What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-12 19:34:26 | Rapport mandiant: les utilisateurs de flocon de neige ciblés pour le vol de données et l'extorsion Mandiant Report: Snowflake Users Targeted for Data Theft and Extortion (lien direct) |
Un acteur de menace a exploité la plate-forme de flocon de neige pour cibler les organisations pour le vol de données et l'extorsion en utilisant des informations d'identification compromises.Apprenez à protéger votre entreprise de cette menace.
A threat actor exploited the Snowflake platform to target organizations for data theft and extortion using compromised credentials. Learn how to protect your business from this threat. |
Threat | ★★★ | |
 |
2024-06-12 19:12:00 | La campagne de cryptojacking cible les grappes kubernetes mal configurées Cryptojacking Campaign Targets Misconfigured Kubernetes Clusters (lien direct) |
Les chercheurs en cybersécurité ont mis en garde contre une campagne de cryptojacking en cours ciblant les grappes de Kubernetes erronées pour exploiter la crypto-monnaie Dero.
La société de sécurité du cloud Wiz, qui a mis en lumière l'activité, a déclaré qu'elle était une variante mise à jour d'une opération motivée par la finance qui a été documentée pour la première fois par Crowdstrike en mars 2023.
"Dans cet incident, l'acteur de menace a abusé de l'accès anonyme à un
Cybersecurity researchers have warned of an ongoing cryptojacking campaign targeting misconfigured Kubernetes clusters to mine Dero cryptocurrency. Cloud security firm Wiz, which shed light on the activity, said it\'s an updated variant of a financially motivated operation that was first documented by CrowdStrike in March 2023. "In this incident, the threat actor abused anonymous access to an |
Threat | ★★ | |
|
2024-06-12 16:41:00 | Le ransomware Black Basta a peut-être exploité une faille MS Windows Zero-Day Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw (lien direct) |
Les acteurs de la menace liés au ransomware Black Basta ont peut-être exploité un défaut d'escalade de privilège récemment divulgué dans le service de reporting d'erreur Microsoft Windows en tant que zéro-jour, selon de nouvelles résultats de Symantec.
La faille de sécurité en question est CVE-2024-26169 (score CVSS: 7.8), une élévation du bogue de privilège dans le service de rapport d'erreur Windows qui pourrait être exploité pour réaliser
Threat actors linked to the Black Basta ransomware may have exploited a recently disclosed privilege escalation flaw in the Microsoft Windows Error Reporting Service as a zero-day, according to new findings from Symantec. The security flaw in question is CVE-2024-26169 (CVSS score: 7.8), an elevation of privilege bug in the Windows Error Reporting Service that could be exploited to achieve |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-06-12 15:48:53 | Comprendre les nuances: Test de pénétration DAST vs Understanding the Nuances: DAST vs. Penetration Testing (lien direct) |
Les cyberattaques sont une menace croissante, ce qui rend crucial pour nous de comprendre les outils et les techniques disponibles pour sécuriser les applications.Aujourd'hui, nous plongeons dans les différences et les similitudes entre les tests de sécurité des applications dynamiques (DAST) et les tests de pénétration avec des informations d'un expert de l'industrie Veracode et un testeur de pénétration certifié, Florian Walter.
Dast est une technique automatisée conçue pour identifier les vulnérabilités de sécurité dans les applications Web et les API pendant l'exécution.Il simule efficacement les attaques pour détecter des problèmes communs tels que les injections SQL et les vulnérabilités de script inter-sites, ce qui le rend idéal pour les vérifications de sécurité continues à différentes étapes du cycle de vie de développement logiciel.
À l'inverse, les tests de pénétration impliquent des testeurs experts examinant manuellement les applications pour identifier les vulnérabilités que les outils automatisés pourraient manquer.Cette méthode fournit des informations approfondies, en particulier dans des environnements complexes, gérant des données sensibles, offrant un nuancé…
Cyberattacks are a growing threat, making it crucial for us to understand the tools and techniques available to secure applications. Today, we dive into the differences and similarities between Dynamic Application Security Testing (DAST) and Penetration Testing with insights from a Veracode industry expert and certified penetration tester, Florian Walter. DAST is an automated technique designed to identify security vulnerabilities in web applications and APIs during runtime. It effectively simulates attacks to detect common issues like SQL injections and cross-site scripting vulnerabilities, making it ideal for continuous security checks across various stages of the software development lifecycle. Conversely, Penetration Testing involves expert testers manually examining applications to pinpoint vulnerabilities that automated tools might miss. This method provides deep insights, especially in complex environments handling sensitive data, offering a nuanced… |
Tool Vulnerability Threat | ★★★ | |
 |
2024-06-12 15:41:26 | Le groupe de ransomwares de TellyouthEpass exploite la faille PHP critique TellYouThePass Ransomware Group Exploits Critical PHP Flaw (lien direct) |
Une vulnérabilité RCE qui affecte le langage de script Web sur Windows Systems est facile à exploiter et peut fournir une large surface d'attaque.
An RCE vulnerability that affects the Web scripting language on Windows systems is easy to exploit and can provide a broad attack surface. |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-06-12 15:06:16 | Google Patches a exploité Android Zero-Day sur les appareils Pixels Google patches exploited Android zero-day on Pixel devices (lien direct) |
Google a publié des correctifs pour 50 vulnérabilités de sécurité ayant un impact sur ses appareils de pixels et a averti que l'un d'eux avait déjà été exploité dans des attaques ciblées en tant que zéro-jour.[...]
Google has released patches for 50 security vulnerabilities impacting its Pixel devices and warned that one of them had already been exploited in targeted attacks as a zero-day. [...] |
Vulnerability Threat Mobile | ★★★ | |
 |
2024-06-12 14:56:51 | Boug Bounty vs Test de pénétration: les coûts, la portée et les méthodologies Bug bounty vs penetration testing: The costs, scope, and methodologies (lien direct) |
> À mesure que les cybermenaces évoluent, les organisations doivent détecter et traiter de manière proactive les vulnérabilités de sécurité avant que les acteurs malveillants puissent les exploiter.Cette bataille en cours contre les violations potentielles est essentielle pour la sauvegarde des informations et la protection de la réputation et de la continuité opérationnelle de l'entreprise. & # 160;Deux méthodes importantes pour découvrir et remédier aux vulnérabilités sont les programmes de primes de bogues et les tests de pénétration, également appelés [& # 8230;]
>As cyber threats evolve, organizations must proactively detect and address security vulnerabilities before malicious actors can exploit them. This ongoing battle against potential breaches is vital for safeguarding information and protecting a company’s reputation and operational continuity. Two prominent methods to uncover and remedy vulnerabilities are bug bounty programs and penetration testing, also known as […] |
Vulnerability Threat | ★★ | |
 |
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
|
2024-06-12 13:36:00 | Les pirates soutenus en Chine exploitent Fortinet Flaw, infectant 20 000 systèmes à l'échelle mondiale China-Backed Hackers Exploit Fortinet Flaw, Infecting 20,000 Systems Globally (lien direct) |
Les acteurs de la menace parrainés par l'État soutenus par la Chine ont eu accès à 20 000 systèmes Fortinet Fortigate dans le monde en exploitant un défaut de sécurité critique connu entre 2022 et 2023, ce qui indique que l'opération a eu un impact plus large que connu auparavant.
"L'acteur d'État derrière cette campagne était déjà conscient de cette vulnérabilité dans les systèmes FortiGate au moins deux mois avant que Fortinet ne divulgue le
State-sponsored threat actors backed by China gained access to 20,000 Fortinet FortiGate systems worldwide by exploiting a known critical security flaw between 2022 and 2023, indicating that the operation had a broader impact than previously known. "The state actor behind this campaign was already aware of this vulnerability in FortiGate systems at least two months before Fortinet disclosed the |
Vulnerability Threat | ★★★ | |
 |
2024-06-12 13:00:02 | L'évolution du code QR Phishing: codes QR basés sur ASCII The Evolution of QR Code Phishing: ASCII-Based QR Codes (lien direct) |
> Introduction Qushing-Qr Code phishing - est une menace en évolution rapide.À partir d'août, lorsque nous avons vu la première augmentation rapide, nous avons également vu un changement dans le type d'attaques de code QR.Il a commencé avec les demandes d'authentification MFA standard.Il a ensuite évolué vers le routage conditionnel et le ciblage personnalisé.Maintenant, nous voyons une autre évolution dans la manipulation des codes QR.Les chercheurs par e-mail d'harmonie ont découvert une nouvelle campagne, où le code QR n'est pas dans une image, mais plutôt créé via des caractères HTML et ASCII.Les chercheurs par e-mail d'harmonie ont vu plus de 600 e-mails similaires fin mai.Exemple d'e-mail Dans cet e-mail, le [& # 8230;]
>Introduction Quishing-QR code phishing-is a rapidly evolving threat. Starting around August, when we saw the first rapid increase, we\'ve also seen a change in the type of QR code attacks. It started with standard MFA authentication requests. It then evolved to conditional routing and custom targeting. Now, we\'re seeing another evolution, into the manipulation of QR codes. Harmony Email Researchers have uncovered a new campaign, where the QR code is not in an image, but rather created via HTML and ASCII characters. Harmony Email researchers have seen over 600 similar emails in late May. Email Example In this email, the […] |
Threat | ★★★★ | |
 |
2024-06-12 13:00:00 | Auto-réplication des vers Morris II cible les assistants e-mail AI Self-replicating Morris II worm targets AI email assistants (lien direct) |
> La prolifération des assistants par courrier électronique de l'intelligence artificielle générative (Genai) tels que GPT-3 d'Openai et de la composition intelligente de Google ont révolutionné des flux de travail de communication.Malheureusement, il a également introduit de nouveaux vecteurs d'attaque pour les cybercriminels.Tirant parti des progrès récents dans l'IA et le traitement du langage naturel, les acteurs malveillants peuvent exploiter les vulnérabilités dans les systèmes Genai pour orchestrer les cyberattaques sophistiquées avec une grande portée [& # 8230;]
>The proliferation of generative artificial intelligence (GenAI) email assistants such as OpenAI’s GPT-3 and Google’s Smart Compose has revolutionized communication workflows. Unfortunately, it has also introduced novel attack vectors for cyber criminals. Leveraging recent advancements in AI and natural language processing, malicious actors can exploit vulnerabilities in GenAI systems to orchestrate sophisticated cyberattacks with far-reaching […] |
Vulnerability Threat | ★★ | |
|
2024-06-12 12:45:55 | Life360 dit que Hacker a essayé de les extorquer après une violation de données de carreaux Life360 says hacker tried to extort them after Tile data breach (lien direct) |
La société de services de sécurité et de localisation Life360 dit qu'elle a été la cible d'une tentative d'extorsion après qu'un acteur de menace a violé et volé des informations sensibles à une plate-forme de support client de carreaux.[...]
Safety and location services company Life360 says it was the target of an extortion attempt after a threat actor breached and stole sensitive information from a Tile customer support platform. [...] |
Data Breach Threat | ★★★ | |
|
2024-06-12 10:00:00 | RansomHub apporte de l'araignée dispersée dans son nid Raas RansomHub Brings Scattered Spider Into Its RaaS Nest (lien direct) |
Le groupe de menaces derrière les violations de Caesars et MGM déplace ses activités à une opération de ransomware et de service différente.
The threat group behind breaches at Caesars and MGM moves its business over to a different ransomware-as-a-service operation. |
Threat | ★★★ | |
 |
2024-06-12 09:45:07 | Blindspot de menace multicanal laissera votre organisation vulnérable à la violation Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach (lien direct) |
> Dans le monde hyper-connecté d'aujourd'hui, les travailleurs modernes s'appuient sur une multitude d'outils de communication et de collaboration pour faire le travail efficacement.Email, SMS, Slack, Microsoft Teams & # 8211;L'employé moyen jongle entre 6 et 10 applications sanctionnées par jour.Et cela ne compte même pas les outils non autorisés qui volent sous le radar.Cette prolifération des canaux [& # 8230;]
Le post menace multi-canal Lelinpot quittera votre organisation qui quittera votre organisationVulnérable à la violation est apparu pour la première fois sur slashnext .
>In today’s hyper-connected world, modern workers rely on a multitude of communication and collaboration tools to get work done efficiently. Email, SMS, Slack, Microsoft Teams – the average employee juggles between 6-10 sanctioned apps on any given day. And that’s not even counting the unsanctioned tools that fly under IT’s radar. This proliferation of channels […] The post Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach first appeared on SlashNext. |
Tool Threat | ★★ | |
 |
2024-06-12 09:15:00 | Microsoft patchs une vulnérabilité critique et une vulnérabilité à jour zéro Microsoft Patches One Critical and One Zero-Day Vulnerability (lien direct) |
Le mardi de juin mardi voit Microsoft corriger plus de 50 bogues, dont un déjà divulgué publiquement
June Patch Tuesday sees Microsoft fix over 50 bugs, including one already publicly disclosed |
Vulnerability Threat | ★★ | |
 |
2024-06-12 08:59:25 | La vulnérabilité Critical Outlook RCE exploite le volet Aperçu & # 8211;Patch maintenant! Critical Outlook RCE Vulnerability Exploits Preview Pane – Patch Now! (lien direct) |
Une vulnérabilité critique (CVE-2024-30103) dans Microsoft Outlook permet aux attaquants d'exécuter du code malveillant simplement en ouvrant un e-mail.Cet exploit "zéro clique" n'exige pas l'interaction de l'utilisateur et représente une menace sérieuse.Découvrez comment fonctionne cette vulnérabilité et comment rester protégé.
A critical vulnerability (CVE-2024-30103) in Microsoft Outlook allows attackers to execute malicious code simply by opening an email. This "zero-click" exploit doesn\'t require user interaction and poses a serious threat. Learn how this vulnerability works and how to stay protected. |
Vulnerability Threat | ★★★ | |
 |
2024-06-12 08:35:41 | La recherche sur le renseignement de l'écurage établit l'exploitation de masse des services de bord en tant que tendance dominante pour les attaquants WithSecure Intelligence research sets mass exploitation of edge services as the prevailing trend for attackers (lien direct) |
Les nouvelles recherches de Withesecure Intelligence explorent la tendance de l'exploitation de masse des services et des infrastructures Edge, et mettent en avant plusieurs théories pour expliquer pourquoi ils ont été si fortement & # 8211;et avec succès & # 8211;ciblé par les attaquants. Le paysage cyber-menace en 2023 et 2024 a été dominé par l'exploitation de masse.Un rapport précédent avec la caractéristique sur la professionnalisation de la cybercriminalité a noté l'importance croissante de l'exploitation de masse en tant que vecteur d'infection, mais le volume et la gravité de cette (...)
-
rapports spéciaux
New research by WithSecure Intelligence explores the trend of mass exploitation of edge services and infrastructure, and puts forward several theories as to why they have been so heavily – and successfully – targeted by attackers. The cyber threat landscape in 2023 and 2024 has been dominated by mass exploitation. A previous WithSecure report on the professionalization of cybercrime noted the growing importance of mass exploitation as an infection vector, but the volume and severity of this (...) - Special Reports |
Threat Prediction | ★★ | |
 |
2024-06-12 06:00:15 | Comment reconnaître et défendre contre les menaces d'initiés malveillants How to Recognize and Defend Against Malicious Insider Threats (lien direct) |
Insider threats arise from careless users, users with compromised credentials, or users who seek to cause harm intentionally. The latter type of user-the malicious insider-can be the most daunting for security teams to manage. It requires them to analyze a user\'s behavior and determine whether they have bad intentions. Although less frequent, malicious insiders are costly. The average cost of a data breach by a malicious insider is the highest of any attack vector at $4.9 million, which is 9.6% higher than the global average. Unlike accidental misuse by well-meaning insiders, malicious insiders make a conscious choice to do something that they know they shouldn\'t. Typically, they do it for personal gain or damage to the company. What\'s more, trusted insiders can do the most significant damage since they often know the weak points in the organization and how to exploit them. So, how can you recognize a malicious insider threat and keep your business and data safe? Your starting point is to understand what motivates malicious insiders. Understanding the malicious insider The most defining characteristic of a malicious insider is their intent to cause harm. There are various reasons and external factors that can motivate them to act. Here are a few examples: Business changes like mergers and acquisitions, and divestitures Fear of job loss Financial stress Resentment due to job changes or conflict with a supervisor Poor job performance If you know what can inspire malicious insiders to act, you can better understand who a high-risk insider in your company might be. This insight shows why you need a cross-functional team-rather than just a cybersecurity team-to deal with employee-facing situations. Human resources (HR), legal and management need to be involved. An expanded team can help you spot risk factors and intervene in delicate situations before they become full-blown insider incidents. Likewise, once an incident occurs, a cross-functional team may be needed for a thorough investigation. Proofpoint Insider Threat Management (ITM) helps teams from different areas of your business collaborate. Reports of user activity are easy to export and consume. These user risk reports detail user interactions with data and other behaviors, helping provide contextual insight with a timeline of activities and detailed metadata. Early indicators of insider threats Once you know what commonly motivates malicious insiders, you need to know how to recognize behaviors to watch out for. Here are some examples of insider threat indicators: Hiding information Performing unauthorized admin tasks Bypassing security controls Creating a backdoor Exfiltrating data Installing a TOR browser Running malicious software Downloading unauthorized software Accessing source code during irregular hours Performing acts of IT sabotage Keep in mind that one of these behaviors alone doesn\'t mean that a user is malicious. Rather, it is the combination of multiple behavioral indicators, which you need to analyze holistically, over time and in the context of other factors. That is how you begin to paint a picture of a malicious insider and their intentions. Proofpoint has developed a library of use cases and indicators that are most associated with insider threats. When you monitor these indicators, it can help to reduce your risk of insider threats. The library includes more than 150 out-of-the-box rules based on CERT Institute guidelines and behavior-based research. With the threat library, you can get up and running quickly while watching for common behaviors. Forensic evidence for investigations When you have careless users, you need to address their behavior quickly. The following straightforward actions usually do the trick: Talk to the employee and their manager Provide targeted secu | Data Breach Threat | ★★ | |
|
2024-06-12 04:20:20 | Bondnet utilisant des bots mineurs comme C2 Bondnet Using Miner Bots as C2 (lien direct) |
Bondnet est devenu le public pour la première fois dans un rapport d'analyse publié par GuardiCore en 20171 et Bondnet & # 8217;S Backdoor a été couvert dans un rapport d'analyse sur le mineur XMRIG ciblant les serveurs SQL publiés par le rapport DFIR en 20222. Il n'y a eu aucune information sur les activités de l'actrice de Bondnet Threat, mais il a été confirmé qu'ils avaient poursuivi leurs attaques jusqu'à ce queCes derniers temps.Ahnlab Security Intelligence Center (ASEC) a trouvé à travers l'analyse des systèmes infectés par des mineurs BondNet que le Bondnet menace ...
Bondnet first became known to the public in an analysis report published by GuardiCore in 20171 and Bondnet’s backdoor was covered in an analysis report on XMRig miner targeting SQL servers released by DFIR Report in 20222. There has not been any information on the Bondnet threat actor’s activities thereon, but it was confirmed that they had continued their attacks until recent times. AhnLab SEcurity Intelligence Center (ASEC) found through analyzing systems infected with Bondnet miners that the Bondnet threat... |
Threat | ★★ | |
|
2024-06-11 23:20:20 | Utilisation de l'IA dans la prise de décision de la sécurité des entreprises: amélioration de la protection et de l'efficacité Using AI in Business Security Decision-Making: Enhancing Protection and Efficiency (lien direct) |
Améliorez la sécurité des entreprises avec la prise de décision axée sur l'IA.Utilisez des outils avancés pour la détection précise des menaces, la conformité et la gestion proactive de la crise. & # 8230;
Enhance business security with AI-driven decision-making. Use advanced tools for accurate threat detection, compliance, and proactive crisis management.… |
Tool Threat | ★★ | |
 |
2024-06-11 22:54:08 | La nouvelle campagne Valleyrat utilise des attaques à plusieurs étapes pour compromettre les systèmes New ValleyRAT Campaign Employs Multi-Stage Attack to Compromise Systems (lien direct) |
## Instantané
Zscaler ThreatLabz a identifié une récente campagne en plusieurs étapes déploiement de la dernière version de Valleyrat, développée par un acteur de menace basé en Chine.
## Description
Valleyrat est un cheval de Troie (rat) à l'accès à distance documenté pour la première fois au début de 2023. Il vise à infiltrer les systèmes, accordant aux attaquants un contrôle non autorisé.Généralement distribué via des e-mails de phishing ou des téléchargements malveillants, la dernière version comprend de nouvelles commandes pour capturer des captures d'écran, un filtrage de processus, des fermetures forcées et effacer les journaux d'événements Windows.
La campagne commence par un téléchargeur de stade initial à l'aide d'un serveur de fichiers HTTP (HFS) pour récupérer les fichiers nécessaires.Le téléchargeur utilise diverses techniques d'évasion, telles que les contrôles anti-virus, la charge latérale DLL et l'injection de processus.
Un marqueur spécifique identifie la configuration de la communication avec le serveur de commande et de contrôle (C2), détaillant le protocole C2 IP, port et communication.Les mises à jour notables dans Valleyrat incluent les empreintes digitales améliorées et les modifications de la génération d'ID de bot.
Le premier téléchargeur étage récupère et décrypte une DLL, en lançant le processus en vérifiant et en téléchargeant des fichiers si nécessaire.Les mesures anti-AV ciblent des processus spécifiques comme le logiciel de sécurité Qihoo et Winrar.Le malware télécharge ensuite des fichiers supplémentaires et se prépare pour l'étape suivante.
Dans la deuxième étape, une application légitime (winword2013.exe) touche une DLL malveillante (wwlib.dll), qui décrypte et injecte Shellcode dans svchost.exe, en établissant la persistance en modifiant les clés Autorun et en cachant des fichiers.
La troisième étape implique des API de résolution de shellcode injectée et d'établir une connexion C2 pour télécharger d'autres étapes de logiciels malveillants.Enfin, la quatrième étape charge dynamiquement une DLL intégrée, l'analyse des données de configuration et la vérification de la charge utile finale, qui est finalement chargée et exécutée.
Les acteurs de la menace continuent d'évoluer Valleyrat pour éviter la détection, la dernière version ajoutant une collection de données améliorée pour les empreintes digitales de l'appareil et la modification du processus de génération de bot ID, mettant en évidence sa sophistication dans l'évasion des mesures de sécurité et le contrôle des systèmes infectés.
## Les références
[La nouvelle campagne Valleyrat utilise des attaques en plusieurs étapes pour compromettre les systèmes] (https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat#new_tab).Zscaler (accessoire 2024-06-11)
## Snapshot Zscaler ThreatLabz has identified a recent multi-stage campaign deploying the latest ValleyRAT version, developed by a China-based threat actor. ## Description ValleyRAT is a remote access trojan (RAT) first documented in early 2023. It aims to infiltrate systems, granting attackers unauthorized control. Typically distributed via phishing emails or malicious downloads, the latest version includes new commands for capturing screenshots, process filtering, forced shutdowns, and clearing Windows event logs. The campaign starts with an initial stage downloader using an HTTP File Server (HFS) to fetch necessary files. The downloader employs various evasion techniques, such as anti-virus checks, DLL sideloading, and process injection. A specific marker identifies the configuration for communication with the command-and-control (C2) server, detailing the C2 IP, port, and communication protocol. Notable updates in ValleyRAT include enhanced device fingerprinting and changes in bot ID generation. The first stage downloader |
Malware Threat | ★★★ | |
|
2024-06-11 19:47:45 | APT Attacks Using Cloud Storage (lien direct) | ## Snapshot AhnLab Security Intelligence Center (ASEC) has identified APT attacks utilizing cloud services like Google Drive, OneDrive, and Dropbox to distribute malware and collect user information. ## Description Threat actors upload malicious scripts, RAT malware strains, and decoy documents to cloud servers to execute various malicious behaviors. The attack process involves distributing EXE and shortcut files disguised as HTML documents, which then decode and execute PowerShell commands to download decoy documents and additional files. The threat actor\'s Dropbox contains various decoy documents, and the malware downloaded from the cloud includes XenoRAT, capable of performing malicious activities and communicating with the C2 server. The threat actor appears to target specific individuals and continuously collect information to distribute tailored malware. The threat actor\'s email addresses and C2 server address were identified during the analysis, and users are advised to be cautious as the malware not only leaks information and downloads additional malware strains but also performs malicious activities such as controlling the affected system. Additionally, users are warned to verify file extensions and formats before running them, as multiple malware strains have been found to utilize shortcut files. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enable | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
|
2024-06-11 16:26:08 | Warmcookie donne aux cyberattaques une nouvelle porte dérobée savoureuse pour un accès initial WarmCookie Gives Cyberattackers Tasty New Backdoor for Initial Access (lien direct) |
Le malware frais est largement distribué, mais cible spécifiquement les individus avec des leurres sur mesure.Il est prêt à évoluer vers une menace plus importante, avertissent les chercheurs.
The fresh-baked malware is being widely distributed, but still specifically targets individuals with tailored lures. It\'s poised to evolve into a bigger threat, researchers warn. |
Malware Threat | ★★★ | |
 |
2024-06-11 15:19:50 | Alerte Vert Threat: Juin 2024 Patch mardi Analyse VERT Threat Alert: June 2024 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte vert de Microsoft \\ sont des mises à jour de sécurité en juin 2024.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1110 dès la fin de la couverture.CVE CVE-2023-50868 de la seule arme et divulguée La seule vulnérabilité divulguée que nous avons ce mois-ci, est CVE-2023-50868, une vulnérabilité au niveau du protocole DNSSEC qui peut conduire au déni de service.La vulnérabilité est un épuisement du processeur lié à la preuve de l'encloseur la plus proche dans NSEC3, un mécanisme du DNSSEC.NSEC3 est la version améliorée de NSEC, une technologie qui aide à prévenir contre l'empoisonnement du cache DNS ...
Today\'s VERT Alert addresses Microsoft\'s June 2024 Security Updates . VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1110 as soon as coverage is completed. In-The-Wild & Disclosed CVEs CVE-2023-50868 The only disclosed vulnerability we have this month, is CVE-2023-50868, a DNSSEC protocol level vulnerability that can lead to denial of service. The vulnerability is a CPU Exhaustion related to the Closest Encloser Proof in NSEC3, a mechanism within DNSSEC. NSEC3 is the improved version of NSEC, a technology that helps prevent against DNS Cache Poisoning... |
Vulnerability Threat | ★★ | |
|
2024-06-11 13:25:23 | Rapport 2023 de Trend Micro sur la cybersécurité : Protéger les frontières numériques du Maroc avec la détection de 52 millions de menaces (lien direct) | Rapport 2023 de Trend Micro sur la cybersécurité : Protéger les frontières numériques du Maroc avec la détection de 52 millions de menaces Le dernier rapport de l'entreprise révèle une augmentation notable de 10% du blocage de plus de 161 milliards de menaces dans le monde Accéder au contenu multimédia - Malwares | Threat Prediction | ★★ | |
|
2024-06-11 12:07:00 | ARM avertit la vulnérabilité activement exploitée zéro-jour dans les chauffeurs du Mali GPU Arm Warns of Actively Exploited Zero-Day Vulnerability in Mali GPU Drivers (lien direct) |
ARM est averti d'une vulnérabilité de sécurité ayant un impact sur le conducteur du noyau Mali GPU qui, selon lui, a été activement exploité dans la nature.
Suivi en CVE-2024-4610, le problème de l'utilisation après sans impact sur les produits suivants -
Pilote de noyau GPU Bifrost (toutes les versions de R34p0 à R40p0)
Conducteur du noyau GPU Valhall (toutes les versions de R34p0 à R40p0)
"Un utilisateur local non privilégié peut créer une mémoire GPU incorrecte
Arm is warning of a security vulnerability impacting Mali GPU Kernel Driver that it said has been actively exploited in the wild. Tracked as CVE-2024-4610, the use-after-free issue impacts the following products - Bifrost GPU Kernel Driver (all versions from r34p0 to r40p0) Valhall GPU Kernel Driver (all versions from r34p0 to r40p0) "A local non-privileged user can make improper GPU memory |
Vulnerability Threat | ★★★ | |
 |
2024-06-11 10:00:00 | Les risques cachés de l'eSports: cybersécurité sur le champ de bataille virtuel The Hidden Risks of eSports: Cybersecurity on the Virtual Battlefield (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. From humble beginnings as a niche hobby relegated to small gaming cafes and basements, eSports has grown into a huge affair where gamers compete for million-dollar prizes and prestigious titles. As of 2024, the global eSports industry is worth $4.3 billion, up from just $1.2 billion in 2017. Major eSports tournaments now fill virtual arenas and stadiums, with millions of viewers tuning in. Amid the excitement and fanfare, however, a crucial aspect often gets overlooked – cybersecurity. Maintaining integrity and security in these virtual environments has become increasingly vital. From the potential for game-altering hacks and cheats to the risk of data breaches and cyberattacks, the challenges facing the industry are growing more complex by the day. Understanding the Cybersecurity Threats in eSports The eSports industry\'s rapid growth, lucrative prize pools, and massive online viewership have made it an attractive target for cybercriminals and unscrupulous actors seeking to disrupt events, compromise systems, or gain an unfair advantage. Additionally, some eSports organizations like FaZe Clan are experiencing surges on the stock market, making them even more attractive targets than, let’s say, stealing data from individual players. To begin with, let’s go through the primary cybersecurity threats plaguing the world of eSports: DDoS Attacks Distributed Denial of Service (DDoS) attacks involve sending an influx of malicious traffic to a network or server, overwhelming it and making it unable to respond to legitimate requests, effectively taking it offline. In eSports, DDoS attacks can disrupt live tournaments, causing delays, disconnections, and frustration for players and viewers alike. These can also target individual players, knocking them offline during crucial matches. For instance, in 2023, a DDoS attack on the 24 Hours of Le Mans Virtual eSports event kicked out Max Verstappen, who was leading the race. Activision Blizzard was also hit with multiple DDoS attacks in 2020, affecting several of its game titles, including Call of Duty, Overwatch, and World of Warcraft. Account Hijacking Account hijacking involves unauthorized access to a player\'s account, typically through phishing, keylogging, or exploiting security vulnerabilities. Hijacked accounts can be used for cheating, sabotage, or even sold on the black market, putting players at risk of financial loss and reputational damage. In 2019, for example, | Ransomware Malware Tool Vulnerability Threat Legislation | ★★★ | |
|
2024-06-11 01:06:56 | Smalltiger malware utilisés contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) répond à des cas récemment découverts qui utilisent les logiciels malveillants Smalltiger pour attaquerEntreprises sud-coréennes.La méthode d'accès initial n'a pas encore été identifiée, mais l'acteur de menace a distribué Smalltiger dans les entreprises & # 8217;Systèmes pendant la phase de mouvement latérale.Les entrepreneurs de la défense sud-coréens, les constructeurs de pièces automobiles et les fabricants de semi-conducteurs sont quelques-uns des objectifs confirmés.Les attaques ont été trouvées pour la première fois en novembre 2023 et les souches de logiciels malveillants trouvés à l'intérieur des systèmes affectés ...
AhnLab SEcurity intelligence Center (ASEC) is responding to recently discovered cases that are using the SmallTiger malware to attack South Korean businesses. The method of initial access has not yet been identified, but the threat actor distributed SmallTiger into the companies’ systems during the lateral movement phase. South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers are some of the confirmed targets. The attacks were first found in November 2023, and the malware strains found inside the affected systems... |
Malware Threat | ★★ | |
|
2024-06-11 00:56:03 | REMCOS RAT Distribué en tant que fichier UUencoding (UUe) Remcos RAT Distributed as UUEncoding (UUE) File (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que Remcos Rat était distribué via des dossiers Uuencoding (UUE)comprimé à l'aide de Power Archiver.L'image ci-dessous montre un e-mail de phishing distribuant le téléchargeur Remcos Rat.Les destinataires doivent être vigilants car les e-mails de phishing sont déguisés en e-mails concernant l'importation / exportation des expéditions ou des devis.1. Uue L'acteur de menace distribue un script VBS codé à l'aide de la méthode UUe via une pièce jointe.La méthode UUE, abréviation du codage Unix-to-Unix, est une méthode utilisée pour échanger des données ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that Remcos RAT is being distributed via UUEncoding (UUE) files compressed using Power Archiver. The image below shows a phishing email distributing the Remcos RAT downloader. Recipients must be vigilant as phishing emails are disguised as emails about importing/exporting shipments or quotations. 1. UUE The threat actor distributes a VBS script encoded using the UUE method through an attachment. The UUE method, short for Unix-to-Unix Encoding, is a method used to exchange data... |
Threat | ★★★ | |
|
2024-06-11 00:44:51 | Attaques aptes utilisant le stockage cloud APT Attacks Using Cloud Storage (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a partagé des cas d'attaques dans lesquels les acteurs de la menace utilisent des services de cloud telsEn tant que Google Drive, OneDrive et Dropbox pour collecter des informations utilisateur ou distribuer des logiciels malveillants.[1] [2] [3] & # 160; Les acteurs de la menace télécharge principalement des scripts malveillants, des souches de logiciels malveillants de rat et des documents de leurre sur les serveurs cloud pour effectuer des attaques.Les fichiers téléchargés fonctionnent systématiquement et effectuent divers comportements malveillants.Le processus du premier fichier de distribution à l'exécution des logiciels malveillants de rat est le suivant: dans tel ...
AhnLab SEcurity intelligence Center (ASEC) has been sharing cases of attacks in which threat actors utilize cloud services such as Google Drive, OneDrive, and Dropbox to collect user information or distribute malware. [1][2][3] The threat actors mainly upload malicious scripts, RAT malware strains, and decoy documents onto the cloud servers to perform attacks. The uploaded files work systematically and perform various malicious behaviors. The process from the first distribution file to the execution of RAT malware is as follows: In such... |
Malware Threat Cloud | ★★ | |
|
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-06-10 21:47:00 | Les comptes de nuages de flocons de neige ont été abattus par des problèmes d'identification rampants Snowflake Cloud Accounts Felled by Rampant Credential Issues (lien direct) |
Un acteur de menace a accédé aux données appartenant à au moins 165 organisations utilisant des informations d'identification valides à leurs comptes de flocon de neige, grâce à aucune MFA et à une mauvaise hygiène de mot de passe.
A threat actor has accessed data belonging to at least 165 organizations using valid credentials to their Snowflake accounts, thanks to no MFA and poor password hygiene. |
Threat Cloud | ★★★ | |
|
2024-06-10 18:56:54 | Hurlant dans la boîte de réception: les dernières attaques d'aviation malveillantes de Sticky Werewolf \\ Howling at the Inbox: Sticky Werewolf\\'s Latest Malicious Aviation Attacks (lien direct) |
#### Géolocations ciblées - Russie - Biélorussie #### Industries ciblées - Systèmes de transport ## Instantané Morphisec Labs a découvert une nouvelle campagne de phishing ciblant l'industrie de l'aviation associée à un loup-garou collant, un groupe de cyber-menaces ayant des liens géopolitiques et / ou hacktivistes présumés. ## Description Sticky Wasorlf mène une campagne de phishing à l'aide de fichiers LNK malveillants déguisés en documents légitimes, tels qu'un programme de réunion et une liste de diffusion.Une fois que la victime clique sur les fichiers LNK, il déclenche des actions, y compris l'ajout d'une entrée de registre pour la persistance, l'affichage d'un message de leurre et la copie d'une image à partir d'un partage de réseau.Les fichiers LNK exécutent également un chargeur / crypter cypherit, qui est une variante d'un crypter connu utilisé par plusieurs acteurs de menace pour fournir des charges utiles malveillantes.Le Cypherit Loader / Cryter extrait les fichiers dans le répertoire% localappdata% \ Microsoft \ Windows \ InetCache et exécute un script de lot obscurci.Ce script par lots effectue des opérations telles que le retard de l'exécution, la modification des noms de fichiers et la concaténation des fichiers.Il exécute également un exécutable AutOIT avec un script compilé comme argument.Le script AutOIT exécuté a des capacités d'anti-analyse, d'anti-émulation, de persistance et de décrocheur, visant à injecter la charge utile et d'éviter les solutions de sécurité et les tentatives d'analyse. Actif depuis avril 2023, Sticky Werewolf a auparavant ciblé des organisations publiques en Russie et en Biélorussie, une entreprise pharmaceutique et un institut de recherche russe traitant de la microbiologie et du développement de vaccins.Morphisec Labs juge que le groupe a probablement des liens géopolitiques et / ou hacktivistes.Bien que l'origine géographique et la base géographique du groupe restent floues, les techniques d'attaque récentes suggèrent que l'espionnage et l'intention d'exfiltration des données. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [Backdoor: win32 / limerat] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win32/limerat.ya!mtb) - [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan%3Awin32%2fcasdet!rfn) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/winlnk.a) ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection d | Malware Tool Threat | ★★★★ | |
|
2024-06-10 18:24:16 | Gitloker attaque les notifications de github abus pour pousser les applications OAuth malveillantes Gitloker attacks abuse GitHub notifications to push malicious oAuth apps (lien direct) |
Les acteurs de la menace se font passer pour les équipes de sécurité et de recrutement de GitHub \\ dans les attaques de phishing pour détourner les référentiels en utilisant des applications OAuth malveillantes dans une campagne d'extorsion en cours d'essuyage des références compromises.[...]
Threat actors impersonate GitHub\'s security and recruitment teams in phishing attacks to hijack repositories using malicious OAuth apps in an ongoing extortion campaign wiping compromised repos. [...] |
Threat | ★★★ | |
|
2024-06-10 16:30:00 | Google élimine les campagnes d'influence liées à la Chine, en Indonésie et en Russie Google Takes Down Influence Campaigns Tied to China, Indonesia, and Russia (lien direct) |
Google a révélé qu'il avait abattu 1 320 chaînes YouTube et 1 177 blogs de blogueurs dans le cadre d'une opération d'influence coordonnée liée à la République de Chine du peuple (PRC).
"Le réseau inauthentique coordonné a téléchargé le contenu en chinois et en anglais sur la Chine et les affaires étrangères des États-Unis", a déclaré le chercheur du groupe d'analyse des menaces Google (TAG), Billy Leonard, dans le bulletin trimestriel de la société \\
Google has revealed that it took down 1,320 YouTube channels and 1,177 Blogger blogs as part of a coordinated influence operation connected to the People\'s Republic of China (PRC). "The coordinated inauthentic network uploaded content in Chinese and English about China and U.S. foreign affairs," Google Threat Analysis Group (TAG) researcher Billy Leonard said in the company\'s quarterly bulletin |
Threat | ★★★ | |
|
2024-06-10 15:58:26 | ALERTE NOUVELLE: Criminal IP dévoile des produits de données de détection de fraude innovantes sur Snowflake Marketplace News Alert: Criminal IP unveils innovative fraud detection data products on Snowflake Marketplace (lien direct) |
> Torrance, Californie, 10 juin 2024, CyberNewswire & # 8212;AI Spera, un leader des solutions de Cyber Threat Intelligence (CTI), a annoncé qu'elle avait commencé à vendre ses données de détection de menaces payantes à partir de son moteur de recherche CTI & # 8216; IP criminel & # 8216;sur le neigeflake & # 8230;(Plus…) Le post | Threat | ★★★ | |
|
2024-06-10 14:30:57 | 10 juin & # 8211;Rapport de renseignement sur les menaces 10th June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 10 juin, veuillez télécharger notre bulletin Threat_Intelligence.Les principales attaques et violations des services de pathologie Synnovis ont connu une attaque de ransomware qui a affecté les procédures et les opérations dans plusieurs grands hôpitaux de Londres, notamment le ministère de la Santé et des Coins sociaux, NHS Qilin (anciennement Agenda) Ransomware [& # 8230;]
>For the latest discoveries in cyber research for the week of 10th June, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Pathology services provider Synnovis has experienced a ransomware attack that affected procedures and operations in several major hospitals in London, including the Department of Health and Social Care, NHS Qilin (formerly Agenda) ransomware […] |
Ransomware Threat | ★★ | |
|
2024-06-10 14:00:00 | UNC5537 cible les instances des clients de Snowflake pour le vol de données et l'extorsion UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) |
Introduction Through the course of our incident response engagements and threat intelligence collections, Mandiant has identified a threat campaign targeting Snowflake customer database instances with the intent of data theft and extortion. Snowflake is a multi-cloud data warehousing platform used to store and analyze large amounts of structured and unstructured data. Mandiant tracks this cluster of activity as UNC5537, a financially motivated threat actor suspected to have stolen a significant volume of records from Snowflake customer environments. UNC5537 is systematically compromising Snowflake customer instances using stolen customer credentials, advertising victim data for sale on cybercrime forums, and attempting to extort many of the victims. Mandiant\'s investigation has not found any evidence to suggest that unauthorized access to Snowflake customer accounts stemmed from a breach of Snowflake\'s enterprise environment. Instead, every incident Mandiant responded to associated with this campaign was traced back to compromised customer credentials. In April 2024, Mandiant received threat intelligence on database records that were subsequently determined to have originated from a victim\'s Snowflake instance. Mandiant notified the victim, who then engaged Mandiant to investigate suspected data theft involving their Snowflake instance. During this investigation, Mandiant determined that the organization\'s Snowflake instance had been compromised by a threat actor using credentials previously stolen via infostealer malware. The threat actor used these stolen credentials to access the customer\'s Snowflake instance and ultimately exfiltrate valuable data. At the time of the compromise, the account did not have multi-factor authentication (MFA) enabled. On May 22, 2024 upon obtaining additional intelligence identifying a broader campaign targeting additional Snowflake customer instances, Mandiant immediately contacted Snowflake and began notifying potential victims through our Victim Notification Program. To date, Mandiant and Snowflake have notified approximately 165 potentially exposed organizations. Snowflake\'s Customer Support has been directly engaged with these customers to ensure the safety of their accounts and data. Mandiant and Snowflake have been conducting a joint investigation into this ongoing threat campaign and coordinating with relevant law enforcement agencies. On May 30, 2024, Snowflake published detailed detection and hardening guidance to Snowflake customers. | Malware Tool Threat Legislation Cloud | ★★ | |
 |
2024-06-10 13:33:43 | Euro 2024: assurer la cybersécurité pendant la fièvre du football Euro 2024: Ensuring Cybersecurity During Football Fever (lien direct) |
> Alors que l'Euro 2024 approche, l'excitation parmi les fans de football est palpable.Cependant, alors que des millions de passionnés se préparent à profiter du beau jeu, les cybercriminels se préparent également à exploiter la ferveur.Des escroqueries au phishing aux logiciels malveillants, les menaces numériques lors de ces événements de haut niveau sont réelles et significatives.Les principaux événements sportifs comme Euro 2024 attirent & # 8230;
>As Euro 2024 draws near, the excitement among football fans is palpable. However, while millions of enthusiasts gear up to enjoy the beautiful game, cybercriminals are also preparing to exploit the fervor. From phishing scams to malware, the digital threats during such high-profile events are real and significant. Major sporting events like Euro 2024 attract … |
Malware Threat | ★★★ | |
|
2024-06-10 13:31:29 | Faire des choix pour une gestion de vulnérabilité plus forte Making Choices for Stronger Vulnerability Management (lien direct) |
L'environnement de menace continuera de croître en complexité.Il est maintenant temps pour les organisations de rationaliser la façon dont ils gérent et atténuent les vulnérabilités négligées.
The threat environment will continue to grow in complexity. Now is the time for organizations to streamline how they manage and mitigate overlooked vulnerabilities. |
Vulnerability Threat | ★★ | |
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ★★ | |
|
2024-06-10 13:05:02 | Enquête OpenText Cybersecurity MSP/MSSP Survey : les entreprises recherchent une expertise complète en sécurité pilotée par l\'IA, pour la détection des menaces et la gestion des vulnérabilités (lien direct) | Enquête OpenText Cybersecurity MSP/MSSP Survey : les entreprises recherchent une expertise complète en sécurité pilotée par l'IA, pour la détection des menaces et la gestion des vulnérabilités - Investigations | Threat | ★★★ | |
|
2024-06-10 13:00:31 | Mai 2024 \\'s Mostware le plus recherché: Phorpiex botnet se lâche la frénésie de phishing tandis que Lockbit3 domine une fois de plus May 2024\\'s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again (lien direct) |
> Les chercheurs ont découvert une campagne avec un botnet Phorpiex utilisé pour répandre les ransomwares grâce à des millions de courriels de phishing.Pendant ce temps, le groupe Ransomware Lockbit3 a rebondi après une courte pause représentant un tiers des attaques de ransomware publiées, notre dernier indice de menace mondial pour mai 2024 a révélé que les chercheurs avaient découvert une campagne de Malspam orchestrée par le botnet Phorpiex.Les millions de courriels de phishing envoyés contenaient Lockbit Black & # 8211;basé sur LockBit3 mais non affilié au groupe Ransomware.Dans un développement non lié, le groupe réel de Lockbit3 Ransomware-as-a-Service (RAAS) a augmenté en prévalence après une courte interruption après un démontage mondial des forces de l'ordre, comptabilité [& # 8230;]
>Researchers uncovered a campaign with Phorpiex botnet being used to spread ransomware through millions of phishing emails. Meanwhile, the Lockbit3 Ransomware group has rebounded after a short hiatus accounting for one-third of published ransomware attacks Our latest Global Threat Index for May 2024 revealed that researchers had uncovered a malspam campaign orchestrated by the Phorpiex botnet. The millions of phishing emails sent contained LockBit Black – based on LockBit3 but unaffiliated with the Ransomware group. In an unrelated development, the actual LockBit3 ransomware-as-a-Service (RaaS) group surged in prevalence after a short hiatus following a global takedown by law enforcement, accounting […] |
Ransomware Malware Threat Legislation | ★★★ | |
|
2024-06-10 12:00:50 | Garder le contenu frais: 4 meilleures pratiques pour la sensibilisation à la sécurité axée sur les menaces pertinente Keeping Content Fresh: 4 Best Practices for Relevant Threat-Driven Security Awareness (lien direct) |
The threat landscape moves fast. As new attack methods and social engineering techniques appear, organizations need to maintain security awareness programs that are relevant, agile and focused. Research from Proofpoint for the 2024 State of the Phish report found that most businesses used real-world threat intelligence to shape their security awareness programs in 2023. That makes us happy! At Proofpoint, we know it is essential to use threats and trends from the wild to teach your employees about attacks they might encounter. It is equally important to ensure that your program isn\'t teaching them about security topics that are no longer relevant. In this article, we discuss four essential best practices to help keep your security awareness and training content both fresh and threat-driven: Analyze real threat trends to stay current and relevant Use real-world threats to inform your testing and training Refresh your training plan so that it\'s relevant and accurate Ensure that security practitioners stay on top of content changes An image from our always-fresh (see what we did here?) phishing template that tests brand impersonation. The human-centric risk of not keeping it fresh Let\'s first talk about what happens when you use outdated threat content to train your employees. The results can create significant human-centric risk for your business because your employees might approach security with unsafe behavior such as: Having a false sense of security about their knowledge. People might believe they are well prepared to identify and respond to threats, leading to actions based on incorrect assumptions. Not responding effectively to targeted threats. People might make decisions based on incorrect assumptions, increasing the possibility of successful attacks specific to their role or industry. Incorrectly reporting a security incident. Outdated training content may give incorrect procedures for reporting and responding to security incidents. Being noncompliant with industry regulations. Outdated content might not fit the required compliance training, exposing your company to possible legal and financial penalties. Being unengaged in your security culture. If employees perceive security education as outdated or irrelevant, they might see security responsibility as a waste of their time. Now, let\'s talk about our four best practices to help ensure that none of this happens. An image from the “AI Chatbot Threats” training (play video). 1: Analyze real threat trends to stay current and relevant Informing your program with threat intelligence is a must. Real-world insights will help your employees understand the scope and impact of the threats they may face. It will also enable your security teams to tailor their training and messaging accordingly. To use threat intelligence effectively, security awareness practitioners must work collaboratively across their organizations. You want to understand the attack trends that the security practitioners who monitor, analyze and investigate cyber threats see in real time. These practitioners might be your incident response team or your security operations center (SOC) team. At Proofpoint, we are committed to staying on top of the latest threats and passing this information to customers. The Proofpoint Security Awareness solution is built on insights that we gather from analyzing over 2.6 billion emails daily, monitoring 430+ million domains and tracking hundreds of threat groups to stay ahead of attackers. We do this by collaborating with our in-house Threat Intelligence Services team and using their insights in our integrated threat platform, which ties email monitoring and remediation to human risk detection and education. Recent insights from real-world trends include: Telephone-oriented attack delivery (TOAD). In the 2024 State of the Phish, we reported | Tool Vulnerability Threat Prediction | ★★★ | |
 |
2024-06-10 11:08:15 | Exploiter les URL malypées Exploiting Mistyped URLs (lien direct) |
Recherche intéressante: & # 8220; Hyperlink Wijacking: exploiter des liens d'url erronés vers des domaines du fantôme & # 8220;:
Résumé: Les utilisateurs Web suivent souvent les hyperliens à la hâte, s'attendant à ce qu'ils soient correctement programmés.Cependant, il est possible que ces liens contiennent des fautes de frappe ou d'autres erreurs.En découvrant des hyperliens actifs mais erronés, un acteur malveillant peut usurper un site Web ou un service, l'identité du contenu attendu et le phishing des informations privées.Dans & # 8220; typosquatting, & # 8221;Les erreurs d'orthographe des domaines communs sont enregistrés pour exploiter les erreurs lorsque les utilisateurs tirent un détournement d'une adresse Web.Pourtant, aucune recherche préalable n'a été consacrée aux situations où les erreurs de liaison des éditeurs Web (c'est-à-dire les développeurs et contributeurs de contenu) se propagent aux utilisateurs.Nous émettons l'hypothèse que ces hyperliens hijackables & # 8221;existent en grande quantité avec le potentiel de générer un trafic substantiel.Analyse des programmes à grande échelle du Web à l'aide de l'informatique haute performance, nous montrons que le Web contient actuellement des liens actifs vers plus de 572 000 domaines DOT-COM qui n'ont jamais été enregistrés, ce que nous appelons & # 8216; Domains Phantom. & # 8217;En enregistrant 51 d'entre eux, nous voyons 88% des domaines fantômes dépassant le trafic d'un domaine de contrôle, avec jusqu'à 10 fois plus de visites.Notre analyse montre que ces liens existent en raison de 17 modes d'erreur d'éditeurs courants, avec les domaines fantômes qu'ils indiquent gratuitement pour que quiconque puisse acheter et exploiter pendant moins de 20 ans, représentant une faible barrière à l'entrée pour les attaquants potentiels ...
Interesting research: “Hyperlink Hijacking: Exploiting Erroneous URL Links to Phantom Domains“: Abstract: Web users often follow hyperlinks hastily, expecting them to be correctly programmed. However, it is possible those links contain typos or other mistakes. By discovering active but erroneous hyperlinks, a malicious actor can spoof a website or service, impersonating the expected content and phishing private information. In “typosquatting,” misspellings of common domains are registered to exploit errors when users mistype a web address. Yet, no prior research has been dedicated to situations where the linking errors of web publishers (i.e. developers and content contributors) propagate to users. We hypothesize that these “hijackable hyperlinks” exist in large quantities with the potential to generate substantial traffic. Analyzing large-scale crawls of the web using high-performance computing, we show the web currently contains active links to more than 572,000 dot-com domains that have never been registered, what we term ‘phantom domains.’ Registering 51 of these, we see 88% of phantom domains exceeding the traffic of a control domain, with up to 10 times more visits. Our analysis shows that these links exist due to 17 common publisher error modes, with the phantom domains they point to free for anyone to purchase and exploit for under 20, representing a low barrier to entry for potential attackers... |
Threat | ★★★ | |
|
2024-06-10 10:59:00 | Le loup-garou collant élargit les cibles cyberattaques en Russie et au Bélarus Sticky Werewolf Expands Cyber Attack Targets in Russia and Belarus (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'un acteur de menace connu sous le nom de loup-garou collant qui a été lié à des cyberattaques ciblant des entités en Russie et en Bélarus.
Les attaques de phishing visaient une entreprise pharmaceutique, un institut de recherche russe traitant de la microbiologie et du développement des vaccins, et le secteur de l'aviation, s'étendant au-delà de leur objectif initial du gouvernement
Cybersecurity researchers have disclosed details of a threat actor known as Sticky Werewolf that has been linked to cyber attacks targeting entities in Russia and Belarus. The phishing attacks were aimed at a pharmaceutical company, a Russian research institute dealing with microbiology and vaccine development, and the aviation sector, expanding beyond their initial focus of government |
Threat | ★★★ | |
 |
2024-06-10 09:40:26 | #Infosec2024 Spyware: A Threat to Civil Society and a Threat to Business (lien direct) | > Le PDG de BH Consulting, Brian Honan, a souligné que les logiciels espions critiques de la menace aux individus, à la société et aux entreprises.Lire la suite>
>BH Consulting CEO, Brian Honan emphasised the critical threat spyware poses to individuals, society and businesses. Read More> |
Threat | ★★ | |
|
2024-06-10 09:30:00 | L'acteur de menace prétend divulguer 270 Go de données du New York Times Threat Actor Claims to Leak 270GB of New York Times Data (lien direct) |
Un utilisateur anonyme 4Chan prétend avoir partagé une mine de code source volée au New York Times
An anonymous 4Chan user is claiming to have shared a trove of source code stolen from the New York Times |
Threat | ★★ | |
|
2024-06-07 22:28:02 | Le nouveau kit de phishing V3B cible les clients de 54 banques européennes New V3B phishing kit targets customers of 54 European banks (lien direct) |
#### Targeted Geolocations - Northern Europe - Western Europe - Southern Europe - Eastern Europe #### Targeted Industries - Financial Services ## Snapshot Cybercriminals are actively promoting a new phishing kit called \'V3B\' on Telegram, designed for mobile and desktop platforms, specifically targeting customers of 54 major financial institutions across Europe. One threat actor going by the alias "Vssrtje", launched operations in March 2023. The V3B phishing kit is priced between $130-$450 per month, offering advanced obfuscation, localization options, one time password (OTP)/TAN/2FA support, live chat with victims, and various evasion mechanisms. ## Description Resecurity researchers who discovered V3B note that its Telegram channel has over 1,250 members, suggesting rapid adoption in the cybercrime community. The kit employs heavily obfuscated JavaScript code on a custom CMS to avoid detection by anti-phishing and search engine bots. It includes professionally translated pages in multiple languages to facilitate multi-country phishing campaigns. V3B can intercept banking account credentials and credit card details. Stolen information is transmitted back to cybercriminals through the Telegram API. Notable features include real-time interaction with victims via a chat system which allows fraudsters to obtain OTPs via custom notifications. Additional notable features include QR code login jacking and support for PhotoTAN and Smart ID, enabling bypassing of advanced authentication technologies used by German and Swiss banks. According to Resecurity researchers, the kit\'s author regularly releases updates and new features to further evade detection. Phishing kits like V3B empower low-skilled threat actors to launch damaging attacks against unsuspecting bank customers. Law enforcement recently took down LabHost, one of the largest Phishing-as-a-Service (PhaaS) operations targeting U.S. and Canadian banks, resulting in the arrest of 37 individuals, including the original developer. ## Recommendations Recommendations to protect against phishing attacks Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) 365 brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://docs.microsoft.com/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide "https://docs.microsoft.com/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide") to enable mailbox intelligence settings, as well as configure impersonati | Threat Legislation Mobile | ★★★★ | |
|
2024-06-07 21:28:44 | Github Repos ciblés dans les attaques de cyber-axtorsion GitHub Repos Targeted in Cyber-Extortion Attacks (lien direct) |
Depuis au moins février, un acteur de menace tente d'extorquer les victimes en volant ou en essuyant les données dans leurs référentiels GitHub.
Since at least February, a threat actor has been attempting to extort victims by stealing or wiping data in their GitHub repositories. |
Threat | ★★ |
To see everything:
Our RSS (filtrered)
