What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-15 20:58:43 | Opération Celestial Force utilise des logiciels malveillants mobiles et de bureau pour cibler les entités indiennes Operation Celestial Force Employs Mobile and Desktop Malware to Target Indian Entities (lien direct) |
#### Géolocations ciblées
- Inde
#### Industries ciblées
- Base industrielle de la défense
- Informatique
- agences et services gouvernementaux
## Instantané
Les analystes de Cisco Talos ont découvert une campagne de logiciels malveillants en cours nommée "Opération Celestial Force", active depuis 2018.
## Description
Cette campagne utilise le [Gravityrat malware] (https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) pour et un chargeur Windows.Ces infections sont gérées via un outil baptisé "GravityAdmin", qui peut gérer plusieurs campagnes simultanément.Talos attribue cette campagne à un groupe de menaces pakistanais qu'ils appellent «Cosmic Leopard», qui se concentre sur l'espionnage contre les entités indiennes, en particulier dans les secteurs de la défense et du gouvernement.
La campagne utilise deux vecteurs d'infection, l'ingénierie sociale et le phishing de lance pour accéder à ses cibles.Les messages de phishing de lance Spear Phishing se compose de messages envoyés à des cibles avec un langage pertinent et des maldocs qui contiennent des logiciels malveillants tels que GravityRat.
L'autre vecteur d'infection, gagnant en popularité dans cette opération, et maintenant une tactique de base des opérations de Cosmic Leopard \\ consiste à contacter des cibles sur les réseaux sociaux, à établir la confiance avec eux et à leur envoyer un lien malveillant pour télécharger les fenêtres des fenêtres- ou GravityRat basé sur Android ou le chargeur basé sur Windows, Heavylift.
Initialement identifié en 2018, GravityRat a été utilisé pour cibler les systèmes Windows.D'ici 2019, il s'est étendu pour inclure des appareils Android.Heavylift, introduit à peu près au même moment, est un chargeur utilisé pour déployer d'autres logiciels malveillants via l'ingénierie sociale.Talos rapporte une augmentation de l'utilisation des logiciels malveillants mobiles pour l'espionnage ces dernières années.
"GravityAdmin" supervise les appareils infectés à travers divers panneaux spécifiques à la campagne.Ces campagnes, comme «Sierra», «Québec» et «Foxtrot», se caractérisent par l'utilisation de malwares Windows et Android.Cosmic Leopard utilise des tactiques telles que le phishing de lance et l'ingénierie sociale, en contactant souvent des cibles via les médias sociaux pour distribuer des logiciels malveillants.
## Détections / requêtes de chasse
** antivirus **
Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware:
- Trojan: Win32 / Gravityrat
- Trojanspy: Androidos / Grvity.a! Mtb
- Trojanspy: macOS / grvityrat.a! Mtb
- Trojan: MSIL / Gravityrat
## Les références
[Opération Celestial Force utilise un mobileD Desktop malware pour cibler les entités indiennes.] (https://blog.talosintelligence.com/cosmic-leopard/) Cisco Talos (consulté le 2024-06-14)
#### Targeted Geolocations - India #### Targeted Industries - Defense Industrial Base - Information Technology - Government Agencies & Services ## Snapshot Analysts at Cisco Talos have uncovered an ongoing malware campaign named "Operation Celestial Force," active since 2018. ## Description This campaign employs the [GravityRAT malware](https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) for Android and a Windows-based loader called "HeavyLift." These infections are managed through a tool dubbed "GravityAdmin," which can handle multiple campaigns simultaneously. Talos attributes this campaign to a Pakistani threat group they call "Cosmic Leopard," which focuses on espionage against Indian entities, especially in defense and government sectors. The campaign uses two infection vectors, social engineering and spear phishing to gain access to its targets. Spe |
Malware Tool Threat Mobile Industrial | ||
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
 |
2024-06-15 15:21:00 | Grandoreiro Banking Trojan frappe le Brésil alors que les escroqueries shumsaient au Pakistan Grandoreiro Banking Trojan Hits Brazil as Smishing Scams Surge in Pakistan (lien direct) |
Le Pakistan est devenu la dernière cible d'un acteur de menace appelé la triade de smirs, marquant la première expansion de son empreinte au-delà de l'UE, de l'Arabie saoudite, des États-Unis, et des États-Unis et des États-Unis.
"La dernière tactique du groupe \\ consiste à envoyer des messages malveillants au nom du Pakistan Post aux clients des opérateurs de mobiles via iMessage et SMS", a déclaré Resecurity dans un rapport publié plus tôt cette semaine."Le but est
Pakistan has become the latest target of a threat actor called the Smishing Triad, marking the first expansion of its footprint beyond the E.U., Saudi Arabia, the U.A.E., and the U.S. "The group\'s latest tactic involves sending malicious messages on behalf of Pakistan Post to customers of mobile carriers via iMessage and SMS," Resecurity said in a report published earlier this week. "The goal is |
Threat Mobile | ||
|
2024-06-15 13:43:00 | Les pirates pakistanais utilisent des logiciels malveillants Disgomoji dans les cyberattaques du gouvernement indien Pakistani Hackers Use DISGOMOJI Malware in Indian Government Cyber Attacks (lien direct) |
Un acteur de menace basé au Pakistan présumé a été lié à une campagne de cyber-espionnage ciblant les entités gouvernementales indiennes en 2024.
La volexité de la société de cybersécurité suit l'activité sous le surnom UTA0137, notant l'utilisation exclusive de l'adversaire d'un logiciel malveillant appelé Disgomoji qui est écrit en Golang et est conçu pour infecter les systèmes Linux.
"C'est une version modifiée du projet public
A suspected Pakistan-based threat actor has been linked to a cyber espionage campaign targeting Indian government entities in 2024. Cybersecurity company Volexity is tracking the activity under the moniker UTA0137, noting the adversary\'s exclusive use of a malware called DISGOMOJI that\'s written in Golang and is designed to infect Linux systems. "It is a modified version of the public project |
Malware Threat | ||
 |
2024-06-14 19:55:40 | \\ 'Sleepy Pickle \\' Exploit Poisons Subtly Modèles ML \\'Sleepy Pickle\\' Exploit Subtly Poisons ML Models (lien direct) |
Un modèle peut être parfaitement innocent, mais toujours dangereux si les moyens par lesquels il est emballé et déballé sont entachés.
A model can be perfectly innocent, yet still dangerous if the means by which it\'s packed and unpacked are tainted. |
Threat | ||
|
2024-06-14 19:48:20 | Kimsuky nord-coréen fabricant d'armes d'attaque en Europe North Korean Kimsuky Attacking Arms Manufacturer In Europe (lien direct) |
#### Géolocations ciblées
- Europe de l'Ouest
#### Industries ciblées
- Fabrication critique
## Instantané
Un chercheur à la menace de Blackberry, Dmitry Melikov, a publié un article sur LinkedIn identifiant que le groupe nord-coréen parrainé par l'État Kimsuky a lancé une campagne de cyber-espionnage ciblant un fabricant d'armes d'Europe occidentale.
## Description
L'attaque a commencé par un e-mail de phisseur de lance contenant un fichier JavaScript malveillant, déguisé en document de description de travail légitime de General Dynamics.Lors de l'ouverture du fichier, le code JavaScript a décodé deux blocs de données Base64, exécutant une charge utile malveillante en arrière-plan.L'outil d'espionnage a fourni à l'attaquant des capacités telles que l'exfiltration d'informations, la capture de captures d'écran et l'établissement de connexions de socket.L'infrastructure C2 a révélé un chevauchement important avec les opérations connues de Kimsuky, conduisant à une évaluation de confiance élevée que Kimsuky est derrière cette campagne.
Cette attaque souligne les risques croissants et les implications géopolitiques potentielles de la cyber-guerre ciblant les industries militaires essentielles, soulignant la nécessité de mesures de cybersécurité accrue dans le secteur de la défense.Le groupe Kimsuky devrait continuer à cibler les entités militaires et aérospatiales dans le monde entier, nécessitant une vigilance et une surveillance continues.
## Les références
[Kimsuky cible un fabricant d'armes en Europe.] (Https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2fgtbajkvumcz%2bfuihobxja%3d%3d) LinkedIn (consulté 2024-06-10)
[Kimsuky nord-coréen Attacking Arms fabricant en Europe.] (Https://gbhackers.com/north-korean-kimsuky-attacking/) gbhackers (consulté en 2024-06-10)
#### Targeted Geolocations - Western Europe #### Targeted Industries - Critical Manufacturing ## Snapshot A threat researcher at BlackBerry, Dmitry Melikov, posted an article on LinkedIn identifying that the North Korean state-sponsored group Kimsuky launched a cyber-espionage campaign targeting a Western European weapons manufacturer. ## Description The attack began with a spear-phishing email containing a malicious JavaScript file, disguised as a legitimate job description document from General Dynamics. Upon opening the file, the JavaScript code decoded two base64 data blocks, executing a malicious payload in the background. The espionage tool provided the attacker with capabilities such as exfiltrating information, capturing screenshots, and establishing socket connections. The C2 infrastructure revealed significant overlap with known Kimsuky operations, leading to a high-confidence assessment that Kimsuky is behind this campaign. This attack underscores the escalating risks and potential geopolitical implications of cyber warfare targeting essential military industries, highlighting the need for heightened cybersecurity measures in the defense sector. The Kimsuky group is expected to continue targeting military and aerospace-related entities worldwide, necessitating ongoing vigilance and monitoring. ## References [Kimsuky is targetting an arms manufacturer in Europe.](https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2FGtBajKvuMCZ%2BFUIHObXjA%3D%3D) LinkedIn (accessed 2024-06-10) [North Korean Kimsuky Attacking Arms Manufacturer In Europe.](https://gbhackers.com/north-korean-kimsuky-attacking/) GBHackers (accessed 2024-06-10) |
Tool Threat | ||
|
2024-06-14 12:15:00 | Les pirates nord-coréens ciblent la fintech brésilien avec des tactiques de phishing sophistiquées North Korean Hackers Target Brazilian Fintech with Sophisticated Phishing Tactics (lien direct) |
Les acteurs de menace liés à la Corée du Nord représentent un tiers de toutes les activités de phishing ciblant le Brésil depuis 2020, car l'émergence du pays en tant que pouvoir influent a attiré l'attention des groupes de cyber-espionnage.
"Les acteurs soutenus par le gouvernement nord-coréen ont ciblé le gouvernement brésilien et les secteurs de l'aérospatiale, de la technologie et des services financiers du Brésil"
Threat actors linked to North Korea have accounted for one-third of all the phishing activity targeting Brazil since 2020, as the country\'s emergence as an influential power has drawn the attention of cyber espionage groups. "North Korean government-backed actors have targeted the Brazilian government and Brazil\'s aerospace, technology, and financial services sectors," Google\'s Mandiant and |
Threat | ★★ | |
 |
2024-06-14 07:57:42 | Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (1) Linux Defense Evasion Techniques Detected by AhnLab EDR (1) (lien direct) |
Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisations distinctes responsables de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.En tant que tels, les acteurs de la menace utilisent des techniques d'évasion de défense à la suite du compromis initial pour contourner la détection des produits de sécurité.La forme la plus simple consiste à contourner le ...
Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions but also firewalls, APT defense solutions, and products such as EDR. Even in general user environments without separate organizations responsible for security, most of them have basic security products installed. As such, threat actors use defense evasion techniques following the initial compromise to bypass the detection of security products. The simplest form is bypassing the... |
Threat | ★★ | |
|
2024-06-14 00:51:03 | New Warmcookie Windows Backdoor poussée via de fausses offres d'emploi New Warmcookie Windows backdoor pushed via fake job offers (lien direct) |
## Instantané Elastic Security Labs a identifié un nouveau logiciel malveillant Windows appelé "Warmcookie" distribué via de fausses campagnes de phishing pour compromettre les réseaux d'entreprise. ## Description Les e-mails de phishing contiennent des liens vers des pages de destination trompeuses, ce qui a incité les victimes à télécharger un fichier JavaScript obscurci qui exécute finalement la charge utile de chaleur.Une fois exécuté, Warmcookie établit une communication avec son serveur de commande et de contrôle (C2) et commence à collecter des informations sur les victimes, à capturer des captures d'écran, à exécuter des commandes arbitraires et à supprimer des fichiers sur des répertoires spécifiés.Warmcookie utilise diverses techniques telles que les calculs de somme de contrôle CRC32, le cryptage RC4 et la communication HTTP pour la commande et le contrôle. En juin 2024, la campagne est en cours et les acteurs de la menace créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.Selon Elastic Security Labs, Warmcookie gagne en popularité et est utilisé dans des campagnes ciblant les utilisateurs du monde entier. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win64 / Midie] (HTTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription? name = trojan: win64 / midie.gxz! mtb & menaced = -2147058392) ## Concernantfélicitations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection dans les e-mails entrants dans Microsoft Exchange Online Protection (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), qui identifie et bloque les sites Web malveillants malveillants, y compris les sites de phishing, les sites d'arnaque et les sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/cloud-potection-microsoft-defender-asvirus) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus àCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defe | Malware Tool Threat | ★★★ | |
|
2024-06-13 19:25:00 | Arid Viper lance une campagne d'espionnage mobile avec des logiciels malveillants aridspy Arid Viper Launches Mobile Espionage Campaign with AridSpy Malware (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper a été attribué à une campagne d'espionnage mobile qui exploite des applications Android trojanisées pour offrir une souche spyware baptisé AridSpy.
"Le logiciel malveillant est distribué via des sites Web dédiés imitant diverses applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien", a déclaré aujourd'hui le chercheur ESET LUK & AACUTE; Š štefanko dans un rapport publié aujourd'hui."Souvent
The threat actor known as Arid Viper has been attributed to a mobile espionage campaign that leverages trojanized Android apps to deliver a spyware strain dubbed AridSpy. "The malware is distributed through dedicated websites impersonating various messaging apps, a job opportunity app, and a Palestinian Civil Registry app," ESET researcher Lukáš Štefanko said in a report published today. "Often |
Malware Threat Mobile | APT-C-23 | ★★★ |
 |
2024-06-13 19:17:27 | Truist Bank confirme la violation après que les données volées apparaissent sur le forum de piratage Truist Bank confirms breach after stolen data shows up on hacking forum (lien direct) |
La principale banque commerciale américaine Truist a confirmé que ses systèmes avaient été violés dans une cyberattaque d'octobre 2023 après qu'un acteur de menace a publié certaines des données de la société à vendre sur un forum de piratage.[...]
Leading U.S. commercial bank Truist confirmed its systems were breached in an October 2023 cyberattack after a threat actor posted some of the company\'s data for sale on a hacking forum. [...] |
Threat Commercial | ★★ | |
|
2024-06-13 19:16:14 | POC Exploit émerge pour le bug de RCE critique dans le gestionnaire de points de terminaison Ivanti PoC Exploit Emerges for Critical RCE Bug in Ivanti Endpoint Manager (lien direct) |
Un nouveau mois, un nouveau bug Ivanti à haut risque pour les attaquants à exploiter - cette fois, un problème d'injection SQL dans son gestionnaire de point final centralisé.
A new month, a new high-risk Ivanti bug for attackers to exploit - this time, an SQL injection issue in its centralized endpoint manager. |
Threat | ★★ | |
|
2024-06-13 18:56:16 | Le grésil de la pierre de lune de la Corée du Nord élargit la distribution du code malveillant North Korea\\'s Moonstone Sleet Widens Distribution of Malicious Code (lien direct) |
L'acteur de menace récemment identifié utilise des registres publics pour la distribution et a élargi les capacités pour perturber la chaîne d'approvisionnement des logiciels.
The recently identified threat actor uses public registries for distribution and has expanded capabilities to disrupt the software supply chain. |
Threat | ★★ | |
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-06-13 18:05:49 | Deux campagnes récentes du Brésil et de la Corée exploitant des services cloud légitimes Two Recent Campaigns from Brazil and Korea Exploiting Legitimate Cloud Services (lien direct) |
> L'exploitation des services cloud est une arme flexible entre les mains des attaquants, si flexible que nous découvrons de nouvelles campagnes abusant quotidiennement des applications légitimes.Que les acteurs de la menace soient motivés par la cybercriminalité ou le cyberespionnage, ils continuent de cibler différents publics dans différentes régions géographiques du monde, exploitant différents services dans différents [& # 8230;]
>The exploitation of cloud services is a flexible weapon in the hands of attackers, so flexible that we uncover new campaigns abusing legitimate apps on a daily basis. Whether threat actors are driven by cybercrime or cyberespionage, they continue to target different audiences in different geographical regions of the world, exploiting different services in different […] |
Threat Cloud | ★★★ | |
 |
2024-06-13 16:47:27 | Nouvelle alerte de menace mobile & # 8211;Opération céleste avant New Mobile Threat Alert – Operation Celestial Fore (lien direct) |
> Dans ce blog, Zimperium partage des détails sur la campagne de logiciels malveillants ciblés par mobile nommé l'opération Celestial Force, attribuée aux acteurs de menace liés au Pakistan.Lisez le blog pour plus.
>In this blog, Zimperium shares details about the mobile-targeted malware campaign named Operation Celestial Force, attributed to threat actors linked to Pakistan. Read the blog for more. |
Malware Threat Mobile | ★★ | |
 |
2024-06-13 16:27:55 | Les logiciels malveillants de Disgomoji ciblent le gouvernement indien DISGOMOJI Malware Used to Target Indian Government (lien direct) |
> Remarque: Volexity a signalé l'activité décrite dans ce blog et les détails des systèmes impactés sur CERT au National Informatics Center (NIC) en Inde.En 2024, Volexity a identifié une campagne de cyber-espionnage entrepris par un acteur de menace présumé basé au Pakistan que Volexité suit actuellement en vertu de l'alias UTA0137.Les logiciels malveillants utilisés dans ces campagnes récentes, que la volexité suit comme Disgomoji, est écrite en Golang et compilée pour les systèmes Linux.La volexité évalue avec une grande confiance que l'UTA0137 a des objectifs liés à l'espionnage et une remise pour cibler les entités gouvernementales en Inde.Sur la base de l'analyse de volexity \\, les campagnes d'UTA0137 \\ semblent avoir réussi.Disgomoji semble être exclusivement utilisé par UTA0137.Il s'agit d'une version modifiée du projet public Discord-C2, qui utilise le service de messagerie Discord pour la commande et le contrôle (C2), utilisant des emojis pour sa communication C2.L'utilisation de logiciels malveillants Linux pour un accès initial associé à des documents leurres (suggérant un [& # 8230;]
>Note: Volexity has reported the activity described in this blog and details of the impacted systems to CERT at the National Informatics Centre (NIC) in India. In 2024, Volexity identified a cyber-espionage campaign undertaken by a suspected Pakistan-based threat actor that Volexity currently tracks under the alias UTA0137. The malware used in these recent campaigns, which Volexity tracks as DISGOMOJI, is written in Golang and compiled for Linux systems. Volexity assesses with high confidence that UTA0137 has espionage-related objectives and a remit to target government entities in India. Based on Volexity\'s analysis, UTA0137\'s campaigns appear to have been successful. DISGOMOJI appears to be exclusively used by UTA0137. It is a modified version of the public project discord-c2, which uses the messaging service Discord for command and control (C2), making use of emojis for its C2 communication. The use of Linux malware for initial access paired with decoy documents (suggesting a […] |
Malware Threat | ★★★ | |
|
2024-06-13 15:56:00 | La campagne de logiciels malveillants liée au Pakistan évolue vers des cibles Windows, Android et MacOS Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS (lien direct) |
Les acteurs de menace ayant des liens avec le Pakistan sont liés à une campagne de logiciels malveillants de longue date surnommée l'opération Celestial Force depuis au moins 2018.
L'activité, toujours en cours, implique l'utilisation d'un logiciel malveillant Android appelé GravityRat et d'un chargeur de logiciels malveillants basé sur Windows, nommé Heavylift, selon Cisco Talos, qui sont administrés à l'aide d'un autre outil autonome appelé GravityAdmin.
Le
Threat actors with ties to Pakistan have been linked to a long-running malware campaign dubbed Operation Celestial Force since at least 2018. The activity, still ongoing, entails the use of an Android malware called GravityRAT and a Windows-based malware loader codenamed HeavyLift, according to Cisco Talos, which are administered using another standalone tool referred to as GravityAdmin. The |
Malware Tool Threat Mobile | ★★★ | |
|
2024-06-13 14:32:14 | Panera met en garde contre la violation des données des employés après l'attaque des ransomwares de mars Panera warns of employee data breach after March ransomware attack (lien direct) |
Le géant de la chaîne alimentaire américaine Panera Bread informe les employés d'une violation de données après que des acteurs de menace inconnus ont volé leurs informations personnelles sensibles dans une attaque de ransomware de mars.[...]
U.S. food chain giant Panera Bread is notifying employees of a data breach after unknown threat actors stole their sensitive personal information in a March ransomware attack. [...] |
Ransomware Data Breach Threat | ★★ | |
|
2024-06-13 14:30:35 | Microsoft, en retard au jeu sur une défaite dangereuse DNSSEC Zero-Day Microsoft, Late to the Game on Dangerous DNSSEC Zero-Day Flaw (lien direct) |
La raison pour laquelle la société a mis si longtemps à résoudre le problème n'est pas connue étant donné que la plupart des autres parties prenantes ont eu un correctif pour le problème il y a des mois.
Why the company took so long to address the issue is not known given that most other stakeholders had a fix out for the issue months ago. |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 14:00:00 | UNC3944 cible les applications SaaS UNC3944 Targets SaaS Applications (lien direct) |
Introduction
UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.
Initially, UNC3944 focused on credential harvesting and SIM swapping attacks in their operations, eventually migrating to ransomware and data theft extortion. However, recently, UNC3944 has shifted to primarily data theft extortion without the use of ransomware. This change in objectives has precipitated an expansion of targeted industries and organizations as evidenced by Mandiant investigations.
Evidence also suggests UNC3944 has occasionally resorted to fearmongering tactics to gain access to victim credentials. These tactics include threats of doxxing personal information, physical harm to victims and their families, and the distribution of compromising material.
This blog post aims to spotlight UNC3944\'s attacks against SaaS applications, providing insights into the group\'s evolving TTPs in line with its shifting mission objectives.
Tactics, Techniques, and Procedures (TTPs)
Figure 1: UNC3944 attack lifecycle
Mandiant has observed UNC3944 in multiple engagements leveraging social engineering techniques against corporate help desks to gain initial access to existing privileged accounts. Mandiant has analyzed several forensic recordings of these call center attacks, and of the observed r |
Ransomware Tool Threat Cloud | ★★★ | |
 |
2024-06-13 13:00:46 | Comment le moteur à émulation de menace de menace de menace empêche les attaques de chargement de touche de la DLL (Trojan) How ThreatCloud AI\\'s Threat Emulation Engine Prevents DLL Sideloading (Trojan) Attacks (lien direct) |
> Une nouvelle attaque sophistiquée de logiciels malveillants / trojan est conçue pour voler des informations d'identification de connexion et des informations sur les cartes de crédit des systèmes de paiement, des banques et des échanges de crypto.Cette attaque trompe les applications commerciales légitimes dans l'exécution des fichiers de bibliothèque de liens dynamiques compromis mais innocents (DLL) & # 8212;Rendant les choses très difficiles à détecter et à bloquer.La charge de touche DLL est une technique utilisée par les cybercriminels pour exécuter du code malveillant sur un système cible en exploitant la façon dont Windows charge les bibliothèques de liens dynamiques (DLL).Ce blog explore comment les moteurs à émulation de menace avancés de Check Point \\, qui font partie de l'infini menacecloud AI, ont détecté et empêché une attaque de téléchargement de DLL contre l'un de nos clients.[& # 8230;]
>A sophisticated new malware/trojan attack is designed to steal login credentials and credit card information from payment systems, banks and crypto exchanges. This attack tricks legitimate business applications into running compromised but innocent-looking dynamic link library (DLL) files — making it very difficult to detect and block. DLL sideloading is a technique used by cybercriminals to execute malicious code on a target system by exploiting the way Windows loads dynamic link libraries (DLLs). This blog explores how Check Point\'s advanced Threat Emulation engines, part of Infinity ThreatCloud AI, detected and prevented a DLL Sideloading attack on one of our customers. […] |
Malware Threat | ★★★ | |
|
2024-06-13 12:38:00 | Google prévient la sécurité de la sécurité du micrologiciel Pixel exploitée comme zéro-jour Google Warns of Pixel Firmware Security Flaw Exploited as Zero-Day (lien direct) |
Google a averti qu'un défaut de sécurité ayant un impact sur le micrologiciel Pixel a été exploité dans la nature comme un jour zéro.
La vulnérabilité à haute sévérité, étiquetée comme CVE-2024-32896, a été décrite comme une élévation du problème de privilège dans le micrologiciel Pixel.
La société n'a partagé aucun détail supplémentaire lié à la nature des attaques qui l'exploitant, mais a noté "Il y a des indications que le CVE-2024-32896 peut être
Google has warned that a security flaw impacting Pixel Firmware has been exploited in the wild as a zero-day. The high-severity vulnerability, tagged as CVE-2024-32896, has been described as an elevation of privilege issue in Pixel Firmware. The company did not share any additional details related to the nature of attacks exploiting it, but noted "there are indications that CVE-2024-32896 may be |
Vulnerability Threat | ★★★ | |
|
2024-06-13 12:19:26 | L'ancien employé indien emprisonné pour avoir essuyé 180 serveurs virtuels à Singapour Indian Ex-Employee Jailed for Wiping 180 Virtual Servers in Singapore (lien direct) |
Un employé licencié a supprimé les serveurs de son employeur, provoquant une perte financière majeure.Découvrez la menace croissante des ex-employés mécontents et comment les entreprises peuvent se protéger de cette menace.
A terminated employee deleted his employer\'s servers, causing major financial loss. Read about the growing threat of disgruntled ex-employees and how companies can protect themselves from this threat. |
Threat Legislation | ★★ | |
|
2024-06-13 11:55:00 | Nouveau logiciel malveillant multiplateforme \\ 'Noodle Rat \\' cible Windows et Linux Systems New Cross-Platform Malware \\'Noodle RAT\\' Targets Windows and Linux Systems (lien direct) |
Un rat de nouilles de logiciels malveillants multiplateforme précédemment sans papiers a été utilisé par des acteurs de menace de langue chinois pour l'espionnage ou la cybercriminalité pendant des années.
Bien que cette porte dérobée ait été précédemment classée comme une variante de GH0st Rat et Rekoobe, le chercheur de micro-sécurité tendance, Hara Hiroaki, a déclaré que "cette porte dérobée n'est pas simplement une variante de logiciels malveillants existants, mais est un nouveau type".
A previously undocumented cross-platform malware codenamed Noodle RAT has been put to use by Chinese-speaking threat actors either for espionage or cybercrime for years. While this backdoor was previously categorized as a variant of Gh0st RAT and Rekoobe, Trend Micro security researcher Hara Hiroaki said "this backdoor is not merely a variant of existing malware, but is a new type altogether." |
Malware Threat Prediction | ★★ | |
 |
2024-06-13 11:03:53 | Conduire dans les pilotes Android Driving forward in Android drivers (lien direct) |
Posted by Seth Jenkins, Google Project ZeroIntroduction Android\'s open-source ecosystem has led to an incredible diversity of manufacturers and vendors developing software that runs on a broad variety of hardware. This hardware requires supporting drivers, meaning that many different codebases carry the potential to compromise a significant segment of Android phones. There are recent public examples of third-party drivers containing serious vulnerabilities that are exploited on Android. While there exists a well-established body of public (and In-the-Wild) security research on Android GPU drivers, other chipset components may not be as frequently audited so this research sought to explore those drivers in greater detail.Driver Enumeration: Not as Easy as it Looks This research focused on three Android devices (chipset manufacturers in parentheses): - Google Pixel 7 (Tensor) - Xiaomi 11T (MediaTek) - Asus ROG 6D (MediaTek) In order to perform driver research on these devices I first had to find all of the kernel drivers that were accessible from an unprivileged context on each device; a task complicated by the non-uniformity of kernel drivers (and their permissions structures) across different devices even within the same chipset manufacturer. There are several different methodologies for discovering these drivers. The most straightforward technique is to search the associated filesystems looking for exposed driver device files. These files serve as the primary method by which userland can interact with the driver. Normally the “file” is open’d by a userland process, which then uses a combination of read, write, ioctl, or even mmap to interact with the driver. The driver then “translates” those interactions into manipulations of the underlying hardware device sending the output of that device back to userland as warranted. Effectively all drivers expose their interfaces through the ProcFS or DevFS filesystems, so I focused on the /proc and /dev directories while searching for viable attack surfaces. Theoretically, evaluating all the userland accessible drivers should be as simple as calling find /dev or find /proc, attempting to open every file discovered, and logging which open | Tool Vulnerability Threat Patching Mobile Technical | ★★★ | |
 |
2024-06-13 09:34:42 | Les collectivités : cybermenaces spécifiques et réponses adaptées (lien direct) | Les enjeux de sécurité évoluent rapidement et les collectivités font face à des risques uniques en matière de cyberattaques. Données d'état civil des habitants, coordonnées bancaires des usagers, informations de santé des agents... Les collectivités territoriales détiennent des informations sensibles qui doivent être protégées. Zoom sur les menaces qui pèsent sur ces entités et la manière dont elles peuvent se prémunir contre ces vulnérabilités croissantes. Les 4 facteurs de risque cyber qui mettent au défi (...) - Points de Vue | Threat | ★★ | |
 |
2024-06-13 08:53:20 | Symantec rapporte Black Basta Ransomware Group soupçonné d'exploiter le zéro-jour en attaque probable échouée Symantec reports Black Basta ransomware group suspected of exploiting zero-day in likely failed attack (lien direct) |
Les chercheurs de Symantec ont des attaques de ransomware détaillées par le groupe Black Basta, qui peut avoir utilisé une escalade de privilège ...
Symantec researchers have detailed ransomware attacks by the Black Basta group, which may have utilized a privilege escalation... |
Ransomware Vulnerability Threat | ★★ | |
|
2024-06-13 07:44:20 | Botnet installant des logiciels malveillants à benerat Botnet Installing NiceRAT Malware (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) a confirmé que la tendance des botnets depuis 2019 a été continuellement utilisée pour installer des logiciels malveillants Ninerat.Un botnet est un groupe d'appareils infectés par des logiciels malveillants et contrôlés par un acteur de menace.Parce que les acteurs de la menace ont principalement lancé des attaques DDOS à l'aide de botnets dans le passé, Nitol et d'autres souches de logiciels malveillants utilisées dans les attaques DDOS ont été perçues comme les souches clés qui forment des botnets.Récemment, cependant, des souches de logiciels malveillants tels que Nanocore et Emotet qui effectuent des comportements malveillants ...
1. Overview AhnLab Security intelligence Center (ASEC) confirmed that botnets trending since 2019 have been continuously used to install NiceRAT malware. A botnet is a group of devices infected by malware and controlled by a threat actor. Because threat actors mainly launched DDoS attacks using botnets in the past, Nitol and other malware strains used in DDoS attacks were perceived as the key strains that form botnets. Recently, however, malware strains such as NanoCore and Emotet that perform malicious behaviors... |
Malware Threat | ★★ | |
|
2024-06-13 07:06:14 | KeyLogger installé à l'aide de la vulnérabilité de l'éditeur d'équation de MS Office (Kimsuk) Keylogger Installed Using MS Office Equation Editor Vulnerability (Kimsuky) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a identifié les détails du groupe de menaces Kimsuky qui exploitait récemment une vulnérabilité (CVE-2017-11882) Dans l'éditeur d'équation inclus dans MS Office (Eqnedt32.exe) pour distribuer un Keylogger.L'acteur de menace a distribué le Keylogger en exploitant la vulnérabilité pour exécuter une page avec un script malveillant intégré avec le processus MSHTA.La page à laquelle Mshta se connecte est http://xxxxxxxxxx.xxxxxx.xxxxxxx.com/images/png/error.php et utilise le nom de fichier error.php.Comme le montre la figure 2, le & # 8220; introuvable & # 8221;Le message le fait ...
AhnLab SEcurity intelligence Center (ASEC) has identified the details of the Kimsuky threat group recently exploiting a vulnerability (CVE-2017-11882) in the equation editor included in MS Office (EQNEDT32.EXE) to distribute a keylogger. The threat actor distributed the keylogger by exploiting the vulnerability to run a page with an embedded malicious script with the mshta process. The page that mshta connects to is http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php and uses the file name error.php. As shown in Figure 2, the “Not Found” message makes it... |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 05:00:22 | Mémoire de sécurité: les escrocs créent des sites de billetterie frauduleux olympiques Security Brief: Scammers Create Fraudulent Olympics Ticketing Websites (lien direct) |
Ce qui s'est passé Proofpoint a récemment identifié un site Web frauduleux censant vendre des billets aux jeux Paris & NBSP; 2024 Summer & NBSP; Olympic & nbsp; Jeux.Le site Web «Paris24tickets [.] Com» a prétendu être un «marché secondaire pour les billets de sport et d'événements en direct».Il a été notamment répertorié comme le deuxième résultat de recherche parrainé sur Google, après le site officiel, lors de la recherche de «billets de Paris 2024» et de recherches connexes.Proofpoint a confirmé avec des sources officielles en France que le site était frauduleux.L'équipe de Takedown de Proofpoint \\ a travaillé avec le registraire pour suspendre rapidement le domaine après sa découverte initiale. Le site n'était que l'un des nombreux.Selon le Gendarmerie Nationale français, leurs efforts en collaboration avec des partenaires olympiques ont identifié 338 sites Web de billetteries frauduleuses.Parmi ceux-ci, 51 ont été fermés, avec 140 avis officiels des forces de l'ordre. & NBSP; Résultat de Google pour «Billets de Paris 2024», y compris le domaine frauduleux comme publicité parrainée. & NBSP; Sur le site Web identifié par les chercheurs de ProofPoint, la page d'accueil a énuméré de nombreux événements olympiques, et si l'utilisateur a cliqué sur l'une des icônes sportives, ils ont été emmenés sur une page de billetterie qui permettait à l'utilisateur de sélectionner les billets et de fournir des données de paiement.Le site a également semblé permettre à l'utilisateur d'établir des comptes pour acheter et vendre des billets. & Nbsp; & nbsp; La conception du site Web semblait similaire à d'autres sites de billetterie bien connus, les visiteurs seraient familiers, augmentant la légitimité perçue du site.& nbsp; Page d'accueil des billets de Jeux olympiques frauduleux. & NBSP; Page d'achat de billets présumés. & NBSP; Il est probable que les acteurs de la menace qui géraient ce site Web tentaient de voler de l'argent à des personnes tentant d'acheter ou de vendre des billets Olympiques.Il est possible que le site ait également collecté des informations personnelles auprès de personnes qui tentent d'acheter des billets, y compris des noms, des coordonnées telles que les adresses e-mail et les numéros de téléphone et les coordonnées de la carte de crédit. & NBSP; Le domaine aurait été principalement distribué via des publicités dans les résultats de recherche.Bien qu'il ne soit pas observé dans des campagnes de courrier électronique généralisées, le domaine a été observé dans un petit nombre d'e-mails.Dans certains cas, le mauvais acteur a envoyé des e-mails prétendant accorder des «réductions» sur les billets éventuellement intéressés par le destinataire.Bien que les chercheurs ne puissent pas confirmer comment l'acteur a obtenu les e-mails Targets \\ ', il est possible que les utilisateurs incluent leur adresse e-mail lorsqu'ils se sont inscrits sur le site Web ou ont tenté d'acheter des billets.& nbsp; Email suspect ordonnant au destinataire d'acheter des billets à une «remise». & NBSP; Attribution ProofPoint n'attribue pas cette activité à un acteur de menace connu. & NBSP;Lors de l'étude de ce site Web, les chercheurs de Proofpoint ont identifié un autre site Web qui a partagé l'infrastructure et la conception avec le site frauduleux des Jeux olympiques.Ce site Web, SeatsNet [.] Com, a reçu des centaines de plaintes sur divers sites Web de rapports d'arnaque affirmant que les utilisateurs n'ont jamais reçu de billets pour lesquels ils ont payé. & NBSP; Pourquoi est-ce important Les fraudeurs capitaliseront toujours sur les événements actuels et les prochains Jeux Olympiques ne font pas exception.Les utilisateurs sans méfiance ont probablement cliqué sur le site Web car il semblait être une entité légitime qui se spécialise dans la vente de billets olympiques. & NBSP;Le placement du site Web \\ sur le moteur de recherche sous le site officiel des Olympiques de Paris aurait pu ajouter | Threat Legislation | ★★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
 |
2024-06-12 19:34:26 | Rapport mandiant: les utilisateurs de flocon de neige ciblés pour le vol de données et l'extorsion Mandiant Report: Snowflake Users Targeted for Data Theft and Extortion (lien direct) |
Un acteur de menace a exploité la plate-forme de flocon de neige pour cibler les organisations pour le vol de données et l'extorsion en utilisant des informations d'identification compromises.Apprenez à protéger votre entreprise de cette menace.
A threat actor exploited the Snowflake platform to target organizations for data theft and extortion using compromised credentials. Learn how to protect your business from this threat. |
Threat | ★★★ | |
|
2024-06-12 19:12:00 | La campagne de cryptojacking cible les grappes kubernetes mal configurées Cryptojacking Campaign Targets Misconfigured Kubernetes Clusters (lien direct) |
Les chercheurs en cybersécurité ont mis en garde contre une campagne de cryptojacking en cours ciblant les grappes de Kubernetes erronées pour exploiter la crypto-monnaie Dero.
La société de sécurité du cloud Wiz, qui a mis en lumière l'activité, a déclaré qu'elle était une variante mise à jour d'une opération motivée par la finance qui a été documentée pour la première fois par Crowdstrike en mars 2023.
"Dans cet incident, l'acteur de menace a abusé de l'accès anonyme à un
Cybersecurity researchers have warned of an ongoing cryptojacking campaign targeting misconfigured Kubernetes clusters to mine Dero cryptocurrency. Cloud security firm Wiz, which shed light on the activity, said it\'s an updated variant of a financially motivated operation that was first documented by CrowdStrike in March 2023. "In this incident, the threat actor abused anonymous access to an |
Threat | ★★ | |
|
2024-06-12 16:41:00 | Le ransomware Black Basta a peut-être exploité une faille MS Windows Zero-Day Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw (lien direct) |
Les acteurs de la menace liés au ransomware Black Basta ont peut-être exploité un défaut d'escalade de privilège récemment divulgué dans le service de reporting d'erreur Microsoft Windows en tant que zéro-jour, selon de nouvelles résultats de Symantec.
La faille de sécurité en question est CVE-2024-26169 (score CVSS: 7.8), une élévation du bogue de privilège dans le service de rapport d'erreur Windows qui pourrait être exploité pour réaliser
Threat actors linked to the Black Basta ransomware may have exploited a recently disclosed privilege escalation flaw in the Microsoft Windows Error Reporting Service as a zero-day, according to new findings from Symantec. The security flaw in question is CVE-2024-26169 (CVSS score: 7.8), an elevation of privilege bug in the Windows Error Reporting Service that could be exploited to achieve |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-06-12 15:48:53 | Comprendre les nuances: Test de pénétration DAST vs Understanding the Nuances: DAST vs. Penetration Testing (lien direct) |
Les cyberattaques sont une menace croissante, ce qui rend crucial pour nous de comprendre les outils et les techniques disponibles pour sécuriser les applications.Aujourd'hui, nous plongeons dans les différences et les similitudes entre les tests de sécurité des applications dynamiques (DAST) et les tests de pénétration avec des informations d'un expert de l'industrie Veracode et un testeur de pénétration certifié, Florian Walter.
Dast est une technique automatisée conçue pour identifier les vulnérabilités de sécurité dans les applications Web et les API pendant l'exécution.Il simule efficacement les attaques pour détecter des problèmes communs tels que les injections SQL et les vulnérabilités de script inter-sites, ce qui le rend idéal pour les vérifications de sécurité continues à différentes étapes du cycle de vie de développement logiciel.
À l'inverse, les tests de pénétration impliquent des testeurs experts examinant manuellement les applications pour identifier les vulnérabilités que les outils automatisés pourraient manquer.Cette méthode fournit des informations approfondies, en particulier dans des environnements complexes, gérant des données sensibles, offrant un nuancé…
Cyberattacks are a growing threat, making it crucial for us to understand the tools and techniques available to secure applications. Today, we dive into the differences and similarities between Dynamic Application Security Testing (DAST) and Penetration Testing with insights from a Veracode industry expert and certified penetration tester, Florian Walter. DAST is an automated technique designed to identify security vulnerabilities in web applications and APIs during runtime. It effectively simulates attacks to detect common issues like SQL injections and cross-site scripting vulnerabilities, making it ideal for continuous security checks across various stages of the software development lifecycle. Conversely, Penetration Testing involves expert testers manually examining applications to pinpoint vulnerabilities that automated tools might miss. This method provides deep insights, especially in complex environments handling sensitive data, offering a nuanced… |
Tool Vulnerability Threat | ★★★ | |
|
2024-06-12 15:41:26 | Le groupe de ransomwares de TellyouthEpass exploite la faille PHP critique TellYouThePass Ransomware Group Exploits Critical PHP Flaw (lien direct) |
Une vulnérabilité RCE qui affecte le langage de script Web sur Windows Systems est facile à exploiter et peut fournir une large surface d'attaque.
An RCE vulnerability that affects the Web scripting language on Windows systems is easy to exploit and can provide a broad attack surface. |
Ransomware Vulnerability Threat | ★★★ | |
|
2024-06-12 15:06:16 | Google Patches a exploité Android Zero-Day sur les appareils Pixels Google patches exploited Android zero-day on Pixel devices (lien direct) |
Google a publié des correctifs pour 50 vulnérabilités de sécurité ayant un impact sur ses appareils de pixels et a averti que l'un d'eux avait déjà été exploité dans des attaques ciblées en tant que zéro-jour.[...]
Google has released patches for 50 security vulnerabilities impacting its Pixel devices and warned that one of them had already been exploited in targeted attacks as a zero-day. [...] |
Vulnerability Threat Mobile | ★★★ | |
 |
2024-06-12 14:56:51 | Boug Bounty vs Test de pénétration: les coûts, la portée et les méthodologies Bug bounty vs penetration testing: The costs, scope, and methodologies (lien direct) |
> À mesure que les cybermenaces évoluent, les organisations doivent détecter et traiter de manière proactive les vulnérabilités de sécurité avant que les acteurs malveillants puissent les exploiter.Cette bataille en cours contre les violations potentielles est essentielle pour la sauvegarde des informations et la protection de la réputation et de la continuité opérationnelle de l'entreprise. & # 160;Deux méthodes importantes pour découvrir et remédier aux vulnérabilités sont les programmes de primes de bogues et les tests de pénétration, également appelés [& # 8230;]
>As cyber threats evolve, organizations must proactively detect and address security vulnerabilities before malicious actors can exploit them. This ongoing battle against potential breaches is vital for safeguarding information and protecting a company’s reputation and operational continuity. Two prominent methods to uncover and remedy vulnerabilities are bug bounty programs and penetration testing, also known as […] |
Vulnerability Threat | ★★ | |
|
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
|
2024-06-12 13:36:00 | Les pirates soutenus en Chine exploitent Fortinet Flaw, infectant 20 000 systèmes à l'échelle mondiale China-Backed Hackers Exploit Fortinet Flaw, Infecting 20,000 Systems Globally (lien direct) |
Les acteurs de la menace parrainés par l'État soutenus par la Chine ont eu accès à 20 000 systèmes Fortinet Fortigate dans le monde en exploitant un défaut de sécurité critique connu entre 2022 et 2023, ce qui indique que l'opération a eu un impact plus large que connu auparavant.
"L'acteur d'État derrière cette campagne était déjà conscient de cette vulnérabilité dans les systèmes FortiGate au moins deux mois avant que Fortinet ne divulgue le
State-sponsored threat actors backed by China gained access to 20,000 Fortinet FortiGate systems worldwide by exploiting a known critical security flaw between 2022 and 2023, indicating that the operation had a broader impact than previously known. "The state actor behind this campaign was already aware of this vulnerability in FortiGate systems at least two months before Fortinet disclosed the |
Vulnerability Threat | ★★★ | |
|
2024-06-12 13:00:02 | L'évolution du code QR Phishing: codes QR basés sur ASCII The Evolution of QR Code Phishing: ASCII-Based QR Codes (lien direct) |
> Introduction Qushing-Qr Code phishing - est une menace en évolution rapide.À partir d'août, lorsque nous avons vu la première augmentation rapide, nous avons également vu un changement dans le type d'attaques de code QR.Il a commencé avec les demandes d'authentification MFA standard.Il a ensuite évolué vers le routage conditionnel et le ciblage personnalisé.Maintenant, nous voyons une autre évolution dans la manipulation des codes QR.Les chercheurs par e-mail d'harmonie ont découvert une nouvelle campagne, où le code QR n'est pas dans une image, mais plutôt créé via des caractères HTML et ASCII.Les chercheurs par e-mail d'harmonie ont vu plus de 600 e-mails similaires fin mai.Exemple d'e-mail Dans cet e-mail, le [& # 8230;]
>Introduction Quishing-QR code phishing-is a rapidly evolving threat. Starting around August, when we saw the first rapid increase, we\'ve also seen a change in the type of QR code attacks. It started with standard MFA authentication requests. It then evolved to conditional routing and custom targeting. Now, we\'re seeing another evolution, into the manipulation of QR codes. Harmony Email Researchers have uncovered a new campaign, where the QR code is not in an image, but rather created via HTML and ASCII characters. Harmony Email researchers have seen over 600 similar emails in late May. Email Example In this email, the […] |
Threat | ★★★★ | |
 |
2024-06-12 13:00:00 | Auto-réplication des vers Morris II cible les assistants e-mail AI Self-replicating Morris II worm targets AI email assistants (lien direct) |
> La prolifération des assistants par courrier électronique de l'intelligence artificielle générative (Genai) tels que GPT-3 d'Openai et de la composition intelligente de Google ont révolutionné des flux de travail de communication.Malheureusement, il a également introduit de nouveaux vecteurs d'attaque pour les cybercriminels.Tirant parti des progrès récents dans l'IA et le traitement du langage naturel, les acteurs malveillants peuvent exploiter les vulnérabilités dans les systèmes Genai pour orchestrer les cyberattaques sophistiquées avec une grande portée [& # 8230;]
>The proliferation of generative artificial intelligence (GenAI) email assistants such as OpenAI’s GPT-3 and Google’s Smart Compose has revolutionized communication workflows. Unfortunately, it has also introduced novel attack vectors for cyber criminals. Leveraging recent advancements in AI and natural language processing, malicious actors can exploit vulnerabilities in GenAI systems to orchestrate sophisticated cyberattacks with far-reaching […] |
Vulnerability Threat | ★★ | |
|
2024-06-12 12:45:55 | Life360 dit que Hacker a essayé de les extorquer après une violation de données de carreaux Life360 says hacker tried to extort them after Tile data breach (lien direct) |
La société de services de sécurité et de localisation Life360 dit qu'elle a été la cible d'une tentative d'extorsion après qu'un acteur de menace a violé et volé des informations sensibles à une plate-forme de support client de carreaux.[...]
Safety and location services company Life360 says it was the target of an extortion attempt after a threat actor breached and stole sensitive information from a Tile customer support platform. [...] |
Data Breach Threat | ★★★ | |
|
2024-06-12 10:00:00 | RansomHub apporte de l'araignée dispersée dans son nid Raas RansomHub Brings Scattered Spider Into Its RaaS Nest (lien direct) |
Le groupe de menaces derrière les violations de Caesars et MGM déplace ses activités à une opération de ransomware et de service différente.
The threat group behind breaches at Caesars and MGM moves its business over to a different ransomware-as-a-service operation. |
Threat | ★★★ | |
 |
2024-06-12 09:45:07 | Blindspot de menace multicanal laissera votre organisation vulnérable à la violation Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach (lien direct) |
> Dans le monde hyper-connecté d'aujourd'hui, les travailleurs modernes s'appuient sur une multitude d'outils de communication et de collaboration pour faire le travail efficacement.Email, SMS, Slack, Microsoft Teams & # 8211;L'employé moyen jongle entre 6 et 10 applications sanctionnées par jour.Et cela ne compte même pas les outils non autorisés qui volent sous le radar.Cette prolifération des canaux [& # 8230;]
Le post menace multi-canal Lelinpot quittera votre organisation qui quittera votre organisationVulnérable à la violation est apparu pour la première fois sur slashnext .
>In today’s hyper-connected world, modern workers rely on a multitude of communication and collaboration tools to get work done efficiently. Email, SMS, Slack, Microsoft Teams – the average employee juggles between 6-10 sanctioned apps on any given day. And that’s not even counting the unsanctioned tools that fly under IT’s radar. This proliferation of channels […] The post Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach first appeared on SlashNext. |
Tool Threat | ★★ | |
 |
2024-06-12 09:15:00 | Microsoft patchs une vulnérabilité critique et une vulnérabilité à jour zéro Microsoft Patches One Critical and One Zero-Day Vulnerability (lien direct) |
Le mardi de juin mardi voit Microsoft corriger plus de 50 bogues, dont un déjà divulgué publiquement
June Patch Tuesday sees Microsoft fix over 50 bugs, including one already publicly disclosed |
Vulnerability Threat | ★★ | |
|
2024-06-12 08:59:25 | La vulnérabilité Critical Outlook RCE exploite le volet Aperçu & # 8211;Patch maintenant! Critical Outlook RCE Vulnerability Exploits Preview Pane – Patch Now! (lien direct) |
Une vulnérabilité critique (CVE-2024-30103) dans Microsoft Outlook permet aux attaquants d'exécuter du code malveillant simplement en ouvrant un e-mail.Cet exploit "zéro clique" n'exige pas l'interaction de l'utilisateur et représente une menace sérieuse.Découvrez comment fonctionne cette vulnérabilité et comment rester protégé.
A critical vulnerability (CVE-2024-30103) in Microsoft Outlook allows attackers to execute malicious code simply by opening an email. This "zero-click" exploit doesn\'t require user interaction and poses a serious threat. Learn how this vulnerability works and how to stay protected. |
Vulnerability Threat | ★★★ | |
|
2024-06-12 08:35:41 | La recherche sur le renseignement de l'écurage établit l'exploitation de masse des services de bord en tant que tendance dominante pour les attaquants WithSecure Intelligence research sets mass exploitation of edge services as the prevailing trend for attackers (lien direct) |
Les nouvelles recherches de Withesecure Intelligence explorent la tendance de l'exploitation de masse des services et des infrastructures Edge, et mettent en avant plusieurs théories pour expliquer pourquoi ils ont été si fortement & # 8211;et avec succès & # 8211;ciblé par les attaquants. Le paysage cyber-menace en 2023 et 2024 a été dominé par l'exploitation de masse.Un rapport précédent avec la caractéristique sur la professionnalisation de la cybercriminalité a noté l'importance croissante de l'exploitation de masse en tant que vecteur d'infection, mais le volume et la gravité de cette (...)
-
rapports spéciaux
New research by WithSecure Intelligence explores the trend of mass exploitation of edge services and infrastructure, and puts forward several theories as to why they have been so heavily – and successfully – targeted by attackers. The cyber threat landscape in 2023 and 2024 has been dominated by mass exploitation. A previous WithSecure report on the professionalization of cybercrime noted the growing importance of mass exploitation as an infection vector, but the volume and severity of this (...) - Special Reports |
Threat Prediction | ★★ | |
|
2024-06-12 06:00:15 | Comment reconnaître et défendre contre les menaces d'initiés malveillants How to Recognize and Defend Against Malicious Insider Threats (lien direct) |
Insider threats arise from careless users, users with compromised credentials, or users who seek to cause harm intentionally. The latter type of user-the malicious insider-can be the most daunting for security teams to manage. It requires them to analyze a user\'s behavior and determine whether they have bad intentions. Although less frequent, malicious insiders are costly. The average cost of a data breach by a malicious insider is the highest of any attack vector at $4.9 million, which is 9.6% higher than the global average. Unlike accidental misuse by well-meaning insiders, malicious insiders make a conscious choice to do something that they know they shouldn\'t. Typically, they do it for personal gain or damage to the company. What\'s more, trusted insiders can do the most significant damage since they often know the weak points in the organization and how to exploit them. So, how can you recognize a malicious insider threat and keep your business and data safe? Your starting point is to understand what motivates malicious insiders. Understanding the malicious insider The most defining characteristic of a malicious insider is their intent to cause harm. There are various reasons and external factors that can motivate them to act. Here are a few examples: Business changes like mergers and acquisitions, and divestitures Fear of job loss Financial stress Resentment due to job changes or conflict with a supervisor Poor job performance If you know what can inspire malicious insiders to act, you can better understand who a high-risk insider in your company might be. This insight shows why you need a cross-functional team-rather than just a cybersecurity team-to deal with employee-facing situations. Human resources (HR), legal and management need to be involved. An expanded team can help you spot risk factors and intervene in delicate situations before they become full-blown insider incidents. Likewise, once an incident occurs, a cross-functional team may be needed for a thorough investigation. Proofpoint Insider Threat Management (ITM) helps teams from different areas of your business collaborate. Reports of user activity are easy to export and consume. These user risk reports detail user interactions with data and other behaviors, helping provide contextual insight with a timeline of activities and detailed metadata. Early indicators of insider threats Once you know what commonly motivates malicious insiders, you need to know how to recognize behaviors to watch out for. Here are some examples of insider threat indicators: Hiding information Performing unauthorized admin tasks Bypassing security controls Creating a backdoor Exfiltrating data Installing a TOR browser Running malicious software Downloading unauthorized software Accessing source code during irregular hours Performing acts of IT sabotage Keep in mind that one of these behaviors alone doesn\'t mean that a user is malicious. Rather, it is the combination of multiple behavioral indicators, which you need to analyze holistically, over time and in the context of other factors. That is how you begin to paint a picture of a malicious insider and their intentions. Proofpoint has developed a library of use cases and indicators that are most associated with insider threats. When you monitor these indicators, it can help to reduce your risk of insider threats. The library includes more than 150 out-of-the-box rules based on CERT Institute guidelines and behavior-based research. With the threat library, you can get up and running quickly while watching for common behaviors. Forensic evidence for investigations When you have careless users, you need to address their behavior quickly. The following straightforward actions usually do the trick: Talk to the employee and their manager Provide targeted secu | Data Breach Threat | ★★ |
To see everything:
Our RSS (filtrered)
