What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-04 12:03:00 | Darkgate Malware remplace Autoit par AutoHotKey dans les dernières cyberattaques DarkGate Malware Replaces AutoIt with AutoHotkey in Latest Cyber Attacks (lien direct) |
Les cyberattaques impliquant l'opération Darkgate malware-as-a-Service (MAAS) se sont éloignées des scripts AutOIT à un mécanisme AutoHotKey pour livrer les dernières étapes, soulignant les efforts continus de la part des acteurs de la menace pour garder une longueur d'avance sur la courbe de détection.
Les mises à jour ont été observées dans la version 6 de Darkgate publiée en mars 2024 par son développeur Rastafareye, qui
Cyber attacks involving the DarkGate malware-as-a-service (MaaS) operation have shifted away from AutoIt scripts to an AutoHotkey mechanism to deliver the last stages, underscoring continued efforts on the part of the threat actors to continuously stay ahead of the detection curve. The updates have been observed in version 6 of DarkGate released in March 2024 by its developer RastaFarEye, who |
Malware Threat | ||
|
2024-06-04 08:55:00 | Oracle Weblogic Server OS OS Commande injection de faille sous attaque active Oracle WebLogic Server OS Command Injection Flaw Under Active Attack (lien direct) |
Jeudi, l'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté un défaut de sécurité ayant un impact sur le serveur Oracle Weblogic au catalogue connu des vulnérabilités exploités (KEV), citant des preuves d'exploitation active.
Suivi sous le nom de CVE-2017-3506 (score CVSS: 7.4), le problème concerne une vulnérabilité d'injection de commande (OS) qui pourrait être exploitée pour obtenir
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a security flaw impacting the Oracle WebLogic Server to the Known Exploited Vulnerabilities (KEV) catalog, citing evidence of active exploitation. Tracked as CVE-2017-3506 (CVSS score: 7.4), the issue concerns an operating system (OS) command injection vulnerability that could be exploited to obtain unauthorized |
Vulnerability | ||
 |
2024-06-04 08:00:00 | # Infosec2024: les entreprises britanniques confrontées à des récupérations d'un mois à partir d'attaques de la chaîne d'approvisionnement #Infosec2024: UK Businesses Faced with Month-Long Recoveries from Supply Chain Attacks (lien direct) |
Une nouvelle enquête BlackBerry révèle des attaques fréquentes de chaîne d'approvisionnement en logiciels au Royaume-Uni, soulignant la nécessité d'une amélioration des mesures de sécurité et des conseils robustes pour les fournisseurs de logiciels
A new BlackBerry survey reveals frequent software supply chain attacks in the UK, highlighting the need for improved security measures and robust guidance for software vendors |
|||
 |
2024-06-04 07:55:44 | ISO/IEC 27001: 2022 – Tout savoir sur la sécurité de l\'information (lien direct) | Découvrez l'importance de la norme ISO 27001 pour sécuriser vos données et améliorer la gestion des risques.... | |||
 |
2024-06-04 07:53:37 | Nouvelle étude sur les voyages d\'été : près d\'un Français sur 3 est victime d\'une arnaque liée aux voyages (lien direct) | Nouvelle étude sur les voyages d'été : près d'un Français sur 3 est victime d'une arnaque liée aux voyages L'équipe McAfee Labs a identifié les 10 destinations internationales les plus " dangereuses " utilisées par les cybercriminels pour escroquer les vacanciers lors de leurs réservations en ligne Près de 22 % des victimes ont perdu 1 000€ ou plus à cause d'une arnaque lors de la réservation d'un voyage. Plus de la moitié des Français qui prévoient de voyager cette année (58 %) vont réduire leurs dépenses personnelles pour privilégier les voyages de plaisir cet été. 36 % d'entre eux affirment être plus disposés à cliquer rapidement sur une bonne affaire quand elle se présente. Bangkok, Marrakech, Lisbonne et Porto sont en tête du classement des 10 destinations les plus souvent exploitées par les cybercriminels. - Investigations | |||
|
2024-06-04 07:48:55 | Enquête: les employés de bureau britanniques ont plus peur que leur ressemblance soit utilisée dans Deepfakes que l'IA qui remplacent leur travail Survey: UK Office Workers Are More Scared of Their Likeness Being Used in Deepfakes Than AI Replacing Their Jobs (lien direct) |
Enquête: les employés de bureau britanniques ont plus peur que leur ressemblance soit utilisée dans DeepFakes que l'IA en remplacement de leur travail par Cyberark
Plus d'employés sont inquiets que leur ressemblance soit utilisée dans DeepFakes que sur la perspective de les remplacer.. 34% disent qu'ils ne pourraient pas dire si un appel téléphonique ou un e-mail de leur patron est réel ou faux.
-
rapports spéciaux
/ /
affiche
Survey: UK Office Workers Are More Scared of Their Likeness Being Used in Deepfakes Than AI Replacing Their Jobs by CyberArk More employees are worried about their likeness being used in deepfakes than they are about the prospect of AI replacing them. 78% are anxious that AI will be used to steal confidential information through digital scams. 34% say they wouldn\'t be able to tell if a phone call or email from their boss is real or fake. - Special Reports / affiche |
|||
|
2024-06-04 07:46:43 | ESET publie un rapport démontrant l\'intensification des cyberattaques liées à l\'Iran, à la Russie et à la Chine, d\'octobre 2023 à mars 2024 (lien direct) | ESET publie un rapport démontrant l'intensification des cyberattaques liées à l'Iran, à la Russie et à la Chine, d'octobre 2023 à mars 2024 Les groupes alignés sur l'Iran intensifient leurs activités depuis le début du conflit israélo-palestinien. Les groupes alignés sur la Russie se focalisent sur l'espionnage au sein de l'Union européenne. Les groupes alignés sur la Chine exploitent les vulnérabilités d'appareils publiquement accessibles sur internet. La majorité des campagnes visaient en premier lieu des organisations gouvernementales. - Malwares | |||
|
2024-06-04 07:13:32 | Sekoia.io et Filigran nouent un partenariat stratégique (lien direct) | Sekoia.io et Filigran nouent un partenariat stratégique Collaborant depuis plusieurs années à travers l'interopérabilité de leurs plateformes, les deux éditeurs français s'engagent à améliorer conjointement la connaissance sur les menaces cyber au sein des organisations pour accélérer la détection et la réponse aux incidents. - Business | Threat | ||
|
2024-06-04 07:11:17 | ManageEngine a annoncé le lancement de son authentification FIDO2 sans mot de passe et résistant au phishing pour les applications d'entreprise ManageEngine has announced the launch of its passwordless, phishing resistant FIDO2 authentication for enterprise applications (lien direct) |
RGPD, le
Cadre de cybersécurité NIST, la
PCI DSS, le
ManageEngine renforce ses offres de sécurité d'abord d'identité avec une authentification sans mot de passe et résistante au phishing
Gérer les combats de ransomwares et le vol d'identité avec son dernier lancement de l'authentification FIDO2 dans sa solution de sécurité d'identité sur site
La société renforce et protège également les points de terminaison du réseau contre les actions du système non autorisé en lançant le point de terminaison MFA dans sa plate-forme d'identité-native du cloud
Essayez gratuitement l'authentification et le point final de FIDO2 à https://mnge.it/ Fido2-auth et https://mnge.it/id-360-emfa , respectivement
CCPA et la
.En plus de répondre aux exigences réglementaires, l'adoption d'une assurance sécuritaire d'identité axée sur un marché farouchement concurrentiel.
-
revues de produits
GDPR, the NIST Cybersecurity Framework, the PCI DSS, the ManageEngine Strengthens Its Identity-First Security Offerings With Passwordless, Phishing-Resistant Authentication ManageEngine combats ransomware attacks and identity theft with its latest launch of FIDO2 authentication in its on-premises identity security solution The company also strengthens and protects network endpoints against unauthorized system actions by launching endpoint MFA in its cloud-native identity platform Try FIDO2 authentication and endpoint MFA for free at https://mnge.it/Fido2-auth and https://mnge.it/id-360-emfa, respectively CCPA and the . In addition to meeting regulatory requirements, the adoption of identity-first security insurance in a fiercely competitive market. - Product Reviews |
Ransomware | ||
|
2024-06-04 07:00:12 | Snowflake et NVIDIA développent des applications d\'IA personnalisées (lien direct) | Snowflake et NVIDIA développent des applications d'IA personnalisées pour les clients et les partenaires Cette nouvelle collaboration a pour but de réunir les meilleures applications, modèles et matériels alimentés par l'intelligence artificielle du secteur afin que les clients puissent mettre en œuvre l'IA d'entreprise dans l'ensemble de leurs activités. - Business | |||
 |
2024-06-04 07:00:00 | WifiCard.io – Une solution simple pour partager le Wifi avec vos invités (lien direct) | WifiCard.io est une solution ingénieuse pour partager facilement et en toute sécurité votre connexion wifi avec vos invités. Personnalisez vos cartes d'accès, gérez les permissions et offrez une expérience conviviale à tous. | |||
|
2024-06-04 07:00:00 | # Infosec2024: les conflits conduisent la poussée d'attaque DDOS en EMEA #Infosec2024: Conflicts Drive DDoS Attack Surge in EMEA (lien direct) |
Akamai Research a révélé que les attaques du DDOS dans l'EMEA ont dépassé l'Amérique du Nord au premier tri
Akamai research found DDoS attacks in EMEA surpassed North America in Q1 2024, with ongoing conflicts helping driving a surge of incidents in the region |
|||
 |
2024-06-04 06:11:15 | Mois de la sécurité Internet & # 8211;Renforcement des défenses numériques en 2024 Internet Safety Month – Strengthening Digital Defenses in 2024 (lien direct) |
> Nos vies sont de plus en plus tissées dans le tissu numérique.Des services bancaires en ligne aux travaux à distance, les interactions sur les réseaux sociaux au commerce électronique, Internet a révolutionné notre façon de vivre, de travailler et de jouer.Cependant, cette dépendance numérique comporte également des risques accrus.Les cyber-menaces, allant des logiciels malveillants et des attaques de phishing au vol d'identité et aux ransomwares, sont en constante évolution, ciblant & # 8230;
>Our lives are increasingly woven into the digital fabric. From online banking to remote work, social media interactions to e-commerce, the internet has revolutionized how we live, work, and play. However, this digital dependency also comes with heightened risks. Cyber threats, ranging from malware and phishing attacks to identity theft and ransomware, are ever-evolving, targeting … |
Ransomware Malware | ||
 |
2024-06-04 02:31:40 | Les chercheurs avertissent que les voitures de robot peuvent être écrasées avec du papier d'aluminium et de la peinture due au carton Researchers warn robot cars can be crashed with tinfoil and paint daubed on cardboard (lien direct) |
Utilisez la plate-forme de Baidu \\ pour montrer comment la fusion du lidar, du radar et des caméras peut être dupe par des trucs de vos enfants \\ 'artisan une équipe de chercheurs des universités proéminentes &# 8211;y compris SUNY Buffalo, Iowa State, UNC Charlotte et Purdue & # 8211;ont pu transformer un véhicule autonome (AV) fonctionnant sur la plate-forme de conduite Apollo ouverte du géant du Web chinois Baidu en une arme mortelle en trompant son système de fusion multi-capteurs, et suggérant que l'attaque pourrait être appliquée à d'autres voitures autonomes.…
Use Baidu\'s platform to show how the fusion of Lidar, radar, and cameras can be fooled by stuff from your kids\' craft box A team of researchers from prominent universities – including SUNY Buffalo, Iowa State, UNC Charlotte, and Purdue – were able to turn an autonomous vehicle (AV) operated on the open sourced Apollo driving platform from Chinese web giant Baidu into a deadly weapon by tricking its multi-sensor fusion system, and suggest the attack could be applied to other self-driving cars.… |
|||
 |
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ||
|
2024-06-03 23:30:00 | 27 juin 11h15 Webinaire Kiwi Backup - présenté par Sébastien Heitzmann : "IA et cybersécurité" (lien direct) | 27 juin 11h15 Webinaire Kiwi Backup : présenté par Sébastien Heitzmann : "IA et cybersécurité" - Événements / evenement_milieu | |||
 |
2024-06-03 21:45:11 | Les façons dont la charge de touche iOS peut être plus sécurisée Ways iOS Sideloading Can Be More Secure (lien direct) |
Les applications d'élevés de touche sont désormais possibles sur les appareils iOS, forçant Apple à ajouter certaines fonctionnalités de sécurité dans le but d'atténuer les dangers du chargement des applications inconnues.
Sideloading apps is now possible on iOS devices, forcing Apple to add some security features in an attempt to mitigate the dangers of loading unknown apps. |
|||
|
2024-06-03 21:15:33 | L'éclipse de citrouille The Pumpkin Eclipse (lien direct) |
## Instantané
Lumen Technologies \\ 'Black Lotus Labs a identifié un événement destructeur qu'ils appellent "The Pumpkin Eclipse" qui a eu lieu sur une période de 72 heures entre le 25 et le 25 octobre 2023, où plus de 600 000 bureaux / bureaux à domicile (Les routeurs SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (ISP).
## Description
L'incident a perturbé l'accès à Internet dans de nombreux États du Midwest, ce qui a un impact sur un ISP spécifique et trois modèles de routeurs: l'actionTec T3200S, l'actionTec T3260S et Sagemcom F5380.L'incident a rendu les appareils infectés en permanence inopérables et nécessitait un remplacement matériel.La charge utile principale responsable de l'événement a été identifiée comme «Chalubo», un cheval de Troie à distance à distance (rat) qui a utilisé des métiers avertis pour obscurcir son activité.
Chalubo a des charges utiles conçues pour tous les principaux noyaux SOHO / IoT, des fonctionnalités pré-construites pour effectuer des attaques DDOS et peut exécuter n'importe quel script LUA envoyé au bot.La fonctionnalité LUA a probablement été employée par l'acteur malveillant pour récupérer la charge utile destructrice.À l'heure actuelle, il n'est pas clair comment les acteurs de la menace ont initialement eu accès aux routeurs.Cependant, l'enquête a révélé que les acteurs de la menace ont probablement abusé des informations d'identification faibles ou exploité une interface administrative exposée.
Les acteurs de la menace derrière cet événement ont choisi une famille de logiciels malveillants de marchandises pour obscurcir l'attribution, au lieu d'utiliser une boîte à outils développée sur mesure.
## Les références
["Malware Botnet Bricked 600 000 routeurs en mystérieux attaque 2023"] (https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer(Consulté en 2024-06-03)
["The Pumpkin Eclipse"] (https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (consulté en 2024-06-03)
## Snapshot Lumen Technologies\' Black Lotus Labs has identified a destructive event they\'re calling "The Pumpkin Eclipse" that took place over a 72-hour period between October 25-27, 2023, where over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). ## Description The incident disrupted internet access across numerous Midwest states, impacting a specific ISP and three router models: the ActionTec T3200s, ActionTec T3260s, and Sagemcom F5380. The incident rendered the infected devices permanently inoperable and required a hardware-based replacement. The primary payload responsible for the event was identified as “Chalubo,” a commodity remote access trojan (RAT) that employed savvy tradecraft to obfuscate its activity. Chalubo has payloads designed for all major SOHO/IoT kernels, pre-built functionality to perform DDoS attacks, and can execute any Lua script sent to the bot. The Lua functionality was likely employed by the malicious actor to retrieve the destructive payload. At this time, it is unclear how the threat actors initially gained access to the routers. However, the investigation revealed that the threat actors likely abused weak credentials or exploited an exposed administrative interface. The threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit. ## References ["Malware botnet bricked 600,000 routers in mysterious 2023 attack"](https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer (Accessed 2024-06-03) ["The Pumpkin Eclipse"](https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (Accessed 2024-06-03) |
Malware Threat | ||
|
2024-06-03 21:14:11 | Partenaire Ockam et Redpanda pour lancer la plate-forme de données de streaming zéro-trust Ockam and Redpanda Partner to Launch Zero-Trust Streaming Data Platform (lien direct) |
## Instantané
Lumen Technologies \\ 'Black Lotus Labs a identifié un événement destructeur qu'ils appellent "The Pumpkin Eclipse" qui a eu lieu sur une période de 72 heures entre le 25 et le 25 octobre 2023, où plus de 600 000 bureaux / bureaux à domicile (Les routeurs SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (ISP).
## Description
L'incident a perturbé l'accès à Internet dans de nombreux États du Midwest, ce qui a un impact sur un ISP spécifique et trois modèles de routeurs: l'actionTec T3200S, l'actionTec T3260S et Sagemcom F5380.L'incident a rendu les appareils infectés en permanence inopérables et nécessitait un remplacement matériel.La charge utile principale responsable de l'événement a été identifiée comme «Chalubo», un cheval de Troie à distance à distance (rat) qui a utilisé des métiers avertis pour obscurcir son activité.
Chalubo a des charges utiles conçues pour tous les principaux noyaux SOHO / IoT, des fonctionnalités pré-construites pour effectuer des attaques DDOS et peut exécuter n'importe quel script LUA envoyé au bot.La fonctionnalité LUA a probablement été employée par l'acteur malveillant pour récupérer la charge utile destructrice.À l'heure actuelle, il n'est pas clair comment les acteurs de la menace ont initialement eu accès aux routeurs.Cependant, l'enquête a révélé que les acteurs de la menace ont probablement abusé des informations d'identification faibles ou exploité une interface administrative exposée.
Les acteurs de la menace derrière cet événement ont choisi une famille de logiciels malveillants de marchandises pour obscurcir l'attribution, au lieu d'utiliser une boîte à outils développée sur mesure.
## Les références
["Malware Botnet Bricked 600 000 routeurs en mystérieux attaque 2023"] (https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer(Consulté en 2024-06-03)
["The Pumpkin Eclipse"] (https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (consulté en 2024-06-03)
## Snapshot Lumen Technologies\' Black Lotus Labs has identified a destructive event they\'re calling "The Pumpkin Eclipse" that took place over a 72-hour period between October 25-27, 2023, where over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). ## Description The incident disrupted internet access across numerous Midwest states, impacting a specific ISP and three router models: the ActionTec T3200s, ActionTec T3260s, and Sagemcom F5380. The incident rendered the infected devices permanently inoperable and required a hardware-based replacement. The primary payload responsible for the event was identified as “Chalubo,” a commodity remote access trojan (RAT) that employed savvy tradecraft to obfuscate its activity. Chalubo has payloads designed for all major SOHO/IoT kernels, pre-built functionality to perform DDoS attacks, and can execute any Lua script sent to the bot. The Lua functionality was likely employed by the malicious actor to retrieve the destructive payload. At this time, it is unclear how the threat actors initially gained access to the routers. However, the investigation revealed that the threat actors likely abused weak credentials or exploited an exposed administrative interface. The threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit. ## References ["Malware botnet bricked 600,000 routers in mysterious 2023 attack"](https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer (Accessed 2024-06-03) ["The Pumpkin Eclipse"](https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (Accessed 2024-06-03) |
|||
|
2024-06-03 21:05:56 | Portkey annonce l'intégration des preuves de connaissances zéro pour une gestion et une sécurité d'identité améliorées Portkey Announces Integration of Zero-Knowledge Proofs for Enhanced Identity Management and Security (lien direct) |
## Instantané
Lumen Technologies \\ 'Black Lotus Labs a identifié un événement destructeur qu'ils appellent "The Pumpkin Eclipse" qui a eu lieu sur une période de 72 heures entre le 25 et le 25 octobre 2023, où plus de 600 000 bureaux / bureaux à domicile (Les routeurs SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (ISP).
## Description
L'incident a perturbé l'accès à Internet dans de nombreux États du Midwest, ce qui a un impact sur un ISP spécifique et trois modèles de routeurs: l'actionTec T3200S, l'actionTec T3260S et Sagemcom F5380.L'incident a rendu les appareils infectés en permanence inopérables et nécessitait un remplacement matériel.La charge utile principale responsable de l'événement a été identifiée comme «Chalubo», un cheval de Troie à distance à distance (rat) qui a utilisé des métiers avertis pour obscurcir son activité.
Chalubo a des charges utiles conçues pour tous les principaux noyaux SOHO / IoT, des fonctionnalités pré-construites pour effectuer des attaques DDOS et peut exécuter n'importe quel script LUA envoyé au bot.La fonctionnalité LUA a probablement été employée par l'acteur malveillant pour récupérer la charge utile destructrice.À l'heure actuelle, il n'est pas clair comment les acteurs de la menace ont initialement eu accès aux routeurs.Cependant, l'enquête a révélé que les acteurs de la menace ont probablement abusé des informations d'identification faibles ou exploité une interface administrative exposée.
Les acteurs de la menace derrière cet événement ont choisi une famille de logiciels malveillants de marchandises pour obscurcir l'attribution, au lieu d'utiliser une boîte à outils développée sur mesure.
## Les références
["Malware Botnet Bricked 600 000 routeurs en mystérieux attaque 2023"] (https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer(Consulté en 2024-06-03)
["The Pumpkin Eclipse"] (https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (consulté en 2024-06-03)
## Snapshot Lumen Technologies\' Black Lotus Labs has identified a destructive event they\'re calling "The Pumpkin Eclipse" that took place over a 72-hour period between October 25-27, 2023, where over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). ## Description The incident disrupted internet access across numerous Midwest states, impacting a specific ISP and three router models: the ActionTec T3200s, ActionTec T3260s, and Sagemcom F5380. The incident rendered the infected devices permanently inoperable and required a hardware-based replacement. The primary payload responsible for the event was identified as “Chalubo,” a commodity remote access trojan (RAT) that employed savvy tradecraft to obfuscate its activity. Chalubo has payloads designed for all major SOHO/IoT kernels, pre-built functionality to perform DDoS attacks, and can execute any Lua script sent to the bot. The Lua functionality was likely employed by the malicious actor to retrieve the destructive payload. At this time, it is unclear how the threat actors initially gained access to the routers. However, the investigation revealed that the threat actors likely abused weak credentials or exploited an exposed administrative interface. The threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit. ## References ["Malware botnet bricked 600,000 routers in mysterious 2023 attack"](https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer (Accessed 2024-06-03) ["The Pumpkin Eclipse"](https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (Accessed 2024-06-03) |
|||
|
2024-06-03 21:00:50 | ATLASSIAN Confluence High-Severity Bug permet l'exécution du code Atlassian Confluence High-Severity Bug Allows Code Execution (lien direct) |
En raison du rôle que joue le serveur Confluence dans la gestion des bases de données de documentation et de connaissances, les chercheurs recommandent à la mise à niveau des utilisateurs de patcher le CVE-2024-21683 dès que possible.
Because of the role the Confluence Server plays in managing documentation and knowledge data bases, the researchers recommend users upgrade to patch CVE-2024-21683 as soon as possible. |
|||
|
2024-06-03 20:47:50 | La Russie vise les cyber-opérations aux Jeux olympiques d'été Russia Aims Cyber Operations at Summer Olympics (lien direct) |
Comme toujours, les APT russes espèrent fomenter des troubles en attachant les divisions et les craintes sociétales existantes, cette fois autour des Jeux olympiques et de la politique de l'UE;Et, des préoccupations restent autour de la perturbation physique.
As always, Russian APTs are hoping to foment unrest by stoking existing societal divides and fears, this time around the Olympics and EU politics; and, concerns remain around physical disruption. |
|||
|
2024-06-03 19:48:34 | La chasse à Europol \\ commence pour Emotet Malware Mastermind Europol\\'s Hunt Begins for Emotet Malware Mastermind (lien direct) |
L'opération internationale des forces de l'ordre Endgame déplace sa répression pour se concentrer sur les adversaires individuels.
International law enforcement Operation Endgame shifts its crackdown to focus on individual adversaries. |
Malware Legislation | ||
|
2024-06-03 19:36:14 | Les escrocs menacent de divulguer 3b Records personnels \\ 'volé à la société de vérification des antécédents \\' Crooks threaten to leak 3B personal records \\'stolen from background check firm\\' (lien direct) |
Il s'avère que la sortie de la fin fonctionne en fait? Des milliards de dossiers détaillant les informations personnelles des personnes pourraient bientôt être larguées en ligne après avoir été obtenue auprès d'une entreprise de Floride qui gère les vérifications des antécédents et autres demandes de personnes\\ 'Informations privées.…
Turns out opting out actually works? Billions of records detailing people\'s personal information may soon be dumped online after being allegedly obtained from a Florida firm that handles background checks and other requests for folks\' private info.… |
|||
|
2024-06-03 19:30:00 | Les chercheurs découvrent un package NPM à suppression de rats ciblant les utilisateurs de Gulp Researchers Uncover RAT-Dropping npm Package Targeting Gulp Users (lien direct) |
Les chercheurs en cybersécurité ont découvert un nouveau package suspect téléchargé dans le registre des packages NPM qui a conçu pour supprimer un chevalier à distance (rat) sur des systèmes compromis.
Le package en question est GLUP-Debugger-log, qui cible les utilisateurs de la boîte à outils Gulp en se faisant passer pour un "enregistreur pour les plugins Gulp et Gulp".Il a été téléchargé 175 fois à ce jour.
Sécurité de la chaîne d'approvisionnement du logiciel
Cybersecurity researchers have uncovered a new suspicious package uploaded to the npm package registry that\'s designed to drop a remote access trojan (RAT) on compromised systems. The package in question is glup-debugger-log, which targets users of the gulp toolkit by masquerading as a "logger for gulp and gulp plugins." It has been downloaded 175 times to date. Software supply chain security |
|||
 |
2024-06-03 19:26:59 | Cyberattack on telecom giant Frontier claimed by RansomHub (lien direct) | Les chercheurs en cybersécurité ont découvert un nouveau package suspect téléchargé dans le registre des packages NPM qui a conçu pour supprimer un chevalier à distance (rat) sur des systèmes compromis.
Le package en question est GLUP-Debugger-log, qui cible les utilisateurs de la boîte à outils Gulp en se faisant passer pour un "enregistreur pour les plugins Gulp et Gulp".Il a été téléchargé 175 fois à ce jour.
Sécurité de la chaîne d'approvisionnement du logiciel
Cybersecurity researchers have uncovered a new suspicious package uploaded to the npm package registry that\'s designed to drop a remote access trojan (RAT) on compromised systems. The package in question is glup-debugger-log, which targets users of the gulp toolkit by masquerading as a "logger for gulp and gulp plugins." It has been downloaded 175 times to date. Software supply chain security |
|||
|
2024-06-03 19:15:00 | Les autorités augmentent les efforts pour capturer le cerveau derrière Emotet Authorities Ramp Up Efforts to Capture the Mastermind Behind Emotet (lien direct) |
Les autorités de l'application des lois derrière l'Opération Endgame recherchent des informations liées à une personne qui porte le nom impair et qui serait le cerveau derrière le malware Emotet. & NBSP;
On dit également que Odd est censé passer par les surnoms Aron, C700, CBD748, Ivanov Odd, Mors, Morse, Veron au cours des dernières années, selon une vidéo publiée par les agences.
"Avec qui travaille-t-il? Quel est le sien
Law enforcement authorities behind Operation Endgame are seeking information related to an individual who goes by the name Odd and is allegedly the mastermind behind the Emotet malware. Odd is also said to go by the nicknames Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron over the past few years, according to a video released by the agencies. "Who is he working with? What is his |
Malware Legislation | ||
|
2024-06-03 18:58:29 | Vigilance Alertes Vulnérabilités - IBM WebSphere Application Server Liberty : surcharge via Request, analysé le 03/04/2024 (lien direct) | Un attaquant peut provoquer une surcharge de IBM WebSphere Application Server Liberty, via Request, afin de mener un déni de service.
-
Vulnérabilités
Un attaquant peut provoquer une surcharge de IBM WebSphere Application Server Liberty, via Request, afin de mener un déni de service. - Vulnérabilités |
|||
|
2024-06-03 18:58:29 | Alertes de vulnérabilité de vigilance - IBM WebSphere Application Server Liberty: surcharge via la demande, analysée le 03/04/2024 Vigilance Vulnerability Alerts - IBM WebSphere Application Server Liberty: overload via Request, analyzed on 03/04/2024 (lien direct) |
Un attaquant peut déclencher une surcharge d'IBM WebSphere Application Server Liberty, via la demande, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can trigger an overload of IBM WebSphere Application Server Liberty, via Request, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ||
 |
2024-06-03 17:33:35 | Les nouveaux directives de la NSA abordent la visibilité et l'analyse du pilier de la mise en œuvre de la confiance zéro pour une atténuation améliorée des risques New NSA guidance addresses visibility and analytics pillar of zero trust implementation for enhanced risk mitigation (lien direct) |
La U.S.National Security Agency (NSA) a publié une fiche d'information sur la cybersécurité (CSI) qui détaille l'infrastructure, les outils, les données, ...
The U.S. National Security Agency (NSA) published a Cybersecurity Information Sheet (CSI) that details the infrastructure, tools, data,... |
Tool | ||
|
2024-06-03 17:28:06 | Les opérations du groupe insikt de Future \\ de Future ont enregistré par Bledelta Malware ciblant les réseaux européens Recorded Future\\'s Insikt Group details operations by BlueDelta malware targeting European networks (lien direct) |
Enregistré Future \'s Insikt Group de surveillance détaillée du développement d'une infrastructure opérationnelle par des logiciels malveillants Bledelta qui ont été utilisés pour ...
Recorded Future\'s Insikt Group detailed monitoring development of operational infrastructure by BlueDelta malware that has been utilized for... |
Malware | ||
|
2024-06-03 17:24:17 | Le parti au pouvoir de la Hongrie saute la session parlementaire sur la cyberattaque russe contestée Hungary\\'s ruling party skips parliamentary session on disputed Russian cyberattack (lien direct) |
Enregistré Future \'s Insikt Group de surveillance détaillée du développement d'une infrastructure opérationnelle par des logiciels malveillants Bledelta qui ont été utilisés pour ...
Recorded Future\'s Insikt Group detailed monitoring development of operational infrastructure by BlueDelta malware that has been utilized for... |
|||
|
2024-06-03 17:22:54 | Perception du réseau débute à rapporter comme une offre de services pour rationaliser NERC CIP, Documentation TSA Evidence Network Perception debuts Reporting as a Service offering to streamline NERC CIP, TSA evidence documentation (lien direct) |
Perception du réseau introduit lundi une solution de rapports en tant que service (RAAS) qui utilise la plate-forme NP-View pour ...
Network Perception introduced on Monday a Reporting as a Service (RaaS) solution that utilizes the NP-View Platform for... |
|||
|
2024-06-03 17:20:05 | Ticketmaster confirme la violation du cloud, au milieu des détails troubles Ticketmaster Confirms Cloud Breach, Amid Murky Details (lien direct) |
Ticketmaster Parent Live Nation a déposé une notification volontaire de violation des données de la SEC, tandis que l'un de ses fournisseurs de cloud, Snowflake, a également confirmé la cyberactivité ciblée contre certains de ses clients.
Ticketmaster parent Live Nation has filed a voluntary SEC data breach notification, while one of its cloud providers, Snowflake, also confirmed targeted cyberactivity against some of its customers. |
Data Breach Cloud | ||
 |
2024-06-03 16:46:15 | Les plugins WordPress populaires laissent des millions ouverts aux attaques de porte dérobée Popular WordPress Plugins Leave Millions Open to Backdoor Attacks (lien direct) |
Les chercheurs rapidement découvrent des attaques XSS stockées non authentifiées qui affligeaient les plugins WordPress, y compris WP Meta SEO, et le populaire WP & # 8230;
Fastly researchers discover unauthenticated stored XSS attacks plaguing WordPress Plugins including WP Meta SEO, and the popular WP… |
|||
|
2024-06-03 16:36:25 | Nommez ce bord toon: zonked sorti Name That Edge Toon: Zonked Out (lien direct) |
Vous vous sentez créatif?Soumettez votre légende et notre panel d'experts récompensera le gagnant avec une carte-cadeau Amazon de 25 $.
Feeling creative? Submit your caption and our panel of experts will reward the winner with a $25 Amazon gift card. |
|||
|
2024-06-03 16:26:00 | Rapport sur la menace SASE: 8 conclusions clés pour la sécurité des entreprises SASE Threat Report: 8 Key Findings for Enterprise Security (lien direct) |
Les acteurs de la menace évoluent, mais l'intelligence cyber-menace (CTI) reste confinée à chaque solution ponctuelle isolée.Les organisations ont besoin d'une analyse holistique à travers les données externes, les menaces entrantes et sortantes et l'activité du réseau.Cela permettra d'évaluer le véritable état de cybersécurité dans l'entreprise.
Le laboratoire de recherche sur le cyber-menace de Cato \\ (Cato Ctrl, voir plus de détails ci-dessous) a récemment publié
Threat actors are evolving, yet Cyber Threat Intelligence (CTI) remains confined to each isolated point solution. Organizations require a holistic analysis across external data, inbound and outbound threats and network activity. This will enable evaluating the true state of cybersecurity in the enterprise. Cato\'s Cyber Threat Research Lab (Cato CTRL, see more details below) has recently released |
Threat | ||
 |
2024-06-03 16:25:00 | Kaspersky a publié un outil de suppression de virus linux libre - mais est-ce nécessaire? Kaspersky released a free Linux virus removal tool - but is it necessary? (lien direct) |
Préoccupé par les virus sur votre ordinateur Linux?J'ai testé le nouvel outil de suppression du virus de Kaspersky \\ pour Linux.Voici ce que vous devez savoir.
Concerned about viruses on your Linux computer? I tested Kaspersky\'s new Virus Removal Tool for Linux. Here\'s what you need to know about it. |
Tool | ||
|
2024-06-03 16:05:46 | Les meilleurs trackers Bluetooth de 2024: expert testé The best Bluetooth trackers of 2024: Expert tested (lien direct) |
Nous avons testé les meilleurs trackers Bluetooth (y compris les aéragères et les trackers de carreaux) pour garder un œil sur vos effets personnels, que vous utilisiez iOS ou Android.
We tested the best Bluetooth trackers (including AirTags and Tile trackers) to keep tabs on your belongings, whether you use iOS or Android. |
Mobile | ||
|
2024-06-03 15:50:00 | Le chercheur découvre les défauts des modems COX, ce qui a un impact sur des millions Researcher Uncovers Flaws in Cox Modems, Potentially Impacting Millions (lien direct) |
Les problèmes de contournement de l'autorisation désormais réglés ont un impact sur les modems COX qui auraient pu être maltraités comme point de départ pour obtenir un accès non autorisé aux appareils et exécuter des commandes malveillantes.
"Cette série de vulnérabilités a démontré un moyen par lequel un attaquant entièrement externe sans aucune condition préalable pouvait \\ 'a exécuté des commandes et modifié les paramètres de millions de modes, accéder à n'importe quel client commercial \' s.
Now-patched authorization bypass issues impacting Cox modems that could have been abused as a starting point to gain unauthorized access to the devices and run malicious commands. "This series of vulnerabilities demonstrated a way in which a fully external attacker with no prerequisites could\'ve executed commands and modified the settings of millions of modems, accessed any business customer\'s |
Vulnerability | ||
 |
2024-06-03 15:47:47 | 361 millions de comptes volés divulgués sur le télégramme ajouté à HIBP 361 million stolen accounts leaked on Telegram added to HIBP (lien direct) |
Une trate massive de 361 millions d'adresses e-mail à partir des informations d'identification volées par des logiciels malveillants de voler des mots de passe, dans des attaques de bourrage d'identification, et à partir de violations de données a été ajoutée à la notification de violation de données sur les données, permettant à quiconque de vérifier si leurs comptes ont été compromis.[...]
A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised. [...] |
Data Breach Malware | ||
|
2024-06-03 15:43:55 | Live Nation confirme la violation de Ticketmaster après les pirates Hawk volés des informations de 560 millions Live Nation confirms Ticketmaster breach after hackers hawk stolen info of 560 million (lien direct) |
Une trate massive de 361 millions d'adresses e-mail à partir des informations d'identification volées par des logiciels malveillants de voler des mots de passe, dans des attaques de bourrage d'identification, et à partir de violations de données a été ajoutée à la notification de violation de données sur les données, permettant à quiconque de vérifier si leurs comptes ont été compromis.[...]
A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised. [...] |
|||
 |
2024-06-03 15:30:28 | Forrester nomme Palo Alto Networks un leader de XDR Forrester Names Palo Alto Networks a Leader in XDR (lien direct) |
> Palo Alto Networks a été nommé leader dans les plates-formes de détection et de réponse étendues de Forrester pour Cortex Xdr.
>Palo Alto Networks was named a leader in extended detection and response platforms by Forrester for Cortex XDR. |
Commercial | ||
 |
2024-06-03 15:00:00 | Menace Unleashed: Excel File déploie la grève de Cobalt à l'Ukraine Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) |
Fortiguard Labs a récemment identifié une cyberattaque sophistiquée impliquant un fichier Excel intégré à une macro VBA conçue pour déployer un fichier DLL.Apprendre encore plus.
FortiGuard Labs has recently identified a sophisticated cyberattack involving an Excel file embedded with a VBA macro designed to deploy a DLL file. Learn more. |
|||
|
2024-06-03 14:45:00 | Les ransomwares augmentent malgré les démontages des forces de l'ordre Ransomware Rises Despite Law Enforcement Takedowns (lien direct) |
L'activité des ransomwares a augmenté en 2023, en partie alimentée par de nouveaux groupes et des partenariats entre les groupes, Mandiant a observé
Ransomware activity rose in 2023, partly fueled by new groups and partnerships between groups, Mandiant has observed |
Ransomware Legislation | ||
 |
2024-06-03 14:31:39 | Quoi considérer lors de l'évaluation de l'EDR What to consider when evaluating EDR (lien direct) |
Notre nouveau guide d'évaluation éduque les professionnels de la sécurité sur ce qu'ils devraient rechercher dans une plateforme de détection et de réponse (EDR) (EDR)
Our new evaluation guide educates security professionals on what they should look for in an endpoint detection and response (EDR) platform |
|||
 |
2024-06-03 14:24:32 | Migration Cloud : comment Back Market est passé d\'AWS à Google Cloud (lien direct) | Back Market a finalisé le gros de sa migration vers Google Cloud, après quasiment dix ans chez AWS. Retour d'expérience. | Cloud | ||
 |
2024-06-03 14:05:06 | Comment rester en sécurité contre les escroqueries en voyageant How to Stay Safe Against Scams While Traveling (lien direct) |
> 
Après une année de voyage tourbillonnante en 2023, 40% des Américains se préparent pour encore plus d'aventures en 2024 ....
> 
Following a whirlwind year of travel in 2023, 40% of Americans are gearing up for even more adventures in 2024....
|
|||
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ||
|
2024-06-03 14:00:14 | Le principal parti d'opposition de l'Allemagne a été frappé par \\ 'Serious \\' Cyberattack Germany\\'s main opposition party hit by \\'serious\\' cyberattack (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos |
To see everything:
