What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-10 16:50:00 | Azure Service Tags Vulnérabilité: Microsoft met en garde contre les abus potentiels par les pirates Azure Service Tags Vulnerability: Microsoft Warns of Potential Abuse by Hackers (lien direct) |
Microsoft met en garde contre les abus potentiels des étiquettes de service Azure par des acteurs malveillants pour forger les demandes d'un service de confiance et contourner les règles de pare-feu, leur permettant ainsi d'obtenir un accès non autorisé aux ressources cloud.
"Ce cas met en évidence un risque inhérent à l'utilisation de balises de service comme mécanisme unique pour vérifier le trafic réseau entrant", le Microsoft Security Response Center (
Microsoft is warning about the potential abuse of Azure Service Tags by malicious actors to forge requests from a trusted service and get around firewall rules, thereby allowing them to gain unauthorized access to cloud resources. "This case does highlight an inherent risk in using service tags as a single mechanism for vetting incoming network traffic," the Microsoft Security Response Center ( |
Vulnerability Cloud | ||
 |
2024-06-10 13:31:29 | Faire des choix pour une gestion de vulnérabilité plus forte Making Choices for Stronger Vulnerability Management (lien direct) |
L'environnement de menace continuera de croître en complexité.Il est maintenant temps pour les organisations de rationaliser la façon dont ils gérent et atténuent les vulnérabilités négligées.
The threat environment will continue to grow in complexity. Now is the time for organizations to streamline how they manage and mitigate overlooked vulnerabilities. |
Vulnerability Threat | ||
 |
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ||
 |
2024-06-10 13:00:00 | Les vulnérabilités IoT montent en flèche, devenant un point d'entrée clé pour les attaquants IoT Vulnerabilities Skyrocket, Becoming Key Entry Point for Attackers (lien direct) |
Un nouveau rapport de FoStcout a révélé que les appareils IoT contenant des vulnérabilités ont augmenté de 136% par rapport à il y a un an, devenant un objectif clé pour les attaquants
A new Forescout report found that IoT devices containing vulnerabilities surged 136% compared to a year ago, becoming a key focus for attackers |
Vulnerability | ||
 |
2024-06-10 12:00:50 | Garder le contenu frais: 4 meilleures pratiques pour la sensibilisation à la sécurité axée sur les menaces pertinente Keeping Content Fresh: 4 Best Practices for Relevant Threat-Driven Security Awareness (lien direct) |
The threat landscape moves fast. As new attack methods and social engineering techniques appear, organizations need to maintain security awareness programs that are relevant, agile and focused. Research from Proofpoint for the 2024 State of the Phish report found that most businesses used real-world threat intelligence to shape their security awareness programs in 2023. That makes us happy! At Proofpoint, we know it is essential to use threats and trends from the wild to teach your employees about attacks they might encounter. It is equally important to ensure that your program isn\'t teaching them about security topics that are no longer relevant. In this article, we discuss four essential best practices to help keep your security awareness and training content both fresh and threat-driven: Analyze real threat trends to stay current and relevant Use real-world threats to inform your testing and training Refresh your training plan so that it\'s relevant and accurate Ensure that security practitioners stay on top of content changes An image from our always-fresh (see what we did here?) phishing template that tests brand impersonation. The human-centric risk of not keeping it fresh Let\'s first talk about what happens when you use outdated threat content to train your employees. The results can create significant human-centric risk for your business because your employees might approach security with unsafe behavior such as: Having a false sense of security about their knowledge. People might believe they are well prepared to identify and respond to threats, leading to actions based on incorrect assumptions. Not responding effectively to targeted threats. People might make decisions based on incorrect assumptions, increasing the possibility of successful attacks specific to their role or industry. Incorrectly reporting a security incident. Outdated training content may give incorrect procedures for reporting and responding to security incidents. Being noncompliant with industry regulations. Outdated content might not fit the required compliance training, exposing your company to possible legal and financial penalties. Being unengaged in your security culture. If employees perceive security education as outdated or irrelevant, they might see security responsibility as a waste of their time. Now, let\'s talk about our four best practices to help ensure that none of this happens. An image from the “AI Chatbot Threats” training (play video). 1: Analyze real threat trends to stay current and relevant Informing your program with threat intelligence is a must. Real-world insights will help your employees understand the scope and impact of the threats they may face. It will also enable your security teams to tailor their training and messaging accordingly. To use threat intelligence effectively, security awareness practitioners must work collaboratively across their organizations. You want to understand the attack trends that the security practitioners who monitor, analyze and investigate cyber threats see in real time. These practitioners might be your incident response team or your security operations center (SOC) team. At Proofpoint, we are committed to staying on top of the latest threats and passing this information to customers. The Proofpoint Security Awareness solution is built on insights that we gather from analyzing over 2.6 billion emails daily, monitoring 430+ million domains and tracking hundreds of threat groups to stay ahead of attackers. We do this by collaborating with our in-house Threat Intelligence Services team and using their insights in our integrated threat platform, which ties email monitoring and remediation to human risk detection and education. Recent insights from real-world trends include: Telephone-oriented attack delivery (TOAD). In the 2024 State of the Phish, we reported | Tool Vulnerability Threat Prediction | ||
 |
2024-06-10 10:00:00 | OT Cybersecurity: sauvegarde notre infrastructure OT Cybersecurity: Safeguard Our Infrastracture (lien direct) |
What is Operational Technology? Operational Technology (OT) is the backbone of our modern world as we know it today. Think about the daily operations of a factory, the precise control of our power grids, and even the supply of clean water to our homes. All of these modern capabilities are made possible and efficient due to OT systems. Unlike Information Technology (IT), which revolves around systems that process and store data, OT focuses on the physical machinery and processes which drive key industries including manufacturing, energy, and transportation. Each component of an OT system serves a critical purpose in ensuring the continuity of industrial operations. OT systems are typically made up of: Programmable Logic Controllers (PLCs): Devices that control industrial processes through execution of programmed instructions. Human-Machine Interfaces (HMIs): Interfaces that allow human users to interact with the control system Sensors and Actuators: Devices that monitor the physical environment through collection of data, and then perform actions according to input from the physical environment. The various subsets of OT system types include Industrial Control Systems (ICS), which manage factory equipment; Supervisory Control and Data Acquisition (SCADA) systems, which monitor and control industrial operations; and Distributed Control Systems (DCS), which automate processes. These systems are essential for keeping our modern infrastructure up and running. It is imperative that measures are taken to secure the availability of our OT systems, as an interruption to these systems would be disruptive to our day to day lives, and potentially catastrophic. To put things into perspective, can you imagine what your day would look like if your power grid went down for a prolonged period? What if the supply of clean water to your home was disrupted, are you ready for the chaos that will ensue? Both of these examples as well as other OT security incidents has the potential to cause loss of human life. In this blog, we\'ll discuss the importance of securing OT systems, best practices to align with, as well as challenges faced when safeguarding these indispensable systems. The Convergence of IT and OT Traditionally, OT environments were intended to be contained within their own highly secured network, without the ability to communicate externally. Today, the boundary between IT and OT is increasingly blurred with modern industrial operations relying on the convergence of IT and OT to enhance efficiency, optimize performance, and reduce costs. Additionally, the rise of adding network connectivity to devices and appliances that were traditionally not connected to the internet has further accelerated this convergence. This shift to network connectivity dependency has introduced the terms “Internet of Things (IOT) and “Industrial Internet of Things” (IIOT), which has brought numerous benefits but also introduced significant cybersecurity concerns. Cybersecurity of OT Systems As opposed to IT Security which focuses on the protection and integrity of data, OT cybersecurity prioritizes the availability of OT systems as a cyber attack on these systems is certain to disrupt business operations, cause physical damage, and endanger public safety. Security Concerns around OT Systems OT systems were designed with a specific purpose in mind and were not originally thought of as traditional computers as we know it, therefore security aspects of the design were not a first thought. As a result, the only security that many of these systems have is due to bolted-on security due to security as an afterthought. Also, many of the standard security best practices are often not conducted on this equipment due a multitude of factors such as the difficulty of patching OT systems, accommodating downtime hours on these critical systems that need to always be available. As a result, OT systems are | Vulnerability Patching Industrial Cloud | ||
 |
2024-06-08 16:54:16 | Alertes de vulnérabilité de la vigilance - OpenSSL: fuite de mémoire via TLSV1.3 Gestion de session, analysée le 08/04/2024 Vigilance Vulnerability Alerts - OpenSSL: memory leak via TLSv1.3 Session Handling, analyzed on 08/04/2024 (lien direct) |
Un attaquant peut créer une fuite de mémoire d'OpenSSL, via la manipulation de session TLSV1.3, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can create a memory leak of OpenSSL, via TLSv1.3 Session Handling, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ★ | |
|
2024-06-08 13:05:00 | Une nouvelle vulnérabilité PHP expose les serveurs Windows à l'exécution du code distant New PHP Vulnerability Exposes Windows Servers to Remote Code Execution (lien direct) |
Des détails ont émergé sur un nouveau défaut de sécurité critique ayant un impact sur PHP qui pourrait être exploité pour réaliser l'exécution du code distant dans certaines circonstances.
La vulnérabilité, suivie comme CVE-2024-4577, a été décrite comme une vulnérabilité d'injection d'argument CGI affectant toutes les versions de PHP installées sur le système d'exploitation Windows.
Selon le chercheur de la sécurité de Devcore, la lacune fait
Details have emerged about a new critical security flaw impacting PHP that could be exploited to achieve remote code execution under certain circumstances. The vulnerability, tracked as CVE-2024-4577, has been described as a CGI argument injection vulnerability affecting all versions of PHP installed on the Windows operating system. According to DEVCORE security researcher, the shortcoming makes |
Vulnerability | ★★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 18:04:34 | Solarwinds Flaw Flagged par OTAN Pen Tester SolarWinds Flaw Flagged by NATO Pen Tester (lien direct) |
La dernière mise à jour de la plate-forme de SolarWinds comprend des correctifs pour trois vulnérabilités, dont deux bogues de haute sévérité.
The latest platform update from SolarWinds includes patches for three vulnerabilities, including two high-severity bugs. |
Vulnerability | ★★ | |
|
2024-06-07 17:32:33 | Cloudforce One perturbe la campagne de phishing Flyetyeti alignée en Russie exploitant le stress financier ukrainien Cloudforce One Disrupts Russia-Aligned FlyingYeti Phishing Campaign Exploiting Ukrainian Financial Stress (lien direct) |
#### Géolocations ciblées - Ukraine - Russie - L'Europe de l'Est #### Industries ciblées - Services financiers - Produits de dépôt, de crédit à la consommation et de systèmes de paiement ## Instantané Des chercheurs de Cloudflare ont détaillé les activités de l'acteur de menace aligné par la Russie, Flyingyeti, qui ciblait des individus ukrainiens, en particulier ceux confrontés au stress financier en raison de la levée de l'interdiction du gouvernement et de l'interdiction des expulsions et de la fin des services utilitaires pour une dette impayée. ## Description Flyetyeti a utilisé des tactiques de phishing à l'aide de leurres sur le thème de la dette et a exploité la vulnérabilité Winrar [CVE-2023-38831] (https://security.microsoft.com/intel-explorer/cves/cve-2023-38831/description) pour livrer la Cookbox/CVE-2023-38831/description) pour livrer le Cookboxmalware.L'acteur de menace s'est principalement concentré sur le ciblage des entités militaires ukrainiennes, en utilisant DNS dynamique pour les infrastructures et en tirant parti des plates-formes cloud pour l'hébergement de contenu malveillant et de contrôle et de contrôle des logiciels malveillants.L'objectif de l'acteur de menace était de livrer le logiciel malveillant de la boîte de cuisine via des documents de leurre et des liens de suivi cachés, avec le serveur C2 situé à Postdock \ [. \] Serveftp \ [. \] Com. Les actions de Cloudforce One ont conduit au retrait des fichiers malveillants de l'acteur de menace et de la suspension de leurs comptes, ainsi que de la coordination avec des partenaires de l'industrie pour atténuer l'activité de l'acteur.Cloudflare a fourni des informations sur les techniques de phishing et de livraison de Flyeti \\, les mesures défensives prises par Cloudforce One, les efforts de coordination avec les partenaires de l'industrie et les recommandations pour la chasse aux opérations Flyety et l'atténuation des menaces liées. ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: ** CVE-2023-38831 Détections connexes ** - [Exploit: win32 / cve-2023-38831] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=exPLOIT: WIN32 / CVE-2023-38831 & menaceID = -2147077428 & ocid = magicti_ta_ency) - [Exploit: BAT / CVE-2023-38831.D] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Scription?name=Exploit:bat/CVE-2023-38831.D & menaceID = -2147078218 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande leE Suite à des atténuations pour réduire l'impact de cette menace. - Utilisez la dernière version [Winrarsion 6.23] (https://www.win-rar.com/singlenewsview.html?&l=0&tx_ttnews%5BTT_NEWS%5D=232&chash=c5bf79590657e3 . - Investir dansSolutions avancées et anti-phishing qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_ta_learndoc) rassemble une gestion d'incident et d'alerte à travers les e-mails, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentiftify and Block] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc) Site Web malveillantS, y compris ceux utilisés dans cette campagne de phishing. - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou l | Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-06-07 14:33:48 | Dans d'autres nouvelles: Tiktok Zero-Day, DMM Bitcoin Hack, Analyse des applications VPN gratuites In Other News: TikTok Zero-Day, DMM Bitcoin Hack, Free VPN App Analysis (lien direct) |
> Des histoires remarquables qui pourraient avoir glissé sous le radar: Tiktok Patchs Compte Rijacking Zero-Day, 300 millions de dollars DMM Bitcoin Hack, Applications VPN Android gratuites analysées.
>Noteworthy stories that might have slipped under the radar: TikTok patches account hijacking zero-day, $300 million DMM Bitcoin hack, free Android VPN apps analyzed. |
Hack Vulnerability Threat Mobile | ★★★ | |
|
2024-06-07 14:28:34 | Tendances du paysage des menaces: cybercriminels plus rapides, vulnérabilités non corrigées et moins de ransomwares Threat landscape trends: Faster cybercriminals, unpatched vulnerabilities and less ransomware (lien direct) |
Tendances du paysage de menace: cybercriminels plus rapides, vulnérabilités non corrigées et moins de ransomwares
Dave Spillane, directeur de l'ingénieur des systèmes chez Fortinet
-
opinion
Threat landscape trends: Faster cybercriminals, unpatched vulnerabilities and less ransomware Dave Spillane, Systems Engineer Director at Fortinet - Opinion |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-06-07 12:35:23 | Vulnérabilité des kiosques de l'hôtel Données invitées exposées, accès aux chambres Hotel Kiosks Vulnerability Exposed Guest Data, Room Access (lien direct) |
Une vulnérabilité de sécurité dans les kiosques d'enregistrement de l'hôtel Ariane Allegro a exposé les données des clients et un accès potentiellement compromis en chambre.Cependant, & # 8230;
A security vulnerability in Ariane Allegro Hotel Check-In Kiosks exposed guest data and potentially compromised room access. However,… |
Vulnerability | ★★ | |
|
2024-06-06 20:46:03 | Nouveau Flaw Emailgpt met les données utilisateur en danger: supprimez l'extension maintenant New EmailGPT Flaw Puts User Data at Risk: Remove the Extension NOW (lien direct) |
Synopsys met en garde contre un nouveau hack d'injection rapide impliquant une vulnérabilité de sécurité dans EmailGpt, un e-mail populaire de l'IA & # 8230;
Synopsys warns of a new prompt injection hack involving a security vulnerability in EmailGPT, a popular AI email… |
Hack Vulnerability | APT 42 | ★★ |
|
2024-06-06 20:16:47 | Attaques Surge sur Check Point \\'s VPN Zero-Day Flaw Attacks Surge on Check Point\\'s Recent VPN Zero-Day Flaw (lien direct) |
Une entreprise de surveillance a détecté des tentatives d'exploitation ciblant le CVE-2024-24919 à partir de plus de 780 adresses IP uniques au cours de la semaine dernière.
One monitoring firm has detected exploitation attempts targeting CVE-2024-24919 from more than 780 unique IP addresses in the past week. |
Vulnerability Threat | ★★★ | |
|
2024-06-06 15:30:00 | # Infosec2024: le fournisseur d'équipe rouge AI Mindgard nommé Cyber PME le plus innovant de UK \\ #Infosec2024: AI Red Teaming Provider Mindgard Named UK\\'s Most Innovative Cyber SME (lien direct) |
Mingard fournit une plate-forme d'assainissement en équipe et de vulnérabilité en rouge continu et vulnérabilité
Mingard provides a continuous AI red teaming and vulnerability remediation platform |
Vulnerability | ★★ | |
 |
2024-06-06 11:22:57 | HC3 Issues du secteur alerte sur les vulnérabilités à haut risque dans l'équipement médical Baxter Welch Allyn HC3 issues sector alert on high-risk vulnerabilities in Baxter Welch Allyn medical equipment (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) dans le département américain de la santé & # 38;Services humains (HHS) publiés ...
>The Health Sector Cybersecurity Coordination Center (HC3) in the U.S. Department of Health & Human Services (HHS) published... |
Vulnerability Medical | ★★ | |
 |
2024-06-05 21:45:10 | Tiktok confirme CNN, d'autres comptes de haut niveau détournés via une vulnérabilité à jour zéro TikTok confirms CNN, other high-profile accounts hijacked via zero-day vulnerability (lien direct) |
Méfiez-vous des logiciels malveillants zéro cliquez dans votre DMS Les mécréants ont exploité un jour zéro dans Tiktok pour compromettre les comptes de CNN et d'autres grands noms.Le fabricant d'applications a confirmé qu'il y avait une cyberattaque et qu'il s'est brouillé pour sécuriser les comptes et empêcher toute exploitation supplémentaire.…
Beware of zero-click malware sliding into your DMs Miscreants exploited a zero-day in TikTok to compromised the accounts of CNN and other big names. The app maker has confirmed there was a cyberattack, and that it has scrambled to secure accounts and prevent any further exploitation.… |
Malware Vulnerability Threat | ★★★ | |
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-06-05 12:40:00 | Zyxel publie des correctifs pour les vulnérabilités du micrologiciel dans les modèles EOL NAS Zyxel Releases Patches for Firmware Vulnerabilities in EoL NAS Models (lien direct) |
Zyxel a publié des mises à jour de sécurité pour aborder des défauts critiques ayant un impact sur deux de ses appareils de stockage (NAS) attachés au réseau qui ont actuellement atteint l'état de fin de vie (EOL).
L'exploitation réussie de trois des cinq vulnérabilités pourrait permettre à un attaquant non authentifié d'exécuter des commandes de système d'exploitation (OS) et un code arbitraire sur les installations affectées.
Les modèles impactés incluent NAS326
Zyxel has released security updates to address critical flaws impacting two of its network-attached storage (NAS) devices that have currently reached end-of-life (EoL) status. Successful exploitation of three of the five vulnerabilities could permit an unauthenticated attacker to execute operating system (OS) commands and arbitrary code on affected installations. Impacted models include NAS326 |
Vulnerability | ★★ | |
|
2024-06-05 10:00:00 | Pourquoi les pare-feu ne suffisent pas dans le paysage de la cybersécurité d'aujourd'hui Why Firewalls Are Not Enough in Today\\'s Cybersecurity Landscape (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Firewall technology has mirrored the complexities in network security, evolving significantly over time. Originally serving as basic traffic regulators based on IP addresses, firewalls advanced to stateful inspection models, offering a more nuanced approach to network security. This evolution continued with the emergence of Next-Generation Firewalls (NGFWs), which brought even greater depth through data analysis and application-level inspection. Yet, even with these advancements, firewalls struggle to contend with the increasingly sophisticated nature of cyberthreats. The modern digital landscape presents formidable challenges like zero-day attacks, highly evasive malware, encrypted threats, and social engineering tactics, often surpassing the capabilities of traditional firewall defenses. The discovery of CVE-2023-36845 in September 2023, affecting nearly 12,000 Juniper firewall devices, is a case in point. This zero-day exploit enabled unauthorized actors to execute arbitrary code, circumventing established security measures and exposing critical networks to risk. Incidents like this highlight the growing need for a dynamic and comprehensive approach to network security, one that extends beyond the traditional firewall paradigm. Human Element – The Weakest Link in Firewall Security While the discovery of CVEs highlights vulnerabilities to zero-day exploits, it also brings to the forefront another critical challenge in firewall security: human error. Beyond the sophisticated external threats, the internal risks posed by misconfiguration due to human oversight are equally significant. These errors, often subtle, can drastically weaken the protective capabilities of firewalls. Misconfigurations in Firewall Security Misconfigurations in firewall security, frequently a result of human error, can significantly compromise the effectiveness of these crucial security barriers. These misconfigurations can take various forms, each posing unique risks to network integrity. Common types of firewall misconfigurations include: Improper Access Control Lists (ACLs) Setup: ACLs define who can access what resources in a network. Misconfigurations here might involve setting rules that are too permissive, inadvertently allowing unauthorized users to access sensitive areas of the network. An example could be erroneously allowing traffic from untrusted sources or failing to restrict access to critical internal resources. Faulty VPN Configurations: Virtual Private Networks (VPNs) are essential for secure remote access. Misconfigured VPNs can create vulnerabilities, especially if they are not properly integrated with the firewall\'s rule set. Common errors include not enforcing strong authentication or neglecting to restrict access based on user roles and permissions. Outdated or Redundant Firewall Rules: Over time, the network environment changes, but firewall rules may not be updated accordingly. Outdated rules can create security gaps or unnecessary complexity. Redundant or conflicting rules can also lead to confusion in policy enforcement, potentially leaving the network open to exploitation. Incorrect Port Management: Open ports are necessary for network communication, but unnecessary open ports can be explo | Malware Tool Vulnerability Threat Legislation Industrial | ★★ | |
|
2024-06-05 06:44:14 | Microsoft a payé Tenable une prime de bogue pour un défaut azur qu'il dit n'a pas besoin d'un correctif, juste une meilleure documentation Microsoft paid Tenable a bug bounty for an Azure flaw it says doesn\\'t need a fix, just better documentation (lien direct) |
Laissez les clients interférer avec les autres locataires?Que \\ est notre cloud travaillant par conception, Redmond semble dire une vulnérabilité - ou tout simplement un travail comme prévu, selon qui vous demandez - dans le cloud de Microsoft \\ permet potentiellement que les mécréants ondulentRègles du pare-feu à l'extérieur et accéder à d'autres ressources Web privées.…
Let customers interfere with other tenants? That\'s our cloud working by design, Redmond seems to say A vulnerability - or just Azure working as intended, depending on who you ask - in Microsoft\'s cloud potentially allows miscreants to wave away firewall rules and access other people\'s private web resources.… |
Vulnerability Cloud | ★★ | |
|
2024-06-04 20:57:15 | Alertes de vulnérabilité de vigilance - Undertow: fuite de mémoire via le stockage de la demande, analysé le 04/04/2024 Vigilance Vulnerability Alerts - Undertow: memory leak via Request Storage, analyzed on 04/04/2024 (lien direct) |
Un attaquant peut créer une fuite de mémoire de Undertow, via le stockage de la demande, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can create a memory leak of Undertow, via Request Storage, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ★★★ | |
 |
2024-06-04 17:39:22 | GCP-2024-032 (lien direct) | Publié: 2024-06-04 Description
Description
Gravité
notes
Les CVE suivants exposent le maillage de service cloud aux vulnérabilités exploitables: CVE-2024-23326: Envoy accepte incorrectement la réponse HTTP 200 pour la saisie du mode de mise à niveau.
CVE-2024-32974: Crash in EnvoyquicserServerStream :: OninitialHeasterComplete ().
CVE-2024-32975: Crash in QuicheDataReader :: peekvarint62Length ().
CVE-2024-32976: boucle sans fin lors de la décompression des données de brotli avec une entrée supplémentaire.
CVE-2024-34362: Crash (use-après-libre) dans EnvoyquicserServerStream.
CVE-2024-34363: Crash en raison de l'exception de Nlohmann JSON non cambrée.
CVE-2024-34364: Vector Oom Envoy de HTTP Async Client avec tampon de réponse illimité pour la réponse miroir. Pour les instructions et plus de détails, consultez le Cloud Service Mesh Security Bulletin .
High
cve-2024-23326
CVE-2024-32974
CVE-2024-32975
CVE-2024-32976
CVE-2024-34362
CVE-2024-34363
CVE-2024-34364
Published: 2024-06-04Description Description Severity Notes The following CVEs expose Cloud Service Mesh to exploitable vulnerabilities: CVE-2024-23326: Envoy incorrectly accepts HTTP 200 response for entering upgrade mode. CVE-2024-32974: Crash in EnvoyQuicServerStream::OnInitialHeadersComplete(). CVE-2024-32975: Crash in QuicheDataReader::PeekVarInt62Length(). CVE-2024-32976: Endless loop while decompressing Brotli data with extra input. CVE-2024-34362: Crash (use-after-free) in EnvoyQuicServerStream. CVE-2024-34363: Crash due to uncaught nlohmann JSON exception. CVE-2024-34364: Envoy OOM vector from HTTP async client with unbounded response buffer for mirror response. For instructions and more details, see the Cloud Service Mesh security bulletin. High CVE-2024-23326 CVE-2024-32974 CVE-2024-32975 CVE-2024-32976 CVE-2024-34362 |
Vulnerability Cloud | ||
|
2024-06-04 15:58:00 | Snowflake avertit: la campagne de vol d'identification ciblée frappe les clients cloud Snowflake Warns: Targeted Credential Theft Campaign Hits Cloud Customers (lien direct) |
La société de cloud computing et d'analyse Snowflake a déclaré qu'un "nombre limité" de ses clients avait été distingué dans le cadre d'une campagne ciblée.
"Nous n'avons pas identifié de preuves suggérant que cette activité a été causée par une vulnérabilité, une erreur de configuration ou une violation de la plate-forme de Snowflake \\", a déclaré la société dans une déclaration conjointe avec Crowdstrike et Mandiant appartenant à Google.
"Nous n'avons pas identifié
Cloud computing and analytics company Snowflake said a "limited number" of its customers have been singled out as part of a targeted campaign. "We have not identified evidence suggesting this activity was caused by a vulnerability, misconfiguration, or breach of Snowflake\'s platform," the company said in a joint statement along with CrowdStrike and Google-owned Mandiant. "We have not identified |
Vulnerability Cloud | ★★★ | |
 |
2024-06-04 14:00:54 | Étendre et renforcer la sécurité DDOS sur l'ensemble du réseau avec Infinity Playblocks Extend & Strengthen DDoS Security Across the Entire Network with Infinity Playblocks (lien direct) |
Vulnerability Cloud | ★★★ | ||
|
2024-06-04 13:00:00 | NIST s'engage à planifier de reprendre le travail NVD NIST Commits to Plan to Resume NVD Work (lien direct) |
L'agence vise à brûler l'arriéré des vulnérabilités en attendant d'être ajoutée à la base de données nationale des vulnérabilités via un financement supplémentaire, un contrat tiers et un partenariat avec CISA.
The agency aims to burn down the backlog of vulnerabilities waiting to be added to the National Vulnerabilities Database via additional funding, third-party contract, and partnership with CISA. |
Vulnerability | ★★★ | |
|
2024-06-04 13:00:00 | NIST s'engage au plan de vulnérabilité, mais les chercheurs ont des préoccupations NIST Commits to Vulnerability Plan, But Researchers\\' Concerns Remain (lien direct) |
L'agence vise à brûler l'arriéré des vulnérabilités qui nécessitent un enrichissement en utilisant un financement supplémentaire et un contrat tiers, mais quelle est la solution à long terme?
The agency aims to burn down the backlog of vulnerabilities that need enrichment using additional funding and a third-party contract, but what\'s the long-term solution? |
Vulnerability | ★★★ | |
|
2024-06-04 10:00:00 | Test de pénétration de A.I.Des modèles Penetration Testing of A.I. Models (lien direct) |
Penetration testing is a cornerstone of any mature security program and is a mature and well understood practice supported by robust methodologies, tools, and frameworks. The tactical goals of these engagements typically revolve around identification and exploitation of vulnerabilities in technology, processes, and people to gain initial, elevated, and administrative access to the target environment. When executed well, the insights from penetration testing are invaluable and help the organization reduce IT related risk. Organizations are still discovering new ways in which Large Language Models (LLM’s) and Machine Learning (ML) can create value for the business. Conversely, security practitioners are concerned with the unique and novel risks to the organization these solutions may bring. As such the desire to expand penetration testing efforts to include these platforms is not surprising. However, this is not as straight forward as giving your testers the IP addresses to your AI stack during your next test. Thoroughly evaluating these platforms will require adjustments in approach for both organizations being evaluated and the assessors. Much of the attack surface to be tested for AI systems (i.e. cloud, network, system, and classic application layer flaws) is well known and addressed by existing tools and methods. However, the models themselves may contain risks as detailed in the OWASP Top Ten lists for LLM’s (https://llmtop10.com/) and Machine Learning (https://mltop10.info/). Unlike testing for legacy web application Top Ten flaws, where the impacts of any adversarial actions were ephemeral (i.e., SQL Injection) or easily reversed (i.e., stored XSS attack), this may not be the case when testing AI systems. The attacks submitted to the model during the penetration test could potentially influence long-term model behavior. While it is common to test web applications in production environments, for AI models that incorporate active feedback or other forms of post-training learning where testing could lead to perturbations in responses, it may be best to perform penetration testing in a non-production environment. Checksum mechanisms can be used to verify that the model versions are equivalent. Furthermore, several threat vectors in these lists deal specifically with the poisoning of training data to make the model generate malicious, false, or bias responses. If successful such an attack would potentially impact other concurrent users of the environment and having trained the model on such data, persist beyond the testing period. Lastly, there are hard dollar costs involved in training and operating these models. Taking any compute/storage/transport costs into account should test environments or retraining be required as part of recovering from a penetration test will be a new consideration for most. As penetration testers, the MITRE ATT&CK framework has long been a go-to resource for offensive security Tactics, Techniques and Procedures (TTP’s). With the attack surface expanding to AI platforms MITRE has expand their framework and created the Adversarial Threat Landscape for Artificial-Intelligence Systems, or “ATLAS”, knowledge base (https://atlas.mitre.org/matrices/ATLAS). ATLAS, along with the OWASP lists, give penetration testers a great place to start in terms of understanding and assessing the unique attack surface presented by AI models. Context of the model will need to be considered in both the rules of engagement under which the test is performed but also in judging model responses. Is the model public or private? Production or test? If access to training data is achieved, can poisoning attacks be conducted? If allowable, what | Tool Vulnerability Threat Cloud Technical Commercial | ★★★ | |
|
2024-06-04 08:55:00 | Oracle Weblogic Server OS OS Commande injection de faille sous attaque active Oracle WebLogic Server OS Command Injection Flaw Under Active Attack (lien direct) |
Jeudi, l'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté un défaut de sécurité ayant un impact sur le serveur Oracle Weblogic au catalogue connu des vulnérabilités exploités (KEV), citant des preuves d'exploitation active.
Suivi sous le nom de CVE-2017-3506 (score CVSS: 7.4), le problème concerne une vulnérabilité d'injection de commande (OS) qui pourrait être exploitée pour obtenir
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a security flaw impacting the Oracle WebLogic Server to the Known Exploited Vulnerabilities (KEV) catalog, citing evidence of active exploitation. Tracked as CVE-2017-3506 (CVSS score: 7.4), the issue concerns an operating system (OS) command injection vulnerability that could be exploited to obtain unauthorized |
Vulnerability | ★★ | |
|
2024-06-04 08:49:50 | 37 vulnérabilités corrigées dans Android 37 Vulnerabilities Patched in Android (lien direct) |
> La mise à jour de sécurité en juin 2024 d'Android \\ résout 37 vulnérabilités, y compris les défauts de haute sévérité dans le cadre et le système.
>Android\'s June 2024 security update resolves 37 vulnerabilities, including high-severity flaws in Framework and System. |
Vulnerability Mobile | ★★★ | |
|
2024-06-03 18:58:29 | Alertes de vulnérabilité de vigilance - IBM WebSphere Application Server Liberty: surcharge via la demande, analysée le 03/04/2024 Vigilance Vulnerability Alerts - IBM WebSphere Application Server Liberty: overload via Request, analyzed on 03/04/2024 (lien direct) |
Un attaquant peut déclencher une surcharge d'IBM WebSphere Application Server Liberty, via la demande, afin de déclencher un déni de service.
-
vulnérabilité de sécurité
An attacker can trigger an overload of IBM WebSphere Application Server Liberty, via Request, in order to trigger a denial of service. - Security Vulnerability |
Vulnerability | ★★ | |
|
2024-06-03 15:50:00 | Le chercheur découvre les défauts des modems COX, ce qui a un impact sur des millions Researcher Uncovers Flaws in Cox Modems, Potentially Impacting Millions (lien direct) |
Les problèmes de contournement de l'autorisation désormais réglés ont un impact sur les modems COX qui auraient pu être maltraités comme point de départ pour obtenir un accès non autorisé aux appareils et exécuter des commandes malveillantes.
"Cette série de vulnérabilités a démontré un moyen par lequel un attaquant entièrement externe sans aucune condition préalable pouvait \\ 'a exécuté des commandes et modifié les paramètres de millions de modes, accéder à n'importe quel client commercial \' s.
Now-patched authorization bypass issues impacting Cox modems that could have been abused as a starting point to gain unauthorized access to the devices and run malicious commands. "This series of vulnerabilities demonstrated a way in which a fully external attacker with no prerequisites could\'ve executed commands and modified the settings of millions of modems, accessed any business customer\'s |
Vulnerability | ★★★ | |
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ★★★ | |
 |
2024-06-03 14:00:00 | Ransomwares rebonds: la menace d'extorsion augmente en 2023, les attaquants s'appuient sur les outils accessibles au public et légitimes Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools (lien direct) |
Written by: Bavi Sadayappan, Zach Riddle, Jordan Nuce, Joshua Shilko, Jeremy Kennelly
A version of this blog post was published to the Mandiant Advantage portal on April 18, 2024. Executive Summary In 2023, Mandiant observed an increase in ransomware activity as compared to 2022, based on a significant rise in posts on data leak sites and a moderate increase in Mandiant-led ransomware investigations. Mandiant observed an increase in the proportion of new ransomware variants compared to new families, with around one third of new families observed in 2023 being variants of previously identified ransomware families. Actors engaged in the post-compromise deployment of ransomware continue to predominately rely on commercially available and legitimate tools to facilitate their intrusion operations. Notably, we continue to observe a decline in the use of Cobalt Strike BEACON, and a corresponding increase in the use of legitimate remote access tools. In almost one third of incidents, ransomware was deployed within 48 hours of initial attacker access. Seventy-six percent (76%) of ransomware deployments took place outside of work hours, with the majority occurring in the early morning. Mandiant\'s recommendations to assist in addressing the threat posed by ransomware are captured in our Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints white paper. Introduction Threat actors have remained driven to conduct ransomware operations due to their profitability, particularly in comparison to other types of cyber crime. Mandiant observed an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites (DLS), and an over 20% increase in Mandiant-led investigations involving ransomware from 2022 to 2023 (Figure 1). These observations are consistent with other reporting, which shows a record-breaking more than $1 billion USD paid to ransomware attackers in 2023. This illustrates that the slight dip in extortion activity observed in 2022 was an anomaly, potentially due to factors such as the invasion of Ukraine and the leaked CONTI chats. The current resurgence in extortion activity is likely driven by various factors, including the resettling of the cyber criminal ecosystem following a tumultuous year in 2022, new entrants, and new partnerships and ransomware service offerings by actors previously associated with prolific groups that had been disrupted. This blog post provides an overview of the ransomware landscape and common tactics, techniques, and procedures (TTPs) directly observed by Mandiant in 2023 ransomware incidents. Our analysis of TTPs relies primarily on data from Mandiant incident response engagements and therefore represe |
Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Prediction Medical Cloud Commercial | ★★★ | |
 |
2024-06-03 10:00:27 | It menace évolution Q1 2024 IT threat evolution Q1 2024 (lien direct) |
Dans ce rapport, nous passons en revue les événements les plus importants liés aux logiciels malveillants du T1 2024: la divulgation de la vulnérabilité matérielle utilisée dans la triangulation de l'opération, une méthode légère pour détecter les logiciels malveillants iOS et l'implant Linux Dinodasrat.
In this report, we review the most significant malware-related events of Q1 2024: the disclosure of the hardware vulnerability used in Operation Triangulation, a lightweight method to detect iOS malware and DinodasRAT Linux implant. |
Malware Vulnerability Threat | ★★ | |
|
2024-06-03 10:00:00 | Test de sécurité dans le développement de logiciels: évaluer les vulnérabilités et les faiblesses Security Testing in Software Development: Assessing Vulnerabilities and Weaknesses (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The critical role of security testing within software development cannot be overstated. From protecting personal information to ensuring that critical infrastructure remains unbreachable, security testing serves as the sentry against a multitude of cyber threats. Vulnerabilities and design weaknesses within software are like hidden fault lines; they may remain unnoticed until they cause significant damage. These flaws can compromise sensitive data, allow unauthorized access, and disrupt service operations. The repercussions extend beyond the digital world. They can lead to tarnished reputations, legal penalties, and, in extreme cases, endangerment of lives. Understanding these potential impacts underscores the crucial role of security testing as a protective measure. Security testing functions like a health check-up for software, identifying vulnerabilities in much the same way a doctor\'s examination would. Being proactive rather than reactive is essential here. It is always better to prevent than to cure. Security testing transcends the mere act of box-ticking; it is a vital, multi-layered process that protects both the integrity of the software and the privacy of its users. And it is not only about finding faults but also about instilling a culture of security within the development lifecycle. Understanding Security Testing Once more, the primary role of security testing is to identify and help fix security flaws within a system before they can be exploited. Consider it a comprehensive evaluation process that simulates real-world attacks, designed to ensure that the software can withstand and counter a variety of cybersecurity threats. By conducting security testing, developers can provide assurance to investors and users that their software is not only functional but also secure against different attacks. There is a diverse arsenal of methodologies available for security testing: 1) Penetration Testing Penetration testing, also known as ethical hacking, entails conducting simulated cyber-attacks on computer systems, networks, or web applications to uncover vulnerabilities that could be exploited. Security experts use pentest platforms and act as attackers and try to breach the system\'s defenses using various techniques. This method helps uncover real-world weaknesses as well as the potential impact of an attack on the system\'s resources and data. 2) Code Review A code review is a systematic examination of the application source code to detect security flaws, bugs, and other errors that might have been overlooked during the initial development phases. It involves manually reading through the code or using automated tools to ensure compliance with coding standards and to check for security vulnerabilities. This process helps in maintaining a high level of security by ensuring that the code is clean, efficient, and robust against cyber threats. 3) Vulnerability Assessment Unlike penetration testing, which attempts to exploit vulnerabilities, vulnerability assessment focuses on listing potential vulnerabilities without simulating attacks. Tools and software are used to | Tool Vulnerability Threat | Equifax | ★★★ |
 |
2024-06-03 03:02:03 | Comprendre la gestion de la vulnérabilité et la gestion des patchs Understanding Vulnerability Management and Patch Management (lien direct) |
La gestion de la vulnérabilité et la gestion des patchs sont souvent confondues.Cependant, il est crucial de reconnaître que, bien que complémentaire, ce sont des processus distincts.Il est essentiel de comprendre les différences entre la gestion de la vulnérabilité et la gestion des patchs pour une solide posture de sécurité.Laissez les concepts pour mieux comprendre ce qu'ils sont, comment ils diffèrent et comment ils fonctionnent ensemble.La définition de la gestion de la gestion de la vulnérabilité, la gestion de la vulnérabilité, englobe l'identification proactive, l'évaluation, la hiérarchisation et l'atténuation des vulnérabilités de sécurité dans une organisation \'s it ...
Vulnerability management and patch management are often confused. However, it\'s crucial to recognize that, while complementary, they are distinct processes. Understanding the differences between vulnerability management and patch management is essential for a solid security posture. Let\'s delve into the concepts to understand better what they are, how they differ, and how they work together. Defining Vulnerability Management Vulnerability management encompasses the proactive identification, assessment, prioritization, and mitigation of security vulnerabilities across an organization\'s IT... |
Vulnerability | ★★★ | |
|
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | ★★ |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-05-31 21:00:00 | Des milliers d'appareils orientés Internet vulnérables à vérifier le point de vue du point zéro Thousands of internet-facing devices vulnerable to Check Point VPN zero-day (lien direct) |
## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Vulnerability Threat | ★★ | |
|
2024-05-30 23:15:00 | CISA alerte les agences fédérales pour corriger activement la faille du noyau Linux exploité activement CISA Alerts Federal Agencies to Patch Actively Exploited Linux Kernel Flaw (lien direct) |
Jeudi, l'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté un défaut de sécurité impactant le noyau Linux au catalogue connu des vulnérabilités exploitées (KEV), citant des preuves d'exploitation active.
Suivi sous le nom de CVE-2024-1086 (score CVSS: 7.8), le problème de haute sévérité se rapporte à un bogue d'utilisation dans le composant NetFilter qui permet à un attaquant local d'élever les privilèges
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a security flaw impacting the Linux kernel to the Known Exploited Vulnerabilities (KEV) catalog, citing evidence of active exploitation. Tracked as CVE-2024-1086 (CVSS score: 7.8), the high-severity issue relates to a use-after-free bug in the netfilter component that permits a local attacker to elevate privileges |
Vulnerability | ★★★ | |
|
2024-05-30 22:07:00 | Flyetyeti exploite la vulnérabilité Winrar pour livrer des logiciels malveillants de boîte de cuisine en Ukraine FlyingYeti Exploits WinRAR Vulnerability to Deliver COOKBOX Malware in Ukraine (lien direct) |
Cloudflare a déclaré jeudi qu'il avait pris des mesures pour perturber une campagne de phishing d'un mois orchestrée par un acteur de menace aligné par la Russie appelé Flyetyeti ciblant l'Ukraine.
"La campagne Flyetyeti a capitalisé sur l'anxiété concernant la perte potentielle d'accès au logement et aux services publics en attirant des cibles pour ouvrir des fichiers malveillants via des leurres sur le thème de la dette"
Cloudflare on Thursday said it took steps to disrupt a month-long phishing campaign orchestrated by a Russia-aligned threat actor called FlyingYeti targeting Ukraine. "The FlyingYeti campaign capitalized on anxiety over the potential loss of access to housing and utilities by enticing targets to open malicious files via debt-themed lures," Cloudflare\'s threat intelligence team Cloudforce One |
Malware Vulnerability Threat | ★★★ | |
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-05-30 19:54:00 | Redtail Crypto-Exhimin Maleware exploitant Palo Alto Networks Vulnérabilité du pare-feu RedTail Crypto-Mining Malware Exploiting Palo Alto Networks Firewall Vulnerability (lien direct) |
Les acteurs de la menace derrière les logiciels malveillants de la crypto-monnaie de Redtail ont ajouté un défaut de sécurité récemment divulgué impactant les pare-feu Palo Alto Networks à son exploit Arsenal.
L'ajout de la vulnérabilité PAN-OS à sa boîte à outils a été complété par des mises à jour du malware, qui intègre désormais de nouvelles techniques d'anti-analyse, selon les résultats de l'infrastructure Web et de la sécurité
The threat actors behind the RedTail cryptocurrency mining malware have added a recently disclosed security flaw impacting Palo Alto Networks firewalls to its exploit arsenal. The addition of the PAN-OS vulnerability to its toolkit has been complemented by updates to the malware, which now incorporates new anti-analysis techniques, according to findings from web infrastructure and security |
Malware Vulnerability Threat | ★★★ | |
|
2024-05-30 19:53:04 | Les outils d'IA défectueux créent des soucis pour les LLM privés, les chatbots Flawed AI Tools Create Worries for Private LLMs, Chatbots (lien direct) |
Les entreprises recherchent des modèles de langues importants pour aider leurs employés à glaner les informations à partir de données non structurées, mais les vulnérabilités pourraient conduire à une désinformation et, potentiellement, à des fuites de données.
Companies are looking to large language models to help their employees glean information from unstructured data, but vulnerabilities could lead to disinformation and, potentially, data leaks. |
Tool Vulnerability | ★★★ | |
|
2024-05-30 19:19:00 | Les chercheurs découvrent l'exploitation active des vulnérabilités du plugin WordPress Researchers Uncover Active Exploitation of WordPress Plugin Vulnerabilities (lien direct) |
Les chercheurs en cybersécurité ont averti que de multiples vulnérabilités de sécurité à haute sévérité dans les plugins WordPress sont activement exploitées par les acteurs de la menace pour créer des comptes administrateurs voyous pour l'exploitation de suivi.
"Ces vulnérabilités se trouvent dans divers plugins WordPress et sont sujettes à des attaques de scripts inter-sites stockés non authentifiés (XSS) en raison d'une désintégration des entrées inadéquate
Cybersecurity researchers have warned that multiple high-severity security vulnerabilities in WordPress plugins are being actively exploited by threat actors to create rogue administrator accounts for follow-on exploitation. "These vulnerabilities are found in various WordPress plugins and are prone to unauthenticated stored cross-site scripting (XSS) attacks due to inadequate input sanitization |
Vulnerability Threat | ★★★ | |
|
2024-05-30 14:00:00 | Un argument pour la divulgation coordonnée de nouveaux exploits An Argument for Coordinated Disclosure of New Exploits (lien direct) |
En adoptant une position de divulgation coordonnée pour les exploits, les chercheurs en sécurité peuvent donner aux organisations le temps de corriger les vulnérabilités avant d'être exploitées dans la nature.
By adopting a stance of coordinated disclosure for exploits, security researchers can give organizations time to patch vulnerabilities before they are exploited in the wild. |
Vulnerability | ★★★ | |
 |
2024-05-30 02:45:40 | Comment l'IA a attrapé APT41 exploitant les vulnérabilités How AI Caught APT41 Exploiting Vulnerabilities (lien direct) |
En analysant comment le groupe cybercriminal APT41 a exploité une vulnérabilité à jour zéro, nous montrons comment DarkTrace \\ a Ai a détecté et étudié la menace immédiatement.
Analyzing how the cyber-criminal group APT41 exploited a zero-day vulnerability, we show how Darktrace\'s AI detected and investigated the threat immediately. |
Vulnerability Threat | APT 41 | ★★★ |
To see everything:
Our RSS (filtrered)
