What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-23 17:58:00 | Les pirates chinois ciblent Taiwan et les ONG américaines avec des logiciels malveillants MGBOT Chinese Hackers Target Taiwan and US NGO with MgBot Malware (lien direct) |
Les organisations de Taïwan et une organisation non gouvernementale américaine (ONG) basée en Chine ont été ciblées par un groupe de piratage parrainé par l'État affilié à Pékin appelé Daggerfly à l'aide d'un ensemble amélioré d'outils de logiciels malveillants.
La campagne est un signe que le groupe "s'engage également dans l'espionnage interne", a déclaré aujourd'hui un nouveau rapport publié aujourd'hui."Dans l'attaque de
Organizations in Taiwan and a U.S. non-governmental organization (NGO) based in China have been targeted by a Beijing-affiliated state-sponsored hacking group called Daggerfly using an upgraded set of malware tools. The campaign is a sign that the group "also engages in internal espionage," Symantec\'s Threat Hunter Team, part of Broadcom, said in a new report published today. "In the attack on |
Malware Tool Threat | ||
|
2024-07-23 16:24:00 | Nouveau ics malware \\ 'FrostyGoop \\' ciblant l'infrastructure critique New ICS Malware \\'FrostyGoop\\' Targeting Critical Infrastructure (lien direct) |
Les chercheurs en cybersécurité ont découvert ce qu'ils disent être le neuvième logiciel malveillant axé sur les systèmes de contrôle industriel (ICS) qui a été utilisé dans une cyberattaque perturbatrice ciblant une entreprise d'énergie dans la ville ukrainienne de Lviv plus tôt en janvier.
La société de cybersécurité industrielle Dragos a surnommé le malware FrostyGoop, le décrivant comme la première souche malveillante à utiliser directement Modbus TCP
Cybersecurity researchers have discovered what they say is the ninth Industrial Control Systems (ICS)-focused malware that has been used in a disruptive cyber attack targeting an energy company in the Ukrainian city of Lviv earlier this January. Industrial cybersecurity firm Dragos has dubbed the malware FrostyGoop, describing it as the first malware strain to directly use Modbus TCP |
Malware Industrial | ||
|
2024-07-23 15:42:00 | Sites Magento ciblés avec un skimmer de carte de crédit sournois via des fichiers d'échange Magento Sites Targeted with Sneaky Credit Card Skimmer via Swap Files (lien direct) |
Les acteurs de la menace ont été observés à l'aide de fichiers d'échange dans des sites Web compromis pour cacher un skimmer de carte de crédit persistant et récolter les informations de paiement.
La technique sournoise, observée par SUCURI sur une page de caisse de Magento E-Commerce Site \\, a permis aux logiciels malveillants de survivre à plusieurs tentatives de nettoyage, a indiqué la société.
L'écumateur est conçu pour capturer toutes les données dans le formulaire de carte de crédit sur le
Threat actors have been observed using swap files in compromised websites to conceal a persistent credit card skimmer and harvest payment information. The sneaky technique, observed by Sucuri on a Magento e-commerce site\'s checkout page, allowed the malware to survive multiple cleanup attempts, the company said. The skimmer is designed to capture all the data into the credit card form on the |
Malware Threat | ||
 |
2024-07-23 15:15:12 | Les cybercrooks émettent des problèmes avec les domaines de la typosquat au milieu de la crise de la crowdsstrike Cybercrooks spell trouble with typosquatting domains amid CrowdStrike crisis (lien direct) |
La dernière tendance suit diverses campagnes de logiciels malveillants qui ont commencé quelques heures seulement après sa calamité Des milliers de domaines de typosquat sont désormais inscrits pour exploiter le désespoir des administrateurs informatiques qui ont encore du mal à se remettre de la semaine dernière de la semaine de la semaine dernière \\., les chercheurs disent.… | Malware Threat Prediction | ||
 |
2024-07-23 15:00:00 | Le groupe d'espionnage chinois améliore le malware Arsenal pour cibler tous les principaux systèmes d'exploitation Chinese Espionage Group Upgrades Malware Arsenal to Target All Major OS (lien direct) |
Symantec a déclaré que Daggerfly du groupe d'espionnage chinois a mis à jour sa boîte à outils malware alors qu'elle cherche à cibler les systèmes d'exploitation Windows, Linux, MacOS et Android
Symantec said Chinese espionage group Daggerfly has updated its malware toolkit as it looks to target Windows, Linux, macOS and Android operating systems |
Malware Mobile | ||
|
2024-07-23 14:33:00 | Institutions ukrainiennes ciblées à l'aide de Hatvibe et de logiciels malveillants Cherryspy Ukrainian Institutions Targeted Using HATVIBE and CHERRYSPY Malware (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a alerté une campagne de phistes de lance ciblant une institution de recherche scientifique dans le pays avec des logiciels malveillants connus sous le nom de Hatvibe et Cherryspy.
L'agence a attribué l'attaque à un acteur de menace qu'il suit sous le nom de l'UAC-0063, qui était précédemment observé ciblant diverses entités gouvernementales pour recueillir des informations sensibles en utilisant
The Computer Emergency Response Team of Ukraine (CERT-UA) has alerted of a spear-phishing campaign targeting a scientific research institution in the country with malware known as HATVIBE and CHERRYSPY. The agency attributed the attack to a threat actor it tracks under the name UAC-0063, which was previously observed targeting various government entities to gather sensitive information using |
Malware Threat | ||
 |
2024-07-23 11:57:30 | Dragos détaille les nouveaux logiciels malveillants de FrostyGoop Ics à l'aide de Modbus TCP pour perturber les opérations OT dans le monde entier Dragos details novel FrostyGoop ICS malware using Modbus TCP to disrupt OT operations worldwide (lien direct) |
> La société de cybersécurité industrielle Dragos a révélé mardi Frostygoop, un neuvième malware qui cible les systèmes de contrôle industriel (ICS) et le ...
>Industrial cybersecurity firm Dragos disclosed Tuesday FrostyGoop, a ninth malware that targets industrial control systems (ICS) and the... |
Malware Industrial | ||
 |
2024-07-23 11:00:48 | CISA Issues AVERTISSEMENT: La panne de crowdsstrike peut entraîner des attaques de phishing et de logiciels malveillants CISA Issues Warning: CrowdStrike Outage May Lead to Phishing and Malware Attacks (lien direct) |
> L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) a émis une alerte urgente concernant la récente panne de crowdsstrike, avertissant que les acteurs malveillants exploitent activement la situation pour mener le phishing et d'autres cyberattaques.Les principaux avertissements cisa de la CISA ont souligné plusieurs points critiques dans leur alerte: les acteurs de la menace profitent de la panne de crowdsstrike pour malveillance [& # 8230;]
Le post CISA Problèmes d'avertissement: la panne de crowdsstrike peut êtreConduire à des attaques de phishing et de logiciels malveillants C'est apparu pour la première fois sur slashnext .
>The Cybersecurity and Infrastructure Security Agency (CISA) has issued an urgent alert regarding the recent CrowdStrike outage, warning that malicious actors are actively exploiting the situation to conduct phishing and other cyber attacks. CISA’s Key Warnings CISA emphasized several critical points in their alert: Threat actors are taking advantage of the CrowdStrike outage for malicious […] The post CISA Issues Warning: CrowdStrike Outage May Lead to Phishing and Malware Attacks first appeared on SlashNext. |
Malware Threat | ||
 |
2024-07-23 10:40:35 | Télégramme de la livraison de logiciels malveillants activés par télégramme Telegram Zero-Day Enabled Malware Delivery (lien direct) |
> La vulnérabilité de l'ultervideo zéro-jour dans le télégramme pour Android a permis aux acteurs de menace d'envoyer des fichiers malveillants déguisés en vidéos.
>The EvilVideo zero-day vulnerability in Telegram for Android allowed threat actors to send malicious files disguised as videos. |
Malware Vulnerability Threat Mobile | ||
 |
2024-07-23 10:31:56 | Fake Crowdstrike Repair Manual pousse un nouveau logiciel malveillant d'infostealer Fake CrowdStrike repair manual pushes new infostealer malware (lien direct) |
CrowdStrike avertit qu'un faux manuel de récupération pour réparer les appareils Windows installe un nouveau malware de vol d'information appelé Daolpu.[...]
CrowdStrike is warning that a fake recovery manual to repair Windows devices is installing a new information-stealing malware called Daolpu. [...] |
Malware | ||
|
2024-07-23 09:03:04 | Les logiciels malveillants de FrostyGoop Ics ont laissé les résidents de la ville ukrainienne sans chauffage FrostyGoop ICS Malware Left Ukrainian City\\'s Residents Without Heating (lien direct) |
Le malware FrostyGoop ICS a été utilisé récemment dans une attaque contre une entreprise d'énergie ukrainienne qui a entraîné une perte de chauffage pour de nombreux bâtiments.
The FrostyGoop ICS malware was used recently in an attack against a Ukrainian energy firm that resulted in loss of heating for many buildings. |
Malware Industrial | ||
|
2024-07-23 09:00:45 | Les logiciels malveillants de Frostygoop ont arrêté la chaleur à 600 immeubles d'appartements ukrainiens FrostyGoop malware shut off heat to 600 Ukraine apartment buildings (lien direct) |
d'abord méchant pour exploiter les modbus pour visser avec des appareils technologiques opérationnels un logiciel malveillant auparavant invisible, surnommé Frostygoop, capable de perturber les processus industriels a été utilisé dans une cyberattaque contre une entreprise d'énergie de district en Ukraine Last Northern Hiver,résultant en deux jours sans chaleur pour des centaines de personnes à des températures inférieures à zéro…
First nasty to exploit Modbus to screw with operational tech devices A previously unseen malware, dubbed FrostyGoop, able to disrupt industrial processes was used in a cyberattack against a district energy company in Ukraine last northern winter, resulting in two days without heat for hundreds of people during sub-zero temperatures.… |
Malware Threat Industrial | ||
 |
2024-07-23 09:00:00 | Comment les logiciels malveillants liés à la Russie ont coupé la chaleur à 600 bâtiments ukrainiens en hiver profond How Russia-Linked Malware Cut Heat to 600 Ukrainian Buildings in Deep Winter (lien direct) |
Le code, le premier du genre, a été utilisé pour saboter un utilitaire de chauffage à Lviv au plus froid de l'année - ce qui semble être une autre innovation en Russie des civils ukrainiens.
The code, the first of its kind, was used to sabotage a heating utility in Lviv at the coldest point in the year-what appears to be yet another innovation in Russia\'s torment of Ukrainian civilians. |
Malware | ||
 |
2024-07-23 09:00:00 | Nouvel ICS MALWORED SABOTAGE SERVICES DE CHÉRATION DE L'EAU EN UKRAINE Novel ICS Malware Sabotaged Water-Heating Services in Ukraine (lien direct) |
«FrostyGoop» nouvellement découvert est le premier logiciel malveillant ICS qui peut communiquer directement avec les systèmes de technologie opérationnelle via le protocole Modbus.
Newly discovered "FrostyGoop" is the first ICS malware that can communicate directly with operational technology systems via the Modbus protocol. |
Malware Industrial | ||
 |
2024-07-23 09:00:00 | Simple \\ 'FrostyGoop \\' Malware responsable de la désactivation de la chaleur des Ukrainiens en janvier Simple \\'FrostyGoop\\' malware responsible for turning off Ukrainians\\' heat in January attack (lien direct) |
> L'attaque est la dernière d'une chaîne ciblant l'infrastructure critique ukrainienne et illustre la facilité croissante de cibler les systèmes industriels.
>The attack is the latest in a string targeting Ukrainian critical infrastructure and illustrates the growing ease of targeting industrial systems. |
Malware Industrial | ||
 |
2024-07-23 07:00:00 | Solving the 7777 botnet Enigma: A Cybersecurity Quest (lien direct) | > Les clés à retenir Sekoia.io ont étudié le mystérieux 7777 Botnet (aka. Quad7 Botnet), publié par le chercheur indépendant GIT7W0RM dans le blog «Le cas curieux du blog 7777 BOTNET».& # 160;Cette enquête nous a permis d'intercepter les communications réseau et les logiciels malveillants déployés sur un routeur TP-Link compromis par le botnet Quad7 en France.À notre compréhension, le quad7 [& # 8230;]
la publication Suivante solvIng The 7777 Botnet Enigma: A Cybersecurity Quest est un article de blog Sekoia.io .
>Key Takeaways Sekoia.io investigated the mysterious 7777 botnet (aka. Quad7 botnet), published by the independent researcher Git7w0rm inside the “The curious case of the 7777 botnet” blogpost. This investigation allowed us to intercept network communications and malware deployed on a TP-Link router compromised by the Quad7 botnet in France. To our understanding, the Quad7 […] La publication suivante Solving the 7777 Botnet enigma: A cybersecurity quest est un article de Sekoia.io Blog. |
Malware | ||
 |
2024-07-22 21:38:04 | RDGAS: Le chapitre suivant des algorithmes de génération de domaine RDGAS: The Next Chapter in Domain Generation Algorithms (lien direct) |
## Instantané
Des chercheurs d'InfoBlox ont publié un rapport plongeant dans la technique émergente des algorithmes de génération de domaines enregistrés (RDGAS), que les acteurs menaçants utilisent pour remodeler le paysage des menaces DNS avec des millions de nouveaux domaines.Le rapport analyse en détail Revolver Rabbit, un acteur de menace notable qui a exploité les RDG dans leur déploiement de Xloader.
## Description
Les RDGA diffèrent des algorithmes de génération de domaines traditionnels (DGA) car l'algorithme et le processus d'enregistrement sont contrôlés par l'acteur de menace, ce qui rend la détection plus difficile.Les RDG sont utilisés pour diverses activités malveillantes, y compris les logiciels malveillants, le phishing et les escroqueries.Ils peuvent prendre de nombreuses formes, des personnages apparemment aléatoires aux mots de dictionnaire structurés, ce qui les rend difficiles à reconnaître sans données DNS à grande échelle et expertise.
Les acteurs de menace, les entreprises criminelles et même les entreprises légitimes utilisent des RDGA.Certains registraires proposent des outils pour générer des variantes de domaine, qui peuvent être utilisées à mauvais escient par les acteurs de la menace.Le terme RDGA a été inventé pour les distinguer des DGA traditionnels, qui génèrent des domaines algorithmiques mais ne les enregistrent généralement pas.
InfoBlox évalue que Revolver Rabbit a enregistré plus de 500 000 domaines sur le domaine de haut niveau.Le motif RDGA Revolver Rabbit utilise est varié, en utilisant souvent des mots dictionnaires suivis d'une chaîne de nombres, ce qui rend le complexe de détection.Au cours de leurs recherches, les domaines de lapin de revolver déterminés InfoBlox étaient utilisés comme des domaines de commande et de contrôle actifs (C2) et de leurreDans [xloader] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) (formbook) Maleware Samples.
## Détections / requêtes de chasseMicrosoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojandownloader: MSIL / Formbook] (https: // www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:MSIL/FormBook.KAN!MTB&threatId=-2147130651&ocid=magicti_ta_ency) *
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Infoblox released a report delving into the emerging technique of registered domain generation algorithms (RDGAs), which threat actors are using to reshape the DNS threat landscape with millions of new domains. The report further analyzes Revolver Rabbit, a notable threat actor who has leveraged RDGAs in their deployment of Xloader. ## Description RDGAs differ from traditional domain generation algorithms (DGAs) as the algorithm and registration process are controlled by the threat actor, making detection more challenging. RDGAs are used for various malicious activities, including malware, phishing, and scams. They can take many forms, from seemingly random characters to structured dictionary words, making them difficult to recognize without large-scale DNS data and expertise. Threat actors, criminal enterprises, and even legitimate businesses use RDGAs. Some registrars offer tools to generate domain variants, which can be misused by threat actors. The term RDGA was coined to distinguish these from traditional DGAs, which generate domains algorithmically but don\'t typically register them. Infoblox assesses that Revolver Rabbit has registered upwards of 500,000 domains on the .bond top-level domain alone, making them a significant threat actor. The RDGA pattern Revolver Rabbit uses is varied, often using dictionary words followed by a string of num |
Malware Tool Threat | ||
|
2024-07-22 20:20:43 | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct) |
## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-07-22 18:40:49 | Cyberattaques UAC-0180 ciblées contre les entreprises de défense à l'aide de GlueEgg / DropClue / Atera (CERT-UA # 10375) Targeted UAC-0180 cyberattacks against defense enterprises using GLUEEGG / DROPCLUE / ATERA (CERT-UA#10375) (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Government Computer Emergency Response Team of Ukraine (CERT-UA) reported targeted phishing attacks on defense enterprises involving emails about UAV procurement. The emails contained a ZIP file with a PDF that included a malicious link. ## Description Clicking the link downloaded "adobe\_acrobat\_fonts\_pack.exe," a Go-based malware named GLUEEGG. GLUEEGG decrypted and ran the Lua-based DROPCLUE loader, which launched a decoy PDF and an executable that installed remote control of ATERA computers via a BAT file using "curl.exe". The attacks, attributed to group "UAC-0180", aim to access computers of employees of defense enterprises and the Defense Forces of Ukraine using varied malware with various programming language like C (ACROBAIT), Rust (ROSEBLOOM, ROSETHORN), Go (GLUEEGG), and Lua (DROPCLUE) via deceptive PDFs with embedded links. ## Recommendations Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites.[Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use[anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focused information into incidents and alerts, providing key context and correlating alerts from other products within Microsoft 365 Defender. This ensures all alerts are available in one place, and the scope of a breach can be determined faster than before. Defenders can also complement MFA with the following solutions and best practices to further protect their organizations from such attacks. - Use[security defaults](https://learn.microsoft.com/azure/active-directory/fundamentals/concept-fundamentals-security-defaults?ocid=magicti_ta_learndoc) as a baseline set of policies to improve identity security posture. For m | Malware | ||
 |
2024-07-22 17:57:53 | Télégramme Android Vulnérabilité «Evilvideo» envoie des logiciels malveillants sous forme de vidéos Telegram Android Vulnerability “EvilVideo” Sends Malware as Videos (lien direct) |
Evilvideo Exploit in Telegram pour Android permet aux attaquants d'envoyer des logiciels malveillants déguisés en vidéos.ESET a découvert cette vulnérabilité zéro-jour, & # 8230;
EvilVideo exploit in Telegram for Android lets attackers send malware disguised as videos. ESET discovered this zero-day vulnerability,… |
Malware Vulnerability Threat Mobile | ||
|
2024-07-22 12:15:00 | Socgholish malware exploite BOINC Project pour les cyberattaques secrètes SocGholish Malware Exploits BOINC Project for Covert Cyberattacks (lien direct) |
Le logiciel malveillant du téléchargeur JavaScript connu sous le nom de SocGholish (alias FakeUpdates) est utilisé pour livrer un cheval de cheval d'accès à distance appelé Asyncrat ainsi qu'un projet open source légitime appelé Boinc.
Boinc, abréviation de Berkeley Open Infrastructure Network Computing Client, est une plate-forme "Volunteer Computing" open-source ouverte maintenue par l'Université de Californie dans le but de réaliser "à grande échelle
The JavaScript downloader malware known as SocGholish (aka FakeUpdates) is being used to deliver a remote access trojan called AsyncRAT as well as a legitimate open-source project called BOINC. BOINC, short for Berkeley Open Infrastructure Network Computing Client, is an open-source "volunteer computing" platform maintained by the University of California with an aim to carry out "large-scale |
Malware | ||
|
2024-07-22 10:49:07 | Des logiciels malveillants uniques identifiés dans Panchan Botnet avec des techniques de persistance avancées Unique malware identified in Panchan botnet with advanced persistence techniques (lien direct) |
> Les chercheurs de Nozomi Networks Labs ont détaillé une famille de logiciels malveillants unique détectée par leurs pots de miel qui remplace le ...
>Researchers from Nozomi Networks Labs have detailed a unique malware family detected by their honeypots that replaces the... |
Malware | ||
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | |
 |
2024-07-22 10:00:00 | 4 menaces en ligne «à faible priorité» qui peuvent infliger de graves dommages à la marque 4 “Low-Priority” Online Threats That Can Inflict Serious Brand Damage (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Companies constantly face a multitude of threats online. Understandably, there is no way for them to deal with all of the attacks given their limited resources and the time-consuming nature of continuous threat detection and prevention. As such, some threats are prioritized over others, depending on their urgency. This leads to threats being classified as “low-priority”, especially when it comes to brand protection. Some are even ignored altogether, especially by organizations that do not consider themselves big enough to be targeted by a brand attack. To be clear, these “low-priority” threats are not necessarily petty or negligible attacks. Despite that, most companies pay little to no attention to them because they are perceived to have no serious impact on their economic and reputational well-being. But in reality, brand attacks have been surging in 2024. This article will dive into these threats and explain why companies should think to the contrary and take them more seriously. Website Impersonation Website impersonation attacks used to be primarily aimed at large and well-known organizations, but were not always limited to them. This is because it would take time and resources for malicious actors to create a spoofed version of a brand’s website, therefore making less sense to invest in attacking a relatively unknown and small target. In addition, the impact of a website impersonation attack on a small company would be minuscule if the brand being impersonated is virtually unknown. But this has all changed with the rise of generative AI, making cloning websites considerably faster, easier, and drastically cheaper. As such, organizations today cannot downplay the threat of website impersonation. A 2024 report from Memcyco titled the “State of Digital Impersonation Fraud Resilience” shows that 40% of customers who have become victims of scams that involve website impersonation stop doing business with the brand. This raises the question about company responsibility for their customers and what happens if customers get scammed using a third-party site disguising as their own. For many customers, it doesn’t matter if the business had nothing to do with the emergence of the spoofed site. If they fall for a scam associated with a brand, they are highly likely to walk away. The Memcyco report also says that around two-thirds of enterprises only discover the existence of sites impersonating their brands because of victim incident reports. Customers are frustrated that they serve as the “threat intel” and businesses are clueless about the problem unless customers inform them. To avoid the unwanted consequences of website impersonation, organizations need to implement solutions that do not rely entirely on customer feedback. It is important to have a proactive solution in place that continuously scans the internet for possible impersonation attempts and promptly alerts customers about these fake sites. Fabricated Product Reviews and Ratings The problem of fake product reviews and ratings is mostly addressed with a customer-centric approach. Proposed regulations, like the | Malware Threat | ||
|
2024-07-22 09:03:39 | Crowdsstrike incident les mots de fin de la livraison de logiciels malveillants, de phishing, d'escroqueries CrowdStrike Incident Leveraged for Malware Delivery, Phishing, Scams (lien direct) |
> La grande panne informatique causée par CrowdStrike est en cours de mise à profit par les acteurs de la menace pour le phishing, les escroqueries et la livraison de logiciels malveillants.
>The major IT outage caused by CrowdStrike is being leveraged by threat actors for phishing, scams, and malware delivery. |
Malware Threat | ||
|
2024-07-21 22:07:31 | Fake Hot Cix pour CrowdStrike ”Crowdsstrike-hotfix.zip” Spreds Remcos Rat Fake Hot Fix for CrowdStrike ”crowdstrike-hotfix.zip” Spreads Remcos RAT (lien direct) |
Méfiez-vous & # 8220; Crowdsstrike-hotfix.zip & # 8221 ;!Ce faux fichier répartit les logiciels malveillants REMCOS, ciblant les utilisateurs de Latam Crowdsstrike.Ne le téléchargez pas!Apprenez à & # 8230;
Beware “crowdstrike-hotfix.zip”! This fake file spreads Remcos malware, targeting LatAm CrowdStrike users. Don’t download it! Learn how to… |
Malware | ||
|
2024-07-21 15:31:34 | Fake Crowdsstrike corrige les entreprises cibles avec des logiciels malveillants, les essuie-glaces de données Fake CrowdStrike fixes target companies with malware, data wipers (lien direct) |
Vendredi, les acteurs de la menace exploitent les perturbations commerciales massives de la mise à jour glitchy de Crowdsstrike \\ pour cibler les entreprises avec des essuie-glaces et des outils d'accès à distance.[...]
Threat actors are exploiting the massive business disruption from CrowdStrike\'s glitchy update on Friday to target companies with data wipers and remote access tools. [...] |
Malware Tool Threat | ||
|
2024-07-21 13:06:27 | Méfiez-vous des fans de GRAND Theft Auto!Fake GTA VI Beta Download Spreads Malware Beware Grand Theft Auto Fans! Fake GTA VI Beta Download Spreads Malware (lien direct) |
Les fans de Grand Theft Auto VI se méfient de Fake GTA VI Beta Télécharger les publicités!Don & # 8217; je ne sois pas arnaqué par Fake & # 8230;
Grand Theft Auto VI fans beware of Fake GTA VI Beta download ads! Don’t get scammed by fake… |
Malware | ||
 |
2024-07-21 07:24:11 | Comment les logiciels publicitaires ont exposé les victimes aux threads au niveau du noyau et # 8211;Semaine en sécurité avec Tony Anscombe How adware exposed victims to kernel-level threats – Week in Security with Tony Anscombe (lien direct) |
Un prétendu bloqueur d'annonces commercialisé en tant que solution de sécurité cache des logiciels malveillants au niveau du noyau qui expose par inadvertance les victimes à des menaces encore plus dangereuses
A purported ad blocker marketed as a security solution hides kernel-level malware that inadvertently exposes victims to even more dangerous threats |
Malware | ||
|
2024-07-20 21:31:00 | Les cybercriminels exploitent la mise à jour de mise à jour de mise à jour pour distribuer des logiciels malveillants Remcos Rat Cybercriminals Exploit CrowdStrike Update Mishap to Distribute Remcos RAT Malware (lien direct) |
La société de cybersécurité Crowdsstrike, qui est confrontée à la chaleur pour provoquer des perturbations dans le monde entier en repoussant une mise à jour erronée vers les appareils Windows, avertit maintenant que les acteurs de la menace exploitent la situation pour distribuer Remcos Rat à ses clients en Amérique latine sous le couvert de la fourniture d'unun chaud.
Les chaînes d'attaque impliquent la distribution d'un fichier d'archive zip nommé "Crowdstrike-hotfix.zip" "
Cybersecurity firm CrowdStrike, which is facing the heat for causing worldwide IT disruptions by pushing out a flawed update to Windows devices, is now warning that threat actors are exploiting the situation to distribute Remcos RAT to its customers in Latin America under the guise of a providing a hotfix. The attack chains involve distributing a ZIP archive file named "crowdstrike-hotfix.zip," |
Malware Threat | ||
|
2024-07-19 21:17:33 | Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) | ## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447)* - *[Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108)* - *[Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524)* - [*Ransom:Linux/Playde*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti | Ransomware Malware Tool Threat Prediction | ||
|
2024-07-19 18:51:32 | APT41 Has Arisen From the DUST (lien direct) | #### Géolocations ciblées - Italie - Espagne - Taïwan - Thaïlande - t & uuml; rkiye - Royaume-Uni #### Industries ciblées - Systèmes de transport - Médias numériques, imprimés et diffusés ## Instantané Mandiant, en collaboration avec le groupe d'analyse des menaces de Google (TAG), a publié un rapport sur une campagne par APT41, suivi par Microsof d37c6), ciblant les organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni. ## Description Le groupe cible des secteurs comme les soins de santé, la haute technologie et les télécommunications, en utilisant des techniques sophistiquées telles que les compromis de la chaîne d'approvisionnement et les certificats numériques volés.Dans cette dernière campagne, l'APT41 a compromis diverses organisations sur plusieurs continents, notamment l'Italie, l'Espagne, Taïwan, la Thaïlande, la Turquie et le Royaume-Uni, en se concentrant sur des secteurs comme l'expédition, la logistique et les médias. APT41 a utilisé des shells Web Atsword et BlueBeam sur un serveur Tomcat Apache Manager pour la persistance.Ces shells Web, actifs depuis 2023, ont permis au groupe d'exécuter CerUtil.exe pour télécharger le compte-gouttes à poussière.Dustpan, un compte-gouttes en mémoire écrit en C / C ++, décrypte et exécute des charges utiles furtivement.Au cours de cette campagne, il a chargé Beacon, un outil de communication avec une infrastructure contrôlée par APT41, souvent déguisée en binaires Windows pour échapper à la détection. Au fur et à mesure que l'intrusion progressait, APT41 a déployé le compte-gouttes Dusttrap.Dusttrap est un cadre de plugin à plusieurs étapes qui décrypte et exécute des charges utiles malveillantes en mémoire, minimisant les traces médico-légales.Il établit des canaux de communication avec l'infrastructure APT41 ou des comptes Google Workspace compromis.L'utilisation de comptes Google compromis a aidé à mélanger les activités malveillantes avec un trafic légitime.Google note que ces comptes ont été corrigés. APT41 a également exploité SQLULLDR2, un utilitaire de ligne de commande, pour exporter les données des bases de données Oracle.Cet outil leur a permis d'extraire efficacement de grands volumes de données sensibles.De plus, APT41 a utilisé Pinegrove, un téléchargeur de ligne de commande, pour exfiltrater les données à OneDrive.Pinegrove est un outil accessible au public écrit en Go, capable de collecter et de télécharger des fichiers via l'API OneDrive. ## Analyse Microsoft Microsoft Threat Intelligence suit APT41 comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05aeafc0d4158b0e389b4078112d37c6), ACTIVITÉ CHINAL. Typhoon se concentre sur l'espionnage et estconnu pour effectuer une reconnaissance contre les organisations cibles.Le groupe a principalement ciblé le secteur de la technologie, mais a été observé ciblant les organisations non gouvernementales, les télécommunications, la vente au détail de consommateurs, la fabrication critique, le gouvernement et les institutions financières. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - Backdoor: Win32 / Moonwalk - [Trojan: Win64 / Malgent] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Trojan: Win64 / Malgent! MSR) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/atheats/malware-eNCyclopedia-Description? Name = Trojan: Win32 / Leonem) ## Les références [APT41 est né de la poussière] (https://cloud.google.com/blog/topics/thereat-intelligence/apt41-arisen-from-dust/).Google (consulté en 2024-07-19) [Typhoon en laiton] (https: // security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6).Mic | Malware Tool Threat Medical Cloud | APT 41 | |
|
2024-07-18 23:45:57 | Avertissement contre la distribution des logiciels malveillants déguisés en fissures logicielles (perturbe l'installation de V3 Lite) Warning Against the Distribution of Malware Disguised as Software Cracks (Disrupts V3 Lite Installation) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment introduit les dangers du malware déguisé en programmes de crack à travers un postintitulé & # 8220; Distribution de logiciels malveillants sous le couvert de versions Cracked MS Office (XMRIG, Orcusrat, etc.) & # 8221;.[1] Les souches de logiciels malveillants déguisées en programmes de crack sont principalement distribuées via des plates-formes de partage de fichiers, des blogs et des torrents, conduisant à l'infection de plusieurs systèmes.Ces systèmes infectés sont continuellement gérés par les acteurs de la menace par le biais de mises à jour périodiques.Dans ce cas, il a été confirmé que l'acteur de menace avait installé différent ...
AhnLab SEcurity intelligence Center (ASEC) has previously introduced the dangers of malware disguised as crack programs through a post titled “Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)”. [1] Malware strains disguised as crack programs are primarily distributed through file-sharing platforms, blogs, and torrents, leading to the infection of multiple systems. These infected systems are continually managed by threat actors through periodic updates. In this case, it was confirmed that the threat actor installed different... |
Malware Threat | ★★★ | |
|
2024-07-18 23:35:29 | Qui vas-tu appeler?AndroxGH0st Busters! Who You Gonna Call? AndroxGh0st Busters! (lien direct) |
## Instantané
Les chercheurs en cybersécurité du SANS Internet Storm Center ont identifié AndroxGH0ST, un logiciel malveillant en rédaction de python ciblant les fichiers .env dans les applications Web Laravel.Ce malware fait partie d'une opération de botnet de vol d'identification qui abuse de diverses fonctions, notamment la numérisation de vulnérabilité, le protocole de transfert de courrier simple (SMTP), les API et le déploiement de shell Web.
## Description
Les vulnérabilités clés exploitées par AndroxGH0ST incluent [CVE-2017-9841] (https: //security.microsoft.com/intel-explorer/cves/cve-2017-9841/), une vulnérabilité d'exécution de code distant (RCE) dans Phpunit, [CVE-2018-15133] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2018-15133 /),La Laravel App Key Deerialization RCE, et [CVE-2021-41773] (https://security.microsoft.com/intel-explorer/cves/cve-2021-41773/), une vulnérabilité de Traversal et RCE répertoire dans l'Apache httpserveur.Dans les attaques observées, AndroxGH0ST scanne des fichiers .env exposés et envoie des demandes de post HTTP malveillantes pour exploiter ces vulnérabilités.En cas de succès, le malware télécharge des fichiers malveillants supplémentaires, configure de fausses pages Web pour un accès persistant et exfiltre des données sensibles.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [HackTool: Python / Agent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:python/agent)
- [Trojan: Linux / Dakkatoni] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojandropper:linux/dakkatoni)
- [Trojan: php / webshell] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:php/webshell)
- [PUA: Linux / Coinmin] (https://www.microsoft.com/en-us/wdsi/atherets/mAlware-SencyClopedia-Description? Name = PUA: Linux / Coinmin)
## Recommandations
En plus de corriger les vulnérabilités exploitées connues dans les systèmes orientés Internet, y compris CVE-2017-9841, CVE-2018-15133 et CVE-2021-41773, la source recommande:
- Analyses du système de fichiers: analysez régulièrement le système de fichiers du serveur \\ pour les fichiers PHP inconnus, en particulier dans le répertoire racine ou / fournisseur / phpunit / phpunit / src / util / php.
- Surveiller les demandes sortantes: examiner les demandes de GET sortantes sur les sites d'hébergement de fichiers tels que GitHub, Pastebin, etc., en particulier lors de l'accès à un fichier .php.
## Les références
[Qui vas-tu appeler?AndroxGH0st Busters!\ [Journal invité \]] (https://isc.sans.edu/diary/rss/31086) Sans Internet Storm Center (consulté le 2024-07-18)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Cybersecurity researchers at the SANS Internet Storm Center identified AndroxGh0st, a Python-scripted malware targeting .env files in Laravel web applications. This malware is part of a credential stealing botnet operation that abuses various functions, including vulnerability scanning, Simple Mail Transfer Protocol (SMTP), APIs, and web shell deployment. ## Description Key vulnerabilities exploited by AndroxGh0st include [CVE-2017-9841](https://security.microsoft.com/intel-explorer/cves/CVE-2017-9841/), a Remote Code Execution (RCE) vulnerability in PHPUnit, [CVE-2018-15133](https://security.microsoft.com/intel-explorer/cves/CVE-2018-15133/), the Laravel App Key Deserialization RCE, and [CVE-2021-41773](https://security.microsoft.com/intel-explorer/cves/CVE-2021-41773/), a directory traversal and RCE vulnerability in the Apache HTTP server. In observed attacks, AndroxGh0st scan |
Malware Vulnerability Threat Patching | ★★★ | |
|
2024-07-18 18:56:00 | Alerte: hotpage adware déguisé en bloqueur d'annonces installe un pilote de noyau malveillant Alert: HotPage Adware Disguised as Ad Blocker Installs Malicious Kernel Driver (lien direct) |
Les chercheurs en cybersécurité ont mis en lumière un module d'adware qui prétend bloquer les publicités et les sites Web malveillants, tout en déchargeant furtivement un composant de pilote de noyau qui accorde aux attaquants la possibilité d'exécuter du code arbitraire avec des autorisations élevées sur les hôtes Windows.
Le malware, surnommé hotpage, tire son nom de l'installateur éponyme ("hotpage.exe"), selon de nouvelles résultats de l'ESET.
Le
Cybersecurity researchers have shed light on an adware module that purports to block ads and malicious websites, while stealthily offloading a kernel driver component that grants attackers the ability to run arbitrary code with elevated permissions on Windows hosts. The malware, dubbed HotPage, gets its name from the eponymous installer ("HotPage.exe"), according to new findings from ESET. The |
Malware | ★★★ | |
|
2024-07-18 17:30:28 | Revolver Rabbit Gang enregistre 500 000 domaines pour les campagnes de logiciels malveillants Revolver Rabbit gang registers 500,000 domains for malware campaigns (lien direct) |
Un gang cybercriminal que les chercheurs suivent en tant que Revolver Rabbit ont enregistré plus de 500 000 noms de domaine pour les campagnes d'infostaler qui ciblent les systèmes Windows et MacOS.[...]
A cybercriminal gang that researchers track as Revolver Rabbit has registered more than 500,000 domain names for infostealer campaigns that target Windows and macOS systems. [...] |
Malware | ★★★ | |
|
2024-07-18 17:25:18 | Des logiciels adware chinois signés par Microsoft ouvrent la porte aux privilèges du noyau Microsoft-Signed Chinese Adware Opens the Door to Kernel Privileges (lien direct) |
Un cachet officiel d'approbation pourrait donner l'impression qu'un prétendu outil de tamis adtech "de hotpage" n'est pas, en fait, un logiciel malveillant dangereux au niveau du noyau - mais c'est juste un subterfuge.
An official stamp of approval might give the impression that a purported "HotPage" adtech tool is not, in fact, a dangerous kernel-level malware - but that\'s just subterfuge. |
Malware Tool | ★★★ | |
|
2024-07-18 16:15:00 | Hotpage malware détourneurs HotPage Malware Hijacks Browsers with Signed Microsoft Driver (lien direct) |
Hotpage manipule le trafic du navigateur en se connectant aux fonctions API Windows basées sur le réseau
HotPage manipulates browser traffic by hooking into network-based Windows API functions |
Malware | ★★★ | |
 |
2024-07-18 14:00:00 | Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct) |
Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore
Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis. |
Ransomware Malware Tool Threat Patching Medical Cloud | APT 41 | ★★ |
|
2024-07-18 13:40:24 | La Fin7 de Russie \\ colporte ses logiciels malveillants en termes d'Edr aux gangs de ransomware Russia\\'s FIN7 is peddling its EDR-nerfing malware to ransomware gangs (lien direct) |
Les principaux fournisseurs \\ 'Produits scolatés de nouvelles techniques Prolific Russian Cybercrime Syndicate Fin7 utilise divers pseudonymes pour vendre sa solution de sécurité de sécurité personnalisée à différents gangs de rançongiciels.…
Major vendors\' products scuppered by novel techniques Prolific Russian cybercrime syndicate FIN7 is using various pseudonyms to sell its custom security solution-disabling malware to different ransomware gangs.… |
Ransomware Malware | ★★ | |
|
2024-07-17 21:57:00 | Les pirates nord-coréens mettent à jour les logiciels malveillants Beavertail pour cibler les utilisateurs de macOS North Korean Hackers Update BeaverTail Malware to Target MacOS Users (lien direct) |
Les chercheurs en cybersécurité ont découvert une variante mise à jour d'un malware connu du voleur que les attaquants affiliés à la République de Corée du peuple démocrate ont livré dans le cadre de campagnes antérieures de cyber-espionnage ciblant les demandeurs d'emploi.
L'artefact en question est un fichier Apple MacOS Disk Image (DMG) nommé "mirotalk.dmg" qui imite le service d'appel vidéo légitime du même nom,
Cybersecurity researchers have discovered an updated variant of a known stealer malware that attackers affiliated with the Democratic People\'s Republic of Korea (DPRK) have delivered as part of prior cyber espionage campaigns targeting job seekers. The artifact in question is an Apple macOS disk image (DMG) file named "MiroTalk.dmg" that mimics the legitimate video call service of the same name, |
Malware | ★★★ | |
|
2024-07-17 20:18:30 | Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient Lookout Discovers Houthi Surveillanceware Targeting Middle Eastern Militaries (lien direct) |
#### Géolocations ciblées - Yémen - Arabie Saoudite - Egypte - Oman - Qatar - t & uuml; rkiye - Emirats Arabes Unis - Moyen-Orient ## Instantané AttentionLes chercheurs ont identifié Guardzoo, un logiciel de surveillance Android utilisé pour cibler le personnel militaire dans les pays du Moyen-Orient, en particulier ceux alignés sur les intérêts houthis.La campagne, active depuis octobre 2019, cible principalement les victimes au Yémen, en Arabie saoudite, en Égypte, en Oman, aux EAU, au Qatar et en Turquie. ## Description Guardzoo, basé sur le logiciel espion Dendroid Rat, peut collecter divers types de données et est distribué via WhatsApp, WhatsApp Business et Direct Browser Downloads.Il peut également déployer des logiciels malveillants invasifs supplémentaires sur les appareils infectés.Le logiciel de surveillance utilise des thèmes militaires et autres comme leurres, et son infrastructure C2 est basée au Yémen, avec plus de 450 adresses IP appartenant aux victimes.Les journaux du serveur C2 ont révélé que les IP victimes sont dispersées dans les pays du Moyen-Orient, et la campagne est attribuée à un acteur de menace aligné par Houthi-Houth en fonction des leurres d'application, du ciblage et du lieu de l'infrastructure C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Les clients de Microsoft Defender peuvent [activer les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utilisédans les infections des infostèleurs.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui arrêtent des classes entières de menaces, notamment, les infostateurs, le vol d'identification et les ransomwares.Les bullets suivants offrent plus de conseils sur les conseils d'atténuation spécifiques: - [Allumez la protection PUA en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/detect-block-potentiale-unwanted-apps-microsoft-asvirus?ocid=Magicti_Ta_learndoctius) - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference? OCID = Magicti_TA_LearnDoc # Block-Execuable-Files-From-Running-Unbit-they-Met-A-Prevalence-Age-Or-Truted-List-Criterion) - [Block execution of potentially obfuscated scripts](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?ocid=magicti_ta_learndoc#block-execution-of-Script potentiellement obsédé) ## Les références [Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient.] (Https://www.lookout.com/thereat-intelligence/article/guardzoo-houthi-android-surveillanceware) Lookout (consulté en 2024-07-15) | Ransomware Malware Tool Threat Mobile | ★★★ | |
|
2024-07-17 19:01:32 | Les pirates DPRC ajusteront les logiciels malveillants pour attirer les utilisateurs de macOS en appels vidéo DPRK Hackers Tweak Malware to Lure MacOS Users into Video Calls (lien direct) |
La campagne d'espionnage nord-coréen fournit le voleur d'informations à queue de cast à mise à jour par l'usurpation du service d'appel vidéo légitime, découvre le chercheur.
North Korean espionage campaign delivers updated BeaverTail info stealer by spoofing legitimate video calling service, researcher finds. |
Malware | ★★★ | |
 |
2024-07-17 16:00:00 | Dark Web montre les cybercriminels prêts pour les Jeux olympiques.Es-tu? Dark Web Shows Cybercriminals Ready for Olympics. Are You? (lien direct) |
Selon l'analyse de New Fortiguard Labs, les Jeux olympiques de cette année ont été une cible pour un nombre croissant de cybercriminels.Ce rapport offre une vue complète des attaques planifiées, telles que les violations tierces, les infostelleurs, le phishing et les logiciels malveillants.En savoir plus.
According to new FortiGuard Labs analysis, this year\'s Olympics has been a target for a growing number of cybercriminals. This report provides a comprehensive view of planned attacks, such as third-party breaches, infostealers, phishing, and malware. Read more. |
Malware | ★★★ | |
|
2024-07-17 15:27:02 | \\ 'badpack \\' Les fichiers APK rendent les logiciels malveillants Android difficiles à détecter \\'BadPack\\' APK Files Make Android Malware Hard to Detect (lien direct) |
Informations d'en-tête manipulées dans les fichiers, dans des chevaux de Troie mobiles comme Teabot et d'autres, rend difficile pour les défenseurs de les analyser et de les détecter.
Manipulated header info within files, in mobile Trojans like TeaBot and others, makes it difficult for defenders to analyze and detect them. |
Malware Mobile | ★★ | |
|
2024-07-17 14:17:00 | APT17 lié à la Chine cible les sociétés italiennes avec 9002 logiciels malveillants de rat China-linked APT17 Targets Italian Companies with 9002 RAT Malware (lien direct) |
Un acteur de menace lié à la Chine appelée APT17 a été observé ciblant les entreprises italiennes et les entités gouvernementales en utilisant une variante d'un logiciel malveillant connu appelé 9002 rat.
Les deux attaques ciblées ont eu lieu le 24 juin et le 2 juillet 2024, a déclaré TG Soft, la société italienne de cybersécurité, a déclaré dans une analyse publiée la semaine dernière.
"La première campagne le 24 juin 2024 a utilisé un document de bureau, tandis que le second
A China-linked threat actor called APT17 has been observed targeting Italian companies and government entities using a variant of a known malware referred to as 9002 RAT. The two targeted attacks took place on June 24 and July 2, 2024, Italian cybersecurity company TG Soft said in an analysis published last week. "The first campaign on June 24, 2024 used an Office document, while the second |
Malware Threat | APT 17 | ★★★★ |
|
2024-07-17 14:00:00 | Comprendre Nullbulge, le nouveau groupe de combat \\ 'hacktiviste \\' Understanding NullBulge, the New AI-Fighting \\'Hacktivist\\' Group (lien direct) |
L'acteur de menace qui a affirmé que le récent Disney Hack ciblait auparavant des jeux et applications centrés sur l'IA avec des logiciels malveillants et des ransomwares de marchandises
The threat actor who claimed the recent Disney hack previously targeted AI-centric games and applications with commodity malware and ransomware |
Ransomware Malware Hack Threat | ★★ | |
|
2024-07-17 09:20:20 | Programme HTS privé utilisé en continu dans les attaques Private HTS Program Continuously Used in Attacks (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment couvert un cas où le rat Quasar a été distribué par le biais de la séance de foyer privéeSystèmes (HTS) dans le billet de blog & # 8220; Quasar Rat distribué par le programme HTS privé & # 8220;.Le même acteur de la menace a continué à distribuer continuellement les logiciels malveillants, et les cas d'attaque ont été confirmés même récemment.Semblable au cas précédent, le malware a été distribué via un HTS nommé HPLUS.Le flux d'infection global reste similaire, mais le fichier de distribution initial, qui était auparavant dans le ...
AhnLab SEcurity intelligence Center (ASEC) has previously covered a case where Quasar RAT was distributed through private home trading systems (HTS) in the blog post “Quasar RAT Being Distributed by Private HTS Program“. The same threat actor has been continuously distributing malware, and attack cases have been confirmed even recently. Similar to the previous case, the malware was distributed through an HTS named HPlus. The overall infection flow remains similar, but the initial distribution file, which was previously in the... |
Malware Threat | ★★ | |
|
2024-07-17 00:00:51 | Les orgs israéliens de l'Iran \\ sont de la porte porte Iran\\'s MuddyWater phishes Israeli orgs with custom BugSleep backdoor (lien direct) |
L'Inde, en Turquie, est également ciblée par une campagne qui repose sur le compromis des e-mails d'entreprise Muddywater, un équipe de cyber-espionnage soutenue par le gouvernement iranien, a amélioré son malware avec une porte dérobée personnalisée, qu'il \\ ''S utilisé pour cibler les organisations israéliennes.…
India, Turkey, also being targeted by campaign that relies on corporate email compromise MuddyWater, an Iranian government-backed cyber espionage crew, has upgraded its malware with a custom backdoor, which it\'s used to target Israeli organizations.… |
Malware | ★★ | |
|
2024-07-16 23:39:43 | Attaque de Mirrorface contre les organisations japonaises MirrorFace Attack against Japanese Organisations (lien direct) |
#### Géolocations ciblées - Japon #### Industries ciblées - Fabrication critique ## Instantané Les analystes du JPCert Coordination Center (JPCERT / CC) ont publié un rapport sur le groupe d'acteur de menace Mirrorface et leur utilisation de Lodeinfo et NOOPDOOR MALWWare depuis 2002. ## Description Au début, Mirrorface a ciblé les médias, les organisations politiques et les universités;Cependant, le groupe s'est mis à l'orientation des fabricants et des institutions de recherche en 2023. Historiquement, Mirrorface a utilisé le spearphishing pour obtenir un accès intime aux réseaux de victimes, mais a élargi leurs techniques pour tirer parti des vulnérabilités dans les services de réseaux privés virtuels (VPN), en particulier Array Ag et Fortige. Le groupe utilise NOOPDOOR, un Shellcode, pour s'injecter dans des applications légitimes à l'aide de fichiers XML ou DLL, communiquer avec un serveur de commande et de contrôle (C2) sur le port 443, et s'engager dans la reconnaissance, le mouvement latéral et l'exfiltration d'informations.Noopdoor utilise également un certain nombre de tactiques d'évasion de défense, notamment la manipulation des horodatages, la suppression des journaux d'événements Windows et la suppression des fichiers, entre autres. ## Analyse supplémentaire Les chercheurs de l'ESET évaluent que Mirrorface est un acteur de menace chinois qui cible les entreprises et les organisations basées au Japon.Les principales motivations du groupe comprennent l'espionnage et l'exfiltration des données sensibles. En décembre 2022, les chercheurs de l'ESET ont publié un [rapport] (https://www.eset.com/int/about/newsroom/press-releases/research/chinese-shipaking-mirrorface-targeted-a-japanais-political-party--avec l'espionnage et le vol de la prodigue-malware-ahead-elections-eset-research-unpcovers /) détaillant une campagne de espionnage attribuée à Mirrorface ciblant les entités politiques japonaises.Cette campagne, surnommée Operation Liberalface, s'est produite juste avant les élétions de la Chambre des conseillers japonaises en juillet 2022. Notamment, Eset a rapporté que les membres d'un parti politique japonais étaient spécifiquement ciblés dans le cadre de la campagne Operation Liberalface.Les e-mails de Spearphishing contenaient la porte dérobée personnalisée de Mirrorface \\, Lodeinfo, qui a été utilisée pour livrer des charges utiles supplémentaires et exfiltrate victimes \\ 'des informations d'identification, des documents et des e-mails. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le folMALWODIQUE-LA LABILAGE: - [Trojan: XML / Malagent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:xml/malagent!msr) - [* Trojan: Win64 / Malagent *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-dercription?name=trojan:win64 / Malagent! MSR) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Appliquer des mises à jour de sécurité aux solutions VPN vulnérables: - nécessite une authentification multi-facteurs pour l'accès des périphériques locaux, l'accès RDP et les connexions distantes via VPN.Utilisez des solutions sans mot de passe comme [Microsoft Authenticator] (https://www.microsoft.com/en-us/account/authenticator/).Pour plus de conseils, lisez sur: - [Configurer l'authentification multi-facteurs pour Office 365] (https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=O365-mondial) - [Utilisez une vérification en deux étapes avec les comptes de consommation] (https://support.microsoft.com/en-us/help/12408/microsoft-account-how-to-use-setwo-tep-verrification) - Sécurité des ser | Malware Tool Vulnerability Threat | ★★ |
To see everything:
Our RSS (filtrered)
