What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-16 19:32:40 | NullBulge | Threat Actor Masquerades as Hacktivist Group Rebelling Against AI (lien direct) | ## Instantané Sentinellabs a publié un rapport sur Nullbulge, un nouveau groupe cybercriminal ciblant l'IA et les entités axées sur le jeu, chargés de publier des données au prétendument volées aux communications internes de Disney \\. ## Description Le groupe prétend avoir une motivation pro-art et anti-AI, mais Sentinelabs évalue que les activités de Nullbulge \\ suggèrent une motivation plus financière. Nullbulge exploite la chaîne d'approvisionnement des logiciels en intégrant du code malveillant dans des référentiels accessibles au public sur Github, Hugging Face et Reddit, attirant les victimes d'importer des bibliothèques nocives ou des packs de mod utilisés par les logiciels de jeu et de modélisation.Le groupe publie leurs hacks via son propre site de blog et sporadiquement sur les fils 4chan. Un certain nombre de campagnes à null ont été observées par Sentinelabs.En mai et juin 2024, le groupe a utilisé le github et le visage étreint pour cibler les outils et les plates-formes d'IA en compromettant des extensions et des logiciels légitimes comme Comfyui \ _Llmvision et Beamng et créant de faux outils malveillants comme le "générateur de caractères idiot".Certaines de ces campagnes exfiltraient les données via Discord WebHook et d'autres ont déployé des logiciels malveillants supplémentaires comme [Async Access à distance Trojan (RAT)] (https://security.microsoft.com/intel-profiles/e9216610Feb409dfb620b2815ff et xworm.Nullbulge a également utilisé le rat asynchronisé et le tempête pour mener des activités de ransomware de suivi à l'aide de charges utiles de verrouillage personnalisées construites à l'aide de Lockbit 3.0. À ce jour, l'activité la plus connue de Nullbulge \\ est la libération d'environ 1,2 téraoctets d'informations provenant des communications de relâche internes de Disney.Selon le groupe, les informations d'identification du compte d'entreprise compromises ont servi de vecteur d'accès initial pour cette attaque.[Selon MSN] (https://www.msn.com/en-nz/news/other/hackers-hit-disney-leaking-unreled-projects-and-intern-messages/ar-bb1q2bsi), propriété de code informatique de propriété, Les informations sur les projets inédits et les évaluations des candidats à l'emploi font partie du contenu divulgué. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Lokibot] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/lokibot!msr) - [* Trojan: Bat / Starter *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:bat/starter!msr) - [* ransom: win32 / lockbit *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/lockbit.ha!mtb) - [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sighT-Microsoft-Defender-Antivirus? OCID = Magicti% 3cem% 3eta% 3C / EM% 3ELEARNDOC) dans Microsoft Defender AntivIrus ou l'équivalent pour que votre produit antivirus couvre les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/se | Ransomware Malware Tool Threat | ||
 |
2024-07-16 15:46:38 | Suspected Iranian state hackers use new malware to target Israeli organizations (lien direct) | Pas de details / No more details | Malware | ||
|
2024-07-16 15:36:53 | Cette réunion aurait dû être un e-mail: un voleur de la RPDC, surnommé Beavertail, cible les utilisateurs via une application de réunion trojanisée This Meeting Should Have Been an Email: A DPRK stealer, dubbed BeaverTail, targets users via a trojanized meeting app (lien direct) |
## Instantané Patrick Wardle de la Fondation Objective-See a publié des recherches sur une variante MAC de Beavertail malware, qui cible les utilisateurs via une application de réunion trojanisée. ## Description Le malware, qui a été attribué aux pirates nord-coréens, a été distribué à travers un site d'application légitime cloné, Mirotalk \ [. \] Net, qui offre "des appels vidéo en temps réel basés sur un navigateur" sans téléchargements, des plug-ins,ou log-ins.Cette variante du malware de Beavertail est en mesure de voler des informations aux navigateurs, d'effectuer un keylogging et d'exécuter des charges utiles supplémentaires, telles que InvisibleFerret.[InvisibleFerret] (https://unit42.paloaltonetworks.com/two-campaign-by-north-korea-bad-acteurs-target-job-hunters/) est une porte dérobée multiplateforme qui a une empreinte digitale, une télécommande, un keylogging,et les capacités d'exfiltration des données, entre autres. ## Analyse Microsoft Une fois considérés comme un paradis à partir de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées alors que les acteurs de la menace s'adaptent et mettent de plus en plus des techniques d'attaque améliorées.En savoir plus sur les tendances récentes de l'Osint dans les menaces pour macOS [ici] (https://security.microsoft.com/intel-explorer/articles/3d13591e). ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Antivirus] (Https: //learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-antivirus-windows? ocid = mAGICTI_TA_LELARNDOC) pour protéger de cette menace. - Allumez et soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Éduquer les utilisateurs sur [Protéger les informations personnelles et commerciales] (https://www.microsoft.com/en-us/security/business/security-101/what-is-email-security?ocid=Magicti_TA_ABRREVIEDMKTGPAGE) dans les médias sociaux, dans les médias sociaux, les médias sociaux,Filtrage de la communication non sollicitée, identifiant les leurres dans les e-mails et les trous d'arrosage des lances et les tentatives de reconnaissance et d'autres activités suspectes. - Educate users about [preventing malware infections,](https://www.microsoft.com/en-us/security/business/security-101/what-is-malware?ocid=magicti_ta_abbreviatedmktgpage) such as ignoring or deleting unsolicited anddes e-mails ou des pièces jointes inattendues envoyées via des applications de messagerie instantanées ou des réseaux sociaux. - Allumez [Protection de somper pour macOS] (https: //learn.microsOFT.com/defender-endpoint/tamperprotection-macos?ocid=Magicti_TA_LearnDoc) dans Microsoft Defender pour le point de terminaisont pour prévenir les modifications malveillantes des paramètres de sécurité. - Encouragez les utilisateurs à pratiquer une bonne [hygeine d'identification] (https://www.microsoft.com/en-us/security/business/security-101/what-is-login-security?ocid=magicti_ta_abbreviatedmktgpage) et allumer le MicrosoftPare-feu du défenseur pour prévenir l'infection des logiciels malveillants et étouffer la propagation. - Prenez des mesures immédiates pour lutter contre l'activité malveillante sur l'appareil touché.Si un code malveillant a été lancé, l'attaquant a probablement pris le contrôle total de l'appareil.Isoler immédiatement le système et effectuer une réinitialisation des informations d'identification et des jetons.Étudiez le calendrier de l'appareil pour les indications des activités de mouvement latéral à l'aide de l'un des comptes compromis.Vérifiez les outils supplémentaires que les attaquants auraient pu abandonner pour permet | Malware Tool Threat | ||
|
2024-07-16 15:25:11 | De fausses équipes Microsoft pour Mac délivre un voleur atomique Fake Microsoft Teams for Mac delivers Atomic Stealer (lien direct) |
## Instantané Une nouvelle campagne de malvertising cible les utilisateurs de Mac avec une publicité frauduleuse pour les équipes de Microsoft.La campagne a utilisé des techniques de filtrage avancées pour échapper à la détection et à rediriger les victimes vers une page de leurre pour télécharger une application malveillante. ## Description L'annonce malveillante, malgré l'affichage de l'URL Microsoft.com, n'était pas liée à Microsoft et n'a probablement pas été payée par un compte Google compromis.Les victimes atterrissent sur une page de leurre montrant un bouton pour télécharger des équipes.Une demande est faite à un domaine différent où une charge utile unique est générée pour chaque visiteur.Une fois le fichier téléchargé monté, les utilisateurs sont invités à l'ouvrir en un clic droit pour contourner le mécanisme de protection intégré d'Apple \\ pour les installateurs non signés.Suivant le vol de données est l'étape d'exfiltration des données, uniquement visible via un outil de collecte de paquets réseau.Une seule demande de publication est effectuée sur un serveur Web distant avec les données en cours de codé. MalwareBytes détecte cette menace en tant que OSX.atomster.Sur la base du suivi des logiciels malveillants, les équipes de Microsoft sont de retour en tant qu'acteurs de menaces de mots clés populaires qui soumissionnent, et c'est la première fois qu'ils le viennent utilisés par le voleur atomique. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité, pour inclure des publicités malveillantes et une distribution de logiciels.La fréquence des incidents de malvertisation a fortement augmenté à mesure que les acteurs de la menace utilisent des techniques plus avancées.De plus, les voleurs d'informations comme le voleur MacOS atomique (AMOS) sont tendance dans les menaces de malvertisation pour le macOS. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'instal | Ransomware Spam Malware Tool Threat | ||
 |
2024-07-16 13:00:28 | Nullbulge |L'acteur de menace se masque en tant que groupe hacktiviste se rebeller contre l'IA NullBulge | Threat Actor Masquerades as Hacktivist Group Rebelling Against AI (lien direct) |
L'acteur se faisait passer pour des hacktivistes ciblant les communautés centrées sur l'IA avec des logiciels malveillants de marchandises et des charges utiles de verrouillage personnalisées.
Actor are masquerading as hacktivists targeting AI-centric communities with commodity malware and customized lockbit payloads. |
Malware Threat | ||
 |
2024-07-16 10:00:00 | CVE-2024-30078: Patchez votre Wi-Fi maintenant! CVE-2024-30078: Patch Your Wi-Fi Now! (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The relentless battle against cyber threats continues, and CVE-2024-30078 stands as a stark reminder of the ever-present need for vigilance. A critical vulnerability (CVE-2024-30078) has been identified in Wi-Fi drivers for various Microsoft Windows versions. This flaw allows attackers within Wi-Fi range to remotely execute malicious code (RCE) on vulnerable systems. Immediate patching is recommended. Understanding the Threat: Remote Code Execution via Wi-Fi CVE-2024-3078 lurks within the Wi-Fi drivers of various Windows operating systems. These drivers act as interpreters, facilitating communication between the operating system and the Wi-Fi adapter hardware. The vulnerability lies in how these drivers handle specific data packets received over Wi-Fi networks. An attacker can exploit this flaw by crafting a malicious packet containing specially crafted code. When a vulnerable system receives this packet, the Wi-Fi driver misinterprets it, leading to the execution of the attacker\'s code on the target machine. This technique, known as Remote Code Execution (RCE), is particularly severe because it grants attackers full control over the compromised device. Discovery and Responsible Disclosure The discovery of CVE-2024-3078 deserves recognition. A team of researchers from Cyber Kunlun identified and responsibly disclosed this vulnerability, significantly contributing to the security of millions of Windows users. Their adherence to established disclosure protocols ensured Microsoft had ample time to develop and release a patch before public details were released. Technical Breakdown for the Keen-Eyed For those with a deeper understanding of security concepts, a closer look at the technical aspects of CVE-2024-3078 is insightful: Vulnerability Type: Memory Corruption. The malicious packet can potentially overwrite memory locations within the Wi-Fi driver, resulting in erratic behavior and possible code execution. Attack Vector: Adjacent (AV:A). The attacker must be within Wi-Fi range of the target device. Techniques like setting up a rogue access point or exploiting existing Wi-Fi networks can be employed. Attack Complexity: Low (AC:L). Exploiting this vulnerability requires minimal user interaction, making it highly attractive to attackers. Privileges Required: None (PR:N). The attacker doesn\'t need any prior privileges on the target system, further increasing the threat level. User Interaction: None (UI:N). No user action is required for exploitation. Impact: Confidentiality (C): High. Successful exploitation can lead to the theft of sensitive data stored on the compromised system. Integrity (I): High. Attackers can alter or corrupt data on the system, rendering it unusable. Availability (A): High. Attackers can disable the affected system entirely, causing a denial-of-service (DoS). CVSS Scores: CVSS v3: 8.8 (HIGH) These scores highlight the critical nature of this vulnerability, underscoring the need for immediate action. Affected Microsoft Windows Versions: Windows 10 (all versions) | Malware Vulnerability Threat Patching Technical | ||
 |
2024-07-16 07:26:11 | Acteurs de menace \\ 'Arsenal: comment les pirates ciblent les comptes cloud Threat Actors\\' Arsenal: How Hackers Target Cloud Accounts (lien direct) |
Introduction In today\'s interconnected world, cloud computing has become the backbone of countless businesses. However, with this rise in cloud adoption, malicious actors have adapted their strategies to compromise sensitive data stored in cloud environments and propagate threats throughout supply chains. One prevalent method is the use of tools specifically designed to automate attacks against cloud accounts, resulting in account takeover (ATO) and business email compromise (BEC) incidents. Keeping up with a tradition of trying to understand the attackers\' perspective, Proofpoint cloud threat researchers have obtained and analyzed various hacking tools used by threat actors. In this blog series, we\'ll showcase a few examples and explore the largely uncovered world of these tools, while examining their functionalities, the risks they pose, and how organizations can defend against them. Understanding toolsets: basic concepts and terminology Attack toolsets are purposefully crafted to enable, automate, and streamline cyber-attacks en masse. These toolsets exploit diverse weaknesses, from frequent misconfigurations to old authentication mechanisms, in order to gain access to selected resources. Often, attack toolsets are designed with specific aims in mind. In recent years, cloud accounts have become prime targets. But getting your hands on effective tools is not so trivial. Some toolsets are only sold or circulated within restricted channels, such as closed Darknet hacking forums, while others (especially older versions) are publicly available online. With a rising demand for hacking capabilities, hacking-as-a-service (HaaS) has become a prominent business model in today\'s cyber threat landscape, providing convenient access to advanced hacking capabilities in exchange for financial gain. As such, it lowers entry barriers for cybercriminals, allowing them to execute attacks with minimal effort. Regardless of their complexity, every attack tool aiming to compromise cloud accounts must utilize an initial threat vector to gain unauthorized access. Proofpoint\'s ongoing monitoring of the cloud threat landscape has led its researchers to categorize the majority of observed attacks into two primary threat vectors: brute-force attacks and precision attacks. In terms of sheer volume, brute-force attacks, encompassing techniques such as password guessing and various other methods, continue to maintain their status as the most prevalent threat vector. Despite the statistical nature of these attacks and their reliance on a "spray and pray" approach, they remain a significant threat. According to our research, roughly 20% of all organizations targeted by brute-force attacks in 2023 experienced at least one successful account compromise instance. The surprising effectiveness of brute-force methods, combined with their relative simplicity, makes this vector appealing not only to common cybercriminals, but also to sophisticated actors. In January 2024, Microsoft disclosed that it had fallen victim to a nation-state attack attributed to the Russian state-sponsored group APT29 (also known as TA421 and Midnight Blizzard). According to Microsoft\'s announcement, the attackers employed password spraying to compromise a legacy, non-production test tenant account that lacked multifactor authentication (MFA). After gaining access, attackers were able to quickly leverage it and hijack additional assets, ultimately exfiltrating sensitive data from various resources. This incident emphasizes the potential risk that brute-force and password spraying attacks pose to inadequately protected cloud environments. A brute-force attack kill chain, targeting cloud environments using leaked credentials and proxy networks. Combo lists, proxy lists and basic authentication Combo lists play a crucial role in facilitating systematic and targeted credential stuffing attacks. These lists, comprised of curated email address and password pairs, serve as the basic ammunition for most tools. Attackers leverage combo lists to automate the pr | Spam Malware Tool Threat Prediction Cloud Technical | APT 29 | |
|
2024-07-16 00:48:31 | Akira Ransomware attaquant l'industrie du transport aérien avec des outils légitimes Akira Ransomware Attacking Airline Industry With Legitimate Tools (lien direct) |
#### Géolocations ciblées - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Systèmes de transport ## Instantané Les chercheurs en cybersécurité de Blackberry ont identifié une attaque ciblée sur une compagnie aérienne latino-américaine par le groupe Akira Ransomware.The attackers used SSH for initial access and employed legitimate tools and LOLBAS ([Living Off the Land Binaries](https://security.microsoft.com/threatanalytics3/96666263-eb70-4b24-b2e7-c8b39822101f/analystreport) and Scripts) toMaintenez la persistance et les données exfiltrates avant de déployer le ransomware. ## Description L'attaque a commencé par exploiter un serveur de sauvegarde Veeam non corrigé via [CVE-2023-27532] (https://security.microsoft.com/intel-explorer/cves/cve-2023-27532/).Après avoir acquis une entrée via SSH et créé un utilisateur d'administration, les attaquants ont réalisé une reconnaissance à l'aide du scanner IP avancé et des données exfiltrées via WinSCP.La protection antivirus a été désactivée et le réseau a été infecté par le ransomware Akira, qui a supprimé des copies d'ombre pour entraver la récupération.Les attaquants ont utilisé des outils comme SMBEXEC d'Impacket, NetScan et AnyDesk pour la persistance, indiquant une approche sophistiquée visant à maximiser les dommages et les exigences de rançon. Cette attaque met en évidence la polyvalence des ransomwares Akira, qui ne cible pas seulement les systèmes Windows mais dispose également de variantes Linux.Le ransomware Akira, également connu sous le nom de [Storm-1567] (https://security.microsoft.com/intel-profiles/675eee77614a60e98bc69cd4177522142e7d283eaaab5d2107a2e7a53b964af36) Organisations du monde depuis sa création en mars 2023.Auparavant, les opérateurs d'Akira gagnés ont acquis un accès initial en tirant parti de CVE-2020-3259 et CVE-2023-20269 ## Analyse Microsoft Akira est une souche de ransomware observée pour la première fois par Microsoft Threat Intelligence en mars 2023. L'analyse d'Akira révèle des caractéristiques communes observées dans d'autres souches de ransomware comme l'utilisation de l'algorithme de cryptage Chacha, du PowerShell et de l'instrumentation de gestion Windows (WMI).Les opérateurs de ransomwares Akira exfiltrent également les données avant le déploiement des ransomwares pour une double extorsion et menacent d'exposer les données à leur site de fuite si la rançon n'est pas payée. [Trend Micro chercheurs identifiés] (https://security.microsoft.com/intel-explorer/articles/8dc2fa00) qu'Akira semble être basé sur le ransomware continu: il partage des routines similaires avec Conti, telles que l'obfuscation de la chaîne et l'encryption de fichiers:, et évite les mêmes extensions de fichiers que Conti évite. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Ransom: win32 / akira] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win32/akira.a!ibt& ;Theratid=-2147119980) - [Ransom: win64 / akira] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:win64/akira.pb!mtb& ;Thereatid=-2147122925) - [Ransom: Linux / AkiRA] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:linux/akira.a!mtb&Theretid=-2147116283) Microsoft Defender pour le point final Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Le groupe d'activités lié aux ransomwares Storm-0844 détecté ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransom | Ransomware Malware Tool Threat | ||
 |
2024-07-16 00:38:20 | Darkgate, le couteau suisse du malware, voit le boom après que le rival QBOT soit écrasé DarkGate, the Swiss Army knife of malware, sees boom after rival Qbot crushed (lien direct) |
Rencontrez le nouveau patron, comme l'ancien boss La famille des logiciels malveillants de Darkgate est devenu plus répandu ces derniers mois, après que l'un de ses principaux concurrents a été supprimé par le FBI.…
Meet the new boss, same as the old boss The DarkGate malware family has become more prevalent in recent months, after one of its main competitors was taken down by the FBI.… |
Malware | ||
 |
2024-07-15 20:02:16 | Packages NuGet exploités pour cibler les développeurs avec malware NuGet Packages Exploited to Target Developers with Malware (lien direct) |
Les packages NuGet sont attaqués!Une nouvelle campagne de logiciels malveillants exploite des techniques d'exécution de code cachées pour injecter des logiciels malveillants dans & # 8230;
NuGet packages are under attack! A new malware campaign exploits hidden code execution techniques to inject malware into… |
Malware | ||
|
2024-07-15 14:56:04 | New Data-Stealing Poco RAT Campaign Targeting Spanish Speakers (lien direct) | New Poco RAT Malware Targets Spanish Speakers Through Emails! Disguised as financial documents, Poco RAT steals your info…
New Poco RAT Malware Targets Spanish Speakers Through Emails! Disguised as financial documents, Poco RAT steals your info… |
Malware | ||
 |
2024-07-15 14:19:59 | Nouvel implant de logiciels malveillants de bugslee New BugSleep malware implant deployed in MuddyWater attacks (lien direct) |
Le groupe de piratage de Muddywatter soutenu par l'Iran est partiellement passé à l'utilisation d'un nouvel implant de logiciel malveillant personnalisé pour voler des fichiers et exécuter des commandes sur des systèmes compromis.[...]
The Iranian-backed MuddyWatter hacking group has partially switched to using a new custom-tailored malware implant to steal files and run commands on compromised systems. [...] |
Malware | ||
 |
2024-07-15 14:00:00 | Scaling Up Malware Analysis with Gemini 1.5 Flash (lien direct) | Written by:Bernardo Quintero, Founder of VirusTotal and Security Director, Google Cloud SecurityAlex Berry, Security Manager of the Mandiant FLARE Team, Google Cloud SecurityIlfak Guilfanov, author of IDA Pro and CTO, Hex-RaysVijay Bolina, Chief Information Security Officer & Head of Cybersecurity Research, Google DeepMind
In our previous post, we explored how Gemini 1.5 Pro could be used to automate the reverse engineering and code analysis of malware binaries. Now, we\'re focusing on Gemini 1.5 Flash, Google\'s new lightweight and cost-effective model, to transition that analysis from the lab to a production-ready system capable of large-scale malware dissection. With the ability to handle 1 million tokens, Gemini 1.5 Flash offers impressive speed and can manage large workloads. To support this, we\'ve built an infrastructure on Google Compute Engine, incorporating a multi-stage workflow that includes scaled unpacking and decompilation stages. While promising, this is just the first step on a long journey to overcome accuracy challenges and unlock AI\'s full potential in malware analysis. VirusTotal analyzes an average of 1.2 million unique new files each day, ones that have never been seen before on the platform. Nearly half of these are binary files (PE_EXE, PE_DLL, ELF, MACH_O, APK, etc.) that could benefit from reverse engineering and code analysis. Traditional, manual methods simply cannot keep pace with this volume of new threats. Building a system to automatically unpack, decompile, and analyze this quantity of code in a timely and efficient manner is a significant challenge, one that Gemini 1.5 Flash is designed to help address. Building on the extensive capabilities of Gemini 1.5 Pro, the Gemini 1.5 Flash model was created to optimize efficiency and speed while maintaining performance. Both models share the same robust, multimodal capabilities and are capable of handling a context window of over 1 million tokens; however, Gemini 1.5 Flash is particularly designed for rapid inference and cost-effective deployment. This is achieved through parallel computation of attention and feedforward components, as well as the use of online distillation techniques. The latter enables Flash to learn directly from the larger and more complex Pro model during training. These architectural optimizations allow us to utilize Gemini 1.5 Flash to process up to 1,000 requests per minute and 4 million tokens per minute. To illustrate how this pipeline works, we\'ll first showcase examples of Gemini 1.5 Flash analyzing decompiled binaries. Then we\'ll briefly outline t |
Malware Tool Threat Cloud | ||
|
2024-07-15 11:27:07 | Weekly OSINT Highlights, 15 July 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, showcasing the prominence of sophisticated malware, information stealers, and ransomware attacks. Attack vectors frequently include compromised websites, phishing emails, malicious advertisements, and exploitation of known vulnerabilities, particularly in widely-used software like Oracle WebLogic and Microsoft Exchange. Threat actors range from organized state-sponsored groups, such as China\'s APT41 (tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6)) and APT40 (tracked by Microsoft as [Gingham Typhoon](https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6)), to individual developers using platforms like GitHub to distribute malware. The targets are varied, encompassing financial institutions, cryptocurrency exchanges, government agencies, and sectors like healthcare, education, and manufacturing, with a notable focus on high-value data and critical infrastructure across multiple countries. ## Description 1. [Clickfix Infection Chain](https://security.microsoft.com/intel-explorer/articles/85fea057): McAfee Labs discovered the "Clickfix" malware delivery method that uses compromised websites and phishing emails to trick users into executing PowerShell scripts. This method is being used to deliver [Lumma](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad)[Stealer](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) and [DarkGate](https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648) malware across multiple countries, including the US, Canada, and China. 2. [CRYSTALRAY Expands Targeting](https://security.microsoft.com/intel-explorer/articles/ecea26df): Sysdig researchers identified the threat actor CRYSTALRAY, who has scaled operations to over 1,500 victims using SSH-Snake and various vulnerabilities for lateral movement and data exfiltration. Targets include systems vulnerable to CVE-2022-44877, CVE-2021-3129, and CVE-2019-18394. 3. [DodgeBox Loader by APT41](https://security.microsoft.com/intel-explorer/articles/3524d2ae): Zscaler ThreatLabz reported on DodgeBox, a reflective DLL loader used by the Chinese APT41 group, also known as Brass Typhoon. The loader delivers the MoonWalk backdoor and employs sophisticated techniques like call stack spoofing to avoid detection. 4. [ViperSoftX Information Stealer](https://security.microsoft.com/intel-explorer/articles/8084ff7b): Trellix researchers highlighted ViperSoftX, an information stealer spread through cracked software and malicious eBooks. The malware uses PowerShell and AutoIt for data exfiltration and evasion, targeting cryptocurrency wallets and other sensitive information. 5. [Coyote Banking Trojan](https://security.microsoft.com/intel-explorer/articles/201d7c4d): BlackBerry detailed Coyote, a .NET banking trojan targeting Brazilian financial institutions. Delivered likely via phishing, it performs various malicious functions like screen capture and keylogging, communicating with C2 servers upon detecting target domains. 6. [Kematian-Stealer on GitHub](https://security.microsoft.com/intel-explorer/articles/4e00b1b4): CYFIRMA identified Kematian-Stealer, an open-source information stealer hosted on GitHub. It targets applications like messaging apps and cryptocurrency wallets, employing in-memory execution and anti-debugging measures to evade detection. 7. [Eldorado Ransomware-as-a-Service](https://security.microsoft.com/intel-explorer/articles/3603cd85): Group-IB reported on Eldorado, a RaaS targeting various industries and countries, primarily the US. Written in Golang, it uses Chacha20 and RSA-OAEP encryption and has customizable features for targeted attacks. 8. [DoNex Ransomware Flaw](https://security.microsoft.com | Ransomware Malware Tool Vulnerability Threat Legislation Prediction Medical | APT 41 APT 40 | |
 |
2024-07-15 10:05:39 | Ukrainian Sentenced to Prison in US for Role in Zeus, IcedID Malware Operations (lien direct) | >Vyacheslav Igorevich Penchukov was sentenced to nine years in prison for his role in the Zeus and IcedID malware operations.
>Vyacheslav Igorevich Penchukov was sentenced to nine years in prison for his role in the Zeus and IcedID malware operations. |
Malware Legislation | ||
|
2024-07-15 10:00:00 | Smart Hotel Technologies and the Cybersecurity Risks They Bring (lien direct) | The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Smart technologies are being quickly adopted by the hospitality sector in order to improve guest experiences and improve operations. However, hotels are also popular targets for cybercriminals due to their extensive collection of data and increased connectivity. These linked devices have flaws that could allow for illegal access and data breaches, risking the security and privacy of visitors. This article examines the cybersecurity risks related to these technologies and provides helpful advice on how passengers may protect their data while taking advantage of these benefits. Smart Technologies and the Risks that They Bring A new wave of technology in the hotel sector promises to improve visitor experiences and operational effectiveness. Smart technologies like IoT-enabled gadgets and AI-powered services are being incorporated into modern hotels. These include mobile check-in, keyless entry for a quick, contactless experience, AI-powered chatbots and automated concierge systems for smooth guest interactions, smart in-room entertainment systems that allow guests to control various aspects of their environment via voice commands or smartphone apps, and smart thermostats for customized climate control. While these innovations significantly enhance convenience and personalization, they also introduce considerable cybersecurity risks. The interconnected nature of these devices and the vast amounts of data they handle make hotels and Airbnb rooms attractive targets for cybercriminals. Here are some of the most dangerous cybersecurity threats facing modern hospitality settings. Data Breaches Data breaches are a major concern in the hospitality industry due to the vast amounts of sensitive guest information collected and stored. High-profile incidents, such as the Marriott data breach in 2018, which affected up to 500 million guest records, underscore the severity of this threat. Compromised data often includes personal identification details, credit card information, and even passport numbers, leading to significant financial and reputational damage for the affected hotels and Airbnb hosts. IoT Vulnerabilities The globalization of IoT devices in accommodation businesses like hotels and Airbnb properties increases the attack surface for cybercriminals. Each connected device represents a potential entry point for hackers. For instance, vulnerabilities in smart thermostats or lighting systems can be exploited to gain access to the broader network, compromising other critical systems and guest data. Phishing and Social Engineering Phishing attacks and social engineering tactics are prevalent in the hospitality industry. Cybercriminals often target staff and guests with deceptive emails or messages designed to steal login credentials or other sensitive information. These attacks can lead to unauthorized access to systems and data breaches. Point of Sale (POS) Systems POS systems handle numerous financial transactions, making them attractive to hackers. Attacks on POS systems can involve malware that captures credit card information before it is encrypted. Such inci | Ransomware Data Breach Malware Vulnerability Threat Mobile | ||
|
2024-07-15 09:00:00 | Facebook ads for Windows desktop themes push info-stealing malware (lien direct) | Cybercriminals use Facebook business pages and advertisements to promote fake Windows themes that infect unsuspecting users with the SYS01 password-stealing malware. [...]
Cybercriminals use Facebook business pages and advertisements to promote fake Windows themes that infect unsuspecting users with the SYS01 password-stealing malware. [...] |
Malware | ||
|
2024-07-12 21:43:55 | Ransomware: les niveaux d'activité restent élevés malgré les perturbations Ransomware: Activity Levels Remain High Despite Disruption (lien direct) |
## Instantané L'équipe de Hunter de menace de Symantec a identifié une légère baisse de l'activité des ransomwares au cours du premier trimestre de 2024, attribuée aux opérations d'application de la loi ciblant deux grands groupes de ransomwares.Malgré cela, les niveaux d'activité globaux continuent d'augmenter, 962 attaques réclamées au T1 2024. ## Description Lockbit a maintenu sa position en tant que menace de ransomware supérieure, suivie de Play, Phobos Affiliate 8Base et Ransomware Qilin émergent.L'analyse de Symantec \\ a révélé des disparités entre les attaques prétendues publiquement et celles étudiées, indiquant différents taux de réussite pour différentes familles de ransomwares.L'exploitation des vulnérabilités connues dans les applications accessibles au public reste le principal vecteur d'attaque, avec des campagnes récentes ciblant les serveurs Web via une vulnérabilité PHP récemment divulguée ([CVE-2024-4577] (https://security.microsoft.com/intel-profiles/CVE-2024-4577)).De plus, le retour du ransomware CLOP, exploité par le groupe Snakefly, suggère un passage aux attaques conventionnelles à double extorsion.Les groupes de ransomwares continuent de favoriser la tactique du conducteur de vulnérable (BYOVD), avec l'utilisation récente de l'outil Warp AV Killer par un affilié Lockbit pour désactiver les produits de sécurité.Malgré les perturbations, les ransomwares devraient rester une menace importante pour les entreprises dans un avenir prévisible. Microsoft Tracks Threat Actor [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eee69f74278) en tant que déménagement Ransomware. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: [Exploit: PHP / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encycopedia-description?name=Exploit:php/CVE-2024-4577!mr&menaceid = -2147054383) [Exploit: Python / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/atherets/malware-secdcopedia-description? name = exploit: python / cve-2024-4577! msr & menaceID = -2147054386) [Backdoor: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-dercription?name=backdoor:win32/clop) [Trojan: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/clop) [Ransom: WIN32 / CLOP] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=ransom:win32/clop) Microsoft Defender pour le point final Les alertes suivantes pourraient également indiquer une activité de menace associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. Exploitation de vulnérabilité PHP-CGI possible Processus MSHTA suspect lancé Un comportement suspect par une application HTML a été observé Fichier téléchargé à partir d'une source non fiable ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces ransomeware. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint / configurer-block-at-premier-sight-microsoft-defender-anvivirus? ocid = magicti_ta_learndoc) dans Microsoft Defender aNtivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d | Ransomware Malware Tool Vulnerability Threat Legislation | ||
 |
2024-07-12 20:21:00 | Darkgate Malware exploite les partages de fichiers Samba dans une campagne de courte durée DarkGate Malware Exploits Samba File Shares in Short-Lived Campaign (lien direct) |
Les chercheurs en cybersécurité ont fait la lumière sur une campagne de logiciels malveillants de Darkgate de courte durée qui a mis à profit les partages de fichiers Samba pour initier les infections.
L'unité 42 de Palo Alto Networks a déclaré que l'activité avait duré les mois de mars et avril 2024, les chaînes d'infection utilisant des serveurs exécutant le fichier Samba orienté public partagent l'hébergement de fichiers Visual Basic Script (VBS) et JavaScript.Cibles incluses nord
Cybersecurity researchers have shed light on a short-lived DarkGate malware campaign that leveraged Samba file shares to initiate the infections. Palo Alto Networks Unit 42 said the activity spanned the months of March and April 2024, with the infection chains using servers running public-facing Samba file shares hosting Visual Basic Script (VBS) and JavaScript files. Targets included North |
Malware | ||
|
2024-07-12 17:30:23 | ClickFix Deception: A Social Engineering Tactic to Deploy Malware (lien direct) | ## Instantané McAfee Labs a découvert une nouvelle méthode de livraison de logiciels malveillants connue sous le nom de chaîne d'infection "ClickFix". ## Description Les chercheurs de McAfee ont observé que Clickfix était utilisé de deux manières différentes.La première chaîne d'attaque commence lorsque les utilisateurs visitent des sites Web légitimes mais compromis, qui les redirigent vers des domaines hébergeant de fausses fenêtres contextuelles.Ces Windows demandent aux utilisateurs de coller un script dans un terminal PowerShell.La seconde commence par des e-mails de phishing avec des pièces jointes HTML se faisant passer pour les documents de mots à la boîte de réception d'une victime.En cliquant sur les invites de ces e-mails, JavaScript qui copie un script PowerShell dans le presse-papiers, demandant aux utilisateurs de l'exécuter. Une fois exécutés, ces scripts permettent aux logiciels malveillants d'infiltrer le système, conduisant potentiellement à un vol de données ou à une propagation supplémentaire.Des familles de logiciels malveillants comme Lumma Stealer et [Darkgate] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaaad126192697e6b648) ont été observés en utilisant ce technique.Darkgate est un logiciel malveillant de marchandises qui peut voler des informations, fournir un accès à distance et établir des portes bordées pendant que [Lumma Stealer] (https: //security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) est un voleur d'informations malware-as-a-tas (maas). McAfee a observé le clicCorrection de la technique utilisée aux États-Unis, au Canada, au Mexique, en Australie, au Brésil et en Chine, entre autres. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus ### Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / DarkgatE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/darkgate.rpx!mtb& ;troatid=-2147076849& ocid=Magicti_ta_ency) - [Trojan: win64 / darkgate] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/darkgate!mtb& ;theatid=-2147076814&-2147076849 & ocid = magicti_ta_ency) - [Trojan: vbs / darkgate] (https://www.microsoft.com/en-us/wdssi/therets/malware-encyclopedia-dercription?name=trojan:vbs/darkgate.ba!msr& threattid=-2147075963&ocid = magicti_ta_ency) - [comportementou: win32 / darkgate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.aa&theatid=-2147075677) - [Trojan: Win32 / Lummacstealer] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyClopedia-Description? Name = Trojan: Win32 / Lummacstealer! Mtb & menaceID = -2147117932) - [PWS: Win32 / Lumma] (https://www.microsoft.com/en-us/wdsi/Thereats/ Malware-SencyClopedia-Description? Name = PWS: WIN32 / LUMMA! ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_TA_LearnDoc) pour les utilisateurs. - Implémentez [Force d'authentification d'accès conditionnel] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-strengs?ocid=Magicti_TA_Learndoc) pour nécessiter une authentification de phishing-résistants pour les employés et les utilisateurs externes pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour l | Malware Threat Cloud | ||
|
2024-07-12 16:03:06 | Un homme de main icedid obtient neuf ans à Clanger pour abuser des logiciels malveillants pour égoutter les comptes bancaires IcedID henchman gets nine years in clanger for abusing malware to drain bank accounts (lien direct) |
Le ressortissant ukrainien glissant doit également payer 74 millions de dollars élevés en plus de la peine de prison Un pingpin malware ukrainien qui a échappé aux forces de l'ordre pendant une décennie pourra neuf ans de prison pour son rôle dans le Icedid dans le Icedid dans le Icedid dans le Icedid Icedid dans le Icedid Icedid dans l'Icedid Icedid dans l'Icedid Icedid dans Icedid dans l'Icedid Icedid dans l'Icedid Icedid dans l'Icedid Icedid dans l'Icedid dans l'Icedid Icedid dans Icedid IcedidFonctionnement des logiciels malveillants…
The slippery Ukrainian national must also pay a hefty $74 million on top of the jail time A Ukrainian malware kingpin who evaded law enforcement for a decade will face nine years in prison for his role in the IcedID malware operation.… |
Malware Legislation | ||
|
2024-07-12 01:29:11 | L'équipage APT41 de China \\ ajoute un chargeur de logiciels malveillants furtifs et une porte dérobée fraîche à sa boîte à outils China\\'s APT41 crew adds a stealthy malware loader and fresh backdoor to its toolbox (lien direct) |
Rencontrez Dodgebox, fils de Stealthvector gang de cyber-espionnage soutenu par le gouvernement chinois, APT41 a très probablement ajouté un chargeur surnommé Dodgebox et une porte dérobée nommée Moonwalk à sa boîte à outils malveillante.'s ThreatLabz Research Team.…
Meet DodgeBox, son of StealthVector Chinese government-backed cyber espionage gang APT41 has very likely added a loader dubbed DodgeBox and a backdoor named MoonWalk to its malware toolbox, according to cloud security service provider Zscaler\'s ThreatLabz research team.… |
Malware Cloud | APT 41 | ★★★ |
|
2024-07-11 22:03:33 | Dodgebox: une plongée profonde dans l'arsenal mis à jour d'APT41 |Partie 1 DodgeBox: A deep dive into the updated arsenal of APT41 | Part 1 (lien direct) |
## Instantané
En avril 2024, Zscaler ThreatLabz a découvert un nouveau chargeur nommé Dodgebox, une version améliorée et évoluée de Stealthvector, un outil précédemment utilisé par le groupe chinois APT, APT41, suivi par Microsofoft.com / Intel-Profiles / ByExternalid / E49C4119AFE798DB103058C3FFDA5BD85E83534940247449478524d61ae6817a).
## Description
Après leur analyse de Dodgebox, les chercheurs de Zscaler KenenceLabz évaluent que le malware est une version améliorée du chargeur Stealthvector car il existe des similitudes importantes entre les deux Malwares.Écrit en C, Dodgebox est un chargeur de DLL réfléchissant qui a un certain nombre d'attributs, y compris la possibilité de décrypter et de charger des DLL intégrées, d'effectuer des vérifications de l'environnement et d'effectuer des procédures de nettoyage.Notamment, Dodgebox utilise également l'usurpation de pile d'appels, une technique utilisée par les logiciels malveillants pour obscurcir les origines des appels API, ce qui rend difficile la détection et les programmes de réponse aux points finaux (EDR) et les programmes antivirus pour détecter les logiciels malveillants.Dodgebox a été utilisé par APT41 pour livrer la porte dérobée Moonwalk, une nouvelle porte dérobée utilisée par le groupe de menaces.
Dodgebox et Stealthvector ont tous deux des similitudes dans leur:
- Ducchissement de la somme de contrôle et de la configuration,
- Format de configuration déchiffré,
- Keying environnemental
- Stratégie de correction de la Flux Guard (CFG), et
- Utilisation de DLL CALOWING
Zscaler note que leur confiance dans l'attribution des activités Dodgebox à APT41 est modérée car la charge de touche DLL est une technique souvent utilisée par les groupes chinois APT.De plus, les échantillons de Dodgebox téléchargés sur Virustotal proviennent de la Thaïlande et de Taïwan, alimentant avec le ciblage historique de l'Asie du Sud-Est par APT41 en utilisant Stealthvector.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojan: win64 / dllhijack] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/dllhijack.ah!mtb)*
- * [Trojan: Win64 / CoBaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/cobaltsstrike.off!mtb) *
## Les références
[Dodgebox: une plongée profonde dans l'aresenal mis à jour d'APT41 |Partie 1] (https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-parte-1).Zscaler (consulté en 2024-07-11)
## Snapshot In April 2024, Zscaler ThreatLabz discovered a new loader named DodgeBox, an upgraded and evolved version of StealthVector, a tool previously used by the Chinese APT group, APT41, tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/byExternalId/e49c4119afe798db103058c3ffda5bd85e83534940247449478524d61ae6817a). ## Description After their analysis of DodgeBox, researchers from Zscaler ThreatLabz assess that the malware is an enhanced version of StealthVector loader as there are significant similarities between the two malwares. Written in C, DodgeBox is a reflective DLL loader that has a number of attributes, including the ability to decrypt and load embedded DLLs, perform environment checks, and carry out cleanup procedures. Notably, DodgeBox also employs call stack spoofing, a technique used by malware to obfuscate the origins of API calls, making it difficult for Endpoint Detection and Response (EDR) solutions and antivirus programs to detect the malware. DodgeBox has been used by APT41 to deliver the MoonWalk backdoor, a new backdoor being employed by the threat group. DodgeBox and StealthVector both have similarities in their: - checksum and configuration decryption, - decrypted conf |
Malware Tool Threat Patching | APT 41 | ★★★ |
 |
2024-07-11 19:51:02 | Clickfix Deception: une tactique d'ingénierie sociale pour déployer des logiciels malveillants ClickFix Deception: A Social Engineering Tactic to Deploy Malware (lien direct) |
> 
Yashvi Shah et Vignesh Dhatchanamoorthy McAfee Labs ont découvert une méthode très inhabituelle de livraison de logiciels malveillants, mentionnée par les chercheurs ...
> 
Yashvi Shah and Vignesh Dhatchanamoorthy McAfee Labs has discovered a highly unusual method of malware delivery, referred to by researchers...
|
Malware | ★★★ | |
|
2024-07-11 19:45:04 | Hacker \\ 'tank \\' est condamné à une peine de prison pour des connexions à Zeus et des logiciels malveillants icedid Hacker \\'Tank\\' gets prison sentence for connections to Zeus and IcedID malware (lien direct) |
Pas de details / No more details | Malware Legislation | ★★★ | |
|
2024-07-11 19:38:48 | (Déjà vu) La mécanique de Vipersoftx: exploiter AutOIT et CLR pour une exécution furtive PowerShell The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution (lien direct) |
## Instantané Des chercheurs de Trellix ont publié un rapport sur Vipersoftx, un malware sophistiqué d'informations qui se propage principalement via des logiciels fissurés, et récemment, en tant que livres électroniques sur des sites torrent.En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description Détecté pour la première fois en 2020, Vipersoftx utilise le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans AutOIT, éluant la détection en intégrant la fonctionnalité PowerShell.Les attaquants modifient les scripts de sécurité offensive existants pour s'aligner sur leurs objectifs malveillants, améliorant les tactiques d'évasion des logiciels malveillants. La chaîne d'infection commence lorsque les utilisateurs téléchargent un ebook à partir d'un lien torrent malveillant, contenant des menaces cachées telles que les fichiers de raccourci et les scripts PowerShell déguisés en fichiers JPG.Lorsque l'utilisateur exécute le raccourci, il initie des commandes qui informent un dossier, configurez le planificateur de tâches Windows et copiez des fichiers dans le répertoire système.Le code PowerShell, caché dans des espaces vides, effectue diverses actions malveillantes, y compris l'exfiltration des données et la manipulation du système. Vipersoftx exploite AutOIT pour exécuter les commandes PowerShell en interagissant avec le framework .NET CLR.Le malware corrige l'interface de balayage anti-logiciels (AMSI) pour échapper à la détection, ce qui lui permet de fonctionner non détecté.Il rassemble des informations système, analyse les portefeuilles de crypto-monnaie et envoie des données à son serveur de commande et de contrôle (C2).Le malware télécharge également dynamiquement des charges utiles et des commandes supplémentaires en fonction des réponses du serveur C2. ### Analyse supplémentaire Vipersoftx est un voleur d'informations malveillant connu pour ses capacités d'infiltration et d'exfiltration.L'utilisation principale du malware \\ a été en tant que voleur de crypto-monnaie, et il aurait ciblé 17 portefeuilles de crypto-monnaie différents, notamment Bitcoin, Binance, Delta, Electrum, Exodus, Ledger Live, Metamask, Atomic Wallet et Coinbase.In their April 2023 [report](https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html) on ViperSoftX, Trend Micro noted that consumer and enterprise sectors inL'Australie, le Japon et les États-Unis ont été le plus victimes par les logiciels malveillants. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
|
2024-07-11 18:01:00 | Chinese APT41 améliore le malware Arsenal avec Dodgebox et Moonwalk Chinese APT41 Upgrades Malware Arsenal with DodgeBox and MoonWalk (lien direct) |
Le groupe de menace persistante avancée (APT), lié à la Chine, le nom du nom du nom de code APT41 est soupçonné d'utiliser une "version avancée et améliorée" d'un logiciel malveillant connu appelé Stealthvector pour livrer une porte dérobée non documentée précédemment surnommée Moonwalk.
La nouvelle variante de Stealthvector & # 8211;qui est également appelé poussière & # 8211;a été nommé Dodgebox de Zscaler KenenceLabz, qui a découvert la souche de chargeur
The China-linked advanced persistent threat (APT) group codenamed APT41 is suspected to be using an "advanced and upgraded version" of a known malware called StealthVector to deliver a previously undocumented backdoor dubbed MoonWalk. The new variant of StealthVector – which is also referred to as DUSTPAN – has been codenamed DodgeBox by Zscaler ThreatLabz, which discovered the loader strain in |
Malware Threat | APT 41 | ★★★ |
 |
2024-07-11 16:37:09 | Hacker notoire hackpin \\ 'tank \\' va enfin en prison Notorious Hacker Kingpin \\'Tank\\' Is Finally Going to Prison (lien direct) |
Le patron de la cybercriminalité, qui a aidé à diriger le prolifique gang de logiciels malveillants et figurait sur la liste «le plus recherchée» du FBI \\ depuis des années, a été condamné à 18 ans et condamné à payer plus de 73 millions de dollars.
The cybercrime boss, who helped lead the prolific Zeus malware gang and was on the FBI\'s “most wanted” list for years, has been sentenced to 18 years and ordered to pay more than $73 million. |
Malware Legislation | ★★★ | |
|
2024-07-11 15:42:00 | New Poco Rat cible les victimes hispanophones dans la campagne de phishing New Poco RAT Targets Spanish-Speaking Victims in Phishing Campaign (lien direct) |
Les victimes de la langue espagnole sont la cible d'une campagne de phishing par e-mail qui offre un nouveau cheval de Troie à distance (rat) appelé Poco Rat depuis au moins février 2024.
Les attaques sont principalement des secteurs d'extraction, de fabrication, d'hospitalité et de services publics, selon la société de cybersécurité Cofense.
"La majorité du code personnalisé dans les logiciels malveillants semble se concentrer sur l'anti-analyse,
Spanish language victims are the target of an email phishing campaign that delivers a new remote access trojan (RAT) called Poco RAT since at least February 2024. The attacks primarily single out mining, manufacturing, hospitality, and utilities sectors, according to cybersecurity company Cofense. "The majority of the custom code in the malware appears to be focused on anti-analysis, |
Malware | ★★★ | |
 |
2024-07-11 12:47:21 | Sécurité mobile : les 5 étapes pour reconnaître et éviter les tentatives de phishing liées au malware Rafel RAT (lien direct) | >Les campagnes de phishing restent l’une des méthodes les plus répandues et les plus dangereuses utilisées par les cybercriminels pour infiltrer un réseau, voler des informations sensibles, extorquer de l'argent et espionner les utilisateurs. Parmi l'arsenal utilisé, les chevaux de Troie d’accès à distance (RAT) se distinguent par leur capacité à fournir aux hackers un […] The post Sécurité mobile : les 5 étapes pour reconnaître et éviter les tentatives de phishing liées au malware Rafel RAT first appeared on UnderNews. | Malware Mobile | ★★★ | |
|
2024-07-11 10:49:00 | La vulnérabilité PHP exploitée pour répandre les logiciels malveillants et lancer des attaques DDOS PHP Vulnerability Exploited to Spread Malware and Launch DDoS Attacks (lien direct) |
Plusieurs acteurs de menaces ont été observés exploitant une faille de sécurité récemment divulguée en PHP pour livrer des chevaux de Troie à distance, des mineurs de crypto-monnaie et des botnets de déni de service distribué (DDOS).
La vulnérabilité en question est CVE-2024-4577 (score CVSS: 9.8), qui permet à un attaquant d'exécuter à distance des commandes malveillantes sur les systèmes Windows à l'aide de lieux chinois et japonaise.Il
Multiple threat actors have been observed exploiting a recently disclosed security flaw in PHP to deliver remote access trojans, cryptocurrency miners, and distributed denial-of-service (DDoS) botnets. The vulnerability in question is CVE-2024-4577 (CVSS score: 9.8), which allows an attacker to remotely execute malicious commands on Windows systems using Chinese and Japanese language locales. It |
Malware Vulnerability Threat | ★★★ | |
 |
2024-07-11 09:50:31 | (Déjà vu) June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) | Recherche |Cybersécurité |Rapport sur les menaces mondiales
Juin 2024 \'s Mostware le plus recherché: RansomHub prend la première place en tant que groupe de ransomware le plus répandu à la sillage de Lockbit3 Decline
L'indice de menace de Check Point \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée de Badspace Windows via de fausses mises à jour du navigateur
-
mise à jour malveillant
Research | Cyber Security | Global Threat Report June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates - Malware Update |
Ransomware Malware Threat | ★★★ | |
|
2024-07-11 07:38:44 | Cofense Sécurité des e-mails: nouvelle campagne de logiciels malveillants ciblant les victimes de la langue espagnole Cofense Email Security: New Malware Campaign Targeting Spanish Language Victims (lien direct) |
Accueil "blog" Nouvelle campagne de logiciels malveillants ciblant les victimes de la langue espagnole Cofense Sécurité des e-mails: nouvelle campagne de logiciels malveillants ciblant les victimes de la langue espagnole
-
mise à jour malveillant
Home " Blog " New Malware Campaign Targeting Spanish Language Victims Cofense Email Security: New Malware Campaign Targeting Spanish Language Victims - Malware Update |
Malware | ★★★ | |
|
2024-07-11 07:28:13 | Vous avez eu un an pour corriger cette faille de veille et maintenant ça va faire mal You had a year to patch this Veeam flaw and now it\\'s going to hurt (lien direct) |
Lockbit Variant Ciblers Software de sauvegarde - dont vous vous souvenez peut-être est censé vous aider récupérer du ransomware Encore un nouveau gang de ransomware, celui-ci surnommé estateransomware, exploite une veeamLa vulnérabilité qui a été corrigée il y a plus d'un an pour abandonner les logiciels malveillants, une variante de verrouillage et d'exporter des victimes.…
LockBit variant targets backup software - which you may remember is supposed to help you recover from ransomware Yet another new ransomware gang, this one dubbed EstateRansomware, is exploiting a Veeam vulnerability that was patched more than a year ago to drop file-encrypting malware, a LockBit variant, and extort payments from victims.… |
Ransomware Malware Vulnerability | ★★★ | |
|
2024-07-11 05:31:58 | L'agence spatiale japonaise a repéré des attaques zéro-jour tout en nettoyant l'attaque sur M365 Japanese space agency spotted zero-day attacks while cleaning up attack on M365 (lien direct) |
Attaque de logiciels malveillants multiples a vu des données personnelles acées, mais la science des fusées est restée sûre L'Agence japonaise d'exploration spatiale (JAXA) a découvert qu'elle était attaquée à l'aide d'exploits zéro-jour tout en travaillant avec Microsoft pour sonder une cyberattaque de 2023 en 2023sur ses systèmes.… | Malware Vulnerability Threat | ★★★ | |
|
2024-07-10 20:50:57 | Coyote Banking Trojan Targets LATAM with a Focus on Brazilian Financial Institutions (lien direct) | #### Géolocations ciblées - Brésil - Amérique du Sud - L'Amérique centrale et les Caraïbes #### Industries ciblées - Services financiers ## Instantané BlackBerry a publié un rapport détaillant Coyote, un Trojan bancaire .NET qui cible les institutions financières brésiliennes depuis son identification en février 2024. ## Description Les analystes de BlackBerry n'ont pas été en mesure de déterminer exactement comment le coyote est livré aux machines victimes;Cependant, ils évaluent qu'il est probablement livré par attachement de phishing.Coyote déguise son chargeur initial en Squirrel, un logiciel de gestion des applications Windows légitime.Une fois exécuté, Coyote vérifie continuellement la fenêtre du navigateur Internet pour déterminer quand la victime a accédé à un domaine cible.Lorsque cela se produit, Coyote commence la communication avec ses serveurs de commande et de contrôle (C2).Coyote Malware est capable d'exécuter 24 commandes et fonctions, y compris la capture d'écran, affichant des fenêtres de superposition, apportant des modifications du registre, déplaçant la souris de la victime, le keylogging et l'arrêt de la machine. Dans son rapport, Blackberry a inclus les noms de 59 domaines légitimes connus que Coyote a ciblés.Il s'agit notamment des institutions financières brésiliennes, un échange mondial de crypto-monnaie. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le suivant MALLAGIE: - * [Trojan: Msil / Coyote] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:msil/coyote!msr& ;threatid = -2147064768) * - * [Trojan: Win32 / Malgent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/malgent& threattid=-2147172466) * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection livrée par les nuages] (Https: //learn.microsoft.com/en-us/defender-endpoint/cloud-protection-microsoft-defender-antivirus) dans Microsoft Defender aNtivirus ou l'équiva | Malware Tool Threat | ★★★ | |
|
2024-07-10 18:00:02 | Arrêt de cybersécurité du mois: les attaques sous les logiciels malveillants de Darkgate depuis la plage Cybersecurity Stop of the Month: Reeling in DarkGate Malware Attacks from the Beach (lien direct) |
The Cybersecurity Stop of the Month blog series explores the ever-evolving tactics of today\'s cybercriminals. It also examines how Proofpoint helps businesses to fortify their email defenses to protect people against today\'s emerging threats. Proofpoint people protection: end-to-end, complete and continuous So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) CEO impersonation attacks (June 2024) Background Last year, the number of malware attacks worldwide reached 6.08 billion. That\'s a 10% increase compared with 2022. Why are cybercriminals developing so much malware? Because it is a vital tool to help them infiltrate businesses, networks or specific computers to steal or destroy sensitive data. or destroy sensitive data. There are many types of malware infections. Here are just three examples. RYUK (ransomware) Astaroth (fileless malware) DarkGate (multifunctional malware) DarkGate is a notable example. It\'s a sophisticated and adaptive piece of malware that\'s designed to perform various malicious activities. This includes data theft, unauthorized access and system compromise. What makes DarkGate unique are its key characteristics: Multifunctionality. This malware can execute a range of malicious functions, like keylogging, data exfiltration, remote access and more. Evasion techniques. To help avoid detection, it uses advanced evasion techniques, like code obfuscation, encryption and anti-debugging measures. Distribution methods. Bad actors can distribute DarkGate in a variety of ways to trick users into installing it. These methods include phishing emails, malicious attachments, compromised websites and social engineering tactics. Command and control. DarkGate has automatic connectivity to remote control servers. This allows it to receive instructions and exfiltrate data. Its adaptive flexibility is why DarkGate is favored by so many cybercriminals. The scenario In a recent attack, a threat actor (TA571) used DarkGate to try to infiltrate over 1,000 organizations worldwide. The attack spanned across 14,000 campaigns and contained more than 1,300 different malware variants. DarkGate acted as an initial access broker (IAB). The intent was to gain unauthorized access to an organization\'s networks, systems and users\' credentials to exfiltrate data or deploy ransomware. Once they gain remote access, threat actors have been observed selling this access to other bad actors who can then commit further attacks. In this scenario, the threat actor TA571 targeted a resort city on the U.S. East Coast known for its sandy beaches and 10 million tourist visitors annually. The threat: How did the attack happen? Here is how the recent attack unfolded. 1. The deceptive message. Attackers crafted a message that looked like a legitimate email from a known supplier. It detailed the purchase of health and safety supplies for the city\'s office. Instead of including an attachment, the threat actors added embedded URLs to avoid raising suspicion in an attempt to bypass the incumbent email | Ransomware Malware Tool Threat Cloud | ★★★ | |
|
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ★★★ | |
 |
2024-07-10 16:22:59 | La dure vérité derrière la résurgence de la Russie \\'s Fin7 The Stark Truth Behind the Resurgence of Russia\\'s Fin7 (lien direct) |
Le groupe de cybercriminaux basé en Russie surnommé "Fin7", connu pour ses attaques de phishing et de logiciels malveillants qui ont coûté des organisations victimes de 3 milliards de dollars depuis 2013, ont été déclarés morts l'année dernière par les autorités américaines.Mais les experts disent que FIN7 a fait la vie en 2024 - la création de milliers de sites Web imitant une gamme de sociétés de médias et de technologie - avec l'aide de solutions Stark Industries, un fournisseur d'hébergement tentaculaire est une source persistante de cyberattaques contre les ennemis de la Russie.
The Russia-based cybercrime group dubbed "Fin7," known for phishing and malware attacks that have cost victim organizations an estimated $3 billion in losses since 2013, was declared dead last year by U.S. authorities. But experts say Fin7 has roared back to life in 2024 -- setting up thousands of websites mimicking a range of media and technology companies -- with the help of Stark Industries Solutions, a sprawling hosting provider is a persistent source of cyberattacks against enemies of Russia. |
Malware | ★★★ | |
|
2024-07-10 15:22:08 | Vipersoftx Malware exécute secrètement PowerShell à l'aide de scripts AutOIT ViperSoftX malware covertly runs PowerShell using AutoIT scripting (lien direct) |
Les dernières variantes des logiciels malveillants de volets d'informations Vipersoftx utilisent le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans les scripts AutOIT pour échapper à la détection.[...]
The latest variants of the ViperSoftX info-stealing malware use the common language runtime (CLR) to load and execute PowerShell commands within AutoIt scripts to evade detection. [...] |
Malware | ★★★ | |
 |
2024-07-10 14:56:58 | POCO Rat s'enfuira profondément dans le secteur minier Poco RAT Burrows Deep Into Mining Sector (lien direct) |
Le nouveau malware cible les utilisateurs hispanophones via des liens Google Drive malveillants et exploite une bibliothèque C ++ populaire pour échapper à la détection.
The novel malware targets Spanish-speaking users via malicious Google Drive links, and taps a popular C++ library to evade detection. |
Malware | ★★★ | |
|
2024-07-10 13:47:06 | Des logiciels malveillants qui ne sont pas des ransomwares \\ 'se frayent un chemin à travers les systèmes de Fujitsu Japan \\ Malware that is \\'not ransomware\\' wormed its way through Fujitsu Japan\\'s systems (lien direct) |
La société affirme que l'exfiltration des données était extrêmement difficile à détecter Fujitsu Japan dit qu'une tension malveillante "avancée" non spécifiée était à blâmer pour un vol de données de mars, insistant sur le fait que la souche n'était "pas un ransomware", mais il n'a pas eu\\ 'n'a pas révélé combien de personnes sont affectées…
Company says data exfiltration was extremely difficult to detect Fujitsu Japan says an unspecified "advanced" malware strain was to blame for a March data theft, insisting the strain was "not ransomware", yet it hasn\'t revealed how many individuals are affected.… |
Ransomware Malware | ★★★ | |
 |
2024-07-10 13:00:05 | Juin 2024 \\’s Malingware le plus recherché: RansomHub prend la première place en tant que groupe de ransomwares le plus répandu à la suite de LockBit3 déclin June 2024\\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) |
> L'indice de menace de point de vérification \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée Windows Badspace Windows via de fausses mises à jour du navigateur Notre dernier index mondial des menaces pour le juin 2024 a noté un changement dans le paysage Ransomware-As-A-Service (RAAS), avec le nouveau venu relatif RansomHub Lockbit3 pour devenir le plus répandugroupe selon des sites de honte publiés.Pendant ce temps, une porte dérobée Windows surnommée Badspace a été identifiée, impliquant des sites Web WordPress infectés et de fausses mises à jour du navigateur.Le mois dernier, RansomHub est devenu le groupe RAAS le plus répandu après des mesures d'application de la loi [& # 8230;]
>Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates Our latest Global Threat Index for June 2024 noted a shift in the Ransomware-as-a-Service (RaaS) landscape, with relative newcomer RansomHub unseating LockBit3 to become the most prevalent group according to publicized shame sites. Meanwhile, a Windows backdoor dubbed BadSpace was identified, involving infected WordPress websites and fake browser updates. Last month, RansomHub became the most prevalent RaaS group after law enforcement action […] |
Ransomware Malware Threat Legislation | ★★★ | |
|
2024-07-10 12:04:16 | Windows Mshtml Zero-Day utilisé dans les attaques de logiciels malveillants depuis plus d'un an Windows MSHTML zero-day used in malware attacks for over a year (lien direct) |
Microsoft a corrigé une vulnérabilité Windows Zero-Day qui a été activement exploitée lors d'attaques pendant dix-huit mois pour lancer des scripts malveillants tout en contournant les fonctionnalités de sécurité intégrées.[...]
Microsoft fixed a Windows zero-day vulnerability that has been actively exploited in attacks for eighteen months to launch malicious scripts while bypassing built-in security features. [...] |
Malware Vulnerability Threat | ★★★ | |
|
2024-07-10 11:05:00 | Vipersoftx Malware déguise en ebooks sur des torrents pour répandre des attaques furtives ViperSoftX Malware Disguises as eBooks on Torrents to Spread Stealthy Attacks (lien direct) |
Les logiciels malveillants sophistiqués connus sous le nom de Vipersoftx ont été observés distribués sous forme de livres électroniques sur des torrents.
"Un aspect notable de la variante actuelle de Vipersoftx est qu'il utilise le Language Runtime (CLR) commun pour charger et exécuter dynamiquement les commandes PowerShell, créant ainsi un environnement PowerShell au sein d'Autoit for Operations", Trellix Security Researchs Mathanraj Thangaraju et Sijo Jacob
The sophisticated malware known as ViperSoftX has been observed being distributed as eBooks over torrents. "A notable aspect of the current variant of ViperSoftX is that it uses the Common Language Runtime (CLR) to dynamically load and run PowerShell commands, thereby creating a PowerShell environment within AutoIt for operations," Trellix security researchers Mathanraj Thangaraju and Sijo Jacob |
Malware | ★★★ | |
|
2024-07-10 10:00:15 | Des équipes de ransomware investissent dans des données personnalisées volant malware Ransomware crews investing in custom data stealing malware (lien direct) |
BlackByte, Lockbit parmi les criminels utilisant des outils sur mesure , car les équipes de ransomware déplacent de plus en plus au-delà de la simple cryptage des fichiers \\ 'et exigeant un paiement pour les déverrouiller, faisant glisser tout de suite des informations sensibles, une partie de laDes organisations criminelles plus matures développent des logiciels malveillants personnalisés pour leur vol de données…
BlackByte, LockBit among the criminals using bespoke tools As ransomware crews increasingly shift beyond just encrypting victims\' files and demanding a payment to unlock them, instead swiping sensitive info straight away, some of the more mature crime organizations are developing custom malware for their data theft.… |
Ransomware Malware Medical | ★★★ | |
|
2024-07-10 08:47:03 | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 (lien direct) | Classement Top Malware juin 2024 : RansomHub prend la tête du classement des ransomwares les plus courants dans le sillage du repli de LockBit3 Le Threat Index de Check Point met en évidence un changement dans le paysage du ransomware-as-a-Service (RaaS), puisque RansomHub devance LockBit3 et prend la tête du classement des groupes les plus courants. Dans le même temps, les chercheurs sont parvenus à identifier une campagne de porte dérobée BadSpace Windows diffusée via de fausses mises à jour de navigateur - Malwares | Malware Threat | ★★★ | |
|
2024-07-10 06:26:11 | VIPERSOFTX VARIANT SPOSET ABUSION DE .NET RUNIME pour déguiser le vol de données ViperSoftX variant spotted abusing .NET runtime to disguise data theft (lien direct) |
Freeware AutoIt a également utilisé pour masquer des environnements PowerShell dans les scripts Un logiciel malveillant infostateur en évolution rapide connue sous le nom de Vipersoftx a évolué pour devenir plus dangereux, selon les chercheurs en sécurité du vendeur de détection des menaces Trellix.…
Freeware AutoIt also used to hide entire PowerShell environments in scripts A rapidly-changing infostealer malware known as ViperSoftX has evolved to become more dangerous, according to security researchers at threat detection vendor Trellix.… |
Malware Threat | ★★★ | |
|
2024-07-10 05:00:00 | Cible apt aligné par Houthi-Iligned Moyen-Orient avec \\ 'Guardzoo \\' Spyware Houthi-Aligned APT Targets Mideast Militaries With \\'GuardZoo\\' Spyware (lien direct) |
Des logiciels malveillants simples et des TTP simples jouent sur un contexte de conflits géopolitiques complexes dans le monde arabe.
Simple malware and simple TTPs play against a backdrop of complex geopolitical conflict in the Arab world. |
Malware | ★★ | |
|
2024-07-10 00:15:44 | Distribution de l'asyncrat déguisé en Ebook Distribution of AsyncRAT Disguised as Ebook (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) Couvrait des cas d'Asyncrat distribués via diverses extensions de fichiers (.chm, .wsf et .lnk).[1] [2] Dans les articles de blog susmentionnés, on peut voir que l'acteur de menace a utilisé des fichiers de documents normaux déguisés en questionnaires pour cacher le malware.Dans la même veine, il y a eu récemment des cas où le malware était déguisé en ebook.2. Les logiciels malveillants exécutés via des scripts Le fichier compressé déguisé en Ebook contient un fichier LNK malveillant déguisé ...
1. Overview AhnLab SEcurity intelligence Center (ASEC) covered cases of AsyncRAT being distributed via various file extensions (.chm, .wsf, and .lnk). [1] [2] In the aforementioned blog posts, it can be seen that the threat actor used normal document files disguised as questionnaires to conceal the malware. In a similar vein, there have been cases recently where the malware was disguised as an ebook. 2. Malware Executed via Scripts The compressed file disguised as an ebook contains a malicious LNK file disguised... |
Malware Threat | ★★★ |
To see everything:
