What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
DarkReading.webp 2024-05-02 18:05:03 Dropbox Breach expose les informations d'identification des clients, les données d'authentification
Dropbox Breach Exposes Customer Credentials, Authentication Data (lien direct)		 L'acteur de menace est passé dans l'environnement de production de signes Dropbox et a accédé aux e-mails, aux mots de passe et autres PII, ainsi qu'aux informations API, OAuth et MFA.
Threat actor dropped in to Dropbox Sign production environment and accessed emails, passwords, and other PII, along with APIs, OAuth, and MFA info.		 Threat ★★
The_Hackers_News.webp 2024-05-02 15:49:00 Dropbox révèle la violation du service de signature numérique affectant tous les utilisateurs
Dropbox Discloses Breach of Digital Signature Service Affecting All Users (lien direct)		 Le fournisseur de services de stockage cloud Dropbox & nbsp; mercredi divulgué & nbsp; que le panneau Dropbox (anciennement Hellosign) a été violé par des acteurs de menace non identifiés, qui & nbsp; accédé les courriels, les noms d'utilisateur et les paramètres de compte général associés à tous les utilisateurs du produit de signature numérique. La société, dans & nbsp; un dépôt auprès de la Securities and Exchange Commission des États-Unis, a déclaré qu'elle avait pris connaissance du "
Cloud storage services provider Dropbox on Wednesday disclosed that Dropbox Sign (formerly HelloSign) was breached by unidentified threat actors, who accessed emails, usernames, and general account settings associated with all users of the digital signature product. The company, in a filing with the U.S. Securities and Exchange Commission (SEC), said it became aware of the "		 Threat Cloud ★★★
WiredThreatLevel.webp 2024-05-02 15:24:21 La violation d'une entreprise de reconnaissance faciale révèle un danger caché de biométrie
The Breach of a Face Recognition Firm Reveals a Hidden Danger of Biometrics (lien direct)		 Outabox, une entreprise australienne qui a scanné des visages pour les bars et les clubs, a subi une violation qui montre les problèmes de don de donner aux entreprises vos données biométriques.
Outabox, an Australian firm that scanned faces for bars and clubs, suffered a breach that shows the problems with giving companies your biometric data.		 Threat ★★★★
IndustrialCyber.webp 2024-05-02 12:18:16 Les agences mondiales de cybersécurité émettent une alerte sur la menace des systèmes OT d'activité hacktiviste pro-russe
Global cybersecurity agencies issue alert on threat to OT systems from pro-Russia hacktivist activity (lien direct)		 > Les agences mondiales de cybersécurité émettent une alerte critique concernant la menace immédiate pour les systèmes de technologie opérationnelle (OT) posés par ...
>Global cybersecurity agencies issue a critical alert regarding the immediate threat to operational technology (OT) systems posed by... 		Threat Industrial ★★★★
Blog.webp 2024-05-02 11:03:00 Podcast Spotlight: comment l'IA est de remodeler le paysage cyber-menace
Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape (lien direct)		 L'animateur Paul Roberts parle avec Jim Broome, le CTO et président de DirectDefense sur l'évolution des menaces de cybersécurité et comment les technologies comme l'IA remodeler le paysage de la cybersécurité et le travail des défenseurs et des prestataires de services de sécurité gérés (MSSP). Le post Cliquez sur l'icône ci-dessous pour écouter.
Host Paul Roberts speaks with Jim Broome, the CTO and President of DirectDefense about the evolution of cybersecurity threats and how technologies like AI are reshaping the cybersecurity landscape and the work of defenders and Managed Security Service Providers (MSSPs). The post Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape...Read the whole entry... »Click the icon below to listen. 		Threat ★★
The_State_of_Security.webp 2024-05-02 03:20:36 Cybersécurité: la bataille des esprits
Cybersecurity: The Battle of Wits (lien direct)		 Avec la cybersécurité, les champs de bataille numériques s'étendent sur la vaste étendue d'Internet.D'un côté, nous avons des adversaires de plus en plus sophistiqués et rusés.De l'autre, des praticiens de cybersécurité qualifiés qui sont désespérés de protéger à tout prix leurs entreprises.Une vérité fondamentale sonne claire: c'est une bataille d'esprit continue et implacable.Tout comme les mercenaires modernes, les mauvais acteurs sont armés d'un arsenal d'outils et de menaces sophistiqués, à la recherche continue de tout bink dans l'armure de sécurité à exploiter.Leurs objectifs vont du gain financier et de la fraude ...
With cybersecurity, the digital battlegrounds stretch across the vast expanse of the internet. On the one side, we have increasingly sophisticated and cunning adversaries. On the other, skilled cybersecurity practitioners who are desperate to protect their companies\' assets at all costs. One fundamental truth rings clear: it\'s an ongoing and relentless battle of wits. Much like modern-day mercenaries, bad actors are armed with an arsenal of sophisticated tools and threats , continually looking for any chinks in the security armor to exploit. Their objectives range from financial gain and fraud...		 Tool Threat ★★
TechWorm.webp 2024-05-01 23:25:26 Les logiciels malveillants ciblent les routeurs pour voler les mots de passe des demandes Web
Malware Targets Routers To Steal Passwords From Web Requests (lien direct)		 Les chercheurs ont récemment suivi un nouveau malware, "Sweetfish", qui cible les équipements de mise en réseau, en particulier les petits routeurs de bureau / bureau à domicile (SOHO), pour voler le matériel d'authentification trouvé dans les demandes Web qui transitent le routeur de la locale adjacenteréseau régional (LAN). Lumen Technologies & # 8217;Black Lotus Labs, qui a examiné les logiciels malveillants, a déclaré que la seiche crée un tunnel proxy ou VPN via un routeur compromis pour exfiltrer les données en contournant l'analyse basée sur la connexion anormale, puis utilise des informations d'identification volées pour accéder aux ressources ciblées. Le malware a également la capacité d'effectuer un détournement HTTP et DNS pour les connexions aux adresses IP privées, qui sont normalement associées aux communications dans un réseau interne. Les chercheurs déclarent que la plate-forme de logiciels malveillants de secteur offre une approche zéro clique pour capturer les données des utilisateurs et des appareils derrière le bord du réseau ciblé. «Toutes les données envoyées sur les équipements réseau infiltrés par ce malware sont potentiellement exposés.Ce qui rend cette famille de logiciels malveillants si insidie-the-cuttlefish-malware / "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> avertir dans un article de blog . «La seiche est en attente, reniflant passivement les paquets, n'agissant que lorsqu'il est déclenché par un ensemble de règles prédéfini.Le renifleur de paquets utilisé par la seiche a été conçu pour acquérir du matériel d'authentification, en mettant l'accent sur les services publics basés sur le cloud. » Malware Threat Cloud Technical APT 32 ★★★★
PaloAlto.webp 2024-05-01 21:59:02 Impacts offensants et défensifs de l'Ai \\
AI\\'s Offensive & Defensive Impacts (lien direct)		 Michael Sikorski, qui dirige les renseignements et l'ingénierie des menaces, partage des prédictions sur les implications à proximité et à long terme de l'AI \\ pour les cyberattaques et la défense.
Michael Sikorski, who leads Threat Intelligence and Engineering, shares predictions on AI\'s near and long-term implications for cyberattacks and defense. 		Threat ★★
RiskIQ.webp 2024-05-01 20:56:45 La campagne de logiciels malveillants tente la maltraitance des binaires de sophos
Malware Campaign Attempts Abuse of Sophos Binaries (lien direct)		 ## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées Ransomware Malware Tool Threat ★★
TechWorm.webp 2024-05-01 20:17:03 Google augmente la prime jusqu'à 450 000 $ pour les bogues RCE dans certaines applications Android
Google Increases Bounty Up To $450,000 For RCE Bugs In Some Android Apps (lien direct)		 Google propose désormais une prime allant jusqu'à 450 000 $ pour signaler les vulnérabilités d'exécution du code distant (RCE) dans certaines applications Android. Pour ceux qui ne le savent pas, RCE est une cyberattaque par laquelle un attaquant peut exécuter à distance du code malveillant sur un ordinateur cible, peu importe où il est situé, afin de déployer des logiciels malveillants supplémentaires ou de voler des données sensibles. Auparavant, la récompense pour la déclaration des vulnérabilités RCE dans l'application de niveau 1 était de 30 000 $, ce qui a maintenant augmenté jusqu'à 10 fois à 300 000 $ Ces modifications ont été apportées au programme de récompenses de vulnérabilité mobile (Mobile VRP) lancée en 2023, qui se concentre sur les applications Android de premier parti développées ou entretenues par Google. L'objectif de ce programme est «d'atténuer les vulnérabilités dans les applications Android de première partie, et ainsi protéger les utilisateurs et leurs données» en «reconnaissant les contributions et le travail acharné des chercheurs qui aident Google à améliorer la posture de sécurité de notre premier-des applications Android de fête. » Depuis le lancement du VRP mobile, Google a reçu plus de 40 rapports de bogues de sécurité valides, pour lesquels il a payé près de 100 000 $ en récompenses aux chercheurs en sécurité. En arrivant au niveau 1, la liste des applications dans SCOPE comprend Google Play Services, l'Android Google Search App (AGSA), Google Cloud et Gmail. Google souhaite désormais également que les chercheurs en sécurité accordent une attention particulière aux défauts qui pourraient conduire au vol de données sensibles.Pour les exploits qui nécessitent une interaction à distance ou sans utilisateur, les chercheurs seraient payés 75 000 $ De plus, le géant de la technologie paiera 1,5 fois le montant total de récompense pour des rapports de qualité exceptionnels qui incluent un patch proposé ou une atténuation efficace de la vulnérabilité, ainsi qu'une analyse de cause profonde qui aide à trouver d'autres variantes similaires du problème.Cela permettrait aux chercheurs de gagner jusqu'à 450 000 $ pour un exploit RCE dans une application Android de niveau 1 Cependant, les chercheurs obtiendraient la moitié de la récompense des rapports de bogues de faible qualité que ne fournissent pas: Une description précise et détaillée du problème Un exploit de preuve de concept Un exemple d'application sous la forme d'un apk Une explication étape par étape de la façon de reproduire la vulnérabilité de manière fiable Une analyse claire et une démonstration de l'impact de la vulnérabilité Catégorie 1) Remote / pas d'interaction utilisateur 2) L'utilisateur doit suivre un lien qui exploite l'application vulnérable 3) L'utilisateur doit installer une application malveillante ou une application de victime est configurée de manière non défaut 4) L'attaquant doit être sur le même réseau (par exemple MITM) a) Exécution de code arbitraire 300 000 $ 150 000 $ 15 000 $ 9 000 $ b) Vol de données sensibles * 75 000 $ 37 500 $ 9 000 $ 6 000 $ c) Autres vulnérabilités 24 000 $ 9 000 $ 4 500 $ 2 400 $ & nbsp; «Quelques modifications supplémentaires et plus petites ont également été apportées à nos règles.Par exemple, le modificateur 2x pour les SDK est désormais cuit dans les récompenses régulières.Cela devrait augmenter les récompenses globales et rendre les décisions de panel plus faciles », a déclaré l'ingénieur de la sécuri Malware Vulnerability Threat Mobile Cloud ★★
RiskIQ.webp 2024-05-01 19:46:49 Attaque "Stream Dirty": découvrir et atténuer un modèle de vulnérabilité commun dans les applications Android
“Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps (lien direct)		 ## Snapshot Microsoft discovered a path traversal-affiliated vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application\'s home directory. The implications of this vulnerability pattern include arbitrary code execution and token theft, depending on an application\'s implementation. Arbitrary code execution can provide a threat actor with full control over an application\'s behavior. Meanwhile, token theft can provide a threat actor with access to the user\'s accounts and sensitive data.   We identified several vulnerable applications in the Google Play Store that represented over four billion installations. We anticipate that the vulnerability pattern could be found in other applications. We\'re sharing this research so developers and publishers can check their apps for similar issues, fix as appropriate, and prevent introducing such vulnerabilities into new apps or releases. As threats across all platforms continue to evolve, industry collaboration among security researchers, security vendors, and the broader security community is essential in improving security for all. Microsoft remains committed to working with the security community to share vulnerability discoveries and threat intelligence to protect users across platforms.  After discovering this issue, we identified several vulnerable applications. As part of our responsible disclosure policy, we notified application developers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) and worked with them to address the issue. We would like to thank the Xiaomi, Inc. and WPS Office security teams for investigating and fixing the issue. As of February 2024, fixes have been deployed for the aforementioned apps, and users are advised to keep their device and installed applications up to date.  Recognizing that more applications could be affected, we acted to increase developer awareness of the issue by collaborating with Google to publish an article on the Android Developers website, providing guidance in a high-visibility location to help developers avoid introducing this vulnerability pattern into their applications. We also wish to thank Google\'s Android Application Security Research team for their partnership in resolving this issue.   In this post, we continue to raise developer and user awareness by giving a general overview of the vulnerability pattern, and then focusing on Android share targets, as they are the most prone to these types of attacks. We go through an actual code execution case study where we demonstrate impact that extends beyond the mobile device\'s scope and could even affect a local network. Finally, we provide guidance to users and application developers and illustrate the importance of collaboration to improve security for all. ## Activity Overview ### Data and file sharing on Android  The Android operating system enforces isolation by assigning each application its own dedicated data and memory space. To facilitate data and file sharing, Android provides a component called a content provider, which acts as an interface for managing and exposing data to the rest of the installed applications in a secure manner. When used correctly, a content provider provides a reliable solution. However, improper implementation can introduce vulnerabilities that could enable bypassing of read/write restrictions within an application\'s home directory.  The Android software development kit (SDK) includes the [FileProvider](https://developer.android.com/reference/androidx/core/content/FileProvider) class, a subclass of ContentProvider that enables file sharing between installed applications. An application that needs to share its files with other applications can declare a FileProvider in its app manifest and declare the specific paths to share.  Every file provider has a property called authority, which identifies it system-wide, and can b Tool Vulnerability Threat Studies Mobile Technical ★★★
RiskIQ.webp 2024-05-01 19:01:06 Muddywater Campaign abuse d'agents Atera
MuddyWater Campaign Abusing Atera Agents (lien direct)		 #### Targeted Geolocations - Israel - India - Algeria - Italy - Egypt - Türkiye #### Targeted Industries - Transportation Systems - Aviation - Information Technology - Healthcare & Public Health - Government Agencies & Services - General Public Services - Federal ## Snapshot Researchers at HarfangLab have been monitoring a campaign by Iran-based threat group MuddyWater, tracked by Microsoft as [Mango Sandstorm](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340), characterized by the use of Remote Monitoring and Management (RMM) tools.  Microsoft tracks this actor as Mango Sandstorm, [read more about them here](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340). ## Description According to HarfangLab, MuddyWater has been utilizing legitimate RMM software in its attacks since at least 2021, but has been monitoring this campaign using Atera Agent since October 2023. Leveraging Atera\'s free trial offers, the agents seen in this campaign have been registered using both compromised enterprise and personal email accounts.  The infection chain in this campaign begins with the deployment of spearphishing emails. These emails are highly tailored to the victim organization and contain malicious attachments or links. Upon interaction, MuddyWater leverages free file sharing sites to host the RMM software, in this case Atera Agent, giving the group remote access and control over compromised systems. The group likely does not rely on the Subsequently, the group is able to execute commands, conduct reconnaissance, and move laterally across the network facilitating the deployment of additional malware payloads enabling the group to maintain persistence and exfiltrate sensitive data.  ## Microsoft Analysis Microsoft Threat Intelligence has identified that this campaign is likely attributed to the actor Microsoft tracks as Mango Sandstorm, an Iranian nation-state actor with ties to Iran\'s Ministry of Intelligence and Security (MOIS).  In past operations, Mango Sandstorm has primarily, but not exclusively, sought to collect information assessed to have strategic value, typically from organizations in the aviation, education, defense, energy, government, and telecommunications sectors in the Middle East and North Africa.  Mango Sandstorm tends to favor spearphishing attacks. In this and prior campaigns, the group has been observed using commercial RMM tools to achieve persistence in a target environment. Mango Sandstorm has been identified attempting to deliver Atera, SimpleHelp, RPort, N-able Advanced Monitoring Agent, Splashtop, Syncro, and AnyConnect.  ## Detections As tools used in these types of campaigns might have legitimate uses, they are not typically detected as malicious, and proactive hunting is recommended. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of activity associated with Mango Sandstorm\'s operations.   - Use the Attack Simulator in Microsoft Defender for Office 365 to organize realistic, yet safe, simulated phishing and password attack campaigns in your organization by training end users against clicking URLs in unsolicited messages and disclosing their credentials. Training should include checking for poor spelling and grammar in phishing emails or the application\'s consent screen as well as spoofed app names, logos and domain URLs appearing to originate from legitimate applications or companies. Note: Attack Simulator testing currently only supports phishing emails containing links. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that contain exploits and host malware. - Harden internet-facing assets and identify and se Malware Tool Threat Medical Commercial ★★★
knowbe4.webp 2024-05-01 17:57:24 Les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels avec des entretiens d'embauche de faux
North Korean Threat Actors Target Software Developers With Phony Job Interviews (lien direct)
North Korean Threat Actors Target Software Developers With Phony Job Interviews 		Threat ★★
Blog.webp 2024-05-01 17:16:01 Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine
Muddling Meerkat Group Suspected of Espionage via Great Firewall of China (lien direct)		 > Par deeba ahmed découvre le "Mouddling Meerkat", un acteur de menace lié à la Chine manipulant le DNS.InfoBlox Research révèle un groupe sophistiqué avec une expertise DNS profonde et des liens potentiels avec le grand pare-feu.Apprenez leurs tactiques et comment rester protégés. Ceci est un article de HackRead.com Lire le post original: Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine
>By Deeba Ahmed Uncover the "Muddling Meerkat," a China-linked threat actor manipulating the DNS. Infoblox research reveals a sophisticated group with deep DNS expertise and potential ties to the Great Firewall. Learn their tactics and how to stay protected. This is a post from HackRead.com Read the original post: Muddling Meerkat Group Suspected of Espionage via Great Firewall of China		 Threat ★★★
globalsecuritymag.webp 2024-05-01 17:11:23 Nord Security présente Nordstellar
Nord Security introduces NordStellar (lien direct)		 Les créateurs de NordVPN lance Nordstellar, une nouvelle plateforme de gestion de l'exposition aux menaces pour les entreprises ● Nordstellar permet aux entreprises de réduire les temps de détection des fuites de données et de minimiser les risques pour une organisation ● Pendant plusieurs années, la plate-forme a été utilisée et testée comme un outil interne, désormais mis à la disposition du public ● C'est la troisième solution B2B par Nord Security, y compris un gestionnaire de mots de passe pour les entreprises - Nordpass, et une solution de sécurité d'accès au réseau - Nordlayer ● Cette année, la société a également lancé Saily - un service ESIM - revues de produits
The creators of NordVPN launches NordStellar, a new threat exposure management platform for businesses ● NordStellar allows companies to cut down on data leak detection times and minimize risk to an organization ● For several years, the platform was used and tested as an internal tool, now made available to the public ● It\'s the third B2B solution by Nord Security, including a password manager for businesses - NordPass, and a network access security solution - NordLayer ● This year, the company also launched Saily - an eSIM service - Product Reviews		 Tool Threat ★★
Checkpoint.webp 2024-05-01 13:00:45 Prolonger la protection des sases au navigateur
Extending SASE Protection Into the Browser (lien direct)		 > Si vous souhaitez protéger vos travailleurs distants, l'un des meilleurs endroits pour démarrer est le navigateur Web.C'est le portail principal vers notre journée de travail pour accéder à tout, des fichiers aux applications SaaS ou simplement à parcourir le Web.C'est pourquoi nous avons récemment ajouté une protection significative de navigateur à l'accès à l'harmonie sur Internet.Que vous cherchiez à empêcher les attaques de phishing, la réutilisation des mots de passe d'entreprise ou des fuites numériques, nous vous sommes couverts.Soutenu par ThreatCloud AI, la technologie de prévention des menaces de Check Point \\, la sécurité du navigateur d'accès Internet, la sécurité des navigateurs améliore la sécurité de votre main-d'œuvre à distance et à bureau.Fonctionnalités principales de sécurité du navigateur Prise en charge de la sécurité du navigateur [& # 8230;]
>If you want to protect your remote workers one of the best places to start is the web browser. It\'s the primary portal to our workday for accessing everything from files to SaaS applications or just browsing the web. That\'s why we recently added significant browser protection to Harmony SASE Internet Access. Whether you\'re looking to prevent phishing attacks, reuse of corporate passwords, or digital leaks, we\'ve got you covered. Backed by ThreatCloud AI, Check Point\'s industry-leading threat prevention technology, Internet Access Browser Security improves the security of your remote and in-office workforce. Browser Security Main Features Browser Security supports […] 		Threat Cloud ★★★
AlienVault.webp 2024-05-01 10:00:00 Histoires du SOC & # 8211;Combattre les escroqueries «alertes de sécurité»
Stories from the SOC – Combating “Security Alert” Scams (lien direct)		 Executive Summary The “Security Alert” scam is a prevalent tech-support fraud that threatens both Windows and Apple users. It exploits the trust of users by masquerading as an official support site, using fake pop-up warnings to lure users into dialing scam phone numbers by conveying a sense of urgency. The ultimate goal is gaining remote access to the user’s system and pilfering personal data to extort money. Combating a “Security Alert” scam is difficult on many fronts because most of the time attackers leverage newly registered domains, which means there is a lack of malicious OSINT (open-source intelligence), and they are able to bypass traditional detection methods. To gain remote access, attackers need the end user to call into a fraudulent support team to install a Remote Desktop Protocol (RDP) tool. An endpoint detection and response (EDR) tool might not catch the initial intrusion as such tools are also used for legitimate business reasons. The most successful way to combat phishing/scams is by end-user education and communication with the IT department. In a recent incident, a fake “Microsoft Security Alert” domain targeted one of our Managed Endpoint Security with SentinelOne customers, causing alarm for the end users and IT staff, but fortunately, the end user did not fall into the trap of calling the fraudulent number. The customer immediately contacted their assigned Threat Hunter for support and guidance, and the Threat Hunter was able to quickly utilize the security measures in place, locate multiple domains, and report them to the Alien Labs threat intelligence team. AT&T Cybersecurity was one of the first cybersecurity companies to alert on the domains and share the information via the Open Threat Exchange (OTX) threat intelligence sharing community, helping other organizations protect against it. Investigation Initial Alarm Review Indicators of Compromise (IOCs) The initial security layers failed to raise alarms for several reasons. First, the firewalls did not block the domain because it was newly registered and therefore not yet on any known block lists. Second, the platform did not create any alarms because the domain’s SSL certificates were properly configured. Finally, the EDR tool did not alert because no downloads were initiated from the website. The first indication of an issue came from an end user who feared a hack and reported it to the internal IT team. Utilizing the information provided by the end user, the Threat Hunter was able to locate the user\'s asset. Sniffing the URL data revealed a deceptive “Microsoft Security Alert” domain and a counterfeit McAfee website. These were detected largely because of improvements recommended during the customer\'s monthly meetings with the Threat Hunter, including a recommendation to activate the SentinelOne Deep Visibility browser extension, which is the tool that was instrumental in capturing URL information with greater accuracy after all the redirects. fake support page Figure I – Fake Microsoft Support page fake Mcafee page Figure 2 – Fake McAfee page Artifact (Indicator of Compromise) IOC Fake McAfee Page bavareafastrak[.]org Website Hosting Scam Pages Galaxytracke[.]com Zip file hash Tizer.zip - 43fb8fb69d5cbb8d8651af075059a8d96735a0d5 Figure 3 – Indicators of compromise Expanded Investigation Events Search With the understanding that the e Hack Tool Threat ★★
RiskIQ.webp 2024-05-01 01:13:37 Les acteurs de la menace nord-coréenne utilisent de faux entretiens d'embauche pour cibler les développeurs
North Korean Threat Actors Use Fake Job Interviews to Target Developers (lien direct)		 #### Industries ciblées - Informatique ## Instantané L'équipe de recherche sur les menaces de Securonix a surveillé une nouvelle campagne d'attaque en génie social en cours (Dev # Popper), probablement associée aux acteurs de la menace nord-coréenne qui ciblent les développeurs utilisant de fausses interviews pour livrer un rat à base de python.Les attaquants se présentent en tant qu'enquêteurs d'emploi légitimes et ont mis en place de faux entretiens d'embauche pour les développeurs.Au cours des entretiens, les acteurs de la menace demandent aux développeurs d'effectuer des tâches qui impliquent le téléchargement et l'exécution de logiciels à partir de sources qui semblent légitimes, comme Github. ## Description Les attaquants adaptent leur approche pour apparaître aussi crédible que possible, souvent en imitant les entreprises réelles et en reproduisant les processus d'entretien réels, en exploitant l'engagement et la confiance professionnels du développeur dans le processus de demande d'emploi.Le logiciel contenait une charge utile JS de nœud malveillant qui, une fois exécuté, a compromis le système du développeur \\.L'attaque implique plusieurs étapes, y compris l'utilisation d'un package NPM malveillant, l'exécution de la commande, le téléchargement de la charge utile et l'exécution du code Python, permettant finalement à l'attaquant d'interagir à distance avec la machine de la victime. ## Recommandations La source recommande: - sensibiliser au fait que les gens sont des cibles d'attaques d'ingénierie sociale tout comme la technologie est l'exploitation.Rester plus vigilant et la sécurité continue, même dans des situations à forte stress, est essentiel pour prévenir complètement le problème. - Surveillez l'utilisation de langages de script non défaut tels que Python sur les points de terminaison et les serveurs qui ne devraient normalement pas l'exécuter.Pour aider à cela, tirez parti de l'exploitation de l'exploitation supplémentaire au niveau du processus tel que Sysmon et PowerShell Logging pour une couverture de détection de journaux supplémentaire. Les clients de Microsoft 365 Defender peuvent également activer [Réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference#block-execuable-files-À partir de l'intervalle à moins, ils-meet-a-prévalence-âge ou de la liste-critère) des règles pour durcir leurs environnements contre des techniques comme celles utilisées dans cette attaque.Ces règles peuvent être configurées par tous les clients Microsoft Defender Antivirus et pas seulement ceux qui utilisent la solution EDR. - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de fiducie.Référence # Block-Execuable-Files de running-inless-they-meet-a-prévalence-âge-ou-trusted-list-criterion) - [Block JavaScript ou VBScript en lançant du contenu exécutable téléchargé.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=O365 Worldwide # Block-Javascript-Or-Vbscript-From-Launching-Downed-Téléchargé-Contant) - [Exécution de blocs de scripts potentiellement obscurcis.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide# Block-Exécution-Obfuscated-Scripts) ## Les références [https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associated-with-north-korean-thereat-ctors//www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associed-with-north-korean-threat-acteurs/)
#### Targeted Industries - Information Technology ## Snapshot The Securonix Threat Research Team has been monitoring a new ongoing social engineeri		 Threat ★★
Blog.webp 2024-04-30 19:22:43 ALERTE NOUVELLES: Cybersixgill dévoile \\ 'Intelligence tierce \\' pour livrer une menace spécifique au fournisseur Intel
News alert: Cybersixgill unveils \\'Third-Party Intelligence\\' to deliver vendor-specific threat intel (lien direct)		 Tel Aviv, Israël & # 8211;30 avril 2024 & # 8211; Cybersixgill, Le fournisseur de données mondiales de cyber-menace, casséNouveau terrain aujourd'hui en introduisant son module d'intelligence tiers. LeUn nouveau module fournit une cybersécurité et des menaces spécifiques aux fournisseurs pour les organisations \\ 'Teams de sécurité, permettant & # 8230;(Plus…)
Tel Aviv, Israel – April 30, 2024 – Cybersixgill, the global cyber threat intelligence data provider, broke new ground today by introducing its Third-Party Intelligence module. The new module delivers vendor-specific cybersecurity and threat intelligence to organizations\' security teams, enabling … (more…) 		Threat ★★
CrowdStrike.webp 2024-04-30 16:17:33 CrowdStrike a nommé le seul choix des clients \\ 'en 2024 Gartner & Reg;«Voix du client» pour la gestion de la surface d'attaque externe
CrowdStrike Named the Only Customers\\' Choice in 2024 Gartner® “Voice of the Customer” for External Attack Surface Management (lien direct)		 À mesure que les adversaires deviennent plus rapides et plus furtifs, ils recherchent sans relâche des actifs vulnérables à exploiter.Pendant ce temps, votre empreinte numérique se développe, ce qui rend de plus en plus difficile de suivre tous vos actifs.Il n'est pas étonnant que 76% des violations en 2023 ne soient dues à des actifs inconnus et non gérés par Internet.Dans ce contexte, il est plus critique que [& # 8230;]
As adversaries become faster and stealthier, they relentlessly search for vulnerable assets to exploit. Meanwhile, your digital footprint is expanding, making it increasingly challenging to keep track of all of your assets. It\'s no wonder 76% of breaches in 2023 were due to unknown and unmanaged internet-facing assets. Against this backdrop, it’s more critical than […]		 Threat
globalsecuritymag.webp 2024-04-30 13:23:45 BlackBerry présente Cylance Assistant, le niveau supérieur de cybersécurité avec des capacités d\'IA générative (lien direct) Des informations faciles à comprendre livrées à la demande pour renforcer la cyber-résilience. BlackBerry Limited annonce la mise à disposition générale de Cylance Assistant, véritable conseiller en cybersécurité basé sur l'IA générative qui a pour objectif d'aider les organisations à accélérer la prise de décision et à arrêter plus de menaces plus rapidement avec moins de ressources. Cylance Assistant regroupe un ensemble de fonctionnalités avancées exploitant la puissance de l'IA de Cylance pour en faire (...) - Produits Threat ★★★
GoogleSec.webp 2024-04-30 12:14:48 Détection du vol de données du navigateur à l'aide des journaux d'événements Windows
Detecting browser data theft using Windows Event Logs (lien direct)		 Publié par Will Harris, Chrome Security Team Le modèle de processus sandboxé de Chrome \\ de se défend bien contre le contenu Web malveillant, mais il existe des limites à la façon dont l'application peut se protéger des logiciels malveillants déjà sur l'ordinateur.Les cookies et autres informations d'identification restent un objectif de grande valeur pour les attaquants, et nous essayons de lutter contre cette menace continue de plusieurs manières, notamment en travaillant sur des normes Web comme dbsc Cela aidera à perturber l'industrie du vol de cookies car l'exfiltration de ces cookies n'aura plus de valeur. Lorsqu'il n'est pas possible d'éviter le vol d'identification et de cookies par malware, la prochaine meilleure chose est de rendre l'attaque plus observable par antivirus, d'agents de détection de terminaux ou d'administrateurs d'entreprise avec des outils d'analyse de journaux de base. Ce blog décrit un ensemble de signaux à utiliser par les administrateurs système ou les agents de détection de point de terminaison qui devraient signaler de manière fiable tout accès aux données protégées du navigateur d'une autre application sur le système.En augmentant la probabilité d'une attaque détectée, cela modifie le calcul pour les attaquants qui pourraient avoir un fort désir de rester furtif et pourraient les amener à repenser ces types d'attaques contre nos utilisateurs. arrière-plan Les navigateurs basés sur le chrome sur Windows utilisent le DPAPI (API de protection des données) pour sécuriser les secrets locaux tels que les cookies, le mot de passe, etc.La protection DPAPI est basée sur une clé dérivée des informations d'identification de connexion de l'utilisateur et est conçue pour se protéger contre l'accès non autorisé aux secrets des autres utilisateurs du système ou lorsque le système est éteint.Étant donné que le secret DPAPI est lié à l'utilisateur connecté, il ne peut pas protéger contre les attaques de logiciels malveillants locaux - l'exécution de logiciels malveillants en tant qu'utilisateur ou à un niveau de privilège plus élevé peut simplement appeler les mêmes API que le navigateur pour obtenir le secret DPAPI. Depuis 2013, Chromium applique l'indicateur CryptProtect_Audit aux appels DPAPI pour demander qu'un journal d'audit soit généré lorsque le décryptage se produit, ainsi que le marquage des données en tant que détenue par le navigateur.Parce que tout le stockage de données crypté de Chromium \\ est soutenu par une clé sécurisée DPAPI, toute application qui souhaite décrypter ces données, y compris les logiciels malveillants, devrait toujours générer de manière fiable un journal d'événements clairement observable, qui peut être utilisé pour détecter ces typesd'attaques. Il y a trois étapes principales impliquées dans le profit de ce journal: Activer la connexion sur l'ordinateur exécutant Google Chrome, ou tout autre navigateur basé sur le chrome. Exporter les journaux des événements vers votre système backend. Créer une logique de détection pour détecter le vol. Ce blog montrera également comment la journalisation fonctionne dans la pratique en la testant contre un voleur de mot de passe Python. Étape 1: Activer la connexion sur le système Les événements DPAPI sont connectés à deux endroits du système.Premièrement, il y a le 4693 Événement qui peut être connecté au journal de sécurité.Cet événement peut être activé en activant "Audit l'activité DPAPI" et les étapes pour ce faire sont d Malware Tool Threat
globalsecuritymag.webp 2024-04-30 12:05:17 Semperis prolonge la détection des attaques basée sur la ML avec une orientation spécialisée sur les risques d'identité
Semperis Extends ML-Based Attack Detection with Specialised Identity Risk Focus (lien direct)		 Identity Runtime Protection (IRP), la première offre de la plate-forme Semperis Lightning ™, fusionne l'apprentissage automatique avec une expertise de sécurité d'identité inégalée pour détecter et arrêter les techniques d'attaque les plus réussies Semperis annonce leLibération de Lightning Identity Runtime Protection (IRP), une nouvelle offre de détection et de réponse des menaces d'identité (ITDR) qui utilise des modèles d'apprentissage automatique développés par des experts en sécurité d'identité pour détecter les modèles d'attaque généralisés et réussis tels que (...) - revues de produits
Identity Runtime Protection (IRP), the first offering in the Semperis Lightning™ platform, merges deep machine learning with unmatched identity security expertise to detect and stop the most successful attack techniques Semperis announce the release of Lightning Identity Runtime Protection (IRP), a new identity threat detection and response (ITDR) offering that uses machine learning models developed by identity security experts to detect widespread and successful attack patterns such as (...) - Product Reviews		 Threat ★★★
Korben.webp 2024-04-30 10:03:21 Ruviki – Quand le Kremlin réécrit Wikipedia à sa sauce (lien direct) La Russie a remplacé Wikipedia par une encyclopédie sous contrôle de l'État, clone de la version russe originale mais lourdement censurée. Ruwiki, l'encyclopédie libre, a été bannie au profit de Ruviki, sa copie expurgée de tout contenu dérangeant pour le gouvernement. Threat ★★★★
CrowdStrike.webp 2024-04-30 09:10:30 CrowdStrike nommé le premier rapport du leader dans l'industrie \\ de l'INDUST
CrowdStrike Named Overall Leader in Industry\\'s First ITDR Comparative Report (lien direct)		 Les rapports d'analystes de la première détection et de la réponse de l'identité de l'industrie (ITDR) nomment CrowdStrike un leader global et une «force de cyber industrie».Dans KuppingerCole Leadership Compass, la détection et la réponse des menaces d'identité (ITDR) 2024: IAM rencontre le SOC, Crowdstrike a été nommé leader dans chaque catégorie - produit, innovation, marché et classement global - et positionné le plus haut [& # 8230;]
The industry\'s first identity detection and response (ITDR) analyst report names CrowdStrike an Overall Leader and a “cyber industry force.” In KuppingerCole Leadership Compass, Identity Threat Detection and Response (ITDR) 2024: IAM Meets the SOC, CrowdStrike was named a Leader in every category - Product, Innovation, Market and Overall Ranking - and positioned the highest […]		 Threat Commercial
SecureList.webp 2024-04-30 09:00:40 Détection et réponse gérées en 2023
Managed Detection and Response in 2023 (lien direct)		 Le rapport couvre les tactiques, les techniques et les outils le plus souvent déployés par les acteurs de la menace, la nature des incidents détectés et leur distribution entre les clients MDR.
The report covers the tactics, techniques and tools most commonly deployed by threat actors, the nature of incidents detected and their distribution among MDR customers.		 Tool Threat ★★
globalsecuritymag.webp 2024-04-30 08:46:45 Sentinélone révolutionne la cybersécurité avec Purple Ai
SentinelOne Revolutionizes Cybersecurity with Purple AI (lien direct)		 L'analyste de la sécurité de l'IA transforme radicalement les enquêtes et la réponse aux menaces avec une chasse simple, en un clic, des requêtes suggérées et des rapports générés en auto, permettant aux équipes de sécurité de fournir de nouveaux niveaux de défense, d'épargne et d'efficacité Il y a un an, Sentinelone a présenté la première plate-forme générative alimentée par AI pour la cybersécurité.Maintenant, la société innove à nouveau avec la disponibilité générale de l'IA violette, un analyste de sécurité transformateur de l'IA conçu pour déverrouiller le complet (...) - revues de produits
AI security analyst radically transforms threat investigations and response with simple, one-click hunting, suggested queries, and auto-generated reports, empowering security teams to deliver new levels of defense, savings, and efficiencies A year ago, SentinelOne introduced the first generative AI-powered platform for cybersecurity. Now the company is again breaking new ground with the general availability of Purple AI, a transformative AI security analyst designed to unlock the full (...) - Product Reviews		 Threat ★★
globalsecuritymag.webp 2024-04-30 08:36:49 Petites entreprises, grands risques : la protection des mots de passe doit être une priorité (lien direct) Dans le monde interconnecté d'aujourd'hui, les petites entreprises sont de plus en plus ciblées par des cyberattaques. Avec une expertise et des ressources limitées, ces structures ont souvent du mal à se défendre contre les menaces complexes. Cependant, en intégrant dans leur organisation des process de protection des mots de passe plus forts, elles peuvent améliorer leur sécurité de façon significative et protéger leurs données sensibles. A l'occasion de la journée mondiale du mot de passe le 2 mai (...) - Points de Vue Threat ★★
Logo_logpoint.webp 2024-04-30 08:33:11 Découvrez le côté obscur des DLL (Dynamic Link Library) (lien direct) >En bref :Le chargement latéral de DLL (Dynamic Link Library) est une technique permettant d'exécuter des charges virales malveillantes dans une DLL masquée en exploitant le processus d'exécution d'une application légitime.Des groupes de malware, tels que les groupes APT chinois et les malwares Darkgate, exploitent sur le terrain une vulnérabilité de chargement latéral de DLL Zero-Day [...] Malware Vulnerability Threat
globalsecuritymag.webp 2024-04-30 07:28:52 SilobReaker améliore les offres avec collection et alerte en AI-A-A-Alect pour SEC 8-K 1.05
Silobreaker enhances offerings with AI-enhanced collection and alerting for SEC 8-K 1.05 filings (lien direct)		 La source de données nouvellement ajoutée et l'intelligence étendue permettent aux utilisateurs d'avoir un aperçu opportun des dépôts clés des incidents de cybersécurité. société de technologie de sécurité et de renseignement sur les menaces, Silobreaker a annoncé aujourd'hui l'ajout de collecte automatique, d'analyse améliorée par l'IA et d'alerte sur les dépôts d'incident de cybersécurité 8-K effectués à la Securities and Exchange Commission américaine (SEC).Cette amélioration de la plate-forme de silobreaker permet aux organisations de rester informés de la cybersécurité critique (...) - revues de produits
Newly added data source and expanded intelligence empowers users with timely insight into key cybersecurity incident filings. Security and threat intelligence technology company, Silobreaker today announced the addition of automatic collection, AI-enhanced analysis, and alerting on 8-K cybersecurity incident filings made to the US Securities and Exchange Commission (SEC). This enhancement to the Silobreaker platform empowers organisations to stay informed about critical cybersecurity (...) - Product Reviews		 Threat ★★
The_State_of_Security.webp 2024-04-30 03:02:43 Défendre contre l'usurpation de la chaîne d'approvisionnement dans la fabrication critique
Defending Against Supply Chain Spoofing in Critical Manufacturing (lien direct)		 Les attaques de la chaîne d'approvisionnement sont une menace grave et croissante pour les entreprises de toutes les industries.Cependant, ces attaques présentent un risque encore plus grand pour les fabricants dans les secteurs des infrastructures critiques.Une forme pernicieuse d'attaques de la chaîne d'approvisionnement est l'usurpation, où les attaquants se font passer pour les fournisseurs légitimes pour faufiler du code ou des composants malveillants en produits.La recherche montre que 2023 avait le plus grand nombre (2769 aux États-Unis seulement) des entités touchées par l'usurpation de la chaîne d'approvisionnement.Ce chiffre est presque deux fois plus élevé que le nombre enregistré en 2017. Les organisations de différentes industries doivent mettre en œuvre de toute urgence ...
Supply chain attacks are a serious and growing threat to businesses across all industries. However, these attacks pose an even greater risk for manufacturers in critical infrastructure sectors. One pernicious form of supply chain attack is spoofing, where attackers impersonate legitimate suppliers to sneak malicious code or components into products. Research shows that 2023 had the highest number (2769 in the US alone) of entities affected by supply chain spoofing. This figure is nearly twice as high as the number recorded in 2017. Organizations in different industries must urgently implement...		 Threat ★★
TechWorm.webp 2024-04-29 22:16:27 La vulnérabilité critique dans la programmation R permet des attaques de chaîne d'approvisionnement
Critical Vulnerability In R Programming Allows Supply Chain Attacks (lien direct)		 Les chercheurs en sécurité de HiddenLayer ont découvert une vulnérabilité dans le langage de programmation R qui permet l'exécution de code arbitraire en désérialisant les données non fiables. Cette vulnérabilité peut avoir des implications importantes pour les grandes organisations dans les industries de la santé, des finances et du gouvernement. Pour ceux qui ne le savent pas, R est un langage de programmation open source et un environnement logiciel pour l'informatique statistique, la visualisation des données et l'apprentissage automatique. La vulnérabilité, attribuée à l'identifiant CVE CVE-2024-27322, & # 8220; implique l'utilisation d'objets de promesse et d'évaluation paresseuse dans R, & # 8221;HiddenLayer, le principal fournisseur de sécurité pour les modèles et actifs de l'intelligence artificielle (AI), a déclaré dans un Rapport Partagé avec les nouvelles du pirate . De plus, la vulnérabilité peut être exploitée par le chargement des fichiers RDS (R Data Serialization) ou des packages R, qui sont souvent partagés entre les développeurs et les scientifiques des données. Selon les chercheurs, un attaquant peut créer des fichiers RDS malveillants ou des packages R contenant du code R arbitraire intégré qui s'exécute sur le dispositif cible de la victime sur l'interaction.En d'autres termes, la vulnérabilité permet à un attaquant d'élaborer un fichier RDS (R Data Serialization) malveillant qui effectue du code arbitraire lorsqu'il est chargé et référencé. Plusieurs fonctions au sein de R peuvent être utilisées pour sérialiser et désérialiser les données, qui diffèrent les unes des autres dans une certaine mesure mais tirent finalement le même code interne. par exemple, le processus de sérialisation & # 8211;serialize () ou saverds () & # 8211;et désérialisation & # 8211;Unserialize () et readrds () & # 8211;est également exploité lors de l'enregistrement et du chargement des packages R, laissant ainsi les utilisateurs exposés aux attaques de la chaîne d'approvisionnement. & nbsp; Les packages & # 8220; R sont vulnérables à cet exploit et peuvent donc être utilisés dans le cadre d'une attaque de chaîne d'approvisionnement via des référentiels de package.Pour qu'un attaquant reprenne un package R, il ne suffit pas de remplacer le fichier rdx La société a déclaré. Compte tenu de l'utilisation généralisée de R, HiddenLayer a révélé la vulnérabilité de sécurité à l'équipe de R, après quoi le problème a été résolu dans version 4.4.0 publié le 24 avril 2024. & # 8220; Un attaquant peut exploiter ce [défaut] en fabriquant un fichier au format RDS qui contient une instruction de promesse définissant la valeur sur unbound_value et l'expression de contenir du code arbitraire.En raison de l'évaluation paresseuse, l'expression ne sera évaluée et exécutée que lorsque le symbole associé au fichier RDS sera accessible, & # 8221;HiddenLayer ajouté. & # 8220; Par co Vulnerability Threat Medical ★★
TechWorm.webp 2024-04-29 22:01:20 Android malware hacks bancs comptes bancs avec de fausses invites à la mise à jour chromée
Android Malware Hacks Bank Accounts With Fake Chrome Update Prompts (lien direct)		 Security researchers have discovered a new Android banking trojan that can steal users’ sensitive information and allow attackers to remotely control infected devices. “Brokewell is a typical modern banking malware equipped with both data-stealing and remote-control capabilities built into the malware,” Dutch security firm ThreatFabric said in an analysis published on Thursday. According to ThreatFabric, Brokewell poses a significant threat to the banking industry, providing attackers with remote access to all assets available through mobile banking. The malware was discovered by the researchers while investigating a fake Google Chrome web browser “update” page, commonly used by cybercriminals to lure victims into downloading and installing malware. Looking at prior campaigns, the researchers found that Brokewell was used to target a popular “buy now, pay later” financial service and an Austrian digital authentication application. The malware is said to be in active development, with new commands added almost daily to capture every event on the device, from keystrokes and information displayed on screen to text entries and apps launched by the victim. Once downloaded, Brokewell creates an overlay screen on a targeted application to capture user credentials. It can also steal browser cookies by launching its own WebView, overriding the onPageFinished method, and dumping the session cookies after the user completes the login process. “Brokewell is equipped with “accessibility logging,” capturing every event happening on the device: touches, swipes, information displayed, text input, and applications opened. All actions are logged and sent to the command-and-control server, effectively stealing any confidential data displayed or entered on the compromised device,” the ThreatFabric researchers point out. “It\'s important to highlight that, in this case, any application is at risk of data compromise: Brokewell logs every event, posing a threat to all applications installed on the device. This piece of malware also supports a variety of “spyware” functionalities: it can collect information about the device, call history, geolocation, and record audio.” After stealing the credentials, the attackers can initiate a Device Takeover attack using remote control capabilities to perform screen streaming. It also provides the threat actor with a range of various commands that can be executed on the controlled device, such as touches, swipes, and clicks on specified elements. ThreatFabric discovered that one of the servers used as a command and control (C2) point for Brokewell was also used to host a repository called “Brokewell Cyber Labs,” created by a threat actor called “Baron Samedit.” This repository comprised the source code for the “Brokewell Android Loader,” another tool from the same developer designed to bypass restrictions Google introduced in Android 13 and later to prevent exploitation of Accessibility Service for side-loaded apps (APKs). According to ThreatFabric, Baron Samedit has been active for at least two years, providing tools to other cybercriminals to check stolen accounts from multiple services, which could still be improved to support a malware-as-a-service operation. “We anticipate further evolution of this malware family, as we’ve already observed almost daily updates to the malware. Brokewell will likely be promoted on underground channels as a rental service, attracting the interest of other cybercriminals and sparking new campaigns targeting different regions,” the researchers conclude. Hence, the only way to effectively identify and prevent potential fraud from malware families like the newly discovered Brokewell is to use a comprehensive Malware Tool Threat Mobile ★★
RiskIQ.webp 2024-04-29 20:07:15 De ransomware icedid à Dagon Locker en 29 jours
From IcedID to Dagon Locker Ransomware in 29 Days (lien direct)		 ## Instantané Le rapport DFIR fournit un compte rendu détaillé d'une intrusion sophistiquée qui a commencé avec une campagne de phishing utilisant PromEthEustDS pour distribuer des logiciels malveillants icedid en août 2023. ## Description Le malware icedid a établi la persistance, communiqué avec les serveurs C2 et a abandonné une balise de frappe de cobalt, qui a été utilisée pour le mouvement latéral, l'exfiltration des données et le déploiement des ransomwares.L'acteur de menace a également utilisé une suite d'outils tels que Rclone, NetScan, NBTScan, Anydesk, Seatt Libt, Sharefinder et Adfinind.L'intrusion a abouti au déploiement de ransomwares Dagon Locker après 29 jours. Les acteurs de la menace ont utilisé diverses techniques pour obscurcir le fichier JavaScript et le coquille de cobalt grève, échapper à la détection, maintenir la persistance et effectuer des activités d'énumération du réseau.Les activités de l'acteur de menace comprenaient l'abus de fonctionnalités de mouvement latérale telles que le psexec et le protocole de bureau à distance (RDP), l'exfiltration des fichiers, le dumping et l'exfiltration des journaux d'événements de sécurité Windows et l'utilisation des commandes PowerShell exécutées à partir de la grève de Cobaltbalise. De plus, l'acteur de menace a utilisé plusieurs techniques d'exfiltration, y compris l'utilisation de RClone et AWS CLI pour exfiltrer les données de l'infrastructure compromise.Le déploiement du ransomware Dagon Locker a été facilité par l'utilisation d'un script PowerShell personnalisé, AWScollector et un module Locker, avec une commande PowerShell spécifique exécutée à partir d'un contrôleur de domaine pour déployer le ransomware à différents systèmes.L'impact de cet incident a permis à tous les systèmes d'être affectés par les ransomwares Dagon Locker. ## Les références [https://thedfirreport.com/2024/04/29/from-iced-to-dagon-locker-ransomware-in-29 days/-IDIDID-to-dagon-locker-ransomware en 29 jours /)
## Snapshot The DFIR report provides a detailed account of a sophisticated intrusion that began with a phishing campaign using PrometheusTDS to distribute IcedID malware in August 2023. ## Description The IcedID malware established persistence, communicated with C2 servers, and dropped a Cobalt Strike beacon, which was used for lateral movement, data exfiltration, and ransomware deployment. The threat actor also utilized a suite of tools such as Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder, and AdFind. The intrusion culminated in the deployment of Dagon Locker ransomware after 29 days. The threat actors employed various techniques to obfuscate the JavaScript file and the Cobalt Strike shellcode, evade detection, maintain persistence, and perform network enumeration activities. The threat actor\'s activities included the abuse of lateral movement functionalities such as PsExec and Remote Desktop Protocol (RDP), exfiltration of files, dumping and exfiltration of Windows Security event logs, and the use of PowerShell commands executed from the Cobalt Strike beacon. Additionally, the threat actor employed multiple exfiltration techniques, including the use of Rclone and AWS CLI to exfiltrate data from the compromised infrastructure. The deployment of the Dagon Locker ransomware was facilitated through the use of a custom PowerShell script, AWScollector, and a locker module, with a specific PowerShell command run from a domain controller to deploy the ransomware to different systems. The impact of this incident resulted in all systems being affected by the Dagon Locker ransomware. ## References [https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/](https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/)		 Ransomware Malware Tool Threat Technical ★★★
The_Hackers_News.webp 2024-04-29 19:16:00 Linée en porcelaine \\ 'brouillant Meerkat \\' détourne DNS pour mapper Internet à l'échelle mondiale
China-Linked \\'Muddling Meerkat\\' Hijacks DNS to Map Internet on Global Scale (lien direct)		 Une cyber-menace auparavant sans papiers surnommée & nbsp; Muddling Meerkat & nbsp; a & nbsp; a été observé & nbsp; entreprendre des activités sophistiquées de noms de domaine (DNS) dans un effort probable pour échapper aux mesures de sécurité et à la conduite et nbsp; Recondissance & nbsp; des réseaux & nbsp; dans le monde & nbsp; depuis octobre 2019. La société de sécurité du cloud InfoBlox a décrit l'acteur de menace comme probablement affilié à
A previously undocumented cyber threat dubbed Muddling Meerkat has been observed undertaking sophisticated domain name system (DNS) activities in a likely effort to evade security measures and conduct reconnaissance of networks across the world since October 2019. Cloud security firm Infoblox described the threat actor as likely affiliated with the		 Threat ★★★★
The_Hackers_News.webp 2024-04-29 16:24:00 Naviguer dans le paysage des menaces: comprendre la gestion de l'exposition, le pentisting, l'équipe rouge et le RBVM
Navigating the Threat Landscape: Understanding Exposure Management, Pentesting, Red Teaming and RBVM (lien direct)		 Il & nbsp; vient en tant que & nbsp; pas une surprise que les cybermenaces d'aujourd'hui soient des ordres de grandeur plus complexes que ceux du passé.Pour répondre à cela & nbsp; non-stop & nbsp; défi.Les équipes de sécurité recherchent constamment des moyens de réduire les risques tout en améliorant la posture de sécurité, mais beaucoup
It comes as no surprise that today\'s cyber threats are orders of magnitude more complex than those of the past. And the ever-evolving tactics that attackers use demand the adoption of better, more holistic and consolidated ways to meet this non-stop challenge. Security teams constantly look for ways to reduce risk while improving security posture, but many		 Threat ★★
The_Hackers_News.webp 2024-04-29 16:20:00 La nouvelle vulnérabilité de la programmation R expose les projets aux attaques de chaîne d'approvisionnement
New R Programming Vulnerability Exposes Projects to Supply Chain Attacks (lien direct)		 Une vulnérabilité de sécurité a & nbsp; a été découverte & nbsp; dans le langage de programmation R qui pourrait être exploité par un acteur de menace pour créer un fichier RDS (R Data Serialisation) malveillant, de sorte qu'il entraîne une exécution de code lorsqu'il est chargé et référencé. La faille, attribuée à l'identificateur CVE & NBSP; CVE-2024-27322, "implique l'utilisation d'objets prometteurs et d'évaluation paresseuse dans R"
A security vulnerability has been discovered in the R programming language that could be exploited by a threat actor to create a malicious RDS (R Data Serialization) file such that it results in code execution when loaded and referenced. The flaw, assigned the CVE identifier CVE-2024-27322, "involves the use of promise objects and lazy evaluation in R," AI application security		 Vulnerability Threat ★★
globalsecuritymag.webp 2024-04-29 16:14:30 Cybersixgill dévoile des renseignements tiers, exposant des menaces aux organisations.Résultant de leur chaîne d'approvisionnement
Cybersixgill Unveils Third-Party Intelligence, Exposing Threats to Organizations. Stemming from Their Supply Chain (lien direct)		 Une nouvelle extension puissante tient et améliore le renseignement complet des menaces de Cybersixgill \\ avec des données de posture de sécurité spécifiques aux fournisseurs, permettant aux opérations de sécurité de préempter les menaces provenant de fournisseurs tiers CybersixGill, le tiersLe fournisseur mondial de données de renseignement sur le cyber-menace, a innové aujourd'hui en introduisant son module de renseignement tiers.Le nouveau module fournit des services de cybersécurité et de menace spécifiques aux fournisseurs pour les équipes de sécurité des organisations, leur permettant de (...) - produits
Powerful, New Extension Curates and Enhances Cybersixgill\'s Comprehensive Threat Intelligence with Vendor-Specific Security Posture Data, Enabling Security Operations to Preempt Threats Originating from Third-Party Suppliers Cybersixgill, the global cyber threat intelligence data provider, broke new ground today by introducing its Third-Party Intelligence module. The new module delivers vendor-specific cybersecurity and threat intelligence to organizations\' security teams, enabling them to (...) - Produits		 Threat ★★
RiskIQ.webp 2024-04-29 16:05:58 Faits saillants hebdomadaires, 29 avril 2024
Weekly OSINT Highlights, 29 April 2024 (lien direct)		 ## Snapshot Last week\'s OSINT reporting reveals a diverse range of cyber threats targeting organizations globally. The articles highlight various attack vectors, including phishing emails with malware payloads (SSLoad, [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)), ransomware variants (KageNoHitobito, DoNex), and mobile banking malware (Brokewell) distributed through fake domain schemes and overlay attacks. Threat actors behind these campaigns range from financially motivated ransomware groups to sophisticated state-sponsored actors like Sandworm ([Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)) and UAT4356 ([Storm-1849](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)). Targetted organizations span Europe, Asia, and the Americas and targetted industries include critical infrastructure and IT. ## Description 1. **[Ongoing FROZEN#SHADOW Phishing Campaign](https://security.microsoft.com/intel-explorer/articles/e39d9bb3)**: The FROZEN#SHADOW campaign utilizes phishing emails to distribute SSLoad malware, alongside [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) and ConnectWise ScreenConnect for extensive persistence and remote access. The victim organizations, predominantly in Europe, Asia, and the Americas, are targeted via JavaScript file downloads and MSI installers connecting to attacker-controlled domains. 2. **[Insights on KageNoHitobito and DoNex Ransomware](https://security.microsoft.com/intel-explorer/articles/ff848e92)**: KageNoHitobito and DoNex are ransomware variants with distinct encryption methods and ransom note presentations. While KageNoHitobito prompts victims to negotiate through a TOR site, DoNex terminates specific services and processes, deletes shadow copies, and may be linked to DarkRace ransomware. 3. **[Brokewell Mobile Banking Malware](https://security.microsoft.com/intel-explorer/articles/99a5deee)**: Brokewell poses a significant threat to the banking industry, utilizing overlay attacks, spyware functionalities, and remote control capabilities to steal credentials and device information. The malware\'s active development and promotion on underground channels indicate a growing interest among cybercriminals targeting different regions. 4. **[Malvertising Campaign Targeting IT Teams with MadMxShell](https://security.microsoft.com/intel-explorer/articles/ffa6ca10)**: A sophisticated threat actor distributes the MadMxShell backdoor through fake domains, using Google Ads to push them to the top of search results. MadMxShell employs complex evasion techniques, including multi-stage injection and DNS tunneling for C2 communication, indicating an interest in targeting IT professionals for unauthorized access. 5. **[ArcaneDoor Campaign by UAT4356 (Storm-1849)](https://security.microsoft.com/intel-explorer/articles/a0cf0328)**: UAT4356 (tracked by Microsoft as [Storm-1949](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)) targets perimeter network devices like Cisco Adaptive Security Appliances (ASA) with backdoors "Line Runner" and "Line Dancer" for reconnaissance and malicious actions. The campaign showcases a state-sponsored actor\'s advanced tradecraft, with deliberate efforts to evade forensics and exploit 0-day vulnerabilities. The initial access vector used in this campaign remains unidentified, but two vulnerabilities ([CVE-2024-20353](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20353/description) and[CVE-2024-20359](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20359/description)) were exploited. 6. **[Kapeka Backdoor Linked to Sandworm (Seashell Blizzard)](https://security.microsoft.com/intel-explorer/articles/364efa92)**: Kapeka (tracked by Microsoft as K Ransomware Malware Tool Vulnerability Threat Mobile Industrial ★★★
Fortinet.webp 2024-04-29 15:00:00 Les nouvelles capacités FortixDR offrent une couverture élargie
New FortiXDR Capabilities Offer Expanded Coverage (lien direct)		 Nous sommes ravis d'annoncer plusieurs améliorations à FortixDR, y compris le support pour les appareils mobiles iOS et Android et la chasse aux récipients.En savoir plus.
We\'re pleased to announce several enhancements to FortiXDR, including support for iOS and Android mobile devices and threat hunting for containers. Read more.		 Threat Mobile ★★
GoogleSec.webp 2024-04-29 11:59:47 Comment nous avons combattu de mauvaises applications et de mauvais acteurs en 2023
How we fought bad apps and bad actors in 2023 (lien direct)		 Posted by Steve Kafka and Khawaja Shams (Android Security and Privacy Team), and Mohet Saxena (Play Trust and Safety) A safe and trusted Google Play experience is our top priority. We leverage our SAFE (see below) principles to provide the framework to create that experience for both users and developers. Here\'s what these principles mean in practice: (S)afeguard our Users. Help them discover quality apps that they can trust. (A)dvocate for Developer Protection. Build platform safeguards to enable developers to focus on growth. (F)oster Responsible Innovation. Thoughtfully unlock value for all without compromising on user safety. (E)volve Platform Defenses. Stay ahead of emerging threats by evolving our policies, tools and technology. With those principles in mind, we\'ve made recent improvements and introduced new measures to continue to keep Google Play\'s users safe, even as the threat landscape continues to evolve. In 2023, we prevented 2.28 million policy-violating apps from being published on Google Play1 in part thanks to our investment in new and improved security features, policy updates, and advanced machine learning and app review processes. We have also strengthened our developer onboarding and review processes, requiring more identity information when developers first establish their Play accounts. Together with investments in our review tooling and processes, we identified bad actors and fraud rings more effectively and banned 333K bad accounts from Play for violations like confirmed malware and repeated severe policy violations. Additionally, almost 200K app submissions were rejected or remediated to ensure proper use of sensitive permissions such as background location or SMS access. To help safeguard user privacy at scale, we partnered with SDK providers to limit sensitive data access and sharing, enhancing the privacy posture for over 31 SDKs impacting 790K+ apps. We also significantly expanded the Google Play SDK Index, which now covers the SDKs used in almost 6 million apps across the Android ecosystem. This valuable resource helps developers make better SDK choices, boosts app quality and minimizes integration risks. Protecting the Android Ecosystem Building on our success with the App Defense Alliance (ADA), we partnered with Microsoft and Meta as steering committee members in the newly restructured ADA under the Joint Development Foundation, part of the Linux Foundation family. The Alliance will support industry-wide adoption of app security best practices and guidelines, as well as countermeasures against emerging security risks. Additionally, we announced new Play Store transparency labeling to highlight VPN apps that have completed an independent security review through App Defense Alliance\'s Mobile App Security Assessment (MASA). When a user searches for VPN apps, they will now see a banner at the top of Google Play that educates them about the “Independent security review” badge in the Data safety section. This helps users see at-a-glance that a developer has prioritized security and privacy best practices and is committed to user safety. Malware Tool Threat Mobile
Veracode.webp 2024-04-29 10:49:21 Votre incontournable AI et application de cloud-Native Appsec au RSAC 2024
Your Must-Know AI and Cloud-Native AppSec Insights at RSAC 2024 (lien direct)		 Cherchez-vous à rattraper les dernières personnes en matière d'IA et d'application native du cloud au RSAC 2024?Veracode organise une série de conférences sur notre stand avec une série de programmes au W San Francisco.Voici tous les détails. Veracode à RSAC 2024: un aperçu RSAC 2024 est au coin de la rue et Veracode, un fournisseur visionnaire de solutions de test de sécurité des applications natifs du cloud, sera à l'avant-garde, présentant des innovations révolutionnaires qui façonnent l'avenir de l'AppSec. Cette année, nous sommes particulièrement ravis de présenter l'acquisition récente de Longbow Security, une décision stratégique qui renforce notre engagement à assurer une sécurité complète du code à cloud. Selon le magazine des développeurs de l'APP, «L'intégration de Longbow dans Veracode permet aux équipes de sécurité de découvrir rapidement les actifs du cloud et des applications et d'évaluer facilement leur exposition à la menace en utilisant une enquête automatisée et une analyse des causes profondes.Longbow fournit un centralisé…
Are you looking to catch up on the latest in AI and cloud-native Application Security at RSAC 2024? Veracode is hosting a series of talks at our booth along with a series of programs at The W San Francisco. Here are all the details.  Veracode at RSAC 2024: A Preview  RSAC 2024 is around the corner and Veracode, a visionary provider of cloud-native Application Security testing solutions, will be at the forefront, showcasing groundbreaking innovations that are shaping the future of AppSec.   This year, we are particularly excited to showcase the recent acquisition of Longbow Security, a strategic move that strengthens our commitment to providing comprehensive code-to-cloud security.   According to App Developer Magazine, “The integration of Longbow into Veracode enables security teams to discover cloud and application assets quickly and easily assess their threat exposure using automated issue investigation and root cause analysis. Longbow provides a centralized…		 Threat Cloud
Checkpoint.webp 2024-04-29 10:32:41 29 avril & # 8211;Rapport de renseignement sur les menaces
29th April – Threat Intelligence Report (lien direct)		 > Pour les dernières découvertes en cyberLes meilleures attaques et violations de l'Allemagne ont révélé une campagne de piratage sophistiquée parrainée par l'État ciblant Volkswagen, orchestrée par des pirates chinois depuis 2010. Les attaquants ont réussi à infiltrer les réseaux de VW à plusieurs reprises, y compris [& #, y compris des milliers de documents essentiels à la technologie automobile, y compris [& #8230;]
>For the latest discoveries in cyber research for the week of 29th April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Germany has revealed a sophisticated state-sponsored hacking campaign targeting Volkswagen, orchestrated by Chinese hackers since 2010. The attackers successfully infiltrated VW’s networks multiple times, extracting thousands of documents critical to automotive technology, including […] 		Threat ★★
Darktrace.webp 2024-04-29 10:22:00 Tendances d'attaque: les cyberattaques basées sur le cloud et la montée des méthodes d'accès initiales alternatives
Attack trends: Cloud-Based Cyber-Attacks and the Rise of Alternative Initial Access Methods (lien direct)		 Utilisation des données du rapport de menace de fin d'année de DarkTrace \\ Ce blog détaille comment les cyberattaquants utilisent de plus en plus des services basés sur le cloud, notamment Dropbox et Microsoft 365 pour contourner furtivement la détection par des solutions de sécurité par e-mail traditionnelles.
Using data from Darktrace\'s End of Year Threat Report 2023 this blog details how cyber attackers are increasingly using cloud-based services including Dropbox and Microsoft 365 to stealthily bypass detection by traditional email security solutions.		 Threat ★★
AlienVault.webp 2024-04-29 10:00:00 Améliorer la sécurité financière grâce à la biométrie comportementale
Enhancing Financial Security Through Behavioral Biometrics (lien direct)		 The content of this post is solely the responsibility of the author.  AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article.  The evolution of tech necessitates stronger cybersecurity. Financial information is appealing to hackers trying to steal identities and commit fraud. These bad actors are evolving with tech to figure out ways to bypass the increasingly robust cybersecurity measures. Organizations commonly use physical biometric applications, like fingerprinting and facial recognition, when they’re conducting transactions, when people are entering buildings, and when they’re logging into sites with sensitive information. However, you need a stronger layer of security to keep your information safe. This is where behavioral biometrics comes in. Possible Financial Security Issues Consumers lose millions of dollars due to fraud every year, according to the FTC. Online shopping is the number one avenue where this money is lost, with bad investments and illegitimate businesses falling close behind. There is an increasing amount of ways that scammers can have access to your information or social engineer you into spending money. Some examples include phishing emails, password attacks, and malware. Often, hackers will also target people whom they profile as gullible. Charity scams are unfortunately rampant, including scammers pretending to be charitable organizations like the Red Cross. These crop up when disaster strikes, and they masquerade as legitimate ways to donate. Other scammers will pretend to be individuals in need, family members, or even government organizations. Instead, the money goes to illegitimate scammers. To avoid this, you should always double-check links and, more importantly, log in to a reputable site when entering any credit card or banking information. Financial institutions are surprisingly not the most targeted, but they are still rife with sensitive info that can be vulnerable to hackers if not guarded correctly. Cybersecurity in online banking is extremely important. There can be data breaches, customer phishing scams, and even offshore banking transparency issues. Enhanced security must be in place to prevent these scams, including encryption, multi-factor authentication, threat detection, and biometrics. Why Stronger Biometrics Are Necessary Physical biometrics are the most common form of biometrics employed for financial security currently. However, bad actors have learned how to bypass these physical barriers. Printed-out photos can work for face identification, and fingerprints and palm prints can be stolen and imprinted onto soft surfaces and then used for sign-ins. Evolving threats demand cybersecurity measures that are as far advanced as possible. Behavioral biometrics takes things a step further by analyzing the behavior patterns of device users. Then, these patterns can be developed over time and set to be recognized by the device. These behaviors can be digital or in-person and include factors like: Gait; Posture; Signatures; Malware Threat Deloitte ★★
TechWorm.webp 2024-04-28 22:30:11 Les développeurs ont été trompés dans de fausses entretiens d'embauche pour télécharger des logiciels malveillants
Developers Tricked In Fake Job Interviews To Download Malware (lien direct)		 La société de cybersécurité Securonix a découvert une nouvelle campagne d'attaque en génie social en cours qui cible les développeurs de logiciels avec de faux packages NPM sous prétexte de fausses entretiens d'embauche et les incite à télécharger un Trojan à l'accès à distance basé sur Python. . Sur la base des tactiques observées, l'équipe de recherche sur les menaces de Securonix, qui a suivi l'activité sous «Dev # Popper», aurait lié la campagne aux acteurs de la menace nord-coréenne. & # 8220; Au cours de ces interviews frauduleuses, les développeurs sont souvent invités à effectuer des tâches qui impliquent le téléchargement et l'exécution de logiciels à partir de sources qui semblent légitimes, comme Github.Le logiciel contenait une charge utile JS de nœud malveillant qui, une fois exécuté, a compromis le système de développeur, & # 8221; a dit chercheurs en sécurité den iuzvyk, tim peck et oleg kolesnikov dans un article de blog. Cependant, l'objectif de l'acteur de menace est de tromper les cibles dans le téléchargement de logiciels malveillants qui collecte les informations système et permet l'accès à distance à l'hôte. Dans la première étape, une archive zip de GitHub déguisée en une offre pour combler des positions de développeur de logiciels est envoyée à la personne interrogée (dans ce cas, le développeur) pour le téléchargement par l'intervieweur (l'attaquant).L'archive contient un package de gestion de nœuds (NPM) à l'aspect légitime contenant un répertoire Readme.md et Frontend et Backend. Une fois que le développeur exécute le package NPM malveillant, un fichier JavaScript obscurci ("iMageDetails.js") est exécuté via le processus NodeJS (Node.exe) à l'aide de commandes \\ 'curl \'.Le but malveillant du script dans la première étape est simplement de télécharger une archive supplémentaire («p.zi») à partir d'un serveur externe. À l'intérieur de l'archive se trouve la charge utile de l'étape suivante, un fichier python caché (".npl") qui fonctionne comme un rat.Selon leurs paramètres de système d'exploitation, ce fichier Python peut être caché ou non de la vue à l'utilisateur. Une fois que le rat est actif sur le système de la victime, il collecte les informations du système et du réseau à partir d'un ordinateur infecté, puis envoie ces données au serveur de commande et de contrôle (C2), y compris le type de système d'exploitation, le nom d'hôte, la version du système d'exploitationVersion, version du système d'exploitation, nom d'utilisateur de l'utilisateur connecté et un identifiant unique pour l'appareil (UUID) généré par hachage de l'adresse MAC et du nom d'utilisateur. Selon les analystes de Securonix, le rat prend en charge les capacités suivantes: Le réseautage et la création de session sont utilisés pour les connexions persistantes. Fonctions du système de fichiers pour traverser les répertoires, filtrer les fichiers en fonction des extensions et des répertoires spécifiques à exclure, et rechercher et voler des fichiers ou des données spécifiques. Exécution des commandes distantes qui permet l'exécution de commandes et de scripts de shell système, y compris la navigation sur le système de fichiers et l'exécution des commandes de shell. Exfiltration des données FTP directes à partir de divers répertoires d'utilisateurs comme les documents et les téléchargements. La journalisation du presse-papiers et des clés comprend des capacités pour surveiller et exfiltrater le contenu du presse-papiers et les touches. "En ce qui concerne les attaques qui proviennent de l'ingénierie sociale, il est essentiel de m Malware Threat ★★★
The_Hackers_News.webp 2024-04-27 10:42:00 Des packages NPM de faux
Bogus npm Packages Used to Trick Software Developers into Installing Malware (lien direct)		 Une campagne d'ingénierie sociale en cours et NBSP; cible & NBSP; développeurs de logiciels avec de faux packages NPM sous le couvert d'un entretien d'embauche pour les inciter à télécharger une porte dérobée Python. La société de cybersécurité Securonix suit l'activité sous & nbsp; le nom & nbsp; dev # popper, & nbsp; le liant à des acteurs de menace nord-coréens. "Au cours de ces interviews frauduleuses, les développeurs sont souvent invités
An ongoing social engineering campaign is targeting software developers with bogus npm packages under the guise of a job interview to trick them into downloading a Python backdoor. Cybersecurity firm Securonix is tracking the activity under the name DEV#POPPER, linking it to North Korean threat actors. "During these fraudulent interviews, the developers are often asked		 Malware Threat ★★
RiskIQ.webp 2024-04-26 19:12:08 Todckat APT Group Honne les tactiques d'expiltration des données, exploite les outils légitimes
ToddyCat APT Group Hones Data Exfiltration Tactics, Exploits Legitimate Tools (lien direct)		 #### Targeted Geolocations - Oceania - Southeast Asia - South Asia - East Asia - Central Asia #### Targeted Industries - Government Agencies & Services - Defense ## Snapshot Kaspersky reports the APT group ToddyCat has been observed targeting governmental organizations, particularly defense-related ones in the Asia-Pacific region, with the goal of stealing sensitive information on an industrial scale. ## Description They employ various tools and techniques, including traffic tunneling and the creation of reverse SSH tunnels, to maintain constant access to compromised infrastructure. The attackers utilize disguised OpenSSH private key files, execute scripts to modify folder permissions, create SSH tunnels to redirect network traffic, and employ the SoftEther VPN package to potentially facilitate unauthorized access and data exfiltration. Additionally, they use various files and techniques, such as concealing file purposes, copying files through shared resources, and tunneling to legitimate cloud providers, to gain access to victim hosts and evade detection. The threat actors initially gain access to systems by installing servers, modifying server settings, and utilizing tools like Ngrok and Krong to redirect C2 traffic and create tunnels for unauthorized access. They also employ the FRP client, a data collection tool named "cuthead", and a tool called "WAExp" to search for and collect browser local storage files containing data from the web version of WhatsApp. The attackers demonstrate a sophisticated and evolving approach to data collection and exfiltration, utilizing multiple tools and techniques to achieve their objectives. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentic Ransomware Spam Malware Tool Threat Industrial Cloud ★★
GoogleSec.webp 2024-04-26 18:33:10 Accélération de la réponse aux incidents en utilisant une AI générative
Accelerating incident response using generative AI (lien direct)		 Lambert Rosique and Jan Keller, Security Workflow Automation, and Diana Kramer, Alexandra Bowen and Andrew Cho, Privacy and Security Incident ResponseIntroductionAs security professionals, we\'re constantly looking for ways to reduce risk and improve our workflow\'s efficiency. We\'ve made great strides in using AI to identify malicious content, block threats, and discover and fix vulnerabilities. We also published the Secure AI Framework (SAIF), a conceptual framework for secure AI systems to ensure we are deploying AI in a responsible manner. Today we are highlighting another way we use generative AI to help the defenders gain the advantage: Leveraging LLMs (Large Language Model) to speed-up our security and privacy incidents workflows. Tool Threat Industrial Cloud
SecureMac.webp 2024-04-26 18:18:44 Liste de contrôle 373: Changement nous ne pouvons pas croire
Checklist 373: Change We Can\\'t Believe In (lien direct)		 > Cette semaine, nous découvrons les retombées de la violation massive de UnitedHealth \\, en train de faire le royaume de la sécurité des données sur la santé.Découvrez comment les escrocs exploitent des informations volées et restez à l'écoute alors que nous démêles une arnaque de shopping en ligne astucieuse en Corée du Sud et au Japon.
>This week, we uncover the fallout from UnitedHealth\'s massive breach, rattling the realm of health data security. Discover how scammers exploit stolen info, and stay tuned as we unravel a crafty online shopping scam in South Korea and Japan. 		Threat ★★★
Last update at: 2024-05-08 05:07:56
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter