What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-01-30 14:00:00 | CyberheistNews Vol 14 # 05 Myth de la violation de données massive Éteinte: les gros titres masquent une menace mineure CyberheistNews Vol 14 #05 Myth of Massive Data Breach Busted: Big Headlines Mask a Minor Threat (lien direct) |
|
Data Breach Threat | ★★★ | |
 |
2024-01-30 13:51:14 | Les applications iPhone exploitent les notifications pour la collecte de données iPhone Apps Exploit Notifications for Data Collection (lien direct) |
> Des enquêtes récentes ont révélé que plusieurs applications iPhone ont exploité des notifications système pour accéder illicitement aux utilisateurs & # 8217;Informations privées, incitant Apple à appliquer des directives de surveillance plus strictes et à mettre à jour les directives dans l'App Store pour empêcher de telles violations de confidentialité.Les notifications, conçues pour fournir aux utilisateurs des informations et des rappels en temps opportun, ont été manipulées par certaines applications pour recueillir des données personnelles & # 8230;
>Recent investigations have revealed that several iPhone applications have exploited system notifications to illicitly access users’ private information, prompting Apple to enforce stricter oversight and update guidelines within the App Store to prevent such privacy violations. Notifications, designed to provide users with timely information and reminders, were manipulated by certain applications to gather personal data … |
Threat Mobile | ★★ | |
 |
2024-01-30 13:50:41 | Les équipes informatique et les responsables sécurité collaborent de plus en plus pour luttre contre les cybermenaces sophistiquées (lien direct) | Les équipes informatique et les responsables sécurité collaborent de plus en plus pour luttre contre les cybermenaces sophistiquées Le nouveau rapport de Commvault et Futurum montre que les organisations se rapprochent de l'IA pour contrer les menaces pilotées par l'IA en 2024 - Investigations | Threat | ★★ | |
 |
2024-01-30 12:54:27 | Les États-Unis ont perturbé l'opération de piratage chinois destiné à l'infrastructure critique: rapport US Disrupted Chinese Hacking Operation Aimed at Critical Infrastructure: Report (lien direct) |
> Le gouvernement américain aurait désactivé des parties d'une cyber campagne de botnet menée par l'acteur de menace chinoise Volt Typhoon.
>US government reportedly disabled parts of a botnet-powered cyber campaign conducted by the Chinese threat actor Volt Typhoon. |
Threat | Guam | ★★★ |
 |
2024-01-30 11:00:00 | Darkgate Malware livré via Microsoft Teams - Détection et réponse DarkGate malware delivered via Microsoft Teams - detection and response (lien direct) |
Executive summary
While most end users are well-acquainted with the dangers of traditional phishing attacks, such as those delivered via email or other media, a large proportion are likely unaware that Microsoft Teams chats could be a phishing vector. Most Teams activity is intra-organizational, but Microsoft enables External Access by default, which allows members of one organization to add users outside the organization to their Teams chats. Perhaps predictably, this feature has provided malicious actors a new avenue by which to exploit untrained or unaware users.
In a recent example, an AT&T Cybersecurity Managed Detection and Response (MDR) customer proactively reached out with concerns about a user who was external to their domain sending an unsolicited Teams chat to several internal members. The chat was suspected to be a phishing lure. The customer provided the username of the external user as well as the IDs of multiple users who were confirmed to have accepted the message.
With this information, the AT&T Cybersecurity MDR SOC team was able to identify the targeted users, as well as suspicious file downloads initiated by some of them. A review of the tactics and indicators of compromise (IOCs) utilized by the attacker showed them to be associated with DarkGate malware, and the MDR SOC team was able to head off the attack before any significant damage was done.
Investigation
Initial event review
Indicators of compromise
The customer provided the below screenshot (Image 1) of the message that was received by one of their users and which was suspected to be a phishing lure. An important detail to note here is the “.onmicrosoft.com” domain name. This domain, by all appearances, is authentic and most users would probably assume that it is legitimate. OSINT research on the domain also shows no reports for suspicious activity, leading the MDR SOC team to believe the username (and possibly the entire domain) was likely compromised by the attackers prior to being used to launch the phishing attack.
Image 1: Screenshot from customer of received message
Expanded investigation
Events search
Performing a search of the external username in the customer’s environment led the MDR team to over 1,000 “MessageSent” Teams events that were generated by the user. Although these events did not include the IDs of the recipients, they did include the external user’s tenant ID, as displayed in Image 2 below.
Image 2: Event log showing external user tenant ID
A Microsoft 365 tenant ID is a globally unique identifier assigned to an organization. It is what allows members of different companies to communicate with one another via Teams. As long as both members of a chat have valid tenant IDs, and External Access is enabled, they can exchange messages. With this in mind, the MDR SOC team was able to query events that contained the external user’s tenant ID and found multiple “MemberAdded” events, which are generated when a user joins a chat in Teams.
Image 3: “MemberAdded” event
These events include the victim’s user ID, but not the external user ID. In addition to the external tenant ID, the MDR SOC team was able to positively link these “MemberAdded” events back to the attacker via the “ChatThreadId” field, which was also present in the original “MessageSent&rdq |
Malware Threat Technical | ★★★★ | |
 |
2024-01-30 10:31:00 | Juniper Networks libère des mises à jour urgentes du système d'exploitation pour les défauts de haute sévérité Juniper Networks Releases Urgent Junos OS Updates for High-Severity Flaws (lien direct) |
Juniper Networks a publié des mises à jour hors bande vers & nbsp; aborder des défauts de haute sévérité & nbsp; dans la série SRX et les séries EX qui pourraient être exploitées par un acteur de menace pour prendre le contrôle des systèmes sensibles.
Les vulnérabilités, suivies en tant que & nbsp; CVE-2024-21619 et CVE-2024-21620, sont enracinées dans le composant J-WEB et ont un impact sur toutes les versions de Junos OS.Deux autres lacunes, CVE-2023-36846 et
Juniper Networks has released out-of-band updates to address high-severity flaws in SRX Series and EX Series that could be exploited by a threat actor to take control of susceptible systems. The vulnerabilities, tracked as CVE-2024-21619 and CVE-2024-21620, are rooted in the J-Web component and impact all versions of Junos OS. Two other shortcomings, CVE-2023-36846 and |
Vulnerability Threat | ★★ | |
 |
2024-01-30 09:13:41 | Le rapport UK NCSC met en garde contre l'augmentation de la menace des ransomwares avec la montée de l'IA affectant les cyber opérations UK NCSC report warns of increased ransomware threat with rise of AI affecting cyber operations (lien direct) |
> Le Royaume-Uni National Cyber Security Center (NCSC) a publié un rapport mettant en évidence l'impact potentiel de l'intelligence artificielle ...
>The U.K. National Cyber Security Centre (NCSC) has released a report highlighting the potential impact of artificial intelligence... |
Ransomware Threat | ★★★ | |
|
2024-01-30 09:08:22 | (Déjà vu) Logpoint is announcing the release of new capabilities to its Converged SIEM platform (lien direct) | LogPoint publie de nouvelles capacités pour optimiser les performances de la cybersécurité
• LogPoint améliore sa plate-forme SIEM convergente pour aider les organisations et les MSSP à améliorer les performances de la cybersécurité et à libérer le temps et les ressources dans les opérations de sécurité.
• La nouvelle version réduit la charge de travail sur les tâches opérationnelles, permettant aux équipes SOC de gagner leur efficacité dans la détection, l'enquête et la réponse des menaces.
-
revues de produits
Logpoint releases new capabilities to optimize cybersecurity performance • Logpoint enhances its Converged SIEM platform to help organizations and MSSPs improve cybersecurity performance and free up time and resources in security operations. • The new release reduces the workload on operational tasks, empowering SOC teams to gain efficiency in threat detection, investigation, and response. - Product Reviews |
Threat | ★★ | |
|
2024-01-30 09:03:55 | Logpoint lance de nouvelles fonctionnalités au sein de sa plateforme Converged SIEM (lien direct) | Logpoint lance de nouvelles fonctionnalités pour optimiser les performances en matière de cybersécurité • Logpoint améliore sa plateforme Converged SIEM pour aider les entreprises et les MSSP à améliorer leurs performances en matière de cybersécurité et à libérer du temps et des ressources au niveau de la gestion de leurs opérations de sécurité. • La nouvelle version réduit la charge de travail au niveau des tâches opérationnelles, permettant ainsi aux équipes SOC de gagner en efficacité dans la détection, l'investigation et la réponse aux menaces. - Produits | Threat | ★★ | |
 |
2024-01-30 05:20:34 | Trigona Ransomware menace l'acteur utilise Mimic Ransomware Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment identifié une nouvelle activité de l'acteur de menace de ransomware Trigona Installation de Mimicransomware.Comme les cas passés, l'attaque récemment détectée cible les serveurs MS-SQL et est remarquable pour abuser de l'utilitaire BCP (Bulk Copy Program) dans les serveurs MS-SQL pendant le processus d'installation de logiciels malveillants.L'ASEC a découvert un cas d'attaque pour la première fois en utilisant BCP pour installer Mimic début janvier 2024. À la mi-janvier 2024, des types d'attaques similaires étaient identifiés où Trigona a été installé à la place ...
AhnLab SEcurity intelligence Center (ASEC) has recently identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. Like past cases, the recently detected attack targets MS-SQL servers and is notable for abusing the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. ASEC first discovered a case of attack using BCP to install Mimic in early January 2024. In mid-January 2024, there were similar types of attacks identified where Trigona was installed instead... |
Ransomware Malware Threat | ★★ | |
 |
2024-01-30 05:00:16 | Mémoire de sécurité: \\ 'c'est la saison de Tax Hax Security Brief: \\'Tis the Season for Tax Hax (lien direct) |
Ce qui s'est passé Les chercheurs de ProofPoint ont récemment identifié le retour de TA576, un acteur de menace cybercriminale qui utilise des leurres sur le thème de la taxe ciblant spécifiquement les organisations comptables et financières.Cet acteur n'est généralement actif que les premiers mois de l'année pendant la saison fiscale des États-Unis, ciblant généralement les organisations en Amérique du Nord avec des campagnes de messagerie à faible volume.Dans toutes les campagnes, l'acteur par e-mail des demandes d'aide à la préparation des revenus et tentera de livrer des chevaux de Troie à distance (rats). Dans les deux premières campagnes observées en janvier 2024, l'acteur a utilisé un compte compromis pour envoyer des e-mails bénins censés demander une assistance fiscale.Bien que le compte de l'expéditeur ait été compromis, les e-mails comportaient une adresse de réponse avec un domaine récemment enregistré qui appartient probablement à l'acteur de menace.L'acteur de menace a fourni une trame de fond et a demandé des prix et une disponibilité.Si la cible a répondu, l'acteur de menace a répondu par une URL malveillante Google Firebase (Web.App). Lyure sur le thème des impôts utilisé par TA576. Si l'URL était cliquée, elle redirigea vers le téléchargement d'un fichier de raccourci zippé (LNK).Si ce raccourci était exécuté, il a exécuté PowerShell encodé via l'injection SyncappvpublishingServer.vbs lolbas.La commande PowerShell a lancé MSHTA pour exécuter la charge utile de l'application HTML (HTA) à partir d'une URL fournie.Vivant des techniques de binaires terrestres, scripts et bibliothèques (lolbas) devient de plus en plus populaire parmi les menaces cybercriminales. Exemple de cible de raccourci. Le code prend une séquence de valeurs numériques, soustrait un nombre de chacun (dans ce cas 593), et convertit chaque résultat en un caractère utilisant le casting de type [char], et concaténe les caractères en une chaîne stockée dans la variable $ k.Fait intéressant, le nombre soustrait diffère du raccourci au raccourci. La charge utile HTA a exécuté une commande PowerShell à AES Decrypt et décompresser une autre commande qui a téléchargé un exécutable dans le dossier% AppData% et l'a exécuté.Cette technique est similaire à celle précédemment documentée par SANS ISC.L'exécutable de la campagne TA576 a utilisé la technique d'évasion de la "porte du ciel" pour exécuter Parallax Rat. Résumé de la chaîne d'attaque: Message bénigne> Réponse cible> Réponse de l'acteur avec web.app URL> Redirection> zip> lnk> syncappvpublishingServer.vbs lolbas> PowerShell> mshta exécute HTA à partir de l'URL> PowerShell cryptée> Obfuscated PowerShell> Télécharger et exécuter l'exe exe Les campagnes de 2024 de TA576 \\ sont notables car il s'agit du premier point de preuve a observé que l'acteur livrant Parallax Rat.De plus, la chaîne d'attaque de l'acteur \\ à l'aide de techniques LOLBAS et de plusieurs scripts PowerShell est nettement différente des campagnes précédemment observées qui ont utilisé des URL pour zipper les charges utiles JavaScript ou des documents Microsoft Word en macro. Attribution TA576 est un acteur de menace cybercriminale.ProofPoint a suivi TA576 depuis 2018 via des techniques de création de courriels de spam, une utilisation des logiciels malveillants, des techniques de livraison de logiciels malveillants et d'autres caractéristiques.Cet acteur utilise des leurres d'impôt contenant des caractéristiques et des thèmes similaires pendant la saison fiscale américaine pour livrer et installer des rats.Les objectifs de suivi de Ta576 \\ sont inconnus.Bien que les secteurs les plus fréquemment observés ciblés incluent les entités comptables et financières, Proof Point a également observé le ciblage des industries connexes telles que le légal. Pourquoi est-ce important Les campagnes annuelles sur le thème de l'impôt de TA576 \\ servent de rappel récurrent que les acteurs des menaces de cybercri | Spam Malware Threat Prediction | ★★ | |
 |
2024-01-30 04:00:02 | Félicitations à Check Point \\'s CPX APAC Partner Award Gainters Congratulating Check Point\\'s CPX APAC Partner Award Winners (lien direct) |
> 2023 a été l'année des attaques de méga ransomwares et des cybermenaces alimentées par l'IA.La région de l'APAC a été la plus touchée par les cyberattaques, les organisations subissant une moyenne de 1 930 attaques par semaine.Nos partenaires étaient là pour soutenir et guider les clients au milieu du paysage des menaces croissantes et de nouvelles cyber-réglementations.Nous remercions tous nos partenaires pour leur dévouement continu à assurer la meilleure sécurité aux organisations de toutes tailles dans l'APAC.Cette année, nous sommes fiers d'annoncer les prix de partenaire CPX APAC suivants et de célébrer les gagnants: le prix du partenaire de l'année 2023 va à NCS Pte Ltd!Le [& # 8230;]
>2023 was the year of mega ransomware attacks and AI-fueled cyber threats. The APAC region was hit hardest by cyber attacks, with organizations experiencing an average of 1,930 attacks per week. Our partners were there to support and guide customers amidst the growing threat landscape and new cyber regulations. We thank all of our partners for their continued dedication to providing the best security to organizations of all sizes in APAC. This year, we\'re proud to announce the following CPX APAC Partner awards and celebrate the winners: The 2023 Partner of the Year award goes to NCS Pte Ltd! The […] |
Ransomware Threat | ★★★ | |
 |
2024-01-30 02:10:10 | Le rapport sur le cyber-préparation de Hiscox met en lumière la cybersécurité commerciale HISCOX Cyber Readiness Report Shines Light on Commercial Cybersecurity (lien direct) |
L'une des préoccupations les plus importantes pour les organisations de toutes tailles est la protection contre les cyberattaques et autres menaces numériques à la sécurité.Ces dangers peuvent s'avérer un revers majeur pour une entreprise, et beaucoup représentent même une menace existentielle.Afin de prévenir efficacement les incidents de cybersécurité et de protéger les données sensibles et d'autres actifs vitaux, les organisations doivent être préparées à la possibilité d'une attaque.Cela nécessite une connaissance des tendances des menaces et du paysage numérique, les choses qui sont constamment en constante évolution, donc rester à jour sur les derniers développements est de la plus haute importance.Assurance...
One of the most important concerns for organizations of all sizes is protection against cyberattacks and other digital threats to security. These dangers can prove a major setback for a company, and many even pose an existential threat. In order to effectively prevent cybersecurity incidents and protect sensitive data and other vital assets, organizations must be prepared for the possibility of an attack. This requires knowledge of threat trends and the digital landscape, things that are constantly in flux, so staying up to date on the latest developments is of the utmost importance. Insurance... |
Threat Commercial | ★★ | |
|
2024-01-29 20:41:30 | Acteurs de menace vendant une base de données 1,8 To d'utilisateurs mobiles indiens Threat Actors Selling 1.8TB Database of Indian Mobile Users (lien direct) |
> Par deeba ahmed
Deux groupes d'acteurs de menace, à savoir Cybo Crew et Unit8200, vendent apparemment la même base de données avec un prix de 3 000 $
Ceci est un article de HackRead.com Lire le post original: Acteurs de menace vendant une base de données de 1,8 To des utilisateurs mobiles indiens
>By Deeba Ahmed Two groups of threat actors, namely CYBO CREW and UNIT8200, are apparently selling the same database with a price tag of $3,000. This is a post from HackRead.com Read the original post: Threat Actors Selling 1.8TB Database of Indian Mobile Users |
Threat Mobile | ★★ | |
 |
2024-01-29 20:40:12 | Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT (lien direct) | #### Description
Un acteur de menace motivé financièrement a ciblé les banques mexicaines et les entités commerciales de crypto-monnaie avec une version modifiée d'Allakore Rat.
Les leurres utilisent des schémas de dénomination de la sécurité sociale mexicaine (IMSS) et des liens avec des documents légitimes et bénins pendant le processus d'installation.La charge utile du rat Allakore est fortement modifiée pour permettre aux acteurs de la menace d'envoyer des informations d'identification bancaires volées et des informations d'authentification uniques à un serveur de commandement et de contrôle (C2) à des fins de fraude financière.
#### URL de référence (s)
1. https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat-rat
#### Date de publication
29 janvier 2024
#### Auteurs)
Équipe BlackBerry Research & Intelligence
#### Description A financially-motivated threat actor has been targeting Mexican banks and cryptocurrency trading entities with a modified version of AllaKore RAT. Lures use Mexican Social Security Institute (IMSS) naming schemas and links to legitimate, benign documents during the installation process. The AllaKore RAT payload is heavily modified to allow the threat actors to send stolen banking credentials and unique authentication information back to a command-and-control (C2) server for the purposes of financial fraud. #### Reference URL(s) 1. https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat #### Publication Date January 29, 2024 #### Author(s) BlackBerry Research & Intelligence Team |
Threat | ★★ | |
|
2024-01-29 19:01:00 | Les chercheurs découvrent comment la vulnérabilité Outlook pourrait fuir vos mots de passe NTLM Researchers Uncover How Outlook Vulnerability Could Leak Your NTLM Passwords (lien direct) |
Une faille de sécurité maintenant paralysée dans Microsoft Outlook pourrait être exploitée par les acteurs de la menace pour accéder aux mots de passe de NT LAN Manager (NTLM) V2 lors de l'ouverture d'un fichier spécialement conçu.
Le problème, suivi comme CVE-2023-35636 (score CVSS: 6,5), a été abordé par le géant de la technologie dans le cadre de son & nbsp; Patch Mardida Mises à jour & NBSP; pour décembre 2023.
"Dans un scénario d'attaque par e-mail, un attaquant pourrait exploiter le
A now-patched security flaw in Microsoft Outlook could be exploited by threat actors to access NT LAN Manager (NTLM) v2 hashed passwords when opening a specially crafted file. The issue, tracked as CVE-2023-35636 (CVSS score: 6.5), was addressed by the tech giant as part of its Patch Tuesday updates for December 2023. "In an email attack scenario, an attacker could exploit the |
Vulnerability Threat | ★★★ | |
 |
2024-01-29 15:39:52 | THREAT ALERT: DarkGate Loader (lien direct) |
Cybereason issues Threat Alerts to inform customers of emerging impacting threats, including recently observed DarkGate Loader. Cybereason Threat Alerts summarize these threats and provide practical recommendations for protecting against them.
Cybereason issues Threat Alerts to inform customers of emerging impacting threats, including recently observed DarkGate Loader. Cybereason Threat Alerts summarize these threats and provide practical recommendations for protecting against them. |
Threat | ★★★ | |
|
2024-01-29 14:42:02 | Informations exploitables: protégez vos identités vulnérables Actionable Insights: Protect Your Vulnerable Identities (lien direct) |
In this blog series, we cover how to improve your company\'s security posture with actionable insights. Actionable insights are a critical tool to help you improve your security posture and stop initial compromise in the attack chain. You can use them to identify and respond to potential risks, enhance your incident response capabilities and make more informed security decisions. Figure 1. Steps in the cyberattack chain. In previous actionable insights blog posts, we covered these topics: People risk Origin risk Business email compromise (BEC) risk Ensuring proper risk context Risk efficacy Telephone-oriented attack delivery (TOAD) risk Threat intelligence Executive Summary Condemnation Summary In this post, we show you the value of integrating data from Proofpoint Identity Threat Defense into the Proofpoint Targeted Attack Protection (TAP) Dashboard. You can now use this data about your identity risks to stop initial compromise and prevent the lateral movement of threats in your environment. Get insights about your vulnerable identities IT and security professionals are always looking for ways to stay ahead of evolving threats and protect their organizations. The TAP Dashboard from Proofpoint has long been a valuable tool in this fight. It provides crucial visibility into email threats and user activity. Now that the TAP Dashboard uses data from Proofpoint Identity Threat Defense, it has become even more powerful. Rich data about identity risks can help you see the impact of a potential compromise without having to leave the TAP Dashboard. Let\'s explore what this looks like in the dashboard-and how you can use this identity data to strengthen your security posture. Insights for supercharged visibility One new addition to the People page in the TAP Dashboard is the Identity Threat Attack Paths column. It reveals the currently available attack paths for each user, which are based on their identified vulnerabilities. No more digging through separate tools. You can now have a clear picture within the TAP Dashboard of how a threat actor could use each identity to escalate privilege and move laterally. Figure 2. Identity Threat Attack Paths column in the TAP Dashboard. You can also view identity risk factors for each user. This allows you to gain a deeper understanding of the potential impact of compromise for each user. The metrics you can view include: Overall risk exposure Number of potential attack paths associated with the user Key identity vulnerabilities associated with the user Figure 3. Identity risk factors for individual users. This data can help you to prioritize your response efforts. You can use it to better focus on securing the identities that might be used to cause the most harm to your business. Example use case Take this example of a hypothetical user named Dona Hosby, a 47-year-old finance director. She has access to client accounts and sensitive financial data. Despite her crucial role in the business, Hosby tends to be less cautious about clicking on suspicious email links and attachments. From the TAP Dashboard, Hosby is identified as a Very Attacked Person™ (VAP) with a high attack index. However, this risk level is not unique to her; others in the company share similar risk levels. With data enrichment from Proofpoint Identity Threat Defense, the TAP Dashboard shows that Hosby is also a shadow admin, which exposes her to critical risks. A shadow admin is an individual or account that has elevated privileges or access rights that are not in compliance with the company\'s security policies. We can also see the number of lateral attack paths (41) an attacker could take from Hosby\'s identity. This information can help the security team to pinpoint which VAPs in the organization pose a higher post-compromise risk. Figures 4 and 5 show what these insights look like in the TAP Dashboard. Figure 4: Example identity risk metrics in the TAP Dashboard for Dona Hosby. Fi | Tool Vulnerability Threat | ★★★ | |
 |
2024-01-29 14:28:04 | Analyse de la porte dérobée Falsefont utilisée par l'acteur de menace de pêche à la pêche Analysis of FalseFont Backdoor used by Peach-Sandstorm Threat Actor (lien direct) |
In this blog series, we cover how to improve your company\'s security posture with actionable insights. Actionable insights are a critical tool to help you improve your security posture and stop initial compromise in the attack chain. You can use them to identify and respond to potential risks, enhance your incident response capabilities and make more informed security decisions. Figure 1. Steps in the cyberattack chain. In previous actionable insights blog posts, we covered these topics: People risk Origin risk Business email compromise (BEC) risk Ensuring proper risk context Risk efficacy Telephone-oriented attack delivery (TOAD) risk Threat intelligence Executive Summary Condemnation Summary In this post, we show you the value of integrating data from Proofpoint Identity Threat Defense into the Proofpoint Targeted Attack Protection (TAP) Dashboard. You can now use this data about your identity risks to stop initial compromise and prevent the lateral movement of threats in your environment. Get insights about your vulnerable identities IT and security professionals are always looking for ways to stay ahead of evolving threats and protect their organizations. The TAP Dashboard from Proofpoint has long been a valuable tool in this fight. It provides crucial visibility into email threats and user activity. Now that the TAP Dashboard uses data from Proofpoint Identity Threat Defense, it has become even more powerful. Rich data about identity risks can help you see the impact of a potential compromise without having to leave the TAP Dashboard. Let\'s explore what this looks like in the dashboard-and how you can use this identity data to strengthen your security posture. Insights for supercharged visibility One new addition to the People page in the TAP Dashboard is the Identity Threat Attack Paths column. It reveals the currently available attack paths for each user, which are based on their identified vulnerabilities. No more digging through separate tools. You can now have a clear picture within the TAP Dashboard of how a threat actor could use each identity to escalate privilege and move laterally. Figure 2. Identity Threat Attack Paths column in the TAP Dashboard. You can also view identity risk factors for each user. This allows you to gain a deeper understanding of the potential impact of compromise for each user. The metrics you can view include: Overall risk exposure Number of potential attack paths associated with the user Key identity vulnerabilities associated with the user Figure 3. Identity risk factors for individual users. This data can help you to prioritize your response efforts. You can use it to better focus on securing the identities that might be used to cause the most harm to your business. Example use case Take this example of a hypothetical user named Dona Hosby, a 47-year-old finance director. She has access to client accounts and sensitive financial data. Despite her crucial role in the business, Hosby tends to be less cautious about clicking on suspicious email links and attachments. From the TAP Dashboard, Hosby is identified as a Very Attacked Person™ (VAP) with a high attack index. However, this risk level is not unique to her; others in the company share similar risk levels. With data enrichment from Proofpoint Identity Threat Defense, the TAP Dashboard shows that Hosby is also a shadow admin, which exposes her to critical risks. A shadow admin is an individual or account that has elevated privileges or access rights that are not in compliance with the company\'s security policies. We can also see the number of lateral attack paths (41) an attacker could take from Hosby\'s identity. This information can help the security team to pinpoint which VAPs in the organization pose a higher post-compromise risk. Figures 4 and 5 show what these insights look like in the TAP Dashboard. Figure 4: Example identity risk metrics in the TAP Dashboard for Dona Hosby. Fi | Threat | ★★ | |
|
2024-01-29 13:51:49 | 29 janvier & # 8211;Rapport de renseignement sur les menaces 29th January – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations à la suite des rapports sur l'APT29 affiliée à la Russie (alias Cozy Bear, Midnight Blizzard) contre Microsoft, également Hewlett-Packard Enterprise ont reconnu avoir été attaqué par le même acteur de menace.Tandis que Microsoft a détecté la violation de janvier [& # 8230;]
>For the latest discoveries in cyber research for the week of 29th January, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Following the reports on Russia-affiliated APT29 (AKA Cozy Bear, Midnight Blizzard) attack against Microsoft, also Hewlett-Packard Enterprise acknowledged it was attacked by the same threat actor. While Microsoft detected the breach on January […] |
Threat | APT 29 | ★★ |
 |
2024-01-29 13:00:00 | Top 10 des vulnérabilités RCE exploitées en 2023 Top 10 RCE Vulnerabilities Exploited in 2023 (lien direct) |
> La cybersécurité se déroule dans une interaction continue entre les défenseurs et les acteurs de la menace & # 8211;une quête en constante évolution ...
>Cybersecurity unfolds in a continuous interplay between defenders and threat actors – an ever-evolving quest... |
Vulnerability Threat | ★★★ | |
 |
2024-01-29 12:03:42 | Les dirigeants de Microsoft ont piraté Microsoft Executives Hacked (lien direct) |
Microsoft est reportage qu'une agence de renseignement russe & # 8212; la même responsable des Solarwinds a accédé au système de messagerie des dirigeants de la société. .
À partir de la fin de novembre 2023, l'acteur de menace a utilisé une attaque en pulvérisation de mot de passe pour compromettre un compte de locataire de test de non-production hérité et prendre pied, puis a utilisé les autorisations de compte pour accéder à un très petitPourcentage de comptes de messagerie Microsoft d'entreprise, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré certains e-mails et documents joints.L'enquête indique qu'ils ciblaient initialement des comptes de messagerie pour des informations liées à Midnight Blizzard lui-même....
Microsoft is reporting that a Russian intelligence agency—the same one responsible for SolarWinds—accessed the email system of the company’s executives. Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. The investigation indicates they were initially targeting email accounts for information related to Midnight Blizzard itself. ... |
Threat | ★★★ | |
|
2024-01-29 11:02:00 | Packages PYPI malveillants Slip Whitesnake InfostEaler malware sur Windows Machines Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines (lien direct) |
Les chercheurs en cybersécurité ont identifié des packages malveillants sur le référentiel index de package Python open source (PYPI) qui fournissent une information volant malware appelé Whitesnake Stealer sur Windows Systems.
Les packages de logiciels malveillants sont nommés Nigpal, Figflix, Telerer, Segmm, FBDebug, SGMM, MyGens, Newgends et TestLibs111.Ils ont été téléchargés par un acteur de menace nommé "WS".
"Ces
Cybersecurity researchers have identified malicious packages on the open-source Python Package Index (PyPI) repository that deliver an information stealing malware called WhiteSnake Stealer on Windows systems. The malware-laced packages are named nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends, and TestLibs111. They have been uploaded by a threat actor named "WS." "These |
Malware Threat | ★★★ | |
|
2024-01-29 11:00:00 | Étude de cas: USM de Vertek \\ partout où MDR aide plus grand concessionnaire automobile dans le nord-est à améliorer leur posture de cybersécurité Case study: Vertek\\'s USM Anywhere MDR helps larger auto dealership in the northeast improve their Cybersecurity posture (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Challenges A larger auto dealership in the northeast faced a number of cybersecurity challenges, including: Lack of resources: The dealership did not have the in-house expertise or resources to manage its own security operations center (SOC). The lack of trained security experts resulted in slower responses times to security incidents. Multiple security solutions: The dealership was using a variety of security solutions from different vendors, making it difficult to manage and correlate security data. Increased threat landscape: The dealership was facing an increasing number of cyber threats, including ransomware, phishing, and malware attacks. Solution The dealership engaged Vertek to implement their top of line Managed Detection and Response (MDR) service using AT&T AlienVault SIEM. Vertek\'s USM Anywhere MDR service provides 24/7 proactive threat monitoring, industry leading threat intelligence, and expert incident response. It is built on top of the AlienVault USM Anywhere platform, which is a unified security management (USM) platform that combines multiple essential security capabilities in one unified console. The service easily integrates with the existing security stack and is implemented without interruption to existing operations. Benefits Since implementing Vertek\'s USM Anywhere MDR service the dealership has experienced a number of benefits, including: Improved security posture: Vertek\'s MDR service has helped the dealership improve its overall security posture by identifying and mitigating security vulnerabilities, and by providing the dealership with actionable security insights. Vertek’s 24/7 SOC identifies and responds to security incidents with speed and accuracy using industry leading threat intelligence. Reduced workload and more effective allocation of resources: Vertek\'s MDR service has reduced the workload on the dealership\'s IT staff by freeing them up to focus on mission critical tasks that fall in line with their core competency. Working with Vertek instead of building an in-house security team has resulted in significant cost savings for the dealership. Improved peace of mind: Vertek\'s MDR service gives the dealership peace of mind knowing that their security is being monitored and managed by a team of experts with expert response to threats. Specific example Vertek was actively monitoring a customer\'s network for threats using their USM Anywhere MDR service. AlienVault SIEM detected a large number of failed login attempts to the customer\'s Active Directory server. Vertek\'s security team immediately investigated the incident and discovered that the attacker was using a brute-force attack to try to guess the passwords of Active Directory users. Vertek\'s security team used context data in the form of network traffic, end-user behavior analytics, and NXLOGS output from their IT tools to understand the significance of the attack. They knew that the Active Directory server was a critical system for the customer, and that if the attacker was able to gain access to the server, they would be able to compromise the entire network. Vertek also used threat intelligence from the MITRE ATT&CK Framework to understand the tactics, techniques, and procedures (TTPs) of the attacker. They knew that brute-force attacks were a common tactic used by ransomware gangs. Based on the context data and threat intelligence, Vertek was able to determine that the customer was facing a high-risk ransomware attack. Vertek\'s security team quickly took steps to mitiga | Ransomware Malware Tool Vulnerability Threat Studies | ★★★ | |
|
2024-01-29 10:57:54 | Cartes de crédit de l'UE et des États-Unis, 750 m de données mobiles indiennes à risque;Subway frappé par Lockbit EU & US Credit Cards, 750M Indian Mobile Data at Risk; Subway Hit by LockBit (lien direct) |
L'équipe Web de Socradar Dark a identifié des incidents critiques dans le paysage cyber-menace sur le ...
The SOCRadar Dark Web Team identified critical incidents in the cyber threat landscape over the... |
Threat Mobile | ★★★ | |
|
2024-01-29 10:02:08 | Cybersecurity education from childhood is a vital tool: 72% of children worldwide have experienced at least one type of cyber threat (lien direct) | L'éducation à la cybersécurité de l'enfance est un outil vital: 72% des enfants du monde entier ont connu au moins un type de cyber-menace
Par Check Point Team
-
revues de produits
Cybersecurity education from childhood is a vital tool: 72% of children worldwide have experienced at least one type of cyber threat By Check Point Team - Product Reviews |
Tool Threat | ★★★ | |
 |
2024-01-29 01:29:08 | Les hacks de Tesla font une grande banque lors de l'événement axé sur l'automobile de Pwn2own \\ Tesla hacks make big bank at Pwn2Own\\'s first automotive-focused event (lien direct) |
Aussi: SEC admet la négligence du compte X;La nouvelle famille de malware macOS apparaît;Et certaines vulns critiques infosec en bref Trend Micro \'s Zero Day Initiative (ZDI) ont tenu son tout premier événement PWN2OWN axé sur l'automobile à Tokyo la semaine dernière, et a décernéPlus de 1,3 million de dollars aux découvreurs de 49 vulnérabilités liées à des véhicules.…
ALSO: SEC admits to X account negligence; New macOS malware family appears; and some critical vulns Infosec in brief Trend Micro\'s Zero Day Initiative (ZDI) held its first-ever automotive-focused Pwn2Own event in Tokyo last week, and awarded over $1.3 million to the discoverers of 49 vehicle-related zero day vulnerabilities.… |
Malware Vulnerability Threat Prediction | ★★★ | |
|
2024-01-28 17:22:55 | Le vol de crypto PYPI malware frappe à la fois les utilisateurs de Windows et Linux Crypto Stealing PyPI Malware Hits Both Windows and Linux Users (lien direct) |
> Par deeba ahmed
Fortiguard Labs & # 8217;Le dernier rapport de recherche révèle une tendance préoccupante: les acteurs de la menace tirent parti de l'indice de package Python (PYPI), & # 8230;
Ceci est un article de HackRead.com Lire la publication originale: Le vol de crypto PYPI malware frappe à la fois les utilisateurs de Windows et Linux
>By Deeba Ahmed FortiGuard Labs’ latest research report reveals a concerning trend: threat actors are leveraging the Python Package Index (PyPI),… This is a post from HackRead.com Read the original post: Crypto Stealing PyPI Malware Hits Both Windows and Linux Users |
Malware Threat Prediction | ★★★ | |
|
2024-01-27 12:25:00 | Des logiciels malveillants d'Allakore Rat ciblant les entreprises mexicaines avec des astuces de fraude financière AllaKore RAT Malware Targeting Mexican Firms with Financial Fraud Tricks (lien direct) |
Les institutions financières mexicaines sont sous le radar d'une nouvelle campagne de phisces de lance qui fournit une version modifiée d'un cheval de Troie à un accès à distance open source appelé & nbsp; Allakore Rat.
L'équipe Blackberry Research and Intelligence a attribué l'activité à un acteur de menace financièrement motivé par Amérique latine inconnue.La campagne est active depuis au moins 2021.
"Les leurres utilisent le social mexicain
Mexican financial institutions are under the radar of a new spear-phishing campaign that delivers a modified version of an open-source remote access trojan called AllaKore RAT. The BlackBerry Research and Intelligence Team attributed the activity to an unknown Latin American-based financially motivated threat actor. The campaign has been active since at least 2021. "Lures use Mexican Social |
Malware Threat | ★★ | |
 |
2024-01-26 21:00:00 | Nouvellement id \\ 'ed chinois apt cache la porte dérobée dans les mises à jour logicielles Newly ID\\'ed Chinese APT Hides Backdoor in Software Updates (lien direct) |
L'acteur de menace est allé plus d'une demi-décennie avant d'être découvert - grâce à une porte dérobée remarquable livrée dans des attaques invisibles adverses dans le milieu.
The threat actor went more than half a decade before being discovered - thanks to a remarkable backdoor delivered in invisible adversary-in-the-middle attacks. |
Threat | ★★ | |
|
2024-01-26 20:37:00 | Microsoft partage de nouveaux conseils dans le sillage de \\ 'Midnight Blizzard \\' Cyberattack Microsoft Shares New Guidance in Wake of \\'Midnight Blizzard\\' Cyberattack (lien direct) |
Les acteurs de menace ont créé et abusé des applications OAuth pour accéder à l'environnement de messagerie d'entreprise de Microsoft \\ et y rester pendant des semaines.
Threat actors created and abused OAuth apps to access Microsoft\'s corporate email environment and remain there for weeks. |
Threat | ★★★ | |
 |
2024-01-26 17:16:24 | Acteurs de menace distribuant des logiciels malveillants d'écran de OneDrive Threat Actors Distributing Screenshotter Malware from OneDrive (lien direct) |
> Selon les données collectées par Netskope Threat Labs, au cours de 2023, OneDrive était l'application cloud la plus exploitée en termes de téléchargements de logiciels malveillants.Et si une bonne journée commence le matin, 2024 ne promet rien de bon.En fait, début janvier et après une pause de neuf mois, des chercheurs de [& # 8230;]
>According to the data collected by Netskope Threat Labs, over the course of 2023, OneDrive was the most exploited cloud app in terms of malware downloads. And if a good day starts in the morning, 2024 does not promise anything good. In fact, at the beginning of January, and after a nine-month break, researchers from […] |
Malware Threat Cloud | ★★ | |
|
2024-01-26 16:00:00 | Sécuriser la chaîne: comment les renseignements sur les menaces renforcent la gestion des risques tiers Securing the Chain: How Threat Intelligence Strengthens Third-Party Risk Management (lien direct) |
> Les entreprises sont de plus en plus confrontées à de nouveaux incidents de cybersécurité perturbateurs, coûteux et peuvent endommager considérablement leur ...
>Businesses increasingly face new cybersecurity incidents that are disruptive, costly, and can significantly damage their... |
Threat | ★★★ | |
|
2024-01-26 15:14:00 | Annonces malveillantes sur Google Target Utilisateurs chinois avec de fausses applications de messagerie Malicious Ads on Google Target Chinese Users with Fake Messaging Apps (lien direct) |
Les utilisateurs de langue chinois ont été ciblés par des publicités Google malveillantes pour des applications de messagerie restreintes comme Telegram dans le cadre d'une campagne de malvertisation en cours.
"L'acteur de menace abuse des comptes Google Advertiser pour créer des publicités malveillantes et les pointer vers des pages où les utilisateurs sans méfiance téléchargeront à la place l'administration à distance (rats)", malwarebytes \\ 'j & eacute; r & ocirc; me Segura & nbsp; a dit & nbsp; dans un
Chinese-speaking users have been targeted by malicious Google ads for restricted messaging apps like Telegram as part of an ongoing malvertising campaign. "The threat actor is abusing Google advertiser accounts to create malicious ads and pointing them to pages where unsuspecting users will download Remote Administration Trojan (RATs) instead," Malwarebytes\' Jérôme Segura said in a |
Threat | ★★★ | |
|
2024-01-26 14:00:00 | Fonctionnement de l'APT russe: Star Blizzard Russian APT Operation: Star Blizzard (lien direct) |
> Dans le paysage cyber-menace en constante évolution, les stratégies de Star Blizzard se déroulent avec un ...
>Within the continuously changing cyber threat landscape, the strategies of Star Blizzard unfold with a... |
Threat | ★★ | |
 |
2024-01-26 13:39:32 | Blackwood Hijacks Software Mises à jour pour déployer NSPX30 & # 8211;Semaine en sécurité avec Tony Anscombe Blackwood hijacks software updates to deploy NSPX30 – Week in security with Tony Anscombe (lien direct) |
L'acteur de menace inconnu a utilisé l'implant pour cibler les entreprises chinoises et japonaises, ainsi que des individus en Chine, au Japon et au Royaume-Uni
The previously unknown threat actor used the implant to target Chinese and Japanese companies, as well as individuals in China, Japan, and the UK |
Threat | ★★ | |
|
2024-01-26 12:21:56 | Blackwood APT lié à la Chine déploie la porte dérobée avancée NSPX30 dans Cyberespionage China-Linked Blackwood APT Deploys Advanced NSPX30 Backdoor in Cyberespionage (lien direct) |
> Par deeba ahmed
La porte dérobée du NSPX30, initialement découverte en 2005 en tant que simple forme de logiciels malveillants, a évolué au fil du temps en une menace avancée.
Ceci est un article de HackRead.com Lire le post original: Blackwood APT lié à la Chine déploie la porte dérobée avancée NSPX30 dans Cyberespionage
>By Deeba Ahmed The NSPX30 backdoor, initially uncovered in 2005 as a simple form of malware, has evolved over time into an advanced threat. This is a post from HackRead.com Read the original post: China-Linked Blackwood APT Deploys Advanced NSPX30 Backdoor in Cyberespionage |
Malware Threat | ★★★ | |
|
2024-01-26 11:33:00 | Microsoft met en garde contre l'élargissement des attaques d'espionnage APT29 ciblant les orgs mondiaux Microsoft Warns of Widening APT29 Espionage Attacks Targeting Global Orgs (lien direct) |
Microsoft a déclaré jeudi que les acteurs de la menace parrainés par l'État russe responsables de A & NBSP; Cyber Attack contre ses systèmes et NBSP; fin novembre 2023 ont ciblé d'autres organisations et qu'elle commence actuellement à les informer.
Le développement intervient un jour après que Hewlett Packard Enterprise (HPE) & NBSP; a révélé & nbsp; qu'il avait été victime d'une attaque perpétrée par un équipage de piratage
Microsoft on Thursday said the Russian state-sponsored threat actors responsible for a cyber attack on its systems in late November 2023 have been targeting other organizations and that it\'s currently beginning to notify them. The development comes a day after Hewlett Packard Enterprise (HPE) revealed that it had been the victim of an attack perpetrated by a hacking crew |
Threat | APT 29 | ★★★ |
|
2024-01-26 11:00:00 | Cybersécurité pour les systèmes de contrôle industriel: meilleures pratiques Cybersecurity for Industrial Control Systems: Best practices (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Network segmentation, software patching, and continual threats monitoring are key cybersecurity best practices for Industrial Control Systems (ICS). Although ICSs significantly improve health and safety by automating dangerous tasks, facilitating remote monitoring and control, and activating safety protocols in the case of emergency, they’re increasingly exposed to cybersecurity threats. In 2022, there was a 2,000% increase in adversarial reconnaissance targeting Modbus/TCP port 502 — a widely-used industrial protocol — allowing malicious actors to exploit vulnerabilities in operational technology systems. Fortunately, by taking steps to improve and maintain ICS cybersecurity, manufacturers can successfully reduce the attack surface of their critical infrastructure and keep threats (including phishing, denial-of-service attacks, ransomware, and malware) at bay. ICS cyberattacks on the rise ICS cyberattacks are on the rise, with almost 27% of ICS systems affected by malicious objects in the second quarter of 2023, data from Kaspersky reveals. Cyberattacks have the power to devastate ICS systems, damage equipment and infrastructure, disrupt business, and endanger health and safety. For example, the U.S. government has warned of a malware strain called Pipedream: “a modular ICS attack framework that contains several components designed to give threat actors control of such systems, and either disrupt the environment or disable safety controls”. Although Pipedream has the ability to devastate industrial systems, it fortunately hasn’t yet been used to that effect. And, last year, a notorious hacking group called Predatory Sparrow launched a cyberattack on an Iranian steel manufacturer, resulting in a serious fire. In addition to causing equipment damage, the hackers caused a malfunctioning foundry to start spewing hot molten steel and fire. This breach only highlights the importance of safety protocols in the manufacturing and heavy industry sectors. By leveraging the latest safety tech and strengthening cybersecurity, safety, security, and operational efficiency can all be improved. Segment networks By separating critical systems from the internet and other non-critical systems, network segmentation plays a key role in improving ICS cybersecurity. Network segmentation is a security practice that divides a network into smaller, distinct subnetworks based on security level, functionality, or access control, for example. As a result, you can effectively prevent attacker lateral movement within your network — this is a common way hackers disguise themselves as legitimate users and their activities as expected traffic, making it hard to spot this method. Network segmentation also lets you create tailored and unique security policies and controls for each segment based on their defined profile. Each individual segment is therefore adequately protected. And, since network segmentation also provides you with increased visibility in terms of network activity, you’re also better able to spot and respond to problems with greater speed and efficiency. When it comes to | Ransomware Malware Vulnerability Threat Patching Industrial | ★★★ | |
|
2024-01-26 10:43:00 | Critical Cisco Flaw permet aux pirates de prendre à distance des systèmes de communication unifiés Critical Cisco Flaw Lets Hackers Remotely Take Over Unified Comms Systems (lien direct) |
Cisco a publié des correctifs pour aborder un défaut de sécurité critique impactant les produits unifiés de communications et de centres de contact qui pourraient permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un appareil affecté.
Suivi comme & nbsp; CVE-2024-20253 & nbsp; (Score CVSS: 9.9), le problème découle d'un traitement inapproprié des données fournies par l'utilisateur qu'un acteur de menace pourrait abuser pour envoyer un
Cisco has released patches to address a critical security flaw impacting Unified Communications and Contact Center Solutions products that could permit an unauthenticated, remote attacker to execute arbitrary code on an affected device. Tracked as CVE-2024-20253 (CVSS score: 9.9), the issue stems from improper processing of user-provided data that a threat actor could abuse to send a |
Threat | ★★★ | |
|
2024-01-26 10:00:00 | Un examen de 2023 & # 8211;26 447 CVE, 44 jours pour exploiter et Ransomware OnSlaught A Review of 2023 – 26,447 CVEs, 44 Days to Exploit, and Ransomware Onslaught (lien direct) |
Alors que nous réfléchissons au parcours de cybersécurité de 2023, nous découvrons des leçons précieuses qui façonnent ...
As we reflect on the cybersecurity journey of 2023, we uncover valuable lessons that shape... |
Ransomware Threat | ★★★ | |
 |
2024-01-26 09:00:54 | Securonix Threat Research Security Advisory: Analyse technique et détection de deux vulnérabilités zéro-jours dans Ivanti Connect Secure VPN Securonix Threat Research Security Advisory: Technical Analysis and Detection of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (lien direct) |
Securonix Threat Research Security Advisory: Analyse technique et détection de deux vulnérabilités zéro-jours dans Ivanti Connect Secure VPN
Securonix Threat Research Security Advisory: Technical Analysis and Detection of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN |
Vulnerability Threat Technical | ★★ | |
|
2024-01-25 19:48:09 | Parrot TDS: une campagne de logiciels malveillants persistants et évolutives Parrot TDS: A Persistent and Evolving Malware Campaign (lien direct) |
#### Description
Le Parrot TDS (Traffic Redirect System) a augmenté sa campagne depuis octobre 2021, utilisant des techniques sophistiquées pour éviter la détection et potentiellement impactant des millions de personnes par le biais de scripts malveillants sur des sites Web compromis.
Identifiée par les chercheurs de l'unité 42, Parrot TDS injecte des scripts malveillants dans le code JavaScript existant sur les serveurs, le profilage stratégique des victimes avant de fournir des charges utiles qui redirigent les navigateurs vers un contenu malveillant.Notamment, la campagne TDS présente une large portée, ciblant les victimes à l'échelle mondiale sans limites basées sur la nationalité ou l'industrie.Pour renforcer les tactiques d'évasion, les attaquants utilisent plusieurs lignes de code JavaScript injecté, ce qui rend plus difficile pour les chercheurs en sécurité de détecter.Les attaquants, utilisant probablement des outils automatisés, exploitent les vulnérabilités connues, en mettant l'accent sur les serveurs compromis à l'aide de WordPress, Joomla ou d'autres systèmes de gestion de contenu.
#### URL de référence (s)
1. https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/#post-132073-_jt3yi5rhpmao
#### Date de publication
19 janvier 2024
#### Auteurs)
Zhanglin he
Ben Zhang
Billy Melicher
Qi Deng
Boqu
Brad Duncan
#### Description The Parrot TDS (Traffic Redirect System) has escalated its campaign since October 2021, employing sophisticated techniques to avoid detection and potentially impacting millions through malicious scripts on compromised websites. Identified by Unit 42 researchers, Parrot TDS injects malicious scripts into existing JavaScript code on servers, strategically profiling victims before delivering payloads that redirect browsers to malicious content. Notably, the TDS campaign exhibits a broad scope, targeting victims globally without limitations based on nationality or industry. To bolster evasion tactics, attackers utilize multiple lines of injected JavaScript code, making it harder for security researchers to detect. The attackers, likely employing automated tools, exploit known vulnerabilities, with a focus on compromising servers using WordPress, Joomla, or other content management systems. #### Reference URL(s) 1. https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/#post-132073-_jt3yi5rhpmao #### Publication Date January 19, 2024 #### Author(s) Zhanglin He Ben Zhang Billy Melicher Qi Deng Bo Qu Brad Duncan |
Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-01-25 17:00:00 | Bill cherche des cyber-protections pour l'alimentation et l'agriculture Bill seeks cyber protections for food and agriculture (lien direct) |
> La loi sur la cybersécurité de la ferme et des aliments vise à identifier les vulnérabilités du secteur grâce à un exercice annuel et à des évaluations de menaces régulières.
>The Farm and Food Cybersecurity Act aims to identify vulnerabilities in the sector through an annual exercise and regular threat assessments. |
Vulnerability Threat | ★★★ | |
|
2024-01-25 16:47:00 | Cyber Threat Landscape: 7 conclusions clés et tendances à venir pour 2024 Cyber Threat Landscape: 7 Key Findings and Upcoming Trends for 2024 (lien direct) |
Le rapport sur le paysage des menaces d'axur 2023/2024 fournit une analyse complète des dernières cyber-menaces.Les informations combinent les données de la surveillance de la plate-forme de la surface, du Web en profondeur et sombre avec des idées dérivées des recherches et des enquêtes approfondies menées par l'équipe de renseignement des menaces.
Découvrez l'étendue complète des menaces numériques dans le rapport Axur 2023/2024.
Aperçu
The 2023/2024 Axur Threat Landscape Report provides a comprehensive analysis of the latest cyber threats. The information combines data from the platform\'s surveillance of the Surface, Deep, and Dark Web with insights derived from the in-depth research and investigations conducted by the Threat Intelligence team. Discover the full scope of digital threats in the Axur Report 2023/2024. Overview |
Threat Prediction | ★★★ | |
|
2024-01-25 15:38:00 | MISES À JOUR LOGICIELS DE TIRESSION DES HACTIONS DE LA CHINE À L'IMPLANT "NSPX30" China-backed Hackers Hijack Software Updates to Implant "NSPX30" Spyware (lien direct) |
Un acteur de menace qui a déjà été non documenté en Chine a été lié à un ensemble d'attaques d'adversaire dans le milieu (AITM) qui détournent les demandes de logiciel légitime pour livrer un implant sophistiqué nommé NSPX30.
La société de cybersécurité slovaque ESET suit le groupe avancé de menace persistante (APT) sous le nom & NBSP; Blackwood.Il est dit actif depuis au moins 2018.
Le nspx30
A previously undocumented China-aligned threat actor has been linked to a set of adversary-in-the-middle (AitM) attacks that hijack update requests from legitimate software to deliver a sophisticated implant named NSPX30. Slovak cybersecurity firm ESET is tracking the advanced persistent threat (APT) group under the name Blackwood. It\'s said to be active since at least 2018. The NSPX30 |
Threat | ★★★ | |
 |
2024-01-25 15:30:26 | Blackwood Hackers Hijack WPS Office Mise à jour pour installer des logiciels malveillants Blackwood hackers hijack WPS Office update to install malware (lien direct) |
Un acteur de menace avancé auparavant inconnu suivi comme \\ 'Blackwood \' utilise des logiciels malveillants sophistiqués appelés NSPX30 dans des attaques de cyberespionnage contre les entreprises et les particuliers.[...]
A previously unknown advanced threat actor tracked as \'Blackwood\' is using sophisticated malware called NSPX30 in cyberespionage attacks against companies and individuals. [...] |
Malware Threat | ★★★ | |
 |
2024-01-25 14:00:00 | Corée du Nord Hacks Crypto: plus de cibles, des gains inférieurs North Korea Hacks Crypto: More Targets, Lower Gains (lien direct) |
Une baisse mondiale des gains de piratage Defi a incité les acteurs de la menace nord-coréenne à se diversifier et à étendre leur portefeuille de victimes, a révélé la chaîne analyse
A global drop in DeFi hacking gains prompted North Korean threat actors to diversify and extend their victim portfolio, Chainalysis found |
Threat | ★★★ | |
|
2024-01-25 12:51:00 | New Cherryloader Malware imite Cherrytree pour déployer des exploits PRIVESC New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits (lien direct) |
Un nouveau chargeur de logiciels malveillants basée sur GO appelée & nbsp; Cherryloader & nbsp; a été découvert par les chasseurs de menaces dans la nature pour fournir des charges utiles supplémentaires sur des hôtes compromis pour l'exploitation de suivi.
L'Arctic Wolf Labs, qui a découvert le nouvel outil d'attaque dans deux intrusions récentes, a déclaré que l'icône et le nom du chargeur \\ se sont masqué
A new Go-based malware loader called CherryLoader has been discovered by threat hunters in the wild to deliver additional payloads onto compromised hosts for follow-on exploitation. Arctic Wolf Labs, which discovered the new attack tool in two recent intrusions, said the loader\'s icon and name masquerades as the legitimate CherryTree note-taking application to dupe potential victims |
Malware Tool Threat | ★★★ | |
|
2024-01-25 11:18:00 | Le géant de la technologie HP Enterprise piraté par des pirates russes liés à la violation de DNC Tech Giant HP Enterprise Hacked by Russian Hackers Linked to DNC Breach (lien direct) |
Les pirates avec des liens vers le Kremlin sont soupçonnés d'avoir la société de technologies d'information infiltrée Hewlett Packard Enterprise \'s (HPE) Environnement de messagerie cloud pour exfiltrer les données de boîte aux lettres.
"L'acteur de menace a accédé et a exfiltré des données à partir de mai 2023 à partir d'un petit pourcentage de boîtes aux lettres HPE appartenant à des individus de notre cybersécurité, de notre marché, des segments d'entreprise et d'autres fonctions", "
Hackers with links to the Kremlin are suspected to have infiltrated information technology company Hewlett Packard Enterprise\'s (HPE) cloud email environment to exfiltrate mailbox data. "The threat actor accessed and exfiltrated data beginning in May 2023 from a small percentage of HPE mailboxes belonging to individuals in our cybersecurity, go-to-market, business segments, and other functions," |
Threat Cloud | ★★★ |
To see everything:
Our RSS (filtrered)
