What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-14 11:00:02 | Vérifiez Point Infinity ThreatCloud AI présenté sur la liste des idées de changements du monde de Fast Company \\ Check Point Infinity ThreatCloud AI Featured on Fast Company\\'s 2024 World Changing Ideas List (lien direct) |
Threat | ★★★ | ||
 |
2024-05-14 10:00:00 | Comment DDR peut renforcer votre posture de sécurité How DDR Can Bolster Your Security Posture (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Today’s threat landscape is as dangerous as it has ever been. Global unrest, emerging technologies, and economic downturn all contribute to persistently high cybercrime rates and a dire need for organizations of all types to improve their security posture. There are standard ways of achieving a solid security posture that most of us will already be aware of: awareness training, regular patch management, and robust authentication methods are some examples. But in the face of increasingly frequent and sophisticated attacks, many traditional security methods are fast becoming inadequate. But this fact is no reason to panic. Tools and technologies are available that stand as a bulwark against an onslaught of both internal and external threats. The most important of these is Data Detection and Response (DDR). Please keep reading to learn more about DDR, how it can bolster your security posture, and what threats it can mitigate. What is Data Detection and Response? Data Detection and Response (DDR) is a cybersecurity solution that identifies and responds to security incidents within an organization’s IT environment. These solutions monitor data and user activity around the clock to identify and mitigate potential threats that have already penetrated the network. How Can Data Detection and Response Bolster Your Security Posture? Preventing data exfiltration is DDR’s most important function and can go a long way to bolstering your security posture. By classifying data based on its content and lineage, DDR solutions build a picture of an organization’s enterprise environment, identify the data most at risk, and establish what constitutes normal behavior. The solution can identify and act on any anomalous behavior by doing so. For example, an employee attempting to download sensitive financial information to their personal account would be deemed anomalous behavior, and the solution would either notify the security team or act to prevent the exfiltration, depending on how sophisticated the solution is. But it’s worth looking a little deeper at what we mean by classifying data: Lineage - Data lineage refers to the historical record of data as it moves through various stages of its lifecycle, including its origins, transformations, and destinations. It tracks data flow from its source systems to its consumption points, providing insights into how data is created, manipulated, and used within an organization. Content - Data classification by content involves categorizing data based on its inherent characteristics, attributes, and meaning within a specific business context or domain. It considers data type, sensitivity, importance, and relevance to business processes or analytical requirements. This distinction is important because some DDR solutions only classify data by content, which can result in false positives. To expand upon the previous example, a DDR solution classifying data by content alone would only know that an employee was trying to download a spreadsheet full of numbers, not that the spreadsheet contained financial data; this means that even if the spreadsheet contained personal, non-sensitive data, the solution would flag this to security team | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-05-14 09:50:02 | Normcyber atteint la spécialisation de la sécurité de Microsoft pour la protection des menaces NormCyber attains Microsoft security specialisation for Threat Protection (lien direct) |
Normcyber atteint la spécialisation de la sécurité de Microsoft pour la protection des menaces
Reconnaît les capacités techniques et les antécédents techniques du fournisseur de services de sécurité gérés \\ pour la protection des environnements d'entreprise contre les attaques
-
nouvelles commerciales
NormCyber attains Microsoft security specialisation for Threat Protection Recognises Managed Security Service Provider\'s technical capabilities and track record for protecting enterprise environments from attack - Business News |
Threat Technical | ★★ | |
 |
2024-05-14 09:15:00 | Les pirates utilisent le tunneling DNS pour scanner et suivre les victimes Hackers Use DNS Tunneling to Scan and Track Victims (lien direct) |
Palo Alto Networks avertit que les acteurs de la menace utilisent des techniques de tunneling DNS pour sonder les vulnérabilités du réseau
Palo Alto Networks warns threat actors are using DNS tunneling techniques to probe for network vulnerabilities |
Vulnerability Threat | ★★★★ | |
|
2024-05-14 08:30:00 | FCC Noms and Shames First Robocall Menace Actor FCC Names and Shames First Robocall Threat Actor (lien direct) |
Dans une première, la FCC a désigné «Royal Tiger» comme un groupe de menaces de robocall malveillant
In a first, the FCC has designated “Royal Tiger” as a malicious robocall threat group |
Threat | ★★ | |
|
2024-05-14 08:19:52 | Cybermenaces : Les mauvaises pratiques de correctifs et les protocoles non chiffrés continuent de hanter les entreprises (lien direct) | Cybermenaces : Les mauvaises pratiques de correctifs et les protocoles non chiffrés continuent de hanter les entreprises Le rapport du Cato Cyber Threat Research Labs (CTRL) analyse 1,26 trillion de flux réseau pour identifier les risques actuels pour la sécurité des entreprises. Toutes les entreprises continuent d'utiliser des protocoles non sécurisés sur leur réseau étendu : 62 % de l'ensemble du trafic des applications web étant constitué de HTTP L'IA prend d'assaut les entreprises : L'adoption la plus forte de Microsoft Copilot, OpenAI ChatGPT et Emol est observée à 79 % dans l'industrie du voyage et du tourisme et l'adoption la plus faible parmi les organisations de divertissement (44 %). Le zero-day est le moindre des soucis : les cyber attaques évitent souvent d'utiliser les dernières vulnérabilités et exploitent plutôt des systèmes non corrigés. - Investigations | Vulnerability Threat | ChatGPT | ★★★ |
 |
2024-05-14 06:41:04 | Mitre libère le modèle de menace de cybersécurité EMB3D pour les appareils intégrés pour stimuler la sécurité des infrastructures critiques MITRE releases EMB3D cybersecurity threat model for embedded devices to boost critical infrastructure security (lien direct) |
Après avoir annoncé le modèle de menace MITER EMB3D pour les appareils intégrés d'infrastructures critiques en décembre dernier, Mitre a publié sa cybersécurité ...
After announcing the MITRE EMB3D threat model for critical infrastructure embedded devices last December, MITRE released its cybersecurity... |
Threat | ★★★ | |
 |
2024-05-14 06:00:46 | Arrêt de cybersécurité du mois: les attaques d'identité qui ciblent la chaîne d'approvisionnement Cybersecurity Stop of the Month: Impersonation Attacks that Target the Supply Chain (lien direct) |
This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain-reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing QR code phishing Telephone-oriented attack delivery (TOAD) Payroll diversion MFA manipulation Supply chain compromise Multilayered malicious QR code attack In this post, we will look at how adversaries use impersonation via BEC to target the manufacturing supply chain. Background BEC attacks are sophisticated schemes that exploit human vulnerabilities and technological weaknesses. A bad actor will take the time to meticulously craft an email that appears to come from a trusted source, like a supervisor or a supplier. They aim to manipulate the email recipient into doing something that serves the attacker\'s interests. It\'s an effective tactic, too. The latest FBI Internet Crime Report notes that losses from BEC attacks exceeded $2.9 billion in 2023. Manufacturers are prime targets for cybercriminals for these reasons: Valuable intellectual property. The theft of patents, trade secrets and proprietary processes can be lucrative. Complex supply chains. Attackers who impersonate suppliers can easily exploit the interconnected nature of supply chains. Operational disruption. Disruption can cause a lot of damage. Attackers can use it for ransom demands, too. Financial fraud. Threat actors will try to manipulate these transactions so that they can commit financial fraud. They may attempt to alter bank routing information as part of their scheme, for example. The scenario Proofpoint recently caught a threat actor impersonating a legitimate supplier of a leading manufacturer of sustainable fiber-based packaging products. Having compromised the supplier\'s account, the imposter sent an email providing the manufacturer with new banking details, asking that payment for an invoice be sent to a different bank account. If the manufacturer had complied with the request, the funds would have been stolen. The threat: How did the attack happen? Here is a closer look at how the attack unfolded: 1. The initial message. A legitimate supplier sent an initial outreach email from their account to the manufacturing company using an email address from their official account. The message included details about a real invoice that was pending payment. The initial email sent from the supplier. 2. The deceptive message. Unfortunately, subsequent messages were not sent from the supplier, but from a threat actor who was pretending to work there. While this next message also came from the supplier\'s account, the account had been compromised by an attacker. This deceptive email included an attachment that included new bank payment routing information. Proofpoint detected and blocked this impersonation email. In an attempt to get a response, the threat actor sent a follow-up email using a lookalike domain that ended in “.cam” instead of “.com.” Proofpoint also condemned this message. An email the attacker sent to mimic the supplier used a lookalike domain. Detection: How did Proofpoint prevent this attack? Proofpoint has a multilayered detection stack that uses a sophisticated blend of artificial intelligence (AI) and machine learning (ML) detection | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★ |
 |
2024-05-14 02:16:31 | Les menaces d'initié maintiennent une tendance à la hausse Insider Threats Maintain a Rising Trend (lien direct) |
«Lorsque le chat est absent, la souris jouera», va le vieil adage.Les dépôts des CIFAS à but non lucratif anti-fraude soutiendront cette réclamation, car les rapports de base de données de menace d'initiés (ITD) ont augmenté de 14% au cours de la dernière année et sont largement attribuables aux employés de travail difficiles à maîtrise de la maison mélangés à «l'augmentation des financespressions. »Le rapport détaille d'autres incidents de comportement malhonnête, enregistrés cette année par la base de données nationale de fraude (NFD) du Royaume-Uni.Des menaces d'initiés sur la hausse de plus de 300 personnes ont été signalées à l'IDT en 2023. La cause la plus courante?Action malhonnête pour obtenir des avantages par le vol ou ...
“When the cat\'s away, the mouse will play,” the old adage goes. Filings to anti-fraud non-profit Cifas would support that claim, as Insider Threat Database (ITD) reports rose by 14% this past year and are largely attributable to hard-to-monitor work-from-home employees mixed with “increasing financial pressures.” The report details further incidents of dishonest behavior as recorded this year by the UK\'s National Fraud Database (NFD). Insider Threats on the Rise Over 300 individuals were reported to the IDT in 2023. The most common cause? Dishonest action to obtain benefit by theft or... |
Threat Prediction | ★★ | |
 |
2024-05-14 01:10:25 | Accès initial aux serveurs Web IIS détectés par Ahnlab EDR Initial Access to IIS Web Servers Detected by AhnLab EDR (lien direct) |
dans la société Internet moderne, on peut facilement obtenir des informations sur les appareils du monde entier connectés à InternetUtilisation des moteurs de recherche de réseau et de périphériques tels que Shodan.Les acteurs de la menace peuvent utiliser ces moteurs de recherche pour adopter des comportements malveillants tels que la collecte d'informations sur les cibles d'attaque ou effectuer des attaques de balayage de port contre tous les appareils.L'acteur de menace utilise les informations collectées pour trouver des faiblesses dans le système cible et tenter l'accès initial.En fin de compte, ils sont capables d'atteindre ...
In the modern Internet society, one can easily obtain information on devices all over the world connected to the Internet using network and device search engines such as Shodan. Threat actors can use these search engines to engage in malicious behaviors such as collecting information on attack targets or performing port scanning attacks against any devices. The threat actor utilizes the information collected to find weaknesses in the target system and attempt initial access. Ultimately, they are able to attain... |
Threat | ★★ | |
 |
2024-05-13 19:01:54 | La FCC désigne le premier acteur de menace de robocall dans le cadre d'un nouveau système de classification FCC designates first robocall threat actor under new classification system (lien direct) |
Pas de details / No more details | Threat | ★★★ | |
 |
2024-05-13 15:42:00 | Les vulnérabilités graves dans les modems cellulaires de Cinterrion présentent des risques pour diverses industries Severe Vulnerabilities in Cinterion Cellular Modems Pose Risks to Various Industries (lien direct) |
Les chercheurs en cybersécurité ont divulgué de multiples défauts de sécurité dans les modems cellulaires de Cinterion qui pourraient être potentiellement exploités par les acteurs de la menace pour accéder aux informations sensibles et réaliser l'exécution du code.
"Ces vulnérabilités comprennent des défauts critiques qui permettent l'exécution du code distant et l'escalade non autorisée, posant des risques substantiels aux réseaux de communication intégrés et à l'IoT
Cybersecurity researchers have disclosed multiple security flaws in Cinterion cellular modems that could be potentially exploited by threat actors to access sensitive information and achieve code execution. "These vulnerabilities include critical flaws that permit remote code execution and unauthorized privilege escalation, posing substantial risks to integral communication networks and IoT |
Vulnerability Threat | ★★★ | |
|
2024-05-13 15:12:56 | 13 mai & # 8211;Rapport de renseignement sur les menaces 13th May – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations des services partagés Connectured Ltd, un entrepreneur de paie du ministère britannique de la Défense, ont été violés, probablement par la Chine.Environ 270k enregistrements qui incluent les noms et les détails bancaires de la fois actuel et passé [& # 8230;]
>For the latest discoveries in cyber research for the week of 6th May, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Shared Services Connected Ltd, a payroll contractor for the UK Ministry of Defense has been breached, presumably by China. Around 270k records that include names and bank details of both current and past […] |
Threat | ★★ | |
|
2024-05-13 15:05:39 | ALERTE NOUVELLE: Criminal IP et Quad9 collaborent pour échanger un domaine et une IP Threat Intelligence News alert: Criminal IP and Quad9 collaborate to exchange domain and IP threat intelligence (lien direct) |
Torrance, Californie, 13 mai 2024, CyberNewswire & # 8212;Criminal IP, un moteur de recherche renommé Cyber Threat Intelligence (CTI) développé par l'IA Spera, a récemment signé un partenariat technologique pour échanger des données de renseignement sur les menaces basées sur des domaines et potentiellement sur l'IP & # 8230; (Plus…)
Torrance, Calif., May 13, 2024, CyberNewsWire — Criminal IP, a renowned Cyber Threat Intelligence (CTI) search engine developed by AI SPERA, has recently signed a technology partnership to exchange threat intelligence data based on domains and potentially on the IP … (more…) |
Threat | ★★★ | |
|
2024-05-13 14:59:07 | Les vulnérabilités critiques dans les modems cellulaires de Cinterrion constituent une menace importante pour les dispositifs industriels Critical vulnerabilities in Cinterion cellular modems pose significant threat to industrial devices (lien direct) |
> Des chercheurs de Kaspersky ICS CERT ont découvert des vulnérabilités critiques dans les modems cellulaires de Cinterrion, présentant une menace significative pour l'industrie ...
>Researchers from Kaspersky ICS CERT discovered critical vulnerabilities in Cinterion cellular modems, presenting a significant threat to industrial... |
Vulnerability Threat Industrial | ★★★ | |
|
2024-05-13 14:00:16 | Criminal IP et Quad9 collaborent pour échanger le domaine et l'intelligence des menaces IP Criminal IP and Quad9 Collaborate to Exchange Domain and IP Threat Intelligence (lien direct) |
> Par cybernewswire
Torrance, Californie, 13 mai 2024, CyberNewswire Criminal IP, un moteur de recherche de renom (CTI) de renom (CTI) développé par & # 8230;
Ceci est un article de HackRead.com Lire le message original: Criminal IP et Quad9 collaborent pour échanger le domaine et l'intelligence de la menace IP
>By cybernewswire Torrance, California, May 13th, 2024, CyberNewsWire Criminal IP, a renowned Cyber Threat Intelligence (CTI) search engine developed by… This is a post from HackRead.com Read the original post: Criminal IP and Quad9 Collaborate to Exchange Domain and IP Threat Intelligence |
Threat | ★★ | |
 |
2024-05-13 14:00:00 | Pourquoi les jetons sont comme de l'or pour les acteurs de menaces opportunistes Why Tokens Are Like Gold for Opportunistic Threat Actors (lien direct) |
Lorsque vous définissez des politiques d'expiration des jetons d'authentification, appuyez toujours sur la sécurité sur la commodité des employés.
When setting authentication token expiry policies, always lean in to security over employee convenience. |
Threat | ★★★ | |
 |
2024-05-13 13:30:14 | Faits saillants hebdomadaires, 13 mai 2024 Weekly OSINT Highlights, 13 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de OSINT mettent en évidence une gamme de cyber-menaces et de tactiques d'attaque en évolution orchestrée par des acteurs de menace sophistiqués.Les articles discutent d'une variété de vecteurs d'attaque, notamment l'exploitation des vulnérabilités logicielles (comme dans les appliances VPN Secure Ivanti Secure et Laravel), le malvertissant via Google Search Ads et les invites de mise à jour de navigateur trompeuses utilisées pour distribuer des logiciels malveillants comme Socgholish.Les acteurs de la menace identifiés dans ces rapports, y compris des groupes APT comme APT42 (Mint Sandstorm) et Kimsuky (Emerald Sleet), démontrent des tactiques d'ingénierie sociale avancées, des portes dérobées et des efforts de reconnaissance persistants ciblant les ONG, les organisations de médias et les entreprises.Les attaquants exploitent les sites Web compromis, les plateformes de médias sociaux et les outils de gestion du système pour établir des anciens et exécuter des commandes distantes, soulignant la nécessité de défenses de cybersécurité robustes et une vigilance accrue pour lutter efficacement ces menaces en évolution. ## Description 1. ** [Nouvelle chaîne d'infection associée à Darkgate Malware] (https://security.microsoft.com/intel-explorer/articles/1db83f2c) **: Les chercheurs de McAfee Labs ont découvert une nouvelle chaîne d'infection liée à Darkgate, une télécommandeAccès à Trojan (rat) commercialisé sur un forum de cybercriminalité en langue russe.Darkgate utilise des fonctionnalités diverses comme l'injection de processus, le keylogging et le vol de données, et il échappe à la détection en utilisant des tactiques d'évasion comme le contournementMicrosoft Defender SmartScreen. 2. ** [Évolution du chargeur de logiciels malveillants Hijackloader] (https://security.microsoft.com/intel-explorer/Articles / 8c997d7c) **: Zscaler rapporte sur l'évolution de Hijackloader, un chargeur de logiciels malveillants modulaire avec de nouvelles techniques d'évasion ciblant l'antivirus Windows Defender et le contrôle des comptes d'utilisateurs (UAC).Hijackloader offre diverses familles de logiciels malveillants comme Amadey, Lumma Stealer et Remcos Rat grâce à des techniques impliquant des images PNG et un décryptage. 3. ** [Kimsuky Group \'s (Emerald Sleet) Sophistiqué Espionage Tactics] (https://security.microsoft.com/intel-explorer/articles/6e7f4a30) **: Kimsuky (suivi sous le nom de Sleet Emerald par Microsoft)Emploie les plateformes de médias sociaux et les outils de gestion des systèmes pour l'espionnage, ciblant les individus des droits de l'homme et des affaires de la sécurité nord-coréennes.Ils utilisent de faux profils Facebook, de faux entretiens d'embauche et des fichiers malveillants de la console de gestion Microsoft (MMC) pour exécuter des commandes distantes et établir des canaux de commande et de contrôle (C2). 4. ** [Distribution des logiciels malveillants via Google Search Ads Exploitation] (https://security.microsoft.com/intel-explorer/articles/1f1ae96f): ** Les acteurs de la menace tirent parti des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI, la mascarradagecomme un logiciel légitime comme la notion.Lors de l'interaction, les scripts PowerShell s'exécutent pour injecter des logiciels malveillants Zgrat, démontrant des techniques sophistiquées pour contourner les mesures de sécurité et contrôler les systèmes infectés. 5. **[Exploitation of Ivanti Pulse Secure VPN Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/2d95eb1b):** Attackers exploit vulnerabilities (CVE-2023-46805 and CVE-2024-21887) In Ivanti Pulse Secure VPN Appliances pour livrer le botnet Mirai et d'autres logiciels malveillants.Ces vulnérabilités permettent l'exécution du code distant et le contournement des mécanismes d'authentification, ce qui constitue des menaces importantes à la sécurité du réseau à l'échelle mondia | Spam Malware Tool Vulnerability Threat Cloud | APT 42 | ★★ |
 |
2024-05-13 11:17:58 | Helsinki subit une violation de données après que les pirates exploitent une faille non corrigée Helsinki suffers data breach after hackers exploit unpatched flaw (lien direct) |
La ville d'Helsinki enquête sur une violation de données dans sa division de l'éducation, qu'elle a découverte fin avril 2024, ayant un impact sur des dizaines de milliers d'étudiants, de tuteurs et de personnel.[...]
The City of Helsinki is investigating a data breach in its education division, which it discovered in late April 2024, impacting tens of thousands of students, guardians, and personnel. [...] |
Data Breach Threat | ★★★ | |
 |
2024-05-13 11:04:08 | LLMS \\ 'Insécurité du chemin de contrôle des données LLMs\\' Data-Control Path Insecurity (lien direct) |
Dans les années 1960, si vous jouiez un ton de 2 600 Hz dans un téléphone AT & # 38;, vous pourriez passer des appels sans payer.Un pirate de téléphone nommé John Draper a remarqué que le Whistle en plastique qui est venu librement dans une boîte de céréales Captain Crunch a fonctionné pour faire le bon son.C'est devenu son nom de pirate, et tous ceux qui connaissaient l'astuce ont fait des appels gratuits.
Il y avait toutes sortes de hacks connexes, comme simulant les tons qui signalaient des pièces de monnaie tombant dans un téléphone payant et truant les tons utilisés par l'équipement de réparation.AT & # 38; ne pouvait pas parfois changer les tons de signalisation, les rendre plus compliqués ou essayer de les garder secrètes.Mais la classe générale de l'exploit était impossible à résoudre car le problème était général: les données et le contrôle utilisaient le même canal.Autrement dit, les commandes qui ont dit au changement de téléphone quoi faire ont été envoyées le long du même chemin que les voix ...
Back in the 1960s, if you played a 2,600Hz tone into an AT&T pay phone, you could make calls without paying. A phone hacker named John Draper noticed that the plastic whistle that came free in a box of Captain Crunch cereal worked to make the right sound. That became his hacker name, and everyone who knew the trick made free pay-phone calls. There were all sorts of related hacks, such as faking the tones that signaled coins dropping into a pay phone and faking tones used by repair equipment. AT&T could sometimes change the signaling tones, make them more complicated, or try to keep them secret. But the general class of exploit was impossible to fix because the problem was general: Data and control used the same channel. That is, the commands that told the phone switch what to do were sent along the same path as voices... |
Threat | ★★★ | |
|
2024-05-13 10:40:12 | ForeScout Détails Le groupe RansomHub apparaît comme la dernière attaque de santé post-changement cyber-menace Forescout details RansomHub group emerges as latest cyber threat post-Change Healthcare attack (lien direct) |
> Les chercheurs de Vedere Labs de ForeScout ont révélé qu'un nouvel acteur de menace éminent, nommé & # 8216; RansomHub, & # 8217;a fait surface dans le ...
>Researchers at Forescout\'s Vedere Labs revealed that a new prominent threat actor, named ‘RansomHub,’ has surfaced in the... |
Threat Medical | ★★★ | |
|
2024-05-13 10:00:00 | 2024 Recaps RSA: permettez-nous de nous réintroduire 2024 RSA Recap: Allow us to Reintroduce Ourselves (lien direct) |
La conférence RSA 2024 a officiellement terminé, et cet événement de cette année a été le fond parfait pour nous pour faire notre réintroduction à l'industrie.
Présentation de niveauBlue, The Truted Cybersecurity Advisors
Le premier jour de RSA, nous avons officiellement annoncé Le lancement de niveaublue , anciennement connu sous le nom de cybersécurité AT & T.En signifiant un nouveau départ passionnant pour l'entreprise, j'ai été rejoint par le PDG de niveauBlue, Bob McCullen pour rencontrer des clients clés, des analystes et des presseurs pendant la conférence.
LevelBlue propose des services de sécurité gérés stratégiques, ainsi que des consultants par des experts de pointe, des renseignements et de la détection des menaces et un soutien continu du Centre des opérations de sécurité (SOC);servant de conseiller de confiance en cybersécurité aux entreprises du monde entier.Comme l'analyste de technologie renommée Steve McDowell l'a noté & ldquo; LevelBlue émerge dans le paysage de la cybersécurité avec des actifs et une expertise importants hérités de AT & t et enrichi par l'acquisition d'Alienvault. & Rdquo;
Pour célébrer l'annonce de LevelBlue, nous avons également organisé un dîner de bienvenue pour les médias auxquels les participants avaient un accès exclusif pour en savoir plus sur la formation de niveauBlue et ce qui est le prochain pour l'entreprise.Nous avons reçu d'excellents commentaires et excitation à propos de notre lancement à partir de publications notables, de cybersécurité et de technologie, notamment forbes , l'enregistrement, et la nouvelle pile.
Un merci spécial à RSAC, à toute l'équipe de niveau de niveau, aux médias et à nos partenaires pour leur collaboration dans un lancement réussi.Suivez le niveaublue sur x , LinkedIn , Facebook , et YouTube Pour rester à jour sur notre voyage!
   
   
The 2024 RSA Conference has officially wrapped, and this year’s event served as the perfect backdrop for us to make our re-introduction to the industry. Introducing LevelBlue, the Trusted Cybersecurity Advisors On day one of RSA, we officially |
Threat Conference | ★★★ | |
|
2024-05-13 08:45:00 | L'acteur de menace prétend la grande violation des données d'Europol Threat Actor Claims Major Europol Data Breach (lien direct) |
Un acteur de menace connu sous le nom d'Intelbroker prétend vendre des données confidentielles d'Europol après une violation de mai
A threat actor known as IntelBroker claims to be selling confidential Europol data after a May breach |
Data Breach Threat | ★★★ | |
 |
2024-05-13 07:55:00 | L'affilié de Mallox exploite Purecrypter dans les campagnes d'exploitation MS-SQL Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns (lien direct) |
> Ce rapport a été initialement publié pour nos clients le 2 mai 2024. Dans le cadre de notre routine de surveillance des vulnérabilités critiques, la menace de Sekoia \'s & # 38;L'équipe de recherche de détection (TDR) déploie et supervise les points de miel à différents endroits du monde entier pour identifier les exploitations potentielles.Table des matières Introduction Infection Flux Accès initial Exploitation post-exploitationAnalyse de la charge utile de Purecrypter [& # 8230;]
la Publication Suivante Levré des affiliés Mallox Purecrypter dans MS-Campagnes d'exploitation SQL est un article de blog Sekoia.io .
>This report was originally published for our customers on 2 May 2024. As part of our critical vulnerabilities monitoring routine, Sekoia\'s Threat & Detection Research (TDR) team deploys and supervises honeypots in different locations around the world to identify potential exploitations. Table of contents Introduction Infection flow Initial access Exploitation Post exploitation PureCrypter payload analysis […] La publication suivante Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns est un article de Sekoia.io Blog. |
Vulnerability Threat | ★★★ | |
|
2024-05-13 07:18:13 | Mémoire de sécurité: des millions de messages distribuent un ransomware noir Lockbit Security Brief: Millions of Messages Distribute LockBit Black Ransomware (lien direct) |
Que s'est-il passé & nbsp; À partir du 24 avril 2024 et en continuant quotidiennement pendant environ une semaine, Proofpoint a observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomware Black Lockbit.C'est la première fois que des chercheurs ont observé des échantillons de ransomwares noirs Lockbit (AKA Lockbit 3.0) livrés via Phorphiex dans des volumes aussi élevés.L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de lockbit qui a été divulgué au cours de l'été 2023. & nbsp; & nbsp; Les messages provenaient de «Jenny Green» avec l'adresse e-mail de Jenny @ GSD [.] Com.Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.& nbsp; De: «Jenny Green» Jenny @ gsd [.] Com & nbsp; Sujet: Votre document et NBSP; Pièce jointe: document.zip & nbsp; Exemple de message de «Jenny Green». & Nbsp; Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé.Bien que la chaîne d'attaque de cette campagne n'était pas nécessairement complexe par rapport à ce qui a été observé sur le paysage de la cybercriminalité jusqu'à présent en 2024, la nature à volume élevé des messages et l'utilisation du ransomware comme charge utile de première étape sont notables.& nbsp; La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Le binaire .exe initiera un appel de réseau à l'infrastructure de botnet Phorphiex.En cas de succès, l'échantillon Black Lockbit est téléchargé et fait exploser sur le système final de l'utilisateur \\ où il présente un comportement de vol de données et saisit le système, cryptant des fichiers et terminant les services.Dans une campagne antérieure, le ransomware a été directement exécuté et aucune activité de réseau n'a été observée, empêchant les détections ou les blocs de réseau. & NBSP; Note de rançon de l'échantillon noir Lockbit. & Nbsp; Attribution et NBSP; La recherche sur les menaces de preuves n'a pas attribué cette campagne à un acteur de menace connu.Phorpiex est un botnet de base conçu pour offrir des logiciels malveillants via des campagnes d'email à haut volume.Il fonctionne comme un logiciel malveillant en tant que service et a recueilli un grand portefeuille de clients d'acteurs de menace plus d'une décennie de fonctionnement (des versions antérieures ont été observées pour la première fois dans le paysage des menaces vers 2011).Depuis 2018, le botnet a été observé pour effectuer des activités d'exfiltration de données et de livraison de ransomwares.Malgré les efforts de perturbation au fil des ans, le botnet persiste. & Nbsp; & nbsp; ProofPoint a observé un groupe d'activités utilisant le même alias «Jenny Green» avec des leurres liés à «votre document» livrant des logiciels malveillants Phorpiex dans les campagnes de messagerie depuis au moins janvier 2023. & nbsp; & nbsp; Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publié avec des capacités améliorées par les affiliés des ransomwares en juin 2022. En septembre 2022, le constructeur de ransomware confidentiel a été divulgué via Twitter.À l'époque, plusieurs parties ont revendiqué l'attribution, mais les affiliés de Lockbit ont affirmé que le constructeur avait été divulgué par un développeur mécontent.La fuite permet à quiconque d'adopter la configuration des versions personnalisées. & Nbsp; & nbsp; Pourquoi c'est important et NBSP; Le ransomware en tant que charge utile de première étape attachée aux campagnes de menace par e-mail n'est pas quelque chose que le point de preuve a observé en volumes élevé de | Ransomware Malware Threat | ★★★ | |
|
2024-05-13 01:48:46 | Escroqueries romanes exhortant l'investissement de la pièce Romance Scams Urging Coin Investment (lien direct) |
L'équipe d'analyse mobile de Ahnlab & # 8217;amis à l'étranger ou partenaires romantiques.Ils exploitent ce lien pour solliciter de l'argent sous couvert d'investissements de crypto-monnaie.Une arnaque romantique est un type de fraude qui implique une manipulation émotionnelle pour solliciter de l'argent par divers moyens.Alors que les escroqueries romanes précédentes impliquaient principalement des demandes directes d'argent après avoir gagné de l'affection, les escroqueries actuelles ont élargi leur portée pour inclure de faux échanges de crypto-monnaie, des banques et des achats en ligne ...
AhnLab’s Mobile Analysis Team has confirmed cases of romance scams where perpetrators establish rapport by posing as overseas friends or romantic partners. They exploit this connection to solicit money under the guise of cryptocurrency investments. A romance scam is a type of fraud that involves emotional manipulation to solicit money through various means. While previous romance scams mostly involved direct requests for money after gaining affection, current scams have expanded their scope to include fake cryptocurrency exchanges, banks, and online shopping... |
Threat Mobile | ★★★ | |
|
2024-05-11 12:59:00 | Fin7 Hacker Group exploite les annonces Google malveillantes pour livrer NetSupport Rat FIN7 Hacker Group Leverages Malicious Google Ads to Deliver NetSupport RAT (lien direct) |
L'acteur de menace financièrement motivé connu sous le nom de & nbsp; fin7 & nbsp; a & nbsp; a été observé & nbsp; en tirant un tir de google malveillant les marques légitimes et nbsp; en tant que moyens et NBSP; pour livrer des installateurs MSIX qui culminent dans le déploiement de & nbsp; netsupport rat.
"Les acteurs de la menace ont utilisé des sites Web malveillants pour usurper l'identité de marques bien connues, notamment AnyDesk, Winscp, BlackRock, Asana, Concur, The Wall
The financially motivated threat actor known as FIN7 has been observed leveraging malicious Google ads spoofing legitimate brands as a means to deliver MSIX installers that culminate in the deployment of NetSupport RAT. "The threat actors used malicious websites to impersonate well-known brands, including AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall |
Threat | ★★★ | |
 |
2024-05-11 08:59:06 | Google corrige le cinquième exploit zéro jour dans Chrome Google Patches the Fifth Zero-Day Exploit in Chrome (lien direct) |
Google a identifié et corrigé une cinquième vulnérabilité dans Chrome Cette année.
CVE-2024-4671 est A & # 8220; utilisateur après gratuit & # 8221;Vulnérabilité dans le composant visuel du navigateur, qui gère comment Chrome rend les pages Web.
Ce nouvel exploit zéro-jour a été révélé après qu'un chercheur de sécurité anonyme l'a signalé à Google.
La société a pris connaissance de ce problème très grave et a publié un patch.
Quels sont les dégâts?
Les pirates peuvent tirer parti de cet exploit pour effectuer l'exécution du code, voler des données ou écraser le système.
Google a reconnu la nouvelle vulnérabilité dans son navigateur et a dit, & # 8220; il est conscient qu'un exploit pour CVE-2024-4671 existe dans la nature. & # 8221;
C'est à ce sujet.Il n'a donné aucune clarification supplémentaire sur la raison de cet exploit et le nombre d'utilisateurs affectés par celui-ci.
Avant cela, Google a corrigé trois vulnérabilités découvertes en mars dans un événement de piratage PWN2OWN et CVE-2024-0519 en janvier 2024.
le Advisory a mentionné qu'une mise à jour a été publiée pour les utilisateurs de Windows et Mac.Puisqu'il y a deux canaux stables stables et étendus, les versions mises à jour sont différentes.
Quelle mise à jour devez-vous télécharger?
Les utilisateurs de la version stable doivent télécharger le 124.0.6367.201/.202 pour Mac et Windows et 124.0.6367.201 pour Linux.
Pour la chaîne stable étendue, Google a publié la mise à jour 124.0.6367.201 pour Mac et Windows.
Lorsqu'il sera disponible, Chrome Automatic Mises à jour téléchargera cette mise à jour, qui contient des correctifs pour l'exploit zéro jour.Google a indiqué que le déploiement pourrait prendre quelques jours / semaines pour se terminer.
Vous pouvez également vérifier manuellement les mises à jour en tapant chrome: // Paramètres / aide dans la barre d'URL.Puis vérifier et télécharger la dernière mise à jour.
Après cela, redémarrez le navigateur pour appliquer la mise à jour.
Google has identified and patched a fifth vulnerability in Chrome this year. CVE-2024-4671 is a “user after free” vulnerability in the browser’s Visuals component, which manages how Chrome renders web pages. This new zero-day exploit came to light after an anonymous security researcher reported it to Google. The company took cognizance of this highly severe issue and released a patch. What\'s the Damage? Hackers can leverage this exploit to perform code execution, steal data, or crash the system. Google acknowledged the new vulnerability in its browser and said, “It is aware that an exploit for CVE-2024-4671 exists in the wild.” That’s about it. It gave no further clarification on the reason behind this exploit and the number of users affected by it. Before this, Google patched three vulnerabilities discovered in March in a Pwn2Own hacking event and CVE-2024-0519 in January 2024. The advisory mentioned that an update has been issued for Windows and Mac users. Since there are two stable and extended stable channels, the updated versions are different. Which Update Should You Download? Stable |
Vulnerability Threat | ★★★ | |
|
2024-05-11 08:36:25 | Europol confirme la violation du portail Web, indique qu'aucune donnée opérationnelle volée Europol confirms web portal breach, says no operational data stolen (lien direct) |
Europol, l'agence d'application de la loi de l'Union européenne, a confirmé que sa plate-forme Europol pour les experts (EPE) avait été violée et enquête maintenant sur l'incident après qu'un acteur de menace a affirmé avoir volé pour des documents officiels (FOUO) contenant des documents classifiés classés classésdonnées.[...]
Europol, the European Union\'s law enforcement agency, confirmed that its Europol Platform for Experts (EPE) portal was breached and is now investigating the incident after a threat actor claimed they stole For Official Use Only (FOUO) documents containing classified data. [...] |
Threat Legislation | ★★★ | |
|
2024-05-10 21:39:05 | Llmjacking: des informations d'identification cloud volées utilisées dans une nouvelle attaque d'IA LLMjacking: Stolen Cloud Credentials Used in New AI Attack (lien direct) |
#### Industries ciblées
- Informatique
## Instantané
L'équipe de recherche sur les menaces de Sysdig a publié un rapport sur une nouvelle attaque appelée LLMJacking, où des informations d'identification cloud exploitées sont utilisées pour cibler les services de modèle de grande langue (LLM).
## Description
Les informations d'identification utilisées dans cette attaque ont été acquises à partir d'un système exécutant une version vulnérable de Laravel ([CVE-2021-3129] (https://security.microsoft.com/intel-explorer/cves/cve-2021-3129/)).Bien que les attaques contre les systèmes d'IA basées sur LLM soient souvent discutées dans le contexte de l'abus rapide et de la modification des données de formation, cette attaque visait à vendre l'accès à LLM à d'autres cybercriminels tandis que le propriétaire du compte cloud a pris la facture.Lors de l'accès initial, les attaquants ont exfiltré des informations d'identification cloud et ont pénétré l'environnement cloud pour cibler les modèles LLM locaux hébergés par les fournisseurs de cloud.
Les chercheurs de Sysdig ont découvert des preuves d'un proxy inversé pour les LLM utilisés, suggérant une motivation financière ou l'extraction des données de formation LLM.Les attaquants visaient à accéder à un large éventail de modèles LLM à travers différents services, vérifiant les informations d'identification pour dix services d'IA différents afin de déterminer leur utilité.Les requêtes LLM légitimes n'ont pas été exécutées au cours de cette phase, avec des actions limitées pour évaluer les capacités et les quotas des informations d'identification, ainsi que les paramètres de journalisation de l'interrogation.Les modèles LLM hébergés sont accessibles entre les principaux fournisseurs de cloud, mais les demandes doivent être soumises pour l'activation, posant un obstacle mineur pour les attaquants.
Les attaquants ont navigué dans l'environnement cloud en émettant des demandes d'API apparemment légitimes, en sondant stratégiquement leurs limites d'accès sans déclencher immédiatement des alarmes.Par exemple, en définissant intentionnellement un paramètre non valide dans l'appel API InvokEModel, ils ont confirmé l'accès aux services LLM actifs.En outre, les attaquants ont exprimé leur intérêt pour la configuration du service, visant à cacher leurs activités en évitant les observations détaillées.Dans les attaques de LLMJacking, les victimes sont confrontées à une augmentation des coûts, les dépenses quotidiennes potentielles dépassant 46 000 $, et les attaquants peuvent perturber les opérations commerciales en maximisant les limites des quotas et en bloquant l'utilisation légitime du modèle.
## Les références
[Llmjacking: les informations d'identification cloud volées utilisées dans une nouvelle attaque d'IA] (https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack/).Sysdig (consulté le 05-10-2024)
#### Targeted Industries - Information Technology ## Snapshot The Sysdig Threat Research Team released a report on a new attack termed LLMjacking, where exploited cloud credentials are used to target large language model (LLM) services. ## Description The credentials used in this attack were acquired from a system running a vulnerable version of Laravel ([CVE-2021-3129](https://security.microsoft.com/intel-explorer/cves/CVE-2021-3129/)). While attacks against LLM-based AI systems are often discussed in the context of prompt abuse and altering training data, this attack aimed to sell LLM access to other cybercriminals while the cloud account owner footed the bill. Upon initial access, attackers exfiltrated cloud credentials and penetrated the cloud environment to target local LLM models hosted by cloud providers. Sysdig researchers discovered evidence of a reverse proxy for LLMs being used, suggesting financial motivation or the extraction of LLM training data. Th |
Threat Cloud | ★★★ | |
 |
2024-05-10 21:01:07 | L'Iran est le plus susceptible de lancer une cyberattaque destructrice contre nous & # 8211;Analyste Intel de Force ex-Air Iran most likely to launch destructive cyber-attack against US – ex-Air Force intel analyst (lien direct) |
Mais la Chine \\ est l'interview plus avancée sur le plus technologiquement avancé La Chine reste la plus grande menace pour le gouvernement américain, l'infrastructure critique de l'Amérique et son privé- Réseaux de secteur, la communauté du renseignement de la nation \\ a évalué.…
But China\'s the most technologically advanced Interview China remains the biggest cyber threat to the US government, America\'s critical infrastructure, and its private-sector networks, the nation\'s intelligence community has assessed.… |
Threat | ★★★ | |
|
2024-05-10 20:24:00 | Les pirates nord-coréens déploient de nouveaux logiciels malveillants de Golang \\ 'durian \\' contre les entreprises cryptographiques North Korean Hackers Deploy New Golang Malware \\'Durian\\' Against Crypto Firms (lien direct) |
L'acteur de menace nord-coréen suivi comme Kimsuky a été observé pour déployer un logiciel malveillant auparavant sans papiers surnommé Golang surnommé & nbsp; Durian & NBSP; dans le cadre de cyberattaques fortement ciblées destinées aux entreprises sud-coréennes.
"Durian possède une fonctionnalité complète de porte dérobée, permettant l'exécution de commandes délivrées, de téléchargements de fichiers supplémentaires et d'exfiltration de fichiers", Kaspersky &
The North Korean threat actor tracked as Kimsuky has been observed deploying a previously undocumented Golang-based malware dubbed Durian as part of highly-targeted cyber attacks aimed at South Korean cryptocurrency firms. "Durian boasts comprehensive backdoor functionality, enabling the execution of delivered commands, additional file downloads and exfiltration of files," Kaspersky& |
Malware Threat | ★★★ | |
|
2024-05-10 19:33:41 | Les pirates nord-coréens abusant de la console de gestion Facebook & MS North Korean Hackers Abusing Facebook & MS Management Console (lien direct) |
## Instantané
Le groupe de piratage nord-coréen Kimsuky a été observé à l'aide de méthodes sophistiquées pour mener des activités d'espionnage, y compris l'exploitation des plateformes de médias sociaux et des outils de gestion du système.
** Microsoft suit Kimsuky en tant que grésil émeraude.[En savoir plus sur le grésil émeraude ici.] (Https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) **
## Description
Le groupe a utilisé de faux profils Facebook pour cibler les personnes impliquées dans les droits de l'homme et les affaires de la sécurité nord-coréennes, s'engageant avec des cibles potentielles par le biais de demandes d'amis et de messages personnels.Cette tactique d'ingénierie sociale est conçue pour renforcer la confiance et attirer les cibles dans un piège, conduisant finalement au partage de liens ou de documents malveillants.
De plus, Kimsuky a adopté des fichiers Microsoft Management Console (MMC), déguisés en documents inoffensifs, pour exécuter des commandes malveillantes sur les systèmes des victimes.Une fois ouvertes, ces fichiers peuvent potentiellement permettre aux attaquants de prendre le contrôle du système ou des informations sensibles à l'exfiltrat, établissant finalement un canal de commande et de contrôle (C2) pour gérer les systèmes compromis à distance.L'utilisation de plateformes de médias sociaux comme Facebook pour les contacts initiaux et le déploiement d'outils de gestion du système pour exécuter des attaques représentent une escalade importante des tactiques de cyber-menace.
Ces méthodes indiquent un changement vers des attaques plus furtives et socialement modifiées qui peuvent contourner les mesures de sécurité conventionnelles.Les activités récentes du groupe Kimsuky soulignent l'évolution continue des acteurs cyber-menaces et la nécessité de défenses de cybersécurité robustes, soulignant l'importance d'une vigilance améliorée concernant les interactions sur les réseaux sociaux et la mise en œuvre de systèmes de détection de menace avancés pour contrer ces menaces.
## Les références
["Les pirates nord-coréens abusant de la console de gestion Facebook & MS"] (https://gbhackers.com/north-korean-hackers-abusing/) gbhackers.(Consulté en 2024-05-10)
## Snapshot The North Korean hacking group Kimsuky has been observed using sophisticated methods to conduct espionage activities, including the exploitation of social media platforms and system management tools. **Microsoft tracks Kimsuky as Emerald Sleet. [Read more about Emerald Sleet here.](https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e)** ## Description The group has been using fake Facebook profiles to target individuals involved in North Korean human rights and security affairs, engaging with potential targets through friend requests and personal messages. This social engineering tactic is designed to build trust and lure the targets into a trap, eventually leading to the sharing of malicious links or documents. Additionally, Kimsuky has adopted Microsoft Management Console (MMC) files, disguised as innocuous documents, to execute malicious commands on victims\' systems. Once opened, these files can potentially allow the attackers to gain control over the system or exfiltrate sensitive information, ultimately establishing a command and control (C2) channel to manage the compromised systems remotely. The use of social media platforms like Facebook for initial contact and the deployment of system management tools for executing attacks represents a significant escalation in cyber threat tactics. These methods indicate a shift towards more stealthy and socially engineered attacks that can bypass conventional security measures. The recent activities of the Kimsuky group underscore the continuous evolution of cyber threat actors and the need for robust cyb |
Tool Threat | ★★★★ | |
|
2024-05-10 18:22:00 | Censysgpt: menace alimentée par AI pour la chasse aux pros de la cybersécurité (webinaire) CensysGPT: AI-Powered Threat Hunting for Cybersecurity Pros (Webinar) (lien direct) |
L'intelligence artificielle (IA) transforme la cybersécurité, et ceux qui dirigent la charge l'utilisent pour déjouer les cyber-menaces de plus en plus avancées.
Rejoignez-nous pour un webinaire passionnant, "L'avenir de la chasse aux menaces est propulsé par une AI générative", où vous explorez comment les outils de l'IA façonnent l'avenir des défenses de la cybersécurité.
Pendant la session, le chercheur de la sécurité des censurons Aidan Holland
Artificial intelligence (AI) is transforming cybersecurity, and those leading the charge are using it to outsmart increasingly advanced cyber threats. Join us for an exciting webinar, "The Future of Threat Hunting is Powered by Generative AI," where you\'ll explore how AI tools are shaping the future of cybersecurity defenses. During the session, Censys Security Researcher Aidan Holland will |
Tool Threat | ★★★ | |
|
2024-05-10 16:50:08 | Socgholish attaque les entreprises via de fausses mises à jour du navigateur SocGholish Attacks Enterprises Via Fake Browser Updates (lien direct) |
## Instantané
Socgholish (également connu sous le nom de FakeUpdates), un logiciel malveillant connu pour sa furtivité et la complexité de ses mécanismes de livraison, cible les entreprises avec des invites de mise à jour de navigateur trompeuse.
## Description
Comme indiqué par Esesentire, des sites Web légitimes compromis servent de vecteur d'infection, où le code JavaScript malveillant est injecté pour inciter les utilisateurs à télécharger des mises à jour du navigateur.Les fichiers téléchargés contiennent des logiciels malveillants SocGholish, en lançant le processus d'infection lors de l'exécution.
Le script utilise diverses techniques pour éviter la détection et échapper à l'analyse.Tout d'abord, il vérifie si le navigateur est contrôlé par des outils d'automatisation et termine l'exécution s'il est détecté.Par la suite, il examine si la fenêtre du navigateur a subi une manipulation importante pour déterminer si l'environnement est surveillé.De plus, il inspecte des cookies WordPress spécifiques pour arrêter d'autres actions si l'utilisateur est connecté à un site WordPress.Si aucune de ces conditions ne s'applique, il établit un écouteur d'événements de mouvement de souris, déclenchant le chargement du script uniquement après l'interaction de l'utilisateur, susceptible de contourner les mécanismes de détection ciblant l'activité malveillante lors du chargement de la page.
Après le compromis initial, les attaquants se sont engagés dans l'activité pratique des panneaux et des techniques de vie pour extraire les mots de passe stockés des navigateurs, décrypter et effectuer une reconnaissance.Notamment, les attaquants ont également inséré des balises Web dans les signatures par e-mail et les partages de réseau pour tracer les relations commerciales.Esesentire affirme que cela peut être un effort pour cibler les organisations d'intérêt connexes.
## Détections
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [Comportement: win32 / socgolsh] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/socgolsh.sB & menaceid = -2147152249)
- [Trojan: JS / FakeUpdate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:js/fakeupdate.c& threattid=-2147150555)
- [Trojandownloader: JS / Socgholish] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-Cycopedia-DEscription? Name = Trojandownloader: JS / SocGholish! MSR & menaceID = -2147135220)
## Les références
[SocGholish vise les pairs des victimes] (https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers).ESENTRE (consulté le 05-10-2024)
[Socgholish attaque les entreprises via de fausses mises à jour du navigateur] (https://gbhackers.com/socgholish-attacks-fake-browser/).GBHACKERS (consulté le 05-10-2024)
## Snapshot SocGholish (also known as FakeUpdates), a malware known for its stealth and the intricacy of its delivery mechanisms, is targeting enterprises with deceptive browser update prompts. ## Description As reported by eSentire, compromised legitimate websites serve as the infection vector, where malicious JavaScript code is injected to prompt users to download browser updates. The downloaded files contain SocGholish malware, initiating the infection process upon execution. The script employs various techniques to avoid detection and evade analysis. First, it checks if the browser is being controlled by automation tools and terminates execution if detected. Subsequently, it scrutinizes if the browser window has undergone significant manipulation to determine if the environment is being monitored. Additionally, it inspects for specific WordPress cookies to halt further actions if the user is logged into a WordPress site. If none of these conditions apply, it establishes a mouse movement event listener, tr |
Malware Tool Threat | ★★★ | |
 |
2024-05-10 16:17:00 | Mettez à jour votre navigateur Chrome dès que possible.Google a confirmé un jour zéro exploité dans la nature Update your Chrome browser ASAP. Google has confirmed a zero-day exploited in the wild (lien direct) |
Un nouveau trou de sécurité Chrome JavaScript est méchant, alors ne perdez pas de temps à corriger vos systèmes.
A new Chrome JavaScript security hole is nasty, so don\'t waste any time patching your systems. |
Vulnerability Threat Patching | ★★★ | |
|
2024-05-10 15:53:00 | Chrome Zero-Day Alert - Mettez à jour votre navigateur pour corriger une nouvelle vulnérabilité Chrome Zero-Day Alert - Update Your Browser to Patch New Vulnerability (lien direct) |
Google a publié jeudi les mises à jour de sécurité pour aborder un défaut zéro-jour dans Chrome qui, selon lui, a été activement exploité dans la nature.
Suivi comme & nbsp; CVE-2024-4671, la vulnérabilité à haute sévérité a & nbsp; a été décrite & nbsp; comme un cas d'utilisation sans rapport dans le composant visuel. & Nbsp; il a été rapporté par un chercheur anonyme le 7 mai 2024.
Des bogues d'utilisation sans lien, qui surviennent lorsqu'un programme
Google on Thursday released security updates to address a zero-day flaw in Chrome that it said has been actively exploited in the wild. Tracked as CVE-2024-4671, the high-severity vulnerability has been described as a case of use-after-free in the Visuals component. It was reported by an anonymous researcher on May 7, 2024. Use-after-free bugs, which arise when a program |
Vulnerability Threat | ★★★ | |
|
2024-05-10 15:51:00 | Les applications Android malveillantes posent comme Google, Instagram, WhatsApp, réparties via Shumshing Malicious Android Apps Pose as Google, Instagram, WhatsApp, Spread via Smishing (lien direct) |
Les applications Android malveillantes se faisant passer pour Google, Instagram, Snapchat, WhatsApp et X (anciennement Twitter) ont été observées pour voler des informations d'identification des utilisateurs à des appareils compromis.
"Ce logiciel malveillant utilise des icônes d'applications Android célèbres pour induire les utilisateurs en erreur et inciter les victimes à l'installation de l'application malveillante sur leurs appareils", a déclaré l'équipe de recherche sur les menaces de la capture de capture de Sonicwall & nbsp; a déclaré & nbsp; dans un rapport récent.
Le
Malicious Android apps masquerading as Google, Instagram, Snapchat, WhatsApp, and X (formerly Twitter) have been observed to steal users\' credentials from compromised devices. "This malware uses famous Android app icons to mislead users and trick victims into installing the malicious app on their devices," the SonicWall Capture Labs threat research team said in a recent report. The |
Malware Threat Mobile | ★★★ | |
|
2024-05-10 15:30:07 | L'API Dell a abusé de voler 49 millions d'enregistrements clients dans la violation de données Dell API abused to steal 49 million customer records in data breach (lien direct) |
L'acteur de menace derrière la récente violation de Dell Data a révélé qu'ils avaient gratté les informations de 49 millions de dossiers clients à l'aide d'une API de portail partenaire à laquelle ils avaient accédé en tant que fausse entreprise.[...]
The threat actor behind the recent Dell data breach revealed they scraped information of 49 million customer records using an partner portal API they accessed as a fake company. [...] |
Data Breach Threat | ★★★ | |
|
2024-05-10 13:11:00 | Les chercheurs découvrent \\ 'llmjacking \\' schéma ciblant les modèles d'IA hébergés dans le cloud Researchers Uncover \\'LLMjacking\\' Scheme Targeting Cloud-Hosted AI Models (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle attaque qui emploie des informations d'identification cloud volées pour cibler les services de modèle de grand langage hébergé par le cloud (LLM) et NBSP; dans le but de vendre & NBSP; Accès à d'autres acteurs de menace.
La technique d'attaque a été nommée Coded & nbsp; llmjacking & nbsp; par l'équipe de recherche sur les menaces sysdig.
"Une fois l'accès initial obtenu, ils ont exfiltré des références cloud et gagné
Cybersecurity researchers have discovered a novel attack that employs stolen cloud credentials to target cloud-hosted large language model (LLM) services with the goal of selling access to other threat actors. The attack technique has been codenamed LLMjacking by the Sysdig Threat Research Team. "Once initial access was obtained, they exfiltrated cloud credentials and gained |
Threat Cloud | ★★★ | |
|
2024-05-10 11:10:00 | RSAC: Les experts mettent en évidence de nouvelles cyber-menaces et tactiques RSAC: Experts Highlight Novel Cyber Threats and Tactics (lien direct) |
Les cybercriminels bien financés adoptent des techniques plus sophistiquées, créant un besoin pour les défenseurs de rester informés de l'évolution du paysage des menaces
Well-funded cybercriminals are adopting more sophisticated techniques, creating a need for defenders to stay informed about the evolving threat landscape |
Threat | ★★★ | |
|
2024-05-10 08:13:00 | Singapour met à jour le droit de la cybersécurité pour étendre la surveillance réglementaire Singapore updates cybersecurity law to expand regulatory oversight (lien direct) |
Les modifications du projet de loi sur la cybersécurité du pays visent à renforcer son administration au milieu des changements dans le paysage des menaces.
Amendments to the country\'s cybersecurity bill aim to bolster its administration amid changes in the threat landscape. |
Threat | ★★ | |
|
2024-05-09 23:25:00 | Une nouvelle attaque de tunnelvision permet le détournement du trafic VPN via la manipulation du DHCP New TunnelVision Attack Allows Hijacking of VPN Traffic via DHCP Manipulation (lien direct) |
Les chercheurs ont détaillé une technique de contournement de réseau privé virtuel (VPN) surnommé & nbsp; TunnelLision & NBSP; qui permet aux acteurs de menace de fouiner le trafic réseau de la victime en étant simplement sur le même réseau local.
Le "déloak" & nbsp; méthode & nbsp; a été attribué à l'identifiant CVE & NBSP; CVE-2024-3661 & NBSP; (Score CVSS: 7.6).Il a un impact sur tous les systèmes d'exploitation qui implémentent un client DHCP et possède
Researchers have detailed a Virtual Private Network (VPN) bypass technique dubbed TunnelVision that allows threat actors to snoop on victim\'s network traffic by just being on the same local network. The "decloaking" method has been assigned the CVE identifier CVE-2024-3661 (CVSS score: 7.6). It impacts all operating systems that implement a DHCP client and has |
Threat | ★★★ | |
|
2024-05-09 21:43:57 | \\ 'Le groupe Masque \\' Espionage Group refait surface après une interruption de 10 ans \\'The Mask\\' Espionage Group Resurfaces After 10-Year Hiatus (lien direct) |
Les chercheurs ont récemment repéré l'acteur de menace hispanophone - avec près de 400 victimes précédentes à son actif - dans une nouvelle campagne en Amérique latine et en Afrique centrale.
Researchers recently spotted the Spanish-speaking threat actor - with nearly 400 previous victims under its belt - in a new campaign in Latin America and Central Africa. |
Threat | ★★★ | |
|
2024-05-09 16:44:05 | The Darkgate Menace: Tireing AutoHotKey et tenter d'échapper à SmartScreen The DarkGate Menace: Leveraging Autohotkey & Attempt to Evade Smartscreen (lien direct) |
## Instantané Des chercheurs de McAfee Labs ont découvert une nouvelle chaîne d'infection associée aux logiciels malveillants de Darkgate. Voir la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Darkgate est un cheval de Troie (RAT) à l'accès à distance, commercialisé comme une offre de logiciels malveillants en tant que service (MAAS) sur un forum de cybercriminalité en russe depuis au moins 2018. Le logiciel malveillant possède un éventail de fonctionnalités, telles que l'injection de processus, les fichiersTéléchargez et exécution, vol de données, exécution de la commande shell, capacités de keylogging, entre autres.Darkgate intègre de nombreuses tactiques d'évasion pour contourner la détection, notamment CIrcuvent Microsoft Defender SmartScreen ([CVE-2023-36025] (https://sip.security.microsoft.com/intel-profiles/cve-2023-36025)), Probandant Microsoft T To Libérez par la suite un correctif pour aborder cette vulnérabilité. McAffee Labs a découvert une nouvelle chaîne d'infection associée à Darkgate qui a deux vecteurs initiaux distincts qui transportent une coquille et une charge utile Darkgate identiques.Le premier vecteur provient d'un fichier HTML, tandis que le second commence par un fichier XLS.Lors de l'interaction avec l'un ou l'autre de ces fichiers, un fichier VBScript est exécuté.Exploitant CVE-2023-36025, les attaquants échappent aux invites de protection à écran intelligent à l'aide d'un fichier de raccourci Windows (.url) incorporant un fichier de script dans le cadre de la charge utile malveillante.Le fichier VBScript abandonne un fichier à un emplacement spécifié, conduisant à une séquence de commandes qui télécharge et exécutent finalement du contenu malveillant, y compris un fichier exécutable compilé de Delphi constituant la charge utile finale de Darkgate.Cette charge utile s'engage dans l'activité réseau sur un site C2 à des fins d'exfiltration, tout en maintenant la persistance via un fichier .lnk abandonné dans le dossier de démarrage, garantissant l'exécution des fichiers AutoHotKey et Shellcode pour une activité malveillante continue. ## Analyse Microsoft Parmi les groupes d'activités de menace, les chercheurs que Microsoft ont observé le déploiement de Darkgate figurent [Storm-0464] (https://sip.security.microsoft.com/intel-profiles/181dce10854e61400e7d65ccee41b995bfb8a429ef8de83ad73f1f1f groupe bercriminal qui a pivoté pour commencer à distribuerDarkgate en septembre 2023 après l'opération de perturbation de Qakbot en août 2023;[Storm-1674] (https://sip.security.microsoft.com/intel-profiles/1e4aed47c8ac0f360c4786d16420dadf2fff4f3b32c217a329edb43c7859e451) ;et [Storm-1607] (https://sip.security.microsoft.com/intel-profiles/27d533252dc97a2be141e1795892f05e3ae95292f1d4bb6cae3b3d5bd6e62911) (Dev-1607), a 3 et a été observé en exploitant CVE-2023-36025 pour livrer le malware. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Darkgate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/darkgate) - [Trojan: win64 / darkgate] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encYClopedia-Description? Name = Trojan: Win64 / Darkgate! Mtb & menaceID = -2147076814) - [Trojan: VBS / Darkgate] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = Trojan: VBS / Darkgate.ba! MSR & menaceID = -2147075963) - [comportement: win32 / darkgate] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/darkgate.zy& threatId=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité d | Malware Vulnerability Threat Cloud | ★★★ | |
|
2024-05-09 16:34:00 | Mirai Botnet exploite Ivanti Connect Secure Flaws pour la livraison de charge utile malveillante Mirai Botnet Exploits Ivanti Connect Secure Flaws for Malicious Payload Delivery (lien direct) |
Deux défauts de sécurité récemment divulgués dans les appareils Ivanti Connect Secure (ICS) sont exploités pour déployer l'infâme & nbsp; Mirai Botnet.
Qui \\ sont selon & nbsp; résultats & nbsp; de Juniper Threat Labs, qui indiquaient les vulnérabilités & nbsp; CVE-2023-46805 et CVE-2024-21887 & nbsp; ont été exploitées pour livrer la charge électrique de Botnet.
Alors que le CVE-2023-46805 est un défaut de dérivation d'authentification,
Two recently disclosed security flaws in Ivanti Connect Secure (ICS) devices are being exploited to deploy the infamous Mirai botnet. That\'s according to findings from Juniper Threat Labs, which said the vulnerabilities CVE-2023-46805 and CVE-2024-21887 have been leveraged to deliver the botnet payload. While CVE-2023-46805 is an authentication bypass flaw, |
Threat | ★★★ | |
|
2024-05-09 16:11:06 | Mises à jour de Hijackloader HijackLoader Updates (lien direct) |
## Instantané
Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Hijackloader, un chargeur de logiciels malveillants et ses nouvelles tactiques d'évasion.
## Description
Hijackloader, également connu sous le nom de chargeur IDAT, a émergé en 2023 comme un chargeur de logiciels malveillants équipé de modules polyvalents pour l'injection et l'exécution de code.Hijackloader a une architecture modulaire, un attribut qui le distingue des chargeurs typiques.
Les chercheurs de ZSCaler ont analysé une nouvelle variante Hijackloader qui présente des techniques d'évasion améliorées.Ces améliorations visent à aider à la furtivité du malware, prolongeant sa capacité à échapper à la détection.La dernière version de Hijackloader introduit des modules pour contourner Windows Defender Antivirus, Courtmvant User Compte Control (UAC), EVADER LE HOCKING API COMMENT utilisé par des outils de sécurité et utiliser des creux de processus.
Le mécanisme de livraison de Hijackloader \\ implique l'utilisation d'une image PNG, décryptée et analysée pour charger l'étape suivante de l'attaque.Hijackloader a été observé servant de mécanisme de livraison pour diverses familles de logiciels malveillants, notamment Amadey, [Lumma Stealer] (https: //sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer V2 et Remcos Rat.
## Détections
Microsoft Defender ANtivirus détecte les composants de menace comme le malware suivant:
- [Trojan: Win32 / Hijackloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hijackloader.ahj!mtb& ;heted=-2147058662)
## Les références
[Hijackloader Mises à jour] (https://www.zscaler.com/blogs/security-research/hijackloader-updates).Zscaler (consulté en 2024-05-09)
## Snapshot Researchers at Zscaler have published a report about the evolution of HijackLoader, a malware loader, and its new evasion tactics. ## Description HijackLoader, also known as IDAT Loader, emerged in 2023 as a malware loader equipped with versatile modules for injecting and executing code. HijackLoader has modular architecture, an attribute that sets it apart from typical loaders. Zscaler researchers analyzed a new HijackLoader variant that features upgraded evasion techniques. These enhancements aim to aid in the malware\'s stealth, prolonging its ability to evade detection. The latest version of HijackLoader introduces modules to bypass Windows Defender Antivirus, circumvent User Account Control (UAC), evade inline API hooking commonly used by security tools, and utilize process hollowing. HijackLoader\'s delivery mechanism involves utilizing a PNG image, decrypted and parsed to load the subsequent stage of the attack. HijackLoader has been observed serving as a delivery mechinism for various malware families, including Amadey, [Lumma Stealer](https://sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer v2, and Remcos RAT. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/HijackLoader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/HijackLoader.AHJ!MTB&threatId=-2147058662) ## References [HijackLoader Updates](https://www.zscaler.com/blogs/security-research/hijackloader-updates). Zscaler (accessed 2024-05-09) |
Malware Tool Threat | ★★★ | |
|
2024-05-09 13:00:21 | Avril 2024 \\'s le plus recherché des logiciels malveillants: surtension dans les attaques AndroxGH0st et la baisse de Lockbit3 April 2024\\'s Most Wanted Malware: Surge in Androxgh0st Attacks and the Decline of LockBit3 (lien direct) |
> Les chercheurs ont récemment identifié un pic dans les attaques AndroxGH0st, un Troie qui cible les plates-formes Windows, Mac et Linux, qui l'ont vu sauter directement à la deuxième place de la liste des logiciels malveillants.Pendant ce temps, Lockbit3 reste étroitement le premier groupe de ransomwares, malgré une réduction de sa prévalence, notre dernier indice de menace mondial pour avril 2024 SAW, les chercheurs ont révélé une augmentation significative de l'utilisation des attaques AndroxGH0st, le malware étant utilisé comme un outil pour voler des informations sensibles à l'aidebotnets.Parallèlement, Lockbit3 est resté le groupe de ransomware le plus répandu en avril, malgré une baisse de 55% de son taux de détection depuis le début [& # 8230;]
>Researchers recently identified a spike in Androxgh0st attacks, a Trojan that targets Windows, Mac and Linux platforms, which saw it jump straight into second place in the top malware list. Meanwhile, LockBit3 narrowly remains the top ransomware group, despite a reduction in its prevalence Our latest Global Threat Index for April 2024 saw researchers revealed a significant increase in the use of Androxgh0st attacks, with the malware being used as a tool for stealing sensitive information using botnets. Meanwhile, LockBit3 remained the most prevalent ransomware group in April, despite a 55% drop in its rate of detection since the beginning […] |
Ransomware Malware Tool Threat | ★★★ | |
|
2024-05-09 11:58:39 | SecureWorks & Reg;annoncé la sortie de SecureWorks Taegis ™ NDR Secureworks® announced the release of Secureworks Taegis™ NDR (lien direct) |
SecureWorks apporte la prévention et la détection des menaces alimentées par AI au réseau avec Taegis NDR
La nouvelle solution permet aux organisations d'intégrer leur réseau à tous les contrôles de sécurité pour atténuer les risques
-
revues de produits
Secureworks Brings AI-Powered Threat Prevention and Detection To The Network With Taegis NDR New solution empowers organizations to integrate their network with all security controls to mitigate risk - Product Reviews |
Threat | ★★★ | |
|
2024-05-09 11:41:00 | Les vulnérabilités critiques de F5 Central Manager permettent de permettre une prise de contrôle complète des appareils Critical F5 Central Manager Vulnerabilities Allow Enable Full Device Takeover (lien direct) |
Deux vulnérabilités de sécurité ont été découvertes dans F5 Next Central Manager qui pourraient être exploitées par un acteur de menace pour prendre le contrôle des appareils et créer des comptes d'administrateur voyou cachées pour la persistance.
Les défauts exploitables à distance "peuvent donner aux attaquants un contrôle administratif complet de l'appareil, et permettent par la suite aux attaquants de créer des comptes sur les actifs F5 gérés par le suivant
Two security vulnerabilities have been discovered in F5 Next Central Manager that could be exploited by a threat actor to seize control of the devices and create hidden rogue administrator accounts for persistence. The remotely exploitable flaws "can give attackers full administrative control of the device, and subsequently allow attackers to create accounts on any F5 assets managed by the Next |
Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
