What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-08 12:33:00 | Les pirates exploitant le bug de cache LiteSpeed pour prendre le contrôle total des sites WordPress Hackers Exploiting LiteSpeed Cache Bug to Gain Full Control of WordPress Sites (lien direct) |
Un défaut à haute sévérité impactant & nbsp; le plugin de cache LiteSpeed pour WordPress & nbsp; est activement exploité par les acteurs de la menace et NBSP; pour créer des comptes d'administration voyous sur des sites Web sensibles.
Le & nbsp; résultats & nbsp; proviennent de WPSCAN, qui indiquait que la vulnérabilité (CVE-2023-40000, CVSS score: 8.3) & nbsp; Has & nbsp; a été levier & nbsp; pour configurer des utilisateurs administratifs de bond avec les noms & nbsp; wpsupp-user & nbsp;
A high-severity flaw impacting the LiteSpeed Cache plugin for WordPress is being actively exploited by threat actors to create rogue admin accounts on susceptible websites. The findings come from WPScan, which said that the vulnerability (CVE-2023-40000, CVSS score: 8.3) has been leveraged to set up bogus admin users with the names wpsupp‑user |
Vulnerability Threat | ★★ | |
 |
2024-05-08 10:00:40 | État des ransomwares en 2024 State of ransomware in 2024 (lien direct) |
À l'approche de la journée anti-ransomware, Kaspersky partage des informations sur le paysage et les tendances des menaces de ransomware en 2023, et les activités anti-ransomwares récentes par les gouvernements et les forces de l'ordre.
As Anti-Ransomware Day approaches, Kaspersky shares insights into the ransomware threat landscape and trends in 2023, and recent anti-ransomware activities by governments and law enforcement. |
Ransomware Threat Legislation | ★★★ | |
 |
2024-05-08 00:59:58 | Cas de distribution de logiciels malveillants liant le site Web de jeu illégal ciblant le serveur Web coréen Case of Malware Distribution Linking to Illegal Gambling Website Targeting Korean Web Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ...
AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as... |
Malware Tool Threat | ★★ | |
|
2024-05-07 18:25:00 | Les pirates liés à la Chine ont utilisé une cote de boutique RootRot dans l'intrusion du réseau mitre China-Linked Hackers Used ROOTROT Webshell in MITRE Network Intrusion (lien direct) |
La Miter Corporation a offert plus de détails sur la cyberattaque récemment divulguée, déclarant que la première preuve de l'intrusion & nbsp; maintenant & nbsp; remonte au 31 décembre 2023.
L'attaque, qui a été révélée le mois dernier, a révélé l'expérimentation, la recherche et l'environnement de la recherche et de la virtualisation en réseau de Mitre \\ grâce à l'exploitation de deux ivanti connectés à l'abri de zéro-jour Secure Zero-Day
The MITRE Corporation has offered more details into the recently disclosed cyber attack, stating that the first evidence of the intrusion now dates back to December 31, 2023. The attack, which came to light last month, singled out MITRE\'s Networked Experimentation, Research, and Virtualization Environment (NERVE) through the exploitation of two Ivanti Connect Secure zero-day |
Vulnerability Threat | ★★ | |
 |
2024-05-07 16:42:00 | Dragos s'intègre à SIEM de Next-Gen Falcon de CrowdStrike Falcon pour la détection des menaces dans les réseaux OT Dragos integrates with CrowdStrike Falcon next-gen SIEM for threat detection in OT networks (lien direct) |
> Dragos Inc. a annoncé un partenariat élargi avec CrowdStrike pour intégrer OT Threat Intelligence de la plate-forme Dragos dans ...
>Dragos Inc. announced an expanded partnership with CrowdStrike to integrate OT threat intelligence from the Dragos Platform into... |
Threat Industrial | ★★★ | |
 |
2024-05-07 16:32:56 | Le point de contrôle protège les entreprises en accélérant la sécurité des réseaux et de l'infrastructure cloud IA, en collaboration avec NVIDIA Check Point Protects Enterprises by Accelerating Security for Networks and AI Cloud Infrastructure, in Collaboration with NVIDIA (lien direct) |
> Alors que les cybermenaces se développent rapidement, les entreprises peuvent faire confiance à un point de contrôle pour fournir des solutions accélérées de réseau et de cloud, en collaboration avec NVIDIA.En combinant l'expérience de Check Point \\ dans la prévention avancée des menaces avec les plates-formes informatiques accélérées de pointe de Nvidia \\, les entreprises peuvent obtenir la meilleure sécurité sur les réseaux les plus rapides.Vérifier la collaboration pluriannuelle de Point \\ avec NVIDIA s'étend sur trois domaines clés: Premièrement, la sécurisation de l'infrastructure de cloud AI propulsée par les unités de traitement des données Bluefield NVIDIA (DPU) pour aider les entreprises à développer et à déployer des applications généatives d'IA génératives.Deuxièmement, accélérer la sécurité du réseau en tirant parti de la plate-forme de réseautage NVIDIA ConnectX à haute vitesse pour l'inspection du pare-feu.Troisièmement, en utilisant des commutateurs intelligents [& # 8230;]
>As cyber threats expand rapidly, enterprises can trust Check Point to deliver accelerated network and cloud security solutions, in collaboration with NVIDIA. By combining Check Point\'s experience in advanced threat prevention with NVIDIA\'s cutting-edge accelerated computing platforms, enterprises can get the best security on the fastest networks. Check Point\'s multi-year collaboration with NVIDIA spans three key areas: First, securing the AI Cloud infrastructure powered by NVIDIA BlueField data processing units (DPUs) to help enterprises safely develop and deploy generative AI applications. Second, accelerating network security by leveraging the high-speed NVIDIA ConnectX networking platform for firewall inspection. Third, using intelligent switches […] |
Threat Cloud | ★★★ | |
 |
2024-05-07 16:30:00 | Cloudflare, Inc. annonce Cloudflare for Unified Risk Posture (lien direct) | Cloudflare annonce une suite de solutions pour une gestion complète, continue et gratuite des risques à grande échelle Une suite de fonctionnalités avancées de gestion des risques permet l'identification en toute transparence et l'atténuation des menaces sur l'ensemble des applications, qu'elles résultent d'une perte de données, d'une exposition ou d'une erreur humaine - Produits | Threat | ★★ | |
 |
2024-05-07 16:22:00 | #RSAC: log4j toujours parmi les meilleurs vulnérabilités exploitées, Cato trouve #RSAC: Log4J Still Among Top Exploited Vulnerabilities, Cato Finds (lien direct) |
Un nouveau rapport de Cato Networks a révélé que l'exploitation de vieilles vulnérabilités dans les systèmes non corrigées est l'un des acteurs de la menace \\ 'Vectors d'accès préféré
A new report by Cato Networks found that exploiting old vulnerabilities in unpatched systems is one of threat actors\' favorite initial access vectors |
Vulnerability Threat | ★★★ | |
|
2024-05-07 16:10:43 | Docontrol introduit la détection et la réponse des menaces d'identité DoControl introduces Identity Threat Detection and Response (lien direct) |
DoControl dévoile les nouveaux produits innovations: détection et réponse des menaces d'identité (ITDR) et la gestion des erreurs de conformité SaaS
Avec ces deux capacités révolutionnaires, Docontrol fournit une solution de gestion de la posture de sécurité SaaS holistique, de sauvegarde des données SaaS, des identités, des applications connectées et des configurations pour atténuer l'exposition aux données sensibles et les menaces d'initiés de combat
-
revues de produits
DoControl Unveils New Product Innovations: Identity Threat Detection and Response (ITDR) and SaaS Misconfigurations Management With these two groundbreaking capabilities, DoControl delivers a holistic SaaS Security Posture Management solution, safeguarding SaaS data, identities, connected apps, and configurations to mitigate sensitive data exposure and combat insider threats - Product Reviews |
Threat Cloud | ★★ | |
 |
2024-05-07 15:41:53 | Le Royaume-Uni confirme les données de paie du ministère de la Défense exposées dans la violation de données UK confirms Ministry of Defence payroll data exposed in data breach (lien direct) |
Le gouvernement britannique a confirmé aujourd'hui qu'un acteur de menace avait récemment violé le ministère de la Défense du pays et a eu accès à une partie du réseau de paiement des forces armées.[...]
The UK Government confirmed today that a threat actor recently breached the country\'s Ministry of Defence and gained access to part of the Armed Forces payment network. [...] |
Data Breach Threat | ★★ | |
 |
2024-05-07 15:27:13 | Cybearon annonce la disponibilité de la défense des menaces mobiles de la cyberréasie en réponse à une augmentation des attaques sophistiquées d'appareils mobiles Cybereason Announces the Availability of Cybereason Mobile Threat Defence in Response to Increases in Sophisticated Mobile Device Attacks (lien direct) |
Cybearason a annoncé la disponibilité de la défense des menaces mobiles de la cyberréasie, propulsée par Zimperium.Avec la croissance explosive des appareils mobiles et des applications, une surface d'attaque en constante évolution.La recherche montre que 60% des paramètres accédant aux actifs d'entreprise se déroulent via des appareils mobiles, donc les menaces pour la surface d'attaque sont ralentis.Comme nous le voyons, la croissance continue vers [& # 8230;]
Le message Cyberison annonce la disponibilité de la défense de la menace mobile cyberéaison en réponse à l'augmentation des attaques sophistiquées d'appareils mobiles est apparu pour la première fois sur gourou de la sécurité informatique .
Cybereason has announced the availability of Cybereason Mobile Threat Defence, Powered by Zimperium. With the explosive growth in mobile devices and apps comes an ever-evolving attack surface. Research shows that 60% of endpoints accessing enterprise assets are through mobile devices, so threats to the attack surface aren’t slowing down. As we see continued growth toward […] The post Cybereason Announces the Availability of Cybereason Mobile Threat Defence in Response to Increases in Sophisticated Mobile Device Attacks first appeared on IT Security Guru. |
Threat Mobile | ★★★★ | |
 |
2024-05-07 14:51:31 | Amélioration de la sécurité sociale: introduction Enhancing SOC security: Introducing Pure Signal™ Scout Insight (lien direct) |
Outil d'intelligence des menaces conviviale pour l'analyse IP et le domaine si vous êtes un analyste SOC ou un chef d'équipe et que vous êtes utilisé pour alerter la fatigue ...
User-friendly threat intelligence tool for IP and domain analysis If you are a SOC Analyst or Team Manager and are used to alert fatigue... |
Tool Threat | ★★★ | |
 |
2024-05-07 13:42:04 | Le phishing du code QR est un problème - ce qui est pourquoi Proofpoint a introduit la simulation de phishing du code QR QR Code Phishing is a Problem-That\\'s Why Proofpoint Has Introduced QR Code Phishing Simulation (lien direct) |
QR codes are a part of our everyday lives. They appear in everything from restaurant menus to payment portals. We can use them to quickly access information or perform tasks with a simple scan from our smartphones. However, the ubiquity and convenience of QR codes have also made them an attractive tool for attackers. These seemingly innocuous squares have become a Trojan horse for phishing schemes. In December 2023, Proofpoint launched new in-line threat detection capabilities to stop QR code-based threats. We did this for several reasons. First, we recognized that these attacks are highly deceptive, and existing technologies could not analyze embedded URLs with accuracy. We also understood it was highly likely that users would fall victim to these attacks, as external survey data indicated over 80% of users believe that QR codes are safe. Additionally, our own research showed that QR code attacks had already hit the mainstream. Now, we see daily QR code attack spikes reaching into the tens of thousands. So, our customers must stay vigilant about this threat. To help in that effort, Proofpoint now offers QR code phishing simulations through Proofpoint Security Awareness. You can use them to help your users learn how to recognize and proactively report real QR code phishing attempts. In this post, we will cover the basics of our simulations, and how they serve as a key pillar of our human-centric security strategy. But first, let\'s examine how QR code phishing works. The sequence of events in a QR code attack In QR code phishing, an attacker will disguise malicious URLs within a QR code and embed the QR code into an email. The email is socially engineered to convince the victim to scan the code. After the code is scanned, the victim is redirected to a fraudulent website that is designed to steal sensitive data like login credentials, credit card numbers or personal data. Overview of a QR code attack sequence. What makes malicious QR codes so hard to detect is that attackers are intentionally combining evasion tactics with malicious QR codes to evade email gateways. For example, in a recent QR code attack, threat actors hid malicious QR codes within a PDF attachment. Further, the redirected URL used evasion tactics like adding a Cloudflare CAPTCHA to appear legitimate. Threat actors know that if successfully delivered to their victim it can lead to a successful compromise and they are motivated to continue investing in evasion. The solution: QR code phishing simulation The risk of user exposure to a QR code phishing attack is high, which is why it\'s so important to educate your users about this threat. Here is where our QR code phishing simulation can help. At its core, the simulation works by using email templates that are derived from real-world attacks. Administrators can use the prebuilt templates to launch simulation campaigns that test how employees might react to a QR code attack. These simulations give users firsthand experience in how to identify, avoid and report these threats. This exercise also helps administrators understand their users\' vulnerabilities so that they can develop tailored educational plans. A sample of a QR Code Phishing Simulation template from Proofpoint. To help hone a user\'s knowledge and skills, the prebuilt templates are automatically categorized based on their difficulty level using our Leveled Phishing capability. Proofpoint is the first and only security awareness provider to combine machine learning and NIST Phish Scale research to automatically categorize the level of difficulty of our phishing simulation templates. Leveled Phishing ensures that administrators can objectively challenge a user\'s understanding of the threat. As a user\'s knowledge improves with each simulation, the administrator can continue to challenge that user by launching more, and more difficult, simulations. If the user fails a s | Tool Vulnerability Threat | ★★ | |
|
2024-05-07 13:34:29 | Recherche de cyber-menaces: les mauvaises pratiques de correction et les protocoles non cryptés continuent de hanter les entreprises Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises (lien direct) |
Cato Networks, le leader de Sase, a dévoilé aujourd'hui les résultats de son inaugural Cato Ctrl Sase Mende Rapport pour le premier triCybercriminels pour se déplacer sur les réseaux.Développé par Cato Ctrl, le Cyber Threat Intelligence du Sase \\ [& # 8230;]
Le post Cyber Threat Research: les mauvaises pratiques de correction et les protocoles non cryptés continuent de hanter les entreprises Apparu pour la première fois sur gourou de la sécurité informatique .
Cato Networks, the SASE leader, today unveiled the findings of its inaugural Cato CTRL SASE Threat Report for Q1 2024. The report shows all organizations surveyed continue to run insecure protocols across their wide access networks (WAN), making it easier for cybercriminals to move across networks. Developed by Cato CTRL, the SASE leader\'s cyber threat intelligence […] The post Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises first appeared on IT Security Guru. |
Threat Patching | ★★★ | |
|
2024-05-07 13:15:10 | Fédération mondiale de la résilience, partenaire hacknotice pour stimuler la cyber-intelligence dans les secteurs Global Resilience Federation, HackNotice partner to boost cyber intelligence across sectors (lien direct) |
> La Fédération mondiale de la résilience (GRF) a annoncé lundi un nouveau partenariat avec HackNotice, un fournisseur de renseignements sur les menaces en temps réel ...
>Global Resilience Federation (GRF) announced on Monday a new partnership with HackNotice, a provider of real-time threat intelligence... |
Threat | ★★ | |
|
2024-05-07 10:00:39 | Exploits et vulnérabilités au premier trimestre 2024 Exploits and vulnerabilities in Q1 2024 (lien direct) |
Le rapport fournit des statistiques de vulnérabilité et d'exploitation, les tendances clés et l'analyse des vulnérabilités intéressantes découvertes au premier trimestre 2024.
The report provides vulnerability and exploit statistics, key trends, and analysis of interesting vulnerabilities discovered in Q1 2024. |
Vulnerability Threat | ★★★ | |
|
2024-05-07 07:30:27 | CEQUENCE a annoncé plusieurs progrès alimentés par l'apprentissage automatique à sa plate-forme Unified API Protection (UAP) Cequence announced multiple machine learning-powered advancements to its Unified API Protection (UAP) platform (lien direct) |
Céquence prend les devants en utilisant l'apprentissage automatique pour lutter contre les attaques soutenues par l'AI
Améliorations à la plate-forme phare de protection API unifiée de l'entreprise Économiser 90% des analystes de sécurité \\ 'Temps, permettant à la chasse à la menace simultanée sur plusieurs API
-
revues de produits
Cequence Takes the Lead in Using Machine Learning to Tackle AI-Backed Attacks Enhancements to company\'s flagship Unified API Protection platform save 90% of security analysts\' time, enabling simultaneous threat hunting across multiple APIs - Product Reviews |
Threat | ★★ | |
|
2024-05-07 07:20:11 | F5 dévoile de nouvelles solutions de sécurité (lien direct) | F5 annonce de nouvelles solutions pour simplifier radicalement la sécurité de chaque application et API F5 Distributed Cloud Services Web Application Scanning automatise la détection de la sécurité et les tests de pénétration des applications web. BIG-IP Next WAF réduit les menaces liées aux applications web et aux API tout en optimisant l'efficacité opérationnelle des équipes NetOps et SecOps. NGINX App Protect étend les protections du pare-feu des applications web pour les déploiements open-source NGINX pour doter les équipes DevSecOps de contrôles efficaces sans nuire à l'agilité des développeurs. - Produits | Threat Cloud | ★★★ | |
|
2024-05-06 22:55:00 | #RSAC: les acteurs de la menace armé le hacktivisme pour un gain financier #RSAC: Threat Actors Weaponizing Hacktivism for Financial Gain (lien direct) |
Alexander Leslie de l'avenir enregistré met en évidence les lignes de plus en plus floues entre le hacktivisme, la cybercriminalité financière et les activités de l'État-nation lors de la conférence RSA 2024
Recorded Future\'s Alexander Leslie highlights the increasingly blurred lines between hacktivism, financial cybercrime and nation-state activities during the RSA Conference 2024 |
Threat Conference | ★★★ | |
 |
2024-05-06 19:54:46 | Uncharmed: les opérations APT42 de l'Iran démêle Uncharmed: Untangling Iran\\'s APT42 Operations (lien direct) |
#### Géolocations ciblées - Moyen-Orient - Amérique du Nord - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux - Organisation non gouvernementale ## Instantané Mandiant discute des activités de l'APT42, acteur iranien de cyber-espionnage parrainé par l'État, ciblant les ONG occidentales et moyen-orientales, les organisations médiatiques, les universités, les services juridiques et les militants. ** Les activités de l'APT42 se chevauchent avec le suivi de Microsoft \\ de Mint Sandstorm.[En savoir plus ABOut Mint Sandstorm ici.] (https://sip.security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) ** ## descript APT42 utilise des programmes d'ingénierie sociale améliorés pour gagner en confiance et fournir des invitations aux conférences ou aux documents légitimes, leur permettant de récolter des informations d'identification et d'obtenir un accès initial aux environnements cloud.Les opérations récentes impliquent l'utilisation de délais personnalisés tels que NiceCurl et Tamecat, livrés via le phishing de lance. Les opérations cloud d'APT42 \\ impliquent une exfiltration d'exfiltration secrète des environnements Microsoft 365 victimes, en utilisant des schémas d'ingénierie sociale améliorés pour obtenir un accès initial et contourner l'authentification multi-facteurs.L'acteur de menace se précipita comme des ONG légitimes, se fait passer pour le personnel de haut rang et déploie du matériel de leurre pour gagner la confiance de la victime.APT42 déploie également diverses méthodes pour contourner l'authentification multi-facteurs, notamment en utilisant de fausses pages duo et en servant des sites de phishing pour capturer les jetons MFA. APT42 déploie des logiciels malveillants personnalisés tels que Tamecat et NiceCurl pour cibler les ONG, le gouvernement ou les organisations intergouvernementales gantant les problèmes liés à l'Iran et au Moyen-Orient.Ces délais offrent aux opérateurs APT42 un accès initial aux cibles et à une interface de code-Exécution flexible. ## Recommandations Les techniques utilisées par les sous-ensembles de la tempête de menthe peuvent être atténuées à travers les actions suivantes: ### durcissant les actifs orientés Internet et compréhension de votre périmètre Les organisations doivent identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Les interfaces de balayage publique, telles que Microsoft Defender External Attack Surface Management, peuvent être utilisées pour améliorer les données. Les vulnérabilités observées dans les campagnes récentes attribuées aux sous-groupes de sable à la menthe que les défenseurs peuvent identifier et atténuer: inclure: - IBM ASPERA FASPEX affecté par CVE-2022-47986: Les organisations peuvent corriger CVE-2022-47986 en mettant à niveau vers FASPEX 4.4.2 Niveau 2 du patch 2 ou en utilisant FasPex 5.x qui ne contient pas cette vulnérabilité. - Zoho ManageEngine affecté par CVE-2022-47966: les organisations utilisant des produits Zoho Manage Engine vulnérables au CVE-2022-47966 devraient télécharger et appliquer des mises à niveau de l'avis officiel dès que possible.Le correctif de cette vulnérabilité est utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent le CVE-2022-47966 pour l'accès initial. - Apache Log4j2 (aka log4shell) (CVE-2021-44228 et CVE-2021-45046): [Microsoft \\ S GOIDANCE pour les organisations utilisant des applications vulnérables à l'exploitation de log4.com / en-us / security / blog / 2021/12/11 / guidance-for-préventing-détectant et chasseur-pour-CVE-2021-44228-LOG4J-2-Exploitation /) Cette direction est utile pour toutOrganisation avec des applications vulnérables et utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent Log4Shell pour obten | Malware Vulnerability Threat Patching Cloud | APT 42 | ★★★ |
|
2024-05-06 17:05:52 | Liens qui mentent: arrêtez les attaques basées sur une URL avant de commencer Links That Lie: Stop URL-Based Attacks Before They Start (lien direct) |
Les cyber-menaces les plus dommageables n'ont pas aujourd'hui des machines cibles ou des systèmes, ils ciblent les humains.Aujourd'hui, 74% des violations de données reposent sur l'exploitation de l'élément humain.Des employés cliquant sur des liens malveillants à la tromperie par des courriels se faisant passer pour des dirigeants et des fournisseurs, les attaques ciblées humaines mettent en péril les entreprises dans le monde entier. & NBSP; En ce qui concerne les menaces de courrier électronique ciblées, Proofpoint a vu les attaquants éloigner des pièces jointes statiques vers des liens malveillants qui doivent être déclenchés par des clics humains pour initier une attaque plus large.Que leur objectif soit de lancer une attaque de phishing et de voler des informations d'identification ou des utilisateurs directs vers des sites Web chargés de logiciels malveillants et de libérer les ransomwares, les adversaires comptent désormais les URL malveillants comme l'une de leurs tactiques préférées pour poursuivre leurs attaques. Pour aider les organisations à arrêter les attaques basées sur une URL avant même de commencer, Proofpoint est d'introduire la première capacité de maintien et de sable préalable de l'industrie et de la capacité de sable dans le cadre de la protection des menaces de preuves.Lorsqu'il est combiné avec nos protections de clics, il crée l'ensemble le plus formidable de mesures de défense en profondeur disponibles pour les organisations afin d'empêcher les attaques d'atteindre leurs cibles humaines. & NBSP; Menaces basées sur une URL: une technique d'attaquant populaire Les données récentes de l'intelligence et de la recherche sur les menaces de preuves montrent que le nombre moyen de menaces basées sur URL quotidiennes a augmenté à plus de 4,5 millions.Il s'agit d'une augmentation alarmante de 119% au cours des trois dernières années. & NBSP; Infographie: 1 clics sur 7 sur les liens malveillants se produit en 60 secondes de livraison. & Nbsp; Ce qui est également préoccupant, c'est la vitesse à laquelle ces attaques peuvent causer des dommages.La recherche de Proofpoint montre que 1 clic sur 7 sur un lien dangereux se produit en moins de 60 secondes après la livraison d'un e-mail.Cette réponse à clic rapide démontre la nature critique d'une forte protection avant la livraison pour réduire le risque que les utilisateurs cliquent sur des liens malveillants. Amélioration de la protection de la prédivision pour les menaces basées sur l'URL Notre nouvelle capacité permet aux organisations de contenir des messages suspects avec des URL pour l'analyse du bac à sable, minimisant le risque qu'un utilisateur s'engage avec l'URL malveillante.Nous utilisons des signaux comportementaux et de l'intelligence des menaces pour déterminer si un message doit être détenu pour une inspection plus approfondie.Notre technologie de bac à sable effectue une analyse exhaustive de l'URL en utilisant une analyse statique et dynamique, ainsi qu'une exécution assistée par l'analyste pour maximiser la détection et l'extraction de l'intelligence. Maintenir et les messages de bac à sable avec des URL suspects arrêtent les menaces avant d'atteindre les utilisateurs. Défense continue avec protection contre le temps de clics Les URL ne sont pas toujours nées malveillantes.Ils peuvent devenir armées après la livraison.En tant que tels, les e-mails contenant des liens nécessitent un examen constant pour se protéger contre les menaces avancées.C'est pourquoi l'analyse continue de la pré-livraison à l'heure de clic est si importante pour arrêter les attaques basées sur l'URL.Avec notre nouvelle prise avant la livraison &Sandbox pour la capacité de l'URL suspecte, ProofPoint fournit de manière unique la protection de bout en bout la plus avancée contre les menaces URL. ProofPoint fournit de manière unique une défense continue pour les menaces basées sur l'URL. Détection de pré-livraison.ProofPoint identifie et bloque les attaques avant d'att | Ransomware Threat | ★★★ | |
|
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
 |
2024-05-06 16:15:31 | Derrière les portes fermées: la montée de l'accès à distance malveillant caché Behind Closed Doors: The Rise of Hidden Malicious Remote Access (lien direct) |
Threat | ★★★ | ||
 |
2024-05-06 14:31:18 | Qu'est-ce que la récolte d'identification et comment les acteurs de la menace le réalisent-ils? What Is Credential Harvesting and How Do Threat Actors Pull It Off? (lien direct) |
79% Les comptes d'entreprise ont été compromis par les acteurs de la menace utilisant des tactiques de récolte d'identification, telles que le phishing des informations d'identification.
Credential harvesting, otherwise known as credential compromising or credential theft, can be a highly devastating cyber threat. It also happens to be very successful, as over 79% of business accounts were compromised by threat actors using credential harvesting tactics, such as credential phishing. |
Threat | ★★ | |
 |
2024-05-06 14:14:36 | L\'incroyable record d\'overclocking à 9,1 GHz sur Raptor Lake (lien direct) | Les overclockers ont pulvérisé un record vieux de 17 ans en poussant un CPU Raptor Lake à 9,1 GHz. Découvrez les coulisses de cet exploit, les défis du refroidissement extrême et les secrets pour repousser les limites des processeurs. | Threat | ★★ | |
|
2024-05-06 13:19:30 | OpenText™ annonce de nouvelles solutions (lien direct) | OpenText permet aux cyber défenseurs de bénéficier d'innovations pour surpasser les menaces toujours plus sophistiquées avec OpenText cyDNA et OpenText NetIQ Identity Manager 4.9 avec ACDI - Produits | Threat | ★★ | |
 |
2024-05-06 13:00:00 | Résultats clés du rapport de menace Fortiguard Labs 2H 2023 Key Findings from the 2H 2023 FortiGuard Labs Threat Report (lien direct) |
Dans ce rapport, nous examinons le paysage de la cybernarré en 2h 2023 pour identifier les tendances et offrir des informations sur ce que les professionnels de la sécurité devraient savoir.
In this report, we examine the cyberthreat landscape in 2H 2023 to identify trends and offer insights on what security professionals should know. |
Threat | ★★★ | |
|
2024-05-06 11:21:36 | 6 mai & # 8211;Rapport de renseignement sur les menaces 6th May – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations dans une déclaration conjointe avec l'Allemagne et l'OTAN, la République tchèque a découvert une campagne de cyber-espionnage par l'acteur affilié à l'État russe APT28.Ces cyberattaques ont ciblé les institutions tchèques utilisant une nouvelle vulnérabilité dans Microsoft [& # 8230;]
>For the latest discoveries in cyber research for the week of 29th April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES In a joint statement with Germany and NATO, the Czech Republic uncovered a cyber espionage campaign by Russian state affiliated actor APT28. These cyber-attacks targeted Czech institutions using a new vulnerability in Microsoft […] |
Vulnerability Threat | APT 28 | ★★★ |
|
2024-05-06 11:07:37 | Les pirates russes de l'APT28 exploitent les perspectives de vue pour cibler les organisations tchèques, allemandes et polonaises Russian APT28 hackers exploit Outlook flaw to target Czech, German, Polish organizations (lien direct) |
> La Tchéche conjointement avec l'Allemagne, la Lituanie, la Pologne, la Slovaquie, la Suède, l'Union européenne, l'OTAN et les partenaires internationaux condamnent le ...
>The Czechia jointly with Germany, Lithuania, Poland, Slovakia, Sweden, the European Union, NATO, and international partners condemns the... |
Threat | APT 28 | ★★★★ |
|
2024-05-06 09:20:57 | ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises (lien direct) | Face à la pénurie de talents, ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises • Deux nouveaux niveaux d'abonnement sont désormais disponibles pour répondre aux exigences des PME comme des grandes entreprises. • ESET Mobile Threat Defense, fait son apparition pour renforcer la sécurité des appareils mobiles professionnels • ESET Server Security et ESET LiveGuard Advanced bénéficient de mises à jour majeures pour détecter encore précocement les tentatives d'attaques. - Produits | Threat Mobile | ★★ | |
|
2024-05-06 09:04:02 | ProofPoint établit une nouvelle norme de l'industrie dans la sécurité des e-mails avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison des e-mails Proofpoint Sets New Industry Standard in Email Security with Adaptive Threat Protection Capabilities Across the Entire Email Delivery Chain (lien direct) |
Face à la pénurie de talents, ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises • Deux nouveaux niveaux d'abonnement sont désormais disponibles pour répondre aux exigences des PME comme des grandes entreprises. • ESET Mobile Threat Defense, fait son apparition pour renforcer la sécurité des appareils mobiles professionnels • ESET Server Security et ESET LiveGuard Advanced bénéficient de mises à jour majeures pour détecter encore précocement les tentatives d'attaques. - Produits | Threat | ★★ | |
|
2024-05-06 08:49:27 | Cybereason annonce la disponibilité de Cybereason Mobile Threat Defense (lien direct) | Pour répondre à la recrudescence des attaques sophistiquées contre les dispositifs mobiles, Cybereason annonce la disponibilité de sa solution Cybereason Mobile Threat Defense - Produits | Threat Mobile | ★★ | |
|
2024-05-06 07:54:03 | Genai alimente la dernière vague des menaces de messagerie modernes GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct) |
Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale? No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data. As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them. Why GenAI email threats are so dangerous Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it. We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale. How can these threats be stopped? It all comes down to understanding a message\'s intent. Stop threats before they\'re delivered with semantic analysis Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data. Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace. It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve. An overview of how Proofpoint uses semantic analysis. How it works Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★★ |
|
2024-05-06 05:52:32 | La sécurité des e-mails est désormais redéfinie avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison Email Security is Now Redefined with Adaptive Threat Protection Capabilities Across the Entire Delivery Chain (lien direct) |
Another RSA Conference has arrived, and with it comes the gold standard report for our industry, the Verizon DBIR. And for yet another year, it concludes the same thing: the human element is central to the vast majority of breaches (76% this year), especially the ones that matter, from ransomware to BEC to data loss. The very first word of the 2024 DBIR is also not new; it\'s “phishing”. Email security has always been central to human risk: it\'s the #1 way users encounter threats, the #1 way users make mistakes, and the #1 way attackers get what they want, from credentials to wire transfers to malware infections. Proofpoint has a long history of stopping more human-targeted threats than anyone else. Our long history of firsts includes the first ML models to stop unwanted messages, the first rewriting of URLs for click-time protection, and the first connection of a malware sandbox to email. But attackers have continued to innovate and so have we – starting now, we\'re setting a new standard for protection across the entire email delivery chain. Building an Unmatched Detection Ensemble What organizations need in email security is simple to describe but hard to do: a single solution to protect against every type of threat, every time, every way a user may encounter it, using every form of detection. Our detection ensemble was already the industry\'s most effective, including threat intelligence, static analysis, sandboxing, click-time protection, and our unique set of Nexus AI models. I\'m thrilled to announce that we have now added the industry\'s first ever pre-delivery protections to stop social engineering and malicious URLs, as well as our newly integrated post-delivery behavioral AI, Proofpoint Adaptive Email Security. * New capability According to our data across more than 500,000 organizations, including 87 of the Fortune 100, attackers rely on two techniques more frequently than any others: text-based social engineering and malicious URLs. While we already detect both these threat types at the highest rates in the industry, we wanted to push the envelope – not just detecting them, but detecting them as early as possible. To make this a reality, we optimized the performance of our Nexus AI LLM-based detection model by 10X, enabling us to use semantic analysis to interpret a malicious message\'s intent (such as invoicing fraud), regardless of the words they use or even the language they write in. In parallel, we built the capability for our gateway to hold messages with suspicious URLs until they are sandboxed. The result is the most formidable set of defense in-depth measures available for organizations to prevent attacks from reaching their targets. Continuous End-to-End Detection with Proofpoint Adaptive Email Security Joining our pre-delivery enhancements is Proofpoint Adaptive Email Security, our API-based offering that integrates with Microsoft 365 and applies our broad detection ensemble to stop advanced threats, including BEC, social engineering and lateral phishing messages. Once deployed, Adaptive Email Security enriches all detections with easy-to-understand explanations about behavioral anomalies observed. Additionally, it automatically quarantines high confidence threats, while delivering real-time coaching using contextual warning banners to alert users to the risks in social engineering and BEC-type emails that don\'t contain an obvious malicious payload. Insight into a malicious message generated by Adaptive Email Security The Next Level While we\'re thrilled for you all to experience our latest set of innovations, we know we can still do more to help you protect your people. That takes two main forms: continuing to lead with Nexus AI, and deepening and strengthening our ecosystem partnerships. Nexus AI: The value of our proprietary data is enhanced by contextual insights and in-depth classification from our leading team of threat researchers and data scientists, who track adversaries, analyze evolving attacker tradecraft, profile data exfiltration pa | Ransomware Malware Threat Conference | ★★★ | |
|
2024-05-05 06:13:39 | Une menace croissante de logiciels malveillants et de ransomwares continue de mettre en danger les environnements industriels Growing threat of malware and ransomware attacks continues to put industrial environments at risk (lien direct) |
> Les environnements industriels sont confrontés à une menace croissante des logiciels malveillants et des attaques de ransomwares, posant des risques importants à l'infrastructure critique, à la fabrication ...
>Industrial environments face a growing threat from malware and ransomware attacks, posing significant risks to critical infrastructure, manufacturing... |
Ransomware Malware Threat Industrial | ||
|
2024-05-05 00:00:00 | BSIDESSF 2024 Rédactions: Turing complète (inversion / exploitation) BSidesSF 2024 Writeups: Turing Complete (Reversing / exploitation) (lien direct) |
This is a write-up for turing-complete, turing-incomplete, and turing-incomplete64 from the BSides San Francisco 2024 CTF! turing-complete is a 101-level reversing challenge, and turing-incomplete is a much more difficult exploitation challenge with a very similar structure. turing-incomplete64 is a 64-bit version of turing-incomplete, which isn\'t necessarily harder, but is different. Let\'s look at the levels! turing-complete My ideas doc said “Turing Machine?” from a long time ago. I don\'t really remember what I was thinking, but what I decided was to make a simple reversing challenge with a finite tape and 4 operations - go left, go right, read, and write. All commands and responses are binary (1s and 0s), which is hinted at by the instructions being a series of binary bits. The actual main loop, in C, is quite simple: uint8_t tape[128]; // ...write the flag to the tape... for(;;) { uint8_t a = r(); if(a == 2) break; uint8_t b = r(); if(b == 2) break; if(a == 0 && b == 0) { ptr++; } else if(a == 0 && b == 1) { ptr--; } else if(a == 1 && b == 0) { printf("%08b", | Threat | ★★★ | |
|
2024-05-05 00:00:00 | BSIDESSF 2024 Écritures: ne peut pas donner (exploitation CGI) BSidesSF 2024 Writeups: Can\\'t Give In (CGI exploitation) (lien direct) |
The premise of the three challenges cant-give-in, cant-give-in-secure, and cant-give-in-securer are to learn how to exploit and debug compiled code that\'s loaded as a CGI module. You might think that\'s unlikely, but a surprising number of enterprise applications (usually hardware stuff - firewalls, network “security” appliances, stuff like that) is powered by CGI scripts. You never know! This challenge was inspired by one of my co-workers at GreyNoise asking how to debug a CGI script. I thought it\'d be cool to make a multi-challenge series in case others didn\'t know! This write-up is intended to be fairly detailed, to help new players understand their first stack overflow! Part 1: cant-give-in The vulnerability First, let\'s look at the vuln! All three challenges have pretty similar vulnerabilities, but here\'s what the first looks like: char *strlength = getenv("CONTENT_LENGTH"); if(!strlength) { printf("ERROR: Please send data!"); exit(0); } int length = atoi(strlength); read(fileno(stdin), data, length); if(!strcmp(data, "password=MyCoolPassword")) { printf("SUCCESS: authenticated successfully!"); } else { printf("ERROR: Login failed!"); } The way CGI works - a fact that I\'d forgotten since learning Perl like 20 years ago - is that the headers are processed by Apache and sent to the script as environmental variables, and the body (ie, POST data) is sent on stdin. In that script, we read the Content-Length from a variable, then read that many bytes of the POST body into a static buffer. That\'s a fairly standard buffer overflow, with the twist that it\'s in a CGI application! We can demonstrate the issue pretty easily by running the CGI directly (I\'m using dd to produce 200 characters without cluttering up the screen): | Tool Vulnerability Threat | ★★★ | |
|
2024-05-05 00:00:00 | BSIDESSF 2024 Écritures: Streets plus sûrs (Web / inverse) BSidesSF 2024 Writeups: Safer Streets (Web / reversing) (lien direct) |
This is a write-up for Safer Streets. I apparently wrote this in more “note to self” style, not blog style, so enjoy! First, browse the application. You should be able to create an error: $ curl \'http://localhost:8080/display?name=test\' Error in script /app/server.rb: No such file or directory @ rb_sysopen - /app/data/test Note that has a image/jpeg content-type, so it might confuse the browser. That issue grants access to two primitives: a) Read any file via path traversal b) The full path to the server For example: $ curl -s \'http://localhost:8080/display?name=../server.rb\' | head -n20 require \'json\' require \'sinatra\' require \'pp\' require \'singlogger\' require \'open3\' ::SingLogger.set_level_from_string(level: ENV[\'log_level\'] || \'debug\') LOGGER = ::SingLogger.instance() # Ideally, we set all these in the Dockerfile set :bind, ENV[\'HOST\'] || \'0.0.0.0\' set :port, ENV[\'PORT\'] || \'8080\' SAFER_STREETS_PATH = ENV[\'SAFER_STREETS\'] || \'/app/safer-streets\' SCRIPT = File.expand_path(__FILE__) LOGGER.info("Checking for required binaries...") if File.exist?(SAFER_STREETS_PATH) LOGGER.info("* Found `safer-streets` binary: #{ SAFER_STREETS_PATH }") [...] You can grab the safer-streets binary as well: $ curl -s \'http://localhost:8080/display?name=../../../app/safer-streets\' | file - /dev/stdin: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=fa512a55e0fbc8c4ad80483379826183f29ce161, for GNU/Linux 3.2.0, with debug_info, not stripped Inspecting the Ruby code shows an shell-injection issue if you control the output of safer-streets: system("/usr/bin/report-infraction --node=\'#{result[\'node\']}\' --img=\'#{photo}\'") You can reverse or mess with the binary to dis | Threat | ★★★ | |
 |
2024-05-04 21:52:07 | Les cyberattaques de la Russie contre l'Allemagne condamnées par l'UE et l'OTAN Russia’s cyberattacks against Germany condemned by EU and NATO (lien direct) |
hackers russes ne ralentissent pas dans les cyberattaques.
L'attaque présumée s'est produite contre le Parti social-démocrate (SPD).Leurs comptes de messagerie ont été compromis dans l'attaque.
Cette saga de piratage a commencé il y a plus de deux ans pendant la guerre russe-Ukraine et elle a progressivement augmenté au cours du temps.
comment il a commencé
Un groupe appelé APT28, également connu sous le nom de Fancy Bear, qui aurait des liens avec le gouvernement russe, a été accusé d'avoir fait de nombreuses cyberattaques partout dans le monde, y compris en Allemagne et quelques entités tchèques.
Ils ont trouvé un Vulnérabilité Dans Microsoft Outlook et l'utiliser pour entrer dans les e-mails SPD.
La vulnérabilité, un CVE-2023-23397 zéro-jour, est un bogue d'escalade de privilège essentiel dans Outlook qui pourrait permettre aux attaquants d'accéder aux hachages net-ntlmv2, puis de les utiliser pour s'authentifier à l'aide d'une attaque de relais.
Le gouvernement allemand dit que non seulement le SPD mais aussi les entreprises allemandes en défense et en aérospatiale.
Il comprenait également des objectifs de technologie de l'information, ainsi que des choses liées à la guerre en Ukraine.
Ces cyberattaques ont commencé vers mars 2022, après que la Russie ait envahi l'Ukraine.
Le gouvernement allemand a allégué que le service de renseignement militaire de la Russie, Gru, était derrière ces attaques.
Ils ont même convoqué un diplomate russe en réponse à ces accusations.
La Russie a nié les allégations
La Russie a nié les allégations et appelé les accusations comme & # 8220; non fondée et sans fondement & # 8221;.
Le gouvernement dirigé par Poutine a nié des cyber-incidences similaires aux actes parrainés par l'État dans le passé.
L'Occident a été rigide dans son récit de l'implication de la Russie dans les cyberattaques depuis des décennies maintenant.
pas le premier rodéo
Récemment, le ministre australien des Affaires étrangères a rejoint d'autres pays en disant que l'APT28, qui serait lié à la Russie, était derrière certaines cyberattaques.
Ce n'est pas la première fois que les pirates russes sont accusés d'espionnage de l'Allemagne.
En 2020, Angela Merkel, qui était la chancelière de l'Allemagne à l'époque, a accusé la Russie de l'espionner.
Un incident majeur imputé aux pirates russes a été en 2015 lorsqu'ils ont attaqué le Parlement de l'Allemagne, ce qui l'a fait fermer pendant des jours. |
Hack Vulnerability Threat | APT 28 | |
|
2024-05-04 10:17:34 | Les pirates iraniens se présentent en tant que journalistes pour pousser les logiciels malveillants de porte dérobée Iranian hackers pose as journalists to push backdoor malware (lien direct) |
L'acteur de menace soutenu par l'État iranien suivi comme APT42 utilise des attaques d'ingénierie sociale, notamment en se faisant passer pour des journalistes, pour violer les réseaux d'entreprise et les environnements cloud des cibles occidentales et du Moyen-Orient.[...]
The Iranian state-backed threat actor tracked as APT42 is employing social engineering attacks, including posing as journalists, to breach corporate networks and cloud environments of Western and Middle Eastern targets. [...] |
Malware Threat Cloud | APT 42 | |
|
2024-05-03 22:08:47 | Plus d'un milliard d'appareils Android ont installé ces applications vulnérables Over A Billion Android Devices Have These Vulnerable Apps Installed (lien direct) |
Les chercheurs en sécurité de l'équipe Microsoft Threat Intelligence ont révélé une vulnérabilité affiliée à la traversée de chemin surnommée le Stream Stream & # 8221 & # 8220;Attaquez dans plusieurs applications Android populaires. Cette vulnérabilité pourrait permettre à une application malveillante de remplacer les fichiers arbitraires dans le répertoire d'accueil de l'application vulnérable. Dans un rapport publié mercredi, Dimitrios Valsamaras de l'équipe Microsoft Threat Intelligence a dit , & # 8220; Les implications de ce modèle de vulnérabilité incluent l'exécution de code arbitraire et le vol de jeton, selon une implémentation d'application. & # 8221; Il a ajouté: «L'exécution de code arbitraire peut fournir à un acteur de menace un contrôle total sur le comportement d'une application.Pendant ce temps, le vol de jeton peut fournir à un acteur de menace un accès aux comptes et aux données sensibles de l'utilisateur. » La découverte a affecté plusieurs applications vulnérables dans le Google Play Store, représentant plus de quatre milliards d'installations. Deux des applications trouvées vulnérables au problème comprenaient le gestionnaire de fichiers Xiaomi Inc. (com.mi. Android.globalFileExplorer), qui compte plus de 1 milliard d'installations, et WPS Office (CN.WPS.MOFFICE_ENG), qui a plus que500 millions de téléchargements. Le système d'exploitation Android applique l'isolement en attribuant à chaque application ses propres données et espace mémoire dédiées, en particulier le composant du fournisseur de contenu et sa classe \\ 'fileprovider \', qui facilite les données sécurisées et le partage de fichiers avec d'autres applications installées. Lorsqu'il est implémenté de manière incorrecte, il pourrait introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture / écriture dans le répertoire personnel d'une application. & # 8220; Ce modèle basé sur les fournisseurs de contenu fournit un mécanisme de partage de fichiers bien défini, permettant à une application de service de partager ses fichiers avec d'autres applications de manière sécurisée avec un contrôle à grain fin, & # 8221;Valsamaras noté. & # 8220; Cependant, nous avons fréquemment rencontré des cas où l'application consommatrice ne valide pas le contenu du fichier qu'il reçoit et, le plus préoccupant, il utilise le nom de fichier fourni par la demande de service pour mettre en cache le reçueFichier dans le répertoire de données interne de l'application consommatrice. & # 8221; L'exécution du code malveillant peut être obtenue en permettant à un acteur de menace d'avoir le contrôle total sur le comportement d'une application et de la faire communiquer avec un serveur sous leur contrôle pour accéder aux données sensibles. Dans le cadre de la politique de divulgation responsable de Microsoft \\, la société a partagé ses conclusions avec les développeurs d'applications Android qui ont été affectées par Dirty Stream.Par exemple, les équipes de sécurité de Xiaomi, Inc. et WPS ont déjà enquêté et résolu le problème. Cependant, la société estime que davantage de demandes pourraient être affectées et probablement compromises en raison de la même faiblesse de sécurité.Par conséquent, il recommande que tous les développeurs analysent ses recherches et s'assurent que leurs produits ne sont pas affectés. & # 8220; Nous prévoyons que le modèle de vulnérabilité pourrait être trouvé dans d'autres applications.Nous partageons cette recherche afin que les développeurs et les éditeurs puissent vérifier leurs applications pour des problèmes similaires, réparer | Vulnerability Threat Mobile | ||
|
2024-05-03 21:17:42 | Zloader apprend de vieilles astuces ZLoader Learns Old Tricks (lien direct) |
## Instantané
Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Zloader, un cheval de Troie bancaire modulaire et ses nouvelles tactiques d'évasion.
Consultez la rédaction de Microsoft \\ sur Zloader [ici] (https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72Aff789).
## Description
Zloader, également connu sous le nom de Terdot, Deloader ou Silent Night, est un cheval de Troie modulaire dérivé du code source Zeus divulgué.Après près de deux ans d'absence, Zloader a refait surface en septembre 2023 avec une nouvelle version incorporant des modifications de ses méthodes d'obscurcissement, de son algorithme de génération de domaine (DGA) et de la communication réseau.Récemment, il a réintroduit un mécanisme anti-analyse rappelant le code Zeus 2.x d'origine.Cette fonction limite l'exécution binaire de Zloader \\ vers le système infecté, un trait qui avait été abandonné par de nombreuses souches de logiciels malveillants dérivées du code source divulgué jusqu'à ce développement récent.
## Détections
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- Trojan: Win64 / Zloader
- Trojan: Win32 / Zloader
## Les références
[Zloader apprend de vieilles astuces] (https://www.zscaler.com/blogs/security-research/zloader-learns-Old-Tricks # Indicateurs de COMPROMISE - IOCS-).Zscaler (consulté (2024-05-03)
[Zloader] (https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Microsoft (consulté en 2024-05-03)
# Zlzloadoader
## Snapshot Researchers at Zscaler have published a report about the evolution of ZLoader, a modular banking trojan, and its new evasion tactics. Check out Microsoft\'s write-up on ZLoader [here](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789). ## Description ZLoader, also known as Terdot, DELoader, or Silent Night, is a modular Trojan derived from leaked ZeuS source code. After nearly two years of absence, ZLoader resurfaced in September 2023 with a new version incorporating changes to its obfuscation methods, domain generation algorithm (DGA), and network communication. Recently, it has reintroduced an anti-analysis mechanism reminiscent of the original ZeuS 2.x code. This feature limits ZLoader\'s binary execution to the infected system, a trait that had been abandoned by many malware strains derived from the leaked source code until this recent development. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win64/ZLoader - Trojan:Win32/ZLoader ## References [ZLoader Learns Old Tricks](https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks#indicators-of-compromise--iocs-). Zscaler (accessed (2024-05-03) [ZLoader](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789). Microsoft (accessed 2024-05-03) # ZLZLoaderoader |
Malware Threat | ||
|
2024-05-03 20:21:03 | Nouveau Goldoon Botnet ciblant les appareils D-Link New Goldoon Botnet Targeting D-Link Devices (lien direct) |
## Instantané
Fortiguard Labs a identifié l'émergence du botnet "Goldoon", qui cible les appareils D-Link en exploitant la vulnérabilité CVE-2015-2051.Cela permet aux attaquants de prendre le contrôle complet des systèmes vulnérables et de lancer d'autres attaques, notamment le déni de service distribué (DDOS).
## Description
L'infiltration initiale de Botnet \\ implique l'exploitation de CVE-2015-2051 pour télécharger un fichier "dropper" à partir d'une URL spécifique, qui télécharge ensuite le fichier botnet à l'aide d'une touche XOR pour décrypter des chaînes spécifiques.Le script "dropper" est programmé pour télécharger, exécuter automatiquement et nettoyer les fichiers potentiellement malveillants sur diverses architectures de système Linux.Après l'exécution, le script supprime le fichier exécuté puis se supprime pour effacer toute trace de son activité.
Une fois exécuté, Goldoon établit une connexion persistante avec son serveur de commande et de contrôle (C2) et attend que les commandes lancent des comportements connexes, y compris diverses attaques de déni de service.Le logiciel malveillant contient 27 méthodes différentes liées à diverses attaques, constituant une menace significative pour les organisations affectées.Ces méthodes comprennent les inondations ICMP, les inondations TCP, les inondations UDP, les inondations DNS, le contournement HTTP, les inondations HTTP et l'attaque DDOS Minecraft.
## Les références
"[Nouveau Goldoon Botnet ciblant les appareils D-Link] (https://www.fortinet.com/blog/thereat-research/new-goldoon-botnet-targeting-d-kink-devices)" Fortiguard Labs.(Consulté en 2024-05-03)
## Snapshot FortiGuard Labs has identified the emergence of the "Goldoon" botnet, which targets D-Link devices by exploiting the CVE-2015-2051 vulnerability. This allows attackers to gain complete control of vulnerable systems and launch further attacks, including distributed denial-of-service (DDoS). ## Description The botnet\'s initial infiltration involves the exploitation of CVE-2015-2051 to download a file "dropper" from a specific URL, which then downloads the botnet file using an XOR key to decrypt specific strings. The "dropper" script is programmed to automatically download, execute, and clean up potentially malicious files across various Linux system architectures. After execution, the script removes the executed file and then deletes itself to erase any trace of its activity. Once executed, Goldoon establishes a persistent connection with its Command and Control (C2) server and waits for commands to launch related behaviors, including various denial-of-service attacks. The malware contains 27 different methods related to various attacks, posing a significant threat to affected organizations. These methods include ICMP Flooding, TCP Flooding, UDP Flooding, DNS Flooding, HTTP Bypass, HTTP Flooding, and Minecraft DDoS Attack. ## References "[New Goldoon Botnet Targeting D-Link Devices](https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices)" FortiGuard Labs. (Accessed 2024-05-03) |
Malware Vulnerability Threat | ||
|
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ||
|
2024-05-03 18:23:00 | Webinaire dirigé par des experts - Découvrir les dernières tactiques DDOS et apprendre à riposter Expert-Led Webinar - Uncovering Latest DDoS Tactics and Learn How to Fight Back (lien direct) |
Dans le paysage numérique en évolution rapide d'aujourd'hui, la menace de déni de service distribué (DDOS) est plus importante que jamais.À mesure que ces cybermenaces se développent en sophistication, les comprendre et les contrer devient cruciale pour toute entreprise qui cherche à protéger sa présence en ligne.
Pour répondre à ce besoin urgent, nous sommes ravis d'annoncer notre prochain webinaire, "Découvrir la contemporaine
In today\'s rapidly evolving digital landscape, the threat of Distributed Denial of Service (DDoS) attacks looms more significant than ever. As these cyber threats grow in sophistication, understanding and countering them becomes crucial for any business seeking to protect its online presence. To address this urgent need, we are thrilled to announce our upcoming webinar, "Uncovering Contemporary |
Threat | ||
|
2024-05-03 18:05:00 | Les pirates abusent de plus en plus de l'API de graphe Microsoft pour les communications de logiciels malveillants furtifs Hackers Increasingly Abusing Microsoft Graph API for Stealthy Malware Communications (lien direct) |
Les acteurs de la menace ont de plus en plus armé et NBSP; Microsoft Graph API & nbsp; à des fins malveillantes & nbsp; dans le but de l'évasion & nbsp; détection.
Cet & nbsp; est fait & nbsp; pour "faciliter les communications avec l'infrastructure de commandement et de contrôle (C & c) hébergé sur Microsoft Cloud Services", l'équipe de chasseurs de menace Symantec, qui fait partie de Broadcom, & nbsp; dit & nbsp; dans un rapport partagé avec le Hacker News Hacker New.
Threat actors have been increasingly weaponizing Microsoft Graph API for malicious purposes with the aim of evading detection. This is done to "facilitate communications with command-and-control (C&C) infrastructure hosted on Microsoft cloud services," the Symantec Threat Hunter Team, part of Broadcom, said in a report shared with The Hacker News. |
Malware Threat Cloud | ||
 |
2024-05-03 16:19:34 | Le bogue Gitlab Critical sous Exploit permet la prise de contrôle du compte, avertit CISA Critical GitLab Bug Under Exploit Enables Account Takeover, CISA Warns (lien direct) |
Patch maintenant: les cyberattaques exploitent le CVE-2023-7028 (CVSS 10) pour retirer et verrouiller les utilisateurs des comptes GitLab, voler le code source, etc.
Patch now: Cyberattackers are exploiting CVE-2023-7028 (CVSS 10) to take over and lock users out of GitLab accounts, steal source code, and more. |
Threat | ||
|
2024-05-03 15:07:00 | NSA, alerte du FBI sur les pirates coréens de N. coréens usurpés des e-mails provenant de sources de confiance NSA, FBI Alert on N. Korean Hackers Spoofing Emails from Trusted Sources (lien direct) |
Le gouvernement américain a publié jeudi un nouvel avertissement de conseil en cybersécurité des acteurs de la menace nord-coréenne \\ 'tentatives d'envoyer des courriels et NBSP; d'une manière qui les fait paraître comme ils sont & nbsp; des parties légitimes et fiables.
Le & nbsp; Joint Bulletin & nbsp; a été publié & nbsp; par la National Security Agency (NSA), le & NBSP; Federal Bureau of Investigation (FBI) et le Département d'État.
"Le
The U.S. government on Thursday published a new cybersecurity advisory warning of North Korean threat actors\' attempts to send emails in a manner that makes them appear like they are from legitimate and trusted parties. The joint bulletin was published by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Department of State. "The |
Threat | ★★ | |
|
2024-05-03 11:47:35 | L'OTAN et l'UE condamnent les cyberattaques de la Russie contre l'Allemagne, la Tchéche NATO and EU condemn Russia\\'s cyberattacks against Germany, Czechia (lien direct) |
L'OTAN et l'Union européenne, avec des partenaires internationaux, ont officiellement condamné une campagne de cyber-espionnage à long terme contre les pays européens menés par le groupe de menaces russes APT28.[...]
NATO and the European Union, with international partners, formally condemned a long-term cyber espionage campaign against European countries conducted by the Russian threat group APT28. [...] |
Threat | APT 28 | |
|
2024-05-02 21:51:39 | Microsoft confirme qu'il ne peut pas corriger Windows 10 KB5034441 & # 8220; 0x80070643 Erreur Microsoft Confirms It Cannot Fix Windows 10 KB5034441 “0x80070643 Error (lien direct) |
Le 9 janvier 2024, Microsoft avait informé qu'une vulnérabilité de contournement de démarrage bitlocker sécurisé suivie sous ID & # 8220; CVE-2024-20666 »pourrait permettre aux acteurs de menace de contourner le chiffrement BitLocker pour accéder aux données cryptées, à condition qu'ils obtiennentAccès physique à un PC non corrigé.
Pour y remédier, la société a ensuite publié des mises à jour cumulatives, KB503441 (sur Windows 10) et kb5034440 (sur Windows 11) Dans l'environnement de récupération de Windows (winre).
Cependant, l'installation de la mise à jour KB5034441 a commencé à afficher le message d'erreur & # 8220; 0x80070643 & # 8211;Error_install_failure & # 8221;, qui indiquait une taille de partition Winre insuffisante.
Les appareils & # 8220; tentant d'installer la mise à jour de l'environnement de récupération de Windows de janvier 2024 (KB5034441) peuvent afficher une erreur liée à la taille de la partition de l'environnement de récupération.Nous travaillons sur une résolution et fournirons une mise à jour dans une version à venir, & # 8221;Microsoft a déclaré dans une mise à jour du tableau de bord Health Windows en janvier 2024.
La société a même confirmé que les appareils Windows sans environnement de récupération configurés n'ont pas besoin d'installer la mise à jour KB5034441 et peuvent ignorer l'erreur.
Cependant, Microsoft a maintenant reconnu que, au moins sur Windows 10, une résolution automatique pour ce problème n'a pas été disponible dans une future mise à jour Windows, et la seule façon de résoudre ce problème est de terminer l'installation manuellement.
Dans une mise à jour du tableau de bord Health Windows, Microsoft.-2024-windows-re-update-might-fail-to-install "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> dit :
Résolution : La résolution automatique de ce numéro sera disponible dans une future mise à jour Windows.Des étapes manuelles sont nécessaires pour terminer l'installation de cette mise à jour sur les appareils qui connaissent cette erreur.
La partition Winre nécessite 250 mégaoctets d'espace libre.Les appareils qui n'ont pas d'espace libre suffisant devront augmenter la taille de la partition via une action manuelle.Pour obtenir des conseils sur la réalisation de ce changement, passez en revue les ressources suivantes:
Un script de code peut être utilisé pour étendre la taille de partition.Un exemple de script a été fourni dans la documentation pour ajouter un package de mise à jour à Winre.Voir étendez la partition de Windows re .
Les conseils pour modifier manuellement la taille de la partition Winre peuvent en outre être trouvés dans KB5028997: Instructions pour redimensionner manuellement votre partition pour installer la mise à jour Winre.
L'achèvement de ces étapes manuelles permettra à l'installation de cette mise à jour de réussir.
On January |
Vulnerability Threat | TYPEFRAME | ★★ |
To see everything:
Our RSS (filtrered)
