurs avec ransomware, cryptominer P2Pinfect Botnet Now Targets Servers with Ransomware, Cryptominer (lien direct) |
Le botnet p2pinfect, une fois dormant, attaque désormais des serveurs avec des ransomwares et des logiciels malveillants de cryptomine.Padrez vos systèmes pour éviter le chiffrement des données et la perte financière.
The P2Pinfect botnet, once dormant, is now attacking servers with ransomware and cryptomining malware. Patch your systems to avoid data encryption and financial loss. |
Ransomware Malware | ||
 |
2024-06-26 10:38:18 | Les attaques de la chaîne d'approvisionnement en polyfill frappe plus de 100 000 sites Web Polyfill Supply Chain Attack Hits Over 100k Websites (lien direct) |
> Plus de 100 000 sites Web sont affectés par une chaîne d'approvisionnement en injection de logiciels malveillants via un domaine polyfill.
>More than 100,000 websites are affected by a supply chain attack injecting malware via a Polyfill domain. |
Malware | ||
|
2024-06-26 09:33:04 | Snowblind malware abuse de la fonction de sécurité Android pour contourner la sécurité Snowblind malware abuses Android security feature to bypass security (lien direct) |
Un nouveau vecteur d'attaque Android à partir d'un morceau de logiciel malveillant suivi car Snowblind abuse d'une fonction de sécurité pour contourner les protections anti-falsificatrices existantes dans les applications qui gèrent les données utilisateur sensibles.[...]
A novel Android attack vector from a piece of malware tracked as Snowblind is abusing a security feature to bypass existing anti-tampering protections in apps that handle sensitive user data. [...] |
Malware Mobile | ||
|
2024-06-25 23:48:13 | Si vous utilisez du code polyfill.io sur votre site & # 8211;Comme 100 000+ sont & # 8211;Retirez-le immédiatement If you\\'re using Polyfill.io code on your site – like 100,000+ are – remove it immediately (lien direct) |
Les scripts deviennent des pages Web malveillantes et infectieuses après le domaine chinois CDN Swallows Le domaine polyfill.io est utilisé pour infecter plus de 100 000 sites Web avec des logiciels malveillants après qu'une organisation chinoise a acheté le domaine plus tôt cette année.…
Scripts turn malicious, infect webpages after Chinese CDN swallows domain The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.… |
Malware | ||
|
2024-06-25 21:14:40 | Resurgence de Strelastealer: suivi d'un voleur d'identification axé sur JavaScript ciblant l'Europe StrelaStealer Resurgence: Tracking a JavaScript-Driven Credential Stealer Targeting Europe (lien direct) |
#### Targeted Geolocations - Poland - Spain - Italy - Germany ## Snapshot The SonicWall Capture Labs threat research team has been monitoring an increase in the spread of StrelaStealer, an information stealer (infostealer) malware that first emerged in 2022. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description In mid-June, there was a notable surge in JavaScript spreading StrelaStealer, which targets Outlook and Thunderbird email credentials. StrelaStealer\'s infection chain remains similar to previous versions but now includes checks to avoid infecting Russian systems. Its targets are primarily in Poland, Spain, Italy, and Germany. The initial infection vector is an obfuscated JavaScript file sent via email in archive files. This file drops a copy in the user\'s directory with a random name and then executes a batch file to check the system language, excluding Russian users by detecting the OSLanguage code "1049". If non-Russian, a base64-encoded PE file is dropped, decoded, and a DLL is created and executed using regsvr32.exe. The DLL\'s obfuscated code decrypts the actual PE file and injects it into the current process. The stealer dynamically loads necessary APIs and checks the keyboard layout to determine the system\'s geographic location. It targets languages such as Spanish, Basque, Polish, Catalan, Italian, and German. The malware starts its stealing functionality with Mozilla Thunderbird, looking for specific files and sending data to a designated IP address. It also targets Outlook by retrieving information from specific registry keys and sending this data to the same IP. ## Additional Analysis OSINT reporting about StrelaStealer indicates that its operators tend to initiate large-scale campaigns targeting organizations in specific geographic regions or countries. Initially, the malware primarily targeted Spanish-speaking users, but has since evolved to target users speaking English and other European languages. According to Palo Alto Network\'s 2024 [report](https://unit42.paloaltonetworks.com/strelastealer-campaign/) on StrelaStealer, the malware\'s main goal, to steal email login data from email clients, has not changed. However, the malware\'s infection chain and packer have been modified to evade detection and make analysis more difficult. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Trojan:JS/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/StrelaStealer!MSR&threatId=-2147061639)* - *[Trojan:Win64/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/StrelaStealer.GPAX!MTB&threatId=-2147056969)* - *[Trojan:Win32/StrelaStealer](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/StrelaStealer.ASS!MTB&threatId=-2147054947)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly a | Ransomware Spam Malware Tool Threat | ||
|
2024-06-25 16:12:00 | Une nouvelle technique d'attaque exploite les fichiers de console de gestion Microsoft New Attack Technique Exploits Microsoft Management Console Files (lien direct) |
Les acteurs de la menace exploitent une nouvelle technique d'attaque à l'état sauvage qui exploite des fichiers de console enregistrés en gestion spéciale (MSC) pour obtenir une exécution complète de code à l'aide de la console de gestion Microsoft (MMC) et d'évader les défenses de sécurité.
Elastic Security Labs a nommé l'approche GrimResource après avoir identifié un artefact ("SCCM-UpDater.MSC") qui a été téléchargé sur le malware Virustotal
Threat actors are exploiting a novel attack technique in the wild that leverages specially crafted management saved console (MSC) files to gain full code execution using Microsoft Management Console (MMC) and evade security defenses. Elastic Security Labs has codenamed the approach GrimResource after identifying an artifact ("sccm-updater.msc") that was uploaded to the VirusTotal malware |
Malware Threat | ||
 |
2024-06-25 15:00:00 | La menace croissante de logiciels malveillants cachés derrière les services cloud The Growing Threat of Malware Concealed Behind Cloud Services (lien direct) |
Les menaces de cybersécurité tirent de plus en plus des services cloud pour stocker, distribuer et établir des serveurs de commandement et de contrôle (C2).Au cours du dernier mois, Fortiguard Labs a suivi des botnets qui ont adopté cette stratégie.Apprendre encore plus.
Cybersecurity threats are increasingly leveraging cloud services to store, distribute, and establish command and control (C2) servers. Over the past month, FortiGuard Labs has been monitoring botnets that have adopted this strategy. Learn more. |
Malware Threat Cloud | ||
 |
2024-06-25 13:08:53 | Cisco Talos détaille diverses cibles de logiciels malveillants de Sugargh 0st, alors que les pirates sneakychef élargissent la portée Cisco Talos details diverse SugarGh0st malware targets, as SneakyChef hackers widen scope (lien direct) |
> Les chercheurs de Cisco Talos ont révélé une campagne en cours de Sneakychef, un acteur de menace nouvellement identifié utilisant Sugargh 0st malware ...
>Cisco Talos researchers have revealed an ongoing campaign by SneakyChef, a newly identified threat actor using SugarGh0st malware... |
Malware Threat | ||
|
2024-06-25 13:02:24 | Les nouvelles variantes de logiciels malveillants Medusa ciblent les utilisateurs d'Android dans sept pays New Medusa malware variants target Android users in seven countries (lien direct) |
Le Troie bancaire Medusa pour Android a réapparu après près d'un an de maintien d'un profil plus bas dans les campagnes ciblant la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie.[...]
The Medusa banking trojan for Android has re-emerged after almost a year of keeping a lower profile in campaigns targeting France, Italy, the United States, Canada, Spain, the United Kingdom, and Turkey. [...] |
Malware Mobile | ||
 |
2024-06-25 13:00:00 | Gérer les menaces d'IA avec la bonne architecture technologique Manage AI threats with the right technology architecture (lien direct) |
> Dans un monde de plus en plus numérique, les entreprises sont continuellement confrontées à la menace des cyberattaques.Les progrès actuels de l'intelligence artificielle (IA) promettent des améliorations significatives dans la détection et la défense contre de telles menaces.Cependant, ce n'est pas un secret que les attaquants utilisent de plus en plus l'IA.Les cyber-criminels exploitent l'IA et l'apprentissage automatique pour optimiser et automatiser les attaques.Les logiciels malveillants dirigés par AI peuvent rapidement [& # 8230;]
>In an increasingly digital world, companies continuously face the threat of cyberattacks. Current advances in artificial intelligence (AI) promise significant improvements in detecting and defending against such threats. However, it is no secret that attackers are increasingly using AI. Cyber criminals leverage AI and machine learning to optimize and automate attacks. AI-driven malware can quickly […] |
Malware Threat | ||
 |
2024-06-25 13:00:00 | CyberheistNews Vol 14 # 26 [tête haute] Fausse de facture Tricky Fausse Attaque de phishing utilise la recherche pour fournir des logiciels malveillants CyberheistNews Vol 14 #26 [Heads Up] Tricky Fake Invoice Phishing Attack Uses Search to Deliver Malware (lien direct) |
|
Malware | ||
|
2024-06-25 11:52:39 | Le casque de réalité virtuelle de méta \\ est vulnérable aux attaques de ransomwares: chercheur Meta\\'s Virtual Reality Headset Vulnerable to Ransomware Attacks: Researcher (lien direct) |
Le chercheur montre comment les pirates peuvent utiliser l'ingénierie sociale pour fournir des ransomwares et d'autres logiciels malveillants à la quête 3 de Meta \\. .
Researcher shows how hackers could use social engineering to deliver ransomware and other malware to Meta\'s Quest 3 VR headset. |
Ransomware Malware | ||
|
2024-06-25 10:00:00 | Le rôle de la cybersécurité dans la construction et la fabrication modernes The Role of Cybersecurity in Modern Construction and Manufacturing (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybersecurity and threat preparedness may be at the forefront of your mind, and you may have protections in place against more common threats. Yet, as these threats continue to evolve, vigilance and adaptation are crucial for construction and manufacturing organizations. Cybercriminals have gotten both more prolific and more creative. 2023 saw a record-breaking spike in cyberattacks, with well over 300 million victims falling prey to data breaches, and the average corporate data breach cost 4.45 million dollars. In an industry where reputation is everything, a single breach could sink your ship in more ways than one. As we proceed, we’ll unpack the many ways that a cyberattack could impact your ability to turn a profit, making you aware of vulnerabilities that exist within your organization’s structure. Then we’ll provide you with practical suggestions to patch these vulnerabilities, insulating you from outside threats and keeping you on track to remain profitable. Computer Vision and Vulnerabilities As you use new technologies to support your existing processes, you must be aware of vulnerabilities that new systems can create. If you’ve looked into leveraging recent tech advancements in your field, you’re probably familiar with computer vision technology. Computer vision technology uses data gathered from physical images, importing them into the digital realm and unlocking a variety of potential benefits. Takeoff software and AI-powered planning systems streamline the project liftoff process by, simplifying cost estimation, identifying and correcting blueprint errors, and even advancing sustainability goals. While these systems can be leveraged to optimize a wide variety of processes, they also shift the balance of project planning from human input to automated computing processes. This in turn puts you more at risk for being a victim of a cyberattack. Malefactors can access automated systems through a wide variety of channels. Whether they break into your network via access to an IoT-connected device that someone misplaced in the workspace, or secret malicious code into the data sources your devices consume to function, increasing your use of technology also increases their windows of opportunity. As these systems increase in scope and importance, leaving windows like these open increases the risk of potentially profitable projects turning belly up. Process Disruption However, cybercriminals don’t need you to use newfangled technology solutions to cause havoc throughout your processes. Cybercriminals already have a tried-and-true playbook that they’ve been using on your competitors for years, and to great effect. Some of the ways cyberthreats can fracture manufacturers’ processes include: ● Ransomware: If a cybercriminal gains access to mission-critical data, they can then lock that data behind a ransomware program. Ransomware holds company d | Ransomware Malware Tool Vulnerability Threat Patching | ||
|
2024-06-25 10:00:00 | Sandbox malware any.run ciblé dans l'attaque de phishing Malware Sandbox Any.Run Targeted in Phishing Attack (lien direct) |
> Les employés du service d'analyse des logiciels malveillants Any.Run ont été récemment ciblés dans une attaque de phishing qui faisait partie d'une campagne BEC.
>Employees of the Any.Run malware analysis service were recently targeted in a phishing attack that was part of a BEC campaign. |
Malware | ||
|
2024-06-25 09:02:00 | Plusieurs plugins WordPress compromis: les pirates créent des comptes d'administration voyous Multiple WordPress Plugins Compromised: Hackers Create Rogue Admin Accounts (lien direct) |
Plusieurs plugins WordPress ont été arrière pour injecter du code malveillant qui permet de créer des comptes d'administrateur voyous dans le but d'effectuer des actions arbitraires.
"Le logiciel malveillant injecté tente de créer un nouveau compte utilisateur administratif, puis renvoie ces détails au serveur contrôlé par l'attaquant", a déclaré le chercheur de la sécurité de Wordfence Chloe Chamberland dans une alerte du lundi.
Multiple WordPress plugins have been backdoored to inject malicious code that makes it possible to create rogue administrator accounts with the aim of performing arbitrary actions. "The injected malware attempts to create a new administrative user account and then sends those details back to the attacker-controlled server," Wordfence security researcher Chloe Chamberland said in a Monday alert. |
Malware | ||
 |
2024-06-25 07:46:40 | Le RAT Rafel, un malware Android qui passe de l\'espionnage aux opérations de ransomware (lien direct) | Le RAT Rafel, un malware Android qui passe de l'espionnage aux opérations de ransomware • Les appareils Android compromis dans le cadre des campagnes observées se trouvent principalement aux États-Unis, en Chine, en Indonésie, en Russie, en Inde, en France, en Allemagne et au Royaume-Uni. ● La majorité des appareils compromis sont des téléphones Samsung, Xiaomi, Vivo et Huawei, preuve de la prédominance de ces marques sur le marché. ● La plupart des appareils concernés sont équipés de versions Android non actualisées, d'où l'importance d'effectuer régulièrement des mises à jour et d'appliquer des correctifs de sécurité. ● Dans certains cas, le RAT Rafel a été utilisé pour chiffrer les fichiers d'un dispositif et pour demander une rançon pour qu'ils soient déchiffrés. ● Contournement de 2FA : le malware a également été impliqué dans le vol de messages d'authentification à deux facteurs, lui permettant ainsi de contourner cette mesure de sécurité cruciale. - Malwares | Ransomware Malware Mobile | ||
|
2024-06-25 06:00:00 | P2PINFECT BOTNET cible les serveurs Redis avec un nouveau module de ransomware P2PInfect botnet targets REdis servers with new ransomware module (lien direct) |
P2PinFect, à l'origine un botnet malware pair-to-peer dormant avec des motifs peu clairs, est enfin pris vie pour déployer un module de ransomware et un cryptominer dans les attaques sur les serveurs redis.[...]
P2PInfect, originally a dormant peer-to-peer malware botnet with unclear motives, has finally come alive to deploy a ransomware module and a cryptominer in attacks on Redis servers. [...] |
Ransomware Malware | ||
|
2024-06-24 20:35:34 | LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations (lien direct) | #### Géolocations ciblées
- Chine
## Instantané
LevelBlue Labs a récemment découvert un nouveau chargeur hautement évasif qui est livré à des cibles spécifiques par des pièces jointes de phishing.
## Description
Levelblue Labs a nommé ce malware «Squidloader», compte tenu de ses efforts clairs sur leur leurre et ses délais.
Le logiciel malveillant en charge utile de deuxième étape que Squidloader a livré est un échantillon de frappe Cobalt, qui avait été modifié pour le durcir contre l'analyse statique.Sur la base de la configuration de SquidLoader \\, LevelBlue Labs a évalué que ce même acteur inconnu a été observé pour offrir des campagnes sporadiques au cours des deux dernières années, ciblant principalement les victimes de langue chinoise.Malgré l'étude d'un acteur de menace qui semble se concentrer sur un pays spécifique, leurs techniques et tactiques peuvent être reproduites, peut-être contre des organisations non chinaises dans un avenir proche par d'autres acteurs ou créateurs de logiciels malveillants qui tentent d'éviter les détections.
## Les références
[LevelBlue Labs découvre un nouveau chargeur hautement évasif ciblant les organisations chinoises] (https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (consulté en 2024-06-24)
#### Targeted Geolocations - China ## Snapshot LevelBlue Labs recently discovered a new highly evasive loader that is being delivered to specific targets through phishing attachments. ## Description LevelBlue Labs has named this malware “SquidLoader,” given its clear efforts at decoy and evasion. The second-stage payload malware that SquidLoader delivered is a Cobalt Strike sample, which had been modified to harden it against static analysis. Based on SquidLoader\'s configuration, LevelBlue Labs has assessed that this same unknown actor has been observed delivering sporadic campaigns during the last two years, mainly targeting Chinese-speaking victims. Despite studying a threat actor who seems to focus on a specific country, their techniques and tactics may be replicated, possibly against non-Chinese speaking organizations in the near future by other actors or malware creators who try to avoid detections. ## References [LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations](https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (Accessed 2024-06-24) |
Malware Threat | ||
|
2024-06-24 20:31:15 | Pratiquer une bonne hygiène numérique sur la macOS Apple Practicing Good Digital Hygiene on Apple macOS (lien direct) |
> Gardez le macOS et le logiciel mis à jour pour bloquer les logiciels malveillants.Vous remarquez des ralentissements ou des pop-ups?Agir rapidement: déconnecter, exécuter un antivirus et signaler.Restez protégé et sécurisé.
>Keep macOS and software updated to block malware. Notice slowdowns or pop-ups? Act fast: disconnect, run antivirus, and report. Stay protected and secure. |
Malware | ||
|
2024-06-24 16:15:00 | Modular malware boolka \\ 's Bmanager Trojan exposé Modular Malware Boolka\\'s BMANAGER Trojan Exposed (lien direct) |
Le groupe a été observé exploitant des vulnérabilités grâce à des attaques d'injection SQL depuis 2022
The group has been observed exploiting vulnerabilities through SQL injection attacks since 2022 |
Malware Vulnerability | ||
|
2024-06-24 15:30:00 | Les utilisateurs d'Android ont mis en garde contre l'augmentation de la menace de logiciels malveillants de Rafel Rat Android Users Warned of Rising Malware Threat From Rafel RAT (lien direct) |
Une publication antérieure par Check Point Research avait déjà lié Rafel à l'équipe APT-C-35 / Donot
An earlier publication by Check Point Research had already linked Rafel to the APT-C-35/DoNot Team |
Malware Threat Mobile | ||
|
2024-06-24 15:27:14 | L'utilisation généralisée de Rafel Rat met 3,9 milliards de dispositifs Android à risque Widespread Use of Rafel RAT Puts 3.9 Billion Android Devices at Risk (lien direct) |
Le nouveau Rafel Rat est un malware Android capable de voler des données, d'espionner et même de verrouiller votre téléphone.Gardez votre Android à jour, téléchargez des applications en toute sécurité et évitez les attaques de phishing pour rester en sécurité.
The new Rafel RAT is an Android malware capable of stealing data, spy on you, and even lock your phone. Keep your Android updated, download apps safely, and avoid phishing attacks to stay secure. |
Malware Mobile | ||
|
2024-06-24 12:48:47 | Faits saillants hebdomadaires OSINT, 24 juin 2024 Weekly OSINT Highlights, 24 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a persistent focus on sophisticated cyber espionage and ransomware campaigns by state-sponsored threat actors and advanced cybercriminal groups. Key trends include the exploitation of known vulnerabilities in network devices and hypervisors by Chinese groups like Velvet Ant and UNC3886, leveraging custom malware for long-term access and data theft. Meanwhile, actors active in the Middle Eastern and South Asian such as Arid Viper and UTA0137 continue to target adversaries with trojanized apps and Linux malware, respectively. Additionally, innovative social engineering techniques, like those used by TA571 and ClearFake, highlight the evolving methods threat actors employ to deliver diverse payloads, including ransomware and information stealers. The consistent targeting of critical infrastructure, government entities, and high-value enterprises underscores the need for robust, multi-layered cybersecurity defenses to mitigate these sophisticated and persistent threats. ## Description 1. **[Arid Viper Espionage Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/19d9cd7d)**: ESET researchers uncovered Arid Viper\'s espionage campaigns targeting Android users in Egypt and Palestine. The campaigns distribute trojanized apps through dedicated websites, focusing on user data espionage with their AridSpy malware, a sophisticated multistage Android spyware. 2. **[Velvet Ant Exploits F5 BIG-IP](https://sip.security.microsoft.com/intel-explorer/articles/e232b93d)**: Sygnia analysts revealed that the Chinese cyberespionage group Velvet Ant exploited vulnerabilities in F5 BIG-IP appliances to deploy malware like PlugX, enabling long-term access and data theft. These incidents emphasize the threat posed by persistent threat groups exploiting network device vulnerabilities. 3. **[UNC3886 Targets Hypervisors](https://sip.security.microsoft.com/intel-explorer/articles/faed9cc0)**: Google Cloud reported that Mandiant investigated UNC3886, a suspected Chinese cyberespionage group, targeting hypervisors with sophisticated malware and exploiting vulnerabilities in FortiOS and VMware technologies. The group utilized rootkits and custom malware for persistence and command and control. 4. **[UTA0137 Cyber-Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bc2b5c55)**: Volexity identified Pakistan-based UTA0137 targeting Indian government entities with DISGOMOJI malware, which uses Discord for command and control. The campaign targets Linux systems, employing various persistence mechanisms and exploiting vulnerabilities like DirtyPipe for privilege escalation. 5. **[Proofpoint Highlights Copy-Paste Attacks](https://sip.security.microsoft.com/intel-explorer/articles/c75089e9)**: Proofpoint researchers reported that threat actors, including TA571 and ClearFake, are using techniques that prompt users to copy and paste malicious PowerShell scripts. These campaigns deliver various malware, including DarkGate and NetSupport, through clever social engineering tactics that trick users into compromising their systems. 6. **[Shinra and Limpopo Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b7a96cbd)**: FortiGuard Labs identified the emergence of Shinra and Limpopo ransomware strains in early 2024. Shinra ransomware exfiltrates data before encryption, while Limpopo targets ESXi environments, affecting multiple countries and causing significant disruptions. 7. **[CVE-2024-4577 Vulnerability Exploits](https://sip.security.microsoft.com/intel-explorer/articles/8635c515)**: Cyble Global Sensor Intelligence detected multiple scanning attempts exploiting CVE-2024-4577, a vulnerability in Windows affecting PHP installations. Threat actors are using this flaw to deploy ransomware and malware, emphasizing the urgent need for organizations to upgrade PHP versions to mitigate risks. 8. **[SmallTiger Malware Targets South Korea](https://sip.security.microsoft.com/intel-explorer/articles/3f29a6c8)**: The AhnLab Securi | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT-C-23 | |
 |
2024-06-22 23:25:53 | Entrez Sandbox 28: Extraction des primitives d'accès automatisé Enter Sandbox 28: Automated access primitives extraction (lien direct) |
Dans mon article précédent sur Ti, j'ai laissé entendre que le malware échantillonnait le sandboxing (F.Ex. Extraction de configurations, d'identification, de domaines, de courriels, (s) comptes FTP) & # 8211;L'identification de TTPS est une excellente source de données TI & # 8230;Je dois admettre qu'il y a tellement de jus à absorber & # 8230; Continuer la lecture & # 8594;
In my previous post about TI I hinted that malware sample sandboxing (f.ex. extracting configs, credentials, domains, emails, (S)FTP accounts) – identifying TTPs is a great TI data source… I must admit that there is so much juice to absorb … Continue reading → |
Malware | ||
|
2024-06-22 18:38:53 | Nouvelle campagne NetSupport livrée via des packages MSIX New NetSupport Campaign Delivered Through MSIX Packages (lien direct) |
## Instantané Xavier Mertens a identifié une nouvelle campagne NetSupport qui offre un client NetSupport malveillant via des packages MSIX.Les attaquants tirent parti de cette technique pour communiquer avec des ordinateurs infectés sans avoir besoin de développer leur propre infrastructure de commandement et de contrôle (C2). ## Description Le fichier MALICIET MSIX contient tous les composants pour télécharger et installer le client NetSupport, y compris une version portable 7ZIP utilisée pour déballer le client.Le script dans le fichier ouvre d'abord un navigateur pour afficher la page de téléchargement Chrome, vérifie alors si l'ordinateur fait partie d'un domaine Microsoft avant d'installer le client.Le client NetSupport est double compressé et le fichier de configuration révèle l'adresse IP du serveur C2, qui est en baisse pour le moment.Cette campagne représente une méthode à faible coût pour que les attaquants compromettent davantage de victimes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win32 / Seheq ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et des logiciels malveillants hôte. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magicti_TA_LearnDdoc) pour bloquerConnexions avec des domaines malveillants et des adresses IP. - Éduquer les utilisateurs à utiliser le navigateur URL du navigateur pour valider cela en cliquant sur un lien dans les résultats de recherche, ils sont arrivés dans un domaine légitime attendu. - Éduquer les utilisateurs à vérifier que le logiciel installé devrait être publié par un éditeur légitime. - Allumez [Protection en cas de nuage] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antvirus?View = O365 Worldwide & ocid = magicti_ta_learndoc) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent la plupart des variantes nouvelles et inconnues. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=O365-Worldwide & ocid = magicti_ta_learndoc) afin que Microsoft Defender pour le point final puisse bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide& ;ocid=magicti_ta_learndoc) en mode automatisé complet en mode automatisé;Pour permettre à Microsoft Defender for Endpoint de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Allumez [Tamper Protection] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=O365 worldwide & ocid = magicti_ta_learndoc) pour empêcher les attaquants d'empêcher les ser | Malware Tool Threat | ||
|
2024-06-22 10:19:38 | Rafel Rat cible les téléphones Android obsolètes dans des attaques de ransomwares Rafel RAT targets outdated Android phones in ransomware attacks (lien direct) |
Un logiciel malveillant Android open source nommé \\ 'rafel rat \' est largement déployé par plusieurs cybercriminels pour attaquer les appareils obsolètes, certains visant à les verrouiller avec un module de ransomware qui exige le paiement sur Telegram.[...]
An open-source Android malware named \'Rafel RAT\' is widely deployed by multiple cybercriminals to attack outdated devices, some aiming to lock them down with a ransomware module that demands payment on Telegram. [...] |
Ransomware Malware Mobile | ||
|
2024-06-22 08:16:12 | De la sécurité du réseau à NYET travaille à perpétuité: qu'est-ce qui se passe avec l'interdiction des États-Unis de Kaspersky? From network security to nyet work in perpetuity: What\\'s up with the Kaspersky US ban? (lien direct) |
Cela a été longtemps à venir.Maintenant, nos journaux parlent leur cerveau Kettle Le gouvernement américain a interdit jeudi à Kaspersky Lab de vendre ses antivirus et autres produits en Amérique à partir de la fin juillet et de la publication de signatures de mises à jour et de logiciels malveillants à partir de ses signaturesOctobre.… | Malware | ||
|
2024-06-21 19:12:00 | Les pirates chinois déploient Spicerat et Sugargh0st dans Global Espionage Campaign Chinese Hackers Deploy SpiceRAT and SugarGh0st in Global Espionage Campaign (lien direct) |
Un acteur de menace chinois auparavant sans papiers, le nom de la menace chinoise, Sneakychef a été lié à une campagne d'espionnage ciblant principalement les entités gouvernementales à travers l'Asie et l'EMEA (Europe, Moyen-Orient et Afrique) avec des logiciels malveillants de Sugargh 0st depuis au moins août 2023.
"Sneakychef utilise des leurres qui sont des documents scannés des agences gouvernementales, dont la plupart sont liées à divers pays \\ 'Ministères
A previously undocumented Chinese-speaking threat actor codenamed SneakyChef has been linked to an espionage campaign primarily targeting government entities across Asia and EMEA (Europe, Middle East, and Africa) with SugarGh0st malware since at least August 2023. "SneakyChef uses lures that are scanned documents of government agencies, most of which are related to various countries\' Ministries |
Malware Threat | ||
|
2024-06-21 18:31:00 | L'escroquerie par e-mail sur le thème militaire répand les logiciels malveillants pour infecter les utilisateurs pakistanais Military-themed Email Scam Spreads Malware to Infect Pakistani Users (lien direct) |
Les chercheurs en cybersécurité ont fait la lumière sur une nouvelle campagne de phishing qui a été identifiée comme ciblant les personnes au Pakistan à l'aide d'une porte dérobée personnalisée.
Surnommée Phantom # Spike par Securonix, les acteurs de la menace inconnus derrière l'activité ont mis à profit les documents de phishing liés à l'armée pour activer la séquence d'infection.
"Bien qu'il existe de nombreuses méthodes utilisées aujourd'hui pour déployer des logiciels malveillants, les acteurs de la menace
Cybersecurity researchers have shed light on a new phishing campaign that has been identified as targeting people in Pakistan using a custom backdoor. Dubbed PHANTOM#SPIKE by Securonix, the unknown threat actors behind the activity have leveraged military-related phishing documents to activate the infection sequence. "While there are many methods used today to deploy malware, the threat actors |
Malware Threat | ||
 |
2024-06-21 13:00:17 | A Step-by-Step Guide to Spotting and Preventing Frame Injections (lien direct) | > Imaginez une jungle numérique florissante où les applications sur le Web sont la faune abondante, et les cybercriminels qui se cachent sont des cybercriminels, toujours prêts à bondir.Parmi leurs méthodes astucieuses, il y a & # 8216; injection de cadre, & # 8217;Une tactique sournoise qui transforme les applications Web en pavés de lancement pour le phishing et les logiciels malveillants s'ils ne sont pas rapidement détectés et écrasés.Heureusement, il existe des méthodes pour atténuer efficacement les attaques d'injection de cadre.Armé d'un guide étape par étape simple, nous pouvons garder notre paysage numérique et travailler pour le garder en sécurité.Protéger les utilisateurs, la réputation et les attaques d'injection de trame de base sont un sous-ensemble d'attaques d'injection de code où les mauvais acteurs manipulent la structure du site Web [& # 8230;]
>Imagine a thriving digital jungle where web-based applications are the abundant wildlife, and lurking amongst them are cyber criminals, ever ready to pounce. Among their crafty methods is ‘frame injection,’ a sneaky tactic that turns web applications into launchpads for phishing and malware if not quickly detected and squashed. Thankfully, there are methods to mitigate frame injection attacks effectively. Armed with a straightforward step-by-step guide, we can guard our digital landscape and work to keep it secure. Protect Users, Reputation, and Bottom Line Frame injection attacks are a subset of code injection attacks where bad actors manipulate the website’s structure […] |
Malware | ||
|
2024-06-21 02:03:23 | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns (lien direct) |
#### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T | Malware Threat Mobile | APT-C-23 | ★★ |
To see everything:
Our RSS (filtrered)
