What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-15 20:58:43 | Opération Celestial Force utilise des logiciels malveillants mobiles et de bureau pour cibler les entités indiennes Operation Celestial Force Employs Mobile and Desktop Malware to Target Indian Entities (lien direct) |
#### Géolocations ciblées
- Inde
#### Industries ciblées
- Base industrielle de la défense
- Informatique
- agences et services gouvernementaux
## Instantané
Les analystes de Cisco Talos ont découvert une campagne de logiciels malveillants en cours nommée "Opération Celestial Force", active depuis 2018.
## Description
Cette campagne utilise le [Gravityrat malware] (https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) pour et un chargeur Windows.Ces infections sont gérées via un outil baptisé "GravityAdmin", qui peut gérer plusieurs campagnes simultanément.Talos attribue cette campagne à un groupe de menaces pakistanais qu'ils appellent «Cosmic Leopard», qui se concentre sur l'espionnage contre les entités indiennes, en particulier dans les secteurs de la défense et du gouvernement.
La campagne utilise deux vecteurs d'infection, l'ingénierie sociale et le phishing de lance pour accéder à ses cibles.Les messages de phishing de lance Spear Phishing se compose de messages envoyés à des cibles avec un langage pertinent et des maldocs qui contiennent des logiciels malveillants tels que GravityRat.
L'autre vecteur d'infection, gagnant en popularité dans cette opération, et maintenant une tactique de base des opérations de Cosmic Leopard \\ consiste à contacter des cibles sur les réseaux sociaux, à établir la confiance avec eux et à leur envoyer un lien malveillant pour télécharger les fenêtres des fenêtres- ou GravityRat basé sur Android ou le chargeur basé sur Windows, Heavylift.
Initialement identifié en 2018, GravityRat a été utilisé pour cibler les systèmes Windows.D'ici 2019, il s'est étendu pour inclure des appareils Android.Heavylift, introduit à peu près au même moment, est un chargeur utilisé pour déployer d'autres logiciels malveillants via l'ingénierie sociale.Talos rapporte une augmentation de l'utilisation des logiciels malveillants mobiles pour l'espionnage ces dernières années.
"GravityAdmin" supervise les appareils infectés à travers divers panneaux spécifiques à la campagne.Ces campagnes, comme «Sierra», «Québec» et «Foxtrot», se caractérisent par l'utilisation de malwares Windows et Android.Cosmic Leopard utilise des tactiques telles que le phishing de lance et l'ingénierie sociale, en contactant souvent des cibles via les médias sociaux pour distribuer des logiciels malveillants.
## Détections / requêtes de chasse
** antivirus **
Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware:
- Trojan: Win32 / Gravityrat
- Trojanspy: Androidos / Grvity.a! Mtb
- Trojanspy: macOS / grvityrat.a! Mtb
- Trojan: MSIL / Gravityrat
## Les références
[Opération Celestial Force utilise un mobileD Desktop malware pour cibler les entités indiennes.] (https://blog.talosintelligence.com/cosmic-leopard/) Cisco Talos (consulté le 2024-06-14)
#### Targeted Geolocations - India #### Targeted Industries - Defense Industrial Base - Information Technology - Government Agencies & Services ## Snapshot Analysts at Cisco Talos have uncovered an ongoing malware campaign named "Operation Celestial Force," active since 2018. ## Description This campaign employs the [GravityRAT malware](https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) for Android and a Windows-based loader called "HeavyLift." These infections are managed through a tool dubbed "GravityAdmin," which can handle multiple campaigns simultaneously. Talos attributes this campaign to a Pakistani threat group they call "Cosmic Leopard," which focuses on espionage against Indian entities, especially in defense and government sectors. The campaign uses two infection vectors, social engineering and spear phishing to gain access to its targets. Spe |
Malware Tool Threat Mobile Industrial | ||
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-06-14 19:48:20 | Kimsuky nord-coréen fabricant d'armes d'attaque en Europe North Korean Kimsuky Attacking Arms Manufacturer In Europe (lien direct) |
#### Géolocations ciblées
- Europe de l'Ouest
#### Industries ciblées
- Fabrication critique
## Instantané
Un chercheur à la menace de Blackberry, Dmitry Melikov, a publié un article sur LinkedIn identifiant que le groupe nord-coréen parrainé par l'État Kimsuky a lancé une campagne de cyber-espionnage ciblant un fabricant d'armes d'Europe occidentale.
## Description
L'attaque a commencé par un e-mail de phisseur de lance contenant un fichier JavaScript malveillant, déguisé en document de description de travail légitime de General Dynamics.Lors de l'ouverture du fichier, le code JavaScript a décodé deux blocs de données Base64, exécutant une charge utile malveillante en arrière-plan.L'outil d'espionnage a fourni à l'attaquant des capacités telles que l'exfiltration d'informations, la capture de captures d'écran et l'établissement de connexions de socket.L'infrastructure C2 a révélé un chevauchement important avec les opérations connues de Kimsuky, conduisant à une évaluation de confiance élevée que Kimsuky est derrière cette campagne.
Cette attaque souligne les risques croissants et les implications géopolitiques potentielles de la cyber-guerre ciblant les industries militaires essentielles, soulignant la nécessité de mesures de cybersécurité accrue dans le secteur de la défense.Le groupe Kimsuky devrait continuer à cibler les entités militaires et aérospatiales dans le monde entier, nécessitant une vigilance et une surveillance continues.
## Les références
[Kimsuky cible un fabricant d'armes en Europe.] (Https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2fgtbajkvumcz%2bfuihobxja%3d%3d) LinkedIn (consulté 2024-06-10)
[Kimsuky nord-coréen Attacking Arms fabricant en Europe.] (Https://gbhackers.com/north-korean-kimsuky-attacking/) gbhackers (consulté en 2024-06-10)
#### Targeted Geolocations - Western Europe #### Targeted Industries - Critical Manufacturing ## Snapshot A threat researcher at BlackBerry, Dmitry Melikov, posted an article on LinkedIn identifying that the North Korean state-sponsored group Kimsuky launched a cyber-espionage campaign targeting a Western European weapons manufacturer. ## Description The attack began with a spear-phishing email containing a malicious JavaScript file, disguised as a legitimate job description document from General Dynamics. Upon opening the file, the JavaScript code decoded two base64 data blocks, executing a malicious payload in the background. The espionage tool provided the attacker with capabilities such as exfiltrating information, capturing screenshots, and establishing socket connections. The C2 infrastructure revealed significant overlap with known Kimsuky operations, leading to a high-confidence assessment that Kimsuky is behind this campaign. This attack underscores the escalating risks and potential geopolitical implications of cyber warfare targeting essential military industries, highlighting the need for heightened cybersecurity measures in the defense sector. The Kimsuky group is expected to continue targeting military and aerospace-related entities worldwide, necessitating ongoing vigilance and monitoring. ## References [Kimsuky is targetting an arms manufacturer in Europe.](https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2FGtBajKvuMCZ%2BFUIHObXjA%3D%3D) LinkedIn (accessed 2024-06-10) [North Korean Kimsuky Attacking Arms Manufacturer In Europe.](https://gbhackers.com/north-korean-kimsuky-attacking/) GBHackers (accessed 2024-06-10) |
Tool Threat | ||
 |
2024-06-14 14:08:27 | Il est temps de vous mettre au défi dans le CTF Google 2024 Time to challenge yourself in the 2024 Google CTF (lien direct) |
Hlynur Gudmundsson, Software EngineerIt\'s Google CTF time! Install your tools, commit your scripts, and clear your schedule. The competition kicks off on June 21 2024 6:00 PM UTC and runs through June 23 2024 6:00 PM UTC. Registration is now open at goo.gle/ctf. Join the Google CTF (at goo.gle/ctf), a thrilling arena to showcase your technical prowess. The Google CTF consists of a set of computer security puzzles (or challenges) involving reverse-engineering, memory corruption, cryptography, web technologies, and more. Participants can use obscure security knowledge to find exploits through bugs and creative misuse, and with each completed challenge your team will earn points and move up through the ranks. The top 8 teams of the Google CTF will qualify for our Hackceler8 competition taking place in Málaga, Spain later this year as a part of our larger Escal8 event. Hackceler8 is our experimental esport-style hacking game competition, custom-made to mix CTF and speedrunning. |
Tool Technical | ||
 |
2024-06-14 12:26:14 | Tile de l'entreprise de tracker de localisation frappé par la violation de données, les pirates accèdent aux outils internes Location Tracker Firm Tile Hit by Data Breach, Hackers Access Internal Tools (lien direct) |
Des millions d'utilisateurs de carreaux \\ 'Données potentiellement exposées dans une violation de données.Les pirates ont accédé aux outils internes, mais aucune information financière ou données de localisation ne compromise.Soyez prudent des tentatives de phishing.
Millions of Tile users\' data potentially exposed in a data breach. Hackers accessed internal tools, but no financial info or location data compromised. Be cautious of phishing attempts. |
Data Breach Tool | ||
|
2024-06-14 00:51:03 | New Warmcookie Windows Backdoor poussée via de fausses offres d'emploi New Warmcookie Windows backdoor pushed via fake job offers (lien direct) |
## Instantané Elastic Security Labs a identifié un nouveau logiciel malveillant Windows appelé "Warmcookie" distribué via de fausses campagnes de phishing pour compromettre les réseaux d'entreprise. ## Description Les e-mails de phishing contiennent des liens vers des pages de destination trompeuses, ce qui a incité les victimes à télécharger un fichier JavaScript obscurci qui exécute finalement la charge utile de chaleur.Une fois exécuté, Warmcookie établit une communication avec son serveur de commande et de contrôle (C2) et commence à collecter des informations sur les victimes, à capturer des captures d'écran, à exécuter des commandes arbitraires et à supprimer des fichiers sur des répertoires spécifiés.Warmcookie utilise diverses techniques telles que les calculs de somme de contrôle CRC32, le cryptage RC4 et la communication HTTP pour la commande et le contrôle. En juin 2024, la campagne est en cours et les acteurs de la menace créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.Selon Elastic Security Labs, Warmcookie gagne en popularité et est utilisé dans des campagnes ciblant les utilisateurs du monde entier. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win64 / Midie] (HTTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription? name = trojan: win64 / midie.gxz! mtb & menaced = -2147058392) ## Concernantfélicitations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection dans les e-mails entrants dans Microsoft Exchange Online Protection (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), qui identifie et bloque les sites Web malveillants malveillants, y compris les sites de phishing, les sites d'arnaque et les sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/cloud-potection-microsoft-defender-asvirus) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus àCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defe | Malware Tool Threat | ★★★ | |
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-06-13 17:00:00 | Pourquoi la sécurité SaaS est soudainement chaude: courir pour défendre et se conformer Why SaaS Security is Suddenly Hot: Racing to Defend and Comply (lien direct) |
Les cyberattaques récentes de la chaîne d'approvisionnement incitent les réglementations de cybersécurité dans le secteur financier pour resserrer les exigences de conformité, et d'autres industries devraient suivre.De nombreuses entreprises n'ont toujours pas de méthodes efficaces pour gérer les tâches de sécurité et de conformité SaaS et de conformité.Les outils d'évaluation des risques SaaS gratuits sont un moyen facile et pratique de proposer une visibilité et initiale
Recent supply chain cyber-attacks are prompting cyber security regulations in the financial sector to tighten compliance requirements, and other industries are expected to follow. Many companies still don\'t have efficient methods to manage related time-sensitive SaaS security and compliance tasks. Free SaaS risk assessment tools are an easy and practical way to bring visibility and initial |
Tool Cloud | ★★★ | |
|
2024-06-13 15:56:00 | La campagne de logiciels malveillants liée au Pakistan évolue vers des cibles Windows, Android et MacOS Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS (lien direct) |
Les acteurs de menace ayant des liens avec le Pakistan sont liés à une campagne de logiciels malveillants de longue date surnommée l'opération Celestial Force depuis au moins 2018.
L'activité, toujours en cours, implique l'utilisation d'un logiciel malveillant Android appelé GravityRat et d'un chargeur de logiciels malveillants basé sur Windows, nommé Heavylift, selon Cisco Talos, qui sont administrés à l'aide d'un autre outil autonome appelé GravityAdmin.
Le
Threat actors with ties to Pakistan have been linked to a long-running malware campaign dubbed Operation Celestial Force since at least 2018. The activity, still ongoing, entails the use of an Android malware called GravityRAT and a Windows-based malware loader codenamed HeavyLift, according to Cisco Talos, which are administered using another standalone tool referred to as GravityAdmin. The |
Malware Tool Threat Mobile | ★★★ | |
 |
2024-06-13 14:08:11 | Détection de shells Web: pourquoi il est important d'ajouter une couche de protection supplémentaire sur vos solutions de sécurité existantes Detecting Web Shells: Why it is important to add an additional layer of protection on your existing security solutions (lien direct) |
> Comprendre l'importance de la détection des coquilles Web est crucial dans le paysage de la cybersécurité d'aujourd'hui.Les solutions antivirus traditionnelles échouent souvent, mais des outils spécialisés comme le scanner Thor Apt de Nextron offrent une protection avancée contre ces menaces furtives, assurant une sécurité complète.
>Understanding the importance of web shell detection is crucial in today\'s cybersecurity landscape. Traditional antivirus solutions often fall short, but specialized tools like Nextron\'s THOR APT scanner provide advanced protection against these stealthy threats, ensuring comprehensive security. |
Tool | ★★ | |
 |
2024-06-13 14:00:00 | UNC3944 cible les applications SaaS UNC3944 Targets SaaS Applications (lien direct) |
Introduction
UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.
Initially, UNC3944 focused on credential harvesting and SIM swapping attacks in their operations, eventually migrating to ransomware and data theft extortion. However, recently, UNC3944 has shifted to primarily data theft extortion without the use of ransomware. This change in objectives has precipitated an expansion of targeted industries and organizations as evidenced by Mandiant investigations.
Evidence also suggests UNC3944 has occasionally resorted to fearmongering tactics to gain access to victim credentials. These tactics include threats of doxxing personal information, physical harm to victims and their families, and the distribution of compromising material.
This blog post aims to spotlight UNC3944\'s attacks against SaaS applications, providing insights into the group\'s evolving TTPs in line with its shifting mission objectives.
Tactics, Techniques, and Procedures (TTPs)
Figure 1: UNC3944 attack lifecycle
Mandiant has observed UNC3944 in multiple engagements leveraging social engineering techniques against corporate help desks to gain initial access to existing privileged accounts. Mandiant has analyzed several forensic recordings of these call center attacks, and of the observed r |
Ransomware Tool Threat Cloud | ★★★ | |
 |
2024-06-13 13:00:00 | Vulnérabilités critiques facilement exploitantes trouvées dans les outils d'IA / ML open source Easily Exploitable Critical Vulnerabilities Found in Open Source AI/ML Tools (lien direct) |
> Protéger les avertissements d'IA d'une douzaine de vulnérabilités critiques dans les outils d'IA / ML open source signalés via son programme de primes de bogue.
>Protect AI warns of a dozen critical vulnerabilities in open source AI/ML tools reported via its bug bounty program. |
Tool Vulnerability | ★★★ | |
 |
2024-06-13 12:53:58 | Navigation des étapes de la maturité de l'AppSec: un guide tactique pour la gestion des risques Navigating the Stages of AppSec Maturity: A Tactical Guide for Risk Management (lien direct) |
Dans le paysage numérique en évolution rapide, la maturité du programme de sécurité des applications (APPSEC) d'une organisation n'est pas seulement bénéfique;Il est impératif de la résilience à grande échelle et réduisant l'accumulation de la dette de sécurité.Étant donné que les logiciels sont de plus en plus centraux des opérations commerciales, la nécessité de programmes APPSEC robustes n'a jamais été aussi critique.Voici un guide pour comprendre les différentes étapes de la maturité de l'AppSec et comment évoluer à travers eux pour une gestion efficace des risques.
Pourquoi la maturité de l'application est importante pour la gestion des risques maximisés
La maturité de l'APPSEC fait référence au niveau de sophistication et d'efficacité de l'approche d'une organisation pour sécuriser leurs applications.Il comprend les outils et les processus en place et la culture et l'état d'esprit envers la sécurité au sein de l'organisation.
Alors que les entreprises continuent d'intégrer des technologies plus sophistiquées telles que l'intelligence artificielle (IA) et les services cloud dans leurs processus de développement, la complexité, le risque et…
In the rapidly evolving digital landscape, the maturity of an organization\'s Application Security (AppSec) program is not just beneficial; it\'s imperative for resilience at scale and reducing security debt accumulation. Since software is increasingly central to business operations, the need for robust AppSec programs has never been more critical. Here\'s a guide to understanding the various stages of AppSec maturity and how to evolve through them for effective risk management. Why AppSec Maturity Matters for Maximized Risk Management AppSec maturity refers to the level of sophistication and effectiveness of an organization\'s approach to securing their applications. It includes the tools and processes in place and the culture and mindset towards security within the organization. As companies continue to integrate more sophisticated technologies such as artificial intelligence (AI) and cloud services into their development processes, the complexity, risk, and… |
Tool Cloud | ★★ | |
 |
2024-06-13 11:03:53 | Conduire dans les pilotes Android Driving forward in Android drivers (lien direct) |
Posted by Seth Jenkins, Google Project ZeroIntroduction Android\'s open-source ecosystem has led to an incredible diversity of manufacturers and vendors developing software that runs on a broad variety of hardware. This hardware requires supporting drivers, meaning that many different codebases carry the potential to compromise a significant segment of Android phones. There are recent public examples of third-party drivers containing serious vulnerabilities that are exploited on Android. While there exists a well-established body of public (and In-the-Wild) security research on Android GPU drivers, other chipset components may not be as frequently audited so this research sought to explore those drivers in greater detail.Driver Enumeration: Not as Easy as it Looks This research focused on three Android devices (chipset manufacturers in parentheses): - Google Pixel 7 (Tensor) - Xiaomi 11T (MediaTek) - Asus ROG 6D (MediaTek) In order to perform driver research on these devices I first had to find all of the kernel drivers that were accessible from an unprivileged context on each device; a task complicated by the non-uniformity of kernel drivers (and their permissions structures) across different devices even within the same chipset manufacturer. There are several different methodologies for discovering these drivers. The most straightforward technique is to search the associated filesystems looking for exposed driver device files. These files serve as the primary method by which userland can interact with the driver. Normally the “file” is open’d by a userland process, which then uses a combination of read, write, ioctl, or even mmap to interact with the driver. The driver then “translates” those interactions into manipulations of the underlying hardware device sending the output of that device back to userland as warranted. Effectively all drivers expose their interfaces through the ProcFS or DevFS filesystems, so I focused on the /proc and /dev directories while searching for viable attack surfaces. Theoretically, evaluating all the userland accessible drivers should be as simple as calling find /dev or find /proc, attempting to open every file discovered, and logging which open | Tool Vulnerability Threat Patching Mobile Technical | ★★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
 |
2024-06-12 16:04:06 | Embrasser la sécurité BYOD avec les ID Apple gérés Embracing BYOD Security with Managed AppleIDs (lien direct) |
> Je suis ravi de voir l'expansion récente de l'identité d'Apple \\ dans Apple Business Manager, leur outil de gestion de cycle de vie de l'appareil et d'applications pour l'entreprise.En termes simples, il permet une adoption plus large des ID Apple gérés en permettant aux organisations d'utiliser des adresses e-mail d'entreprise comme ID Apple d'entreprise, et à s'intégrer à une gamme plus large d'identité [& # 8230;]
>I am excited to see Apple\'s recent expansion of identity support in Apple Business Manager, their device and app lifecycle management tool for the enterprise. Simply put, it enables wider adoption of Managed Apple IDs by allowing organizations to use corporate email addresses as corporate Apple IDs, and integrate with a broader range of identity […] |
Tool | ★★★ | |
|
2024-06-12 15:48:53 | Comprendre les nuances: Test de pénétration DAST vs Understanding the Nuances: DAST vs. Penetration Testing (lien direct) |
Les cyberattaques sont une menace croissante, ce qui rend crucial pour nous de comprendre les outils et les techniques disponibles pour sécuriser les applications.Aujourd'hui, nous plongeons dans les différences et les similitudes entre les tests de sécurité des applications dynamiques (DAST) et les tests de pénétration avec des informations d'un expert de l'industrie Veracode et un testeur de pénétration certifié, Florian Walter.
Dast est une technique automatisée conçue pour identifier les vulnérabilités de sécurité dans les applications Web et les API pendant l'exécution.Il simule efficacement les attaques pour détecter des problèmes communs tels que les injections SQL et les vulnérabilités de script inter-sites, ce qui le rend idéal pour les vérifications de sécurité continues à différentes étapes du cycle de vie de développement logiciel.
À l'inverse, les tests de pénétration impliquent des testeurs experts examinant manuellement les applications pour identifier les vulnérabilités que les outils automatisés pourraient manquer.Cette méthode fournit des informations approfondies, en particulier dans des environnements complexes, gérant des données sensibles, offrant un nuancé…
Cyberattacks are a growing threat, making it crucial for us to understand the tools and techniques available to secure applications. Today, we dive into the differences and similarities between Dynamic Application Security Testing (DAST) and Penetration Testing with insights from a Veracode industry expert and certified penetration tester, Florian Walter. DAST is an automated technique designed to identify security vulnerabilities in web applications and APIs during runtime. It effectively simulates attacks to detect common issues like SQL injections and cross-site scripting vulnerabilities, making it ideal for continuous security checks across various stages of the software development lifecycle. Conversely, Penetration Testing involves expert testers manually examining applications to pinpoint vulnerabilities that automated tools might miss. This method provides deep insights, especially in complex environments handling sensitive data, offering a nuanced… |
Tool Vulnerability Threat | ★★★ | |
|
2024-06-12 14:17:00 | Une nouvelle campagne de phishing déploie des chercheurs d'emploi de secours New Phishing Campaign Deploys WARMCOOKIE Backdoor Targeting Job Seekers (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'une campagne de phishing en cours qui tire parti des leurres sur le thème du recrutement et du travail pour livrer une porte dérobée basée sur les fenêtres nommé Warmcookie.
"Warmcookie semble être un premier outil de porte dérobée utilisé pour rechercher les réseaux de victimes et déployer des charges utiles supplémentaires", a déclaré Daniel Stepanic, chercheur des laboratoires de sécurité élastique, dans une nouvelle analyse."Chaque échantillon est compilé
Cybersecurity researchers have disclosed details of an ongoing phishing campaign that leverages recruiting- and job-themed lures to deliver a Windows-based backdoor named WARMCOOKIE. "WARMCOOKIE appears to be an initial backdoor tool used to scout out victim networks and deploy additional payloads," Elastic Security Labs researcher Daniel Stepanic said in a new analysis. "Each sample is compiled |
Tool | ★★ | |
|
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
 |
2024-06-12 09:45:07 | Blindspot de menace multicanal laissera votre organisation vulnérable à la violation Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach (lien direct) |
> Dans le monde hyper-connecté d'aujourd'hui, les travailleurs modernes s'appuient sur une multitude d'outils de communication et de collaboration pour faire le travail efficacement.Email, SMS, Slack, Microsoft Teams & # 8211;L'employé moyen jongle entre 6 et 10 applications sanctionnées par jour.Et cela ne compte même pas les outils non autorisés qui volent sous le radar.Cette prolifération des canaux [& # 8230;]
Le post menace multi-canal Lelinpot quittera votre organisation qui quittera votre organisationVulnérable à la violation est apparu pour la première fois sur slashnext .
>In today’s hyper-connected world, modern workers rely on a multitude of communication and collaboration tools to get work done efficiently. Email, SMS, Slack, Microsoft Teams – the average employee juggles between 6-10 sanctioned apps on any given day. And that’s not even counting the unsanctioned tools that fly under IT’s radar. This proliferation of channels […] The post Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach first appeared on SlashNext. |
Tool Threat | ★★ | |
|
2024-06-12 04:24:10 | Attaques contre Linux SSH Services détectés par Ahnlab EDR Attacks Against Linux SSH Services Detected by AhnLab EDR (lien direct) |
Secure Shell (SSH) est un protocole standard pour les connexions terminales sécurisées et est généralement utilisé pour contrôler les Linux distantsSystèmes.Contrairement au système d'exploitation Windows que les utilisateurs individuels utilisent pour les ordinateurs de bureau, les systèmes Linux remplissent principalement le rôle des serveurs fournissant le Web, la base de données, le FTP, le DNS et d'autres services.Bien sûr, Windows prend également en charge ces services en tant que serveur.Pour Windows et Linux, les exécuter en tant que serveur nécessite un outil pour les contrôler à distance.Windows a un protocole de bureau à distance (RDP) pour ...
Secure SHell (SSH) is a standard protocol for secure terminal connections and is generally used for controlling remote Linux systems. Unlike Windows OS that individual users use for desktops, Linux systems mainly fulfill the role of servers providing web, database, FTP, DNS, and other services. Of course, Windows also supports these services as a server. For both Windows and Linux, running them as a server requires a tool to remotely control them. Windows has a Remote Desktop Protocol (RDP) for... |
Tool | ★★ | |
|
2024-06-11 23:20:20 | Utilisation de l'IA dans la prise de décision de la sécurité des entreprises: amélioration de la protection et de l'efficacité Using AI in Business Security Decision-Making: Enhancing Protection and Efficiency (lien direct) |
Améliorez la sécurité des entreprises avec la prise de décision axée sur l'IA.Utilisez des outils avancés pour la détection précise des menaces, la conformité et la gestion proactive de la crise. & # 8230;
Enhance business security with AI-driven decision-making. Use advanced tools for accurate threat detection, compliance, and proactive crisis management.… |
Tool Threat | ★★ | |
|
2024-06-11 22:47:43 | Sécuriser les transactions commerciales en ligne: outils et pratiques essentielles Securing Online Business Transactions: Essential Tools and Practices (lien direct) |
Améliorez votre sécurité de transaction en ligne avec le chiffrement, les VPN et l'authentification.Comprendre les menaces, répondre aux vulnérabilités et utiliser des passerelles de paiement sécurisées.Restez conforme aux PCI DSS et aux normes réglementaires pour protéger votre entreprise et établir la confiance des clients.
Enhance your online transaction security with encryption, VPNs, and authentication. Understand threats, address vulnerabilities, and use secure payment gateways. Stay compliant with PCI DSS and regulatory standards to protect your business and build customer trust. |
Tool Vulnerability | ★★ | |
|
2024-06-11 22:21:52 | Création de pipelines CRM sécurisés dans la construction: meilleures pratiques et stratégies essentielles Creating Secure CRM Pipelines in Construction: Best Practices and Essential Strategies (lien direct) |
Sécurisez le pipeline CRM de votre entreprise de construction pour protéger les données des clients et rationaliser les opérations.Un CRM spécialisé améliore la communication, réduit les erreurs et prend en charge la croissance évolutive avec des fonctionnalités de sécurité avancées et des outils d'automatisation.
Secure your construction company\'s CRM pipeline to protect client data and streamline operations. A specialized CRM enhances communication, reduces errors, and supports scalable growth with advanced security features and automation tools. |
Tool | ★★ | |
|
2024-06-11 19:47:45 | APT Attacks Using Cloud Storage (lien direct) | ## Snapshot AhnLab Security Intelligence Center (ASEC) has identified APT attacks utilizing cloud services like Google Drive, OneDrive, and Dropbox to distribute malware and collect user information. ## Description Threat actors upload malicious scripts, RAT malware strains, and decoy documents to cloud servers to execute various malicious behaviors. The attack process involves distributing EXE and shortcut files disguised as HTML documents, which then decode and execute PowerShell commands to download decoy documents and additional files. The threat actor\'s Dropbox contains various decoy documents, and the malware downloaded from the cloud includes XenoRAT, capable of performing malicious activities and communicating with the C2 server. The threat actor appears to target specific individuals and continuously collect information to distribute tailored malware. The threat actor\'s email addresses and C2 server address were identified during the analysis, and users are advised to be cautious as the malware not only leaks information and downloads additional malware strains but also performs malicious activities such as controlling the affected system. Additionally, users are warned to verify file extensions and formats before running them, as multiple malware strains have been found to utilize shortcut files. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enable | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
 |
2024-06-11 10:00:00 | Les risques cachés de l'eSports: cybersécurité sur le champ de bataille virtuel The Hidden Risks of eSports: Cybersecurity on the Virtual Battlefield (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. From humble beginnings as a niche hobby relegated to small gaming cafes and basements, eSports has grown into a huge affair where gamers compete for million-dollar prizes and prestigious titles. As of 2024, the global eSports industry is worth $4.3 billion, up from just $1.2 billion in 2017. Major eSports tournaments now fill virtual arenas and stadiums, with millions of viewers tuning in. Amid the excitement and fanfare, however, a crucial aspect often gets overlooked – cybersecurity. Maintaining integrity and security in these virtual environments has become increasingly vital. From the potential for game-altering hacks and cheats to the risk of data breaches and cyberattacks, the challenges facing the industry are growing more complex by the day. Understanding the Cybersecurity Threats in eSports The eSports industry\'s rapid growth, lucrative prize pools, and massive online viewership have made it an attractive target for cybercriminals and unscrupulous actors seeking to disrupt events, compromise systems, or gain an unfair advantage. Additionally, some eSports organizations like FaZe Clan are experiencing surges on the stock market, making them even more attractive targets than, let’s say, stealing data from individual players. To begin with, let’s go through the primary cybersecurity threats plaguing the world of eSports: DDoS Attacks Distributed Denial of Service (DDoS) attacks involve sending an influx of malicious traffic to a network or server, overwhelming it and making it unable to respond to legitimate requests, effectively taking it offline. In eSports, DDoS attacks can disrupt live tournaments, causing delays, disconnections, and frustration for players and viewers alike. These can also target individual players, knocking them offline during crucial matches. For instance, in 2023, a DDoS attack on the 24 Hours of Le Mans Virtual eSports event kicked out Max Verstappen, who was leading the race. Activision Blizzard was also hit with multiple DDoS attacks in 2020, affecting several of its game titles, including Call of Duty, Overwatch, and World of Warcraft. Account Hijacking Account hijacking involves unauthorized access to a player\'s account, typically through phishing, keylogging, or exploiting security vulnerabilities. Hijacked accounts can be used for cheating, sabotage, or even sold on the black market, putting players at risk of financial loss and reputational damage. In 2019, for example, | Ransomware Malware Tool Vulnerability Threat Legislation | ★★★ | |
|
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-06-10 18:56:54 | Hurlant dans la boîte de réception: les dernières attaques d'aviation malveillantes de Sticky Werewolf \\ Howling at the Inbox: Sticky Werewolf\\'s Latest Malicious Aviation Attacks (lien direct) |
#### Géolocations ciblées - Russie - Biélorussie #### Industries ciblées - Systèmes de transport ## Instantané Morphisec Labs a découvert une nouvelle campagne de phishing ciblant l'industrie de l'aviation associée à un loup-garou collant, un groupe de cyber-menaces ayant des liens géopolitiques et / ou hacktivistes présumés. ## Description Sticky Wasorlf mène une campagne de phishing à l'aide de fichiers LNK malveillants déguisés en documents légitimes, tels qu'un programme de réunion et une liste de diffusion.Une fois que la victime clique sur les fichiers LNK, il déclenche des actions, y compris l'ajout d'une entrée de registre pour la persistance, l'affichage d'un message de leurre et la copie d'une image à partir d'un partage de réseau.Les fichiers LNK exécutent également un chargeur / crypter cypherit, qui est une variante d'un crypter connu utilisé par plusieurs acteurs de menace pour fournir des charges utiles malveillantes.Le Cypherit Loader / Cryter extrait les fichiers dans le répertoire% localappdata% \ Microsoft \ Windows \ InetCache et exécute un script de lot obscurci.Ce script par lots effectue des opérations telles que le retard de l'exécution, la modification des noms de fichiers et la concaténation des fichiers.Il exécute également un exécutable AutOIT avec un script compilé comme argument.Le script AutOIT exécuté a des capacités d'anti-analyse, d'anti-émulation, de persistance et de décrocheur, visant à injecter la charge utile et d'éviter les solutions de sécurité et les tentatives d'analyse. Actif depuis avril 2023, Sticky Werewolf a auparavant ciblé des organisations publiques en Russie et en Biélorussie, une entreprise pharmaceutique et un institut de recherche russe traitant de la microbiologie et du développement de vaccins.Morphisec Labs juge que le groupe a probablement des liens géopolitiques et / ou hacktivistes.Bien que l'origine géographique et la base géographique du groupe restent floues, les techniques d'attaque récentes suggèrent que l'espionnage et l'intention d'exfiltration des données. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [Backdoor: win32 / limerat] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win32/limerat.ya!mtb) - [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan%3Awin32%2fcasdet!rfn) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/winlnk.a) ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection d | Malware Tool Threat | ★★★★ | |
 |
2024-06-10 15:18:29 | Vous voulez un accès gratuit et anonyme aux chatbots IA?Le nouvel outil de DuckDuckGo \\ est pour vous Want free and anonymous access to AI chatbots? DuckDuckGo\\'s new tool is for you (lien direct) |
Le Duckduck GO à l'origine de la vie privée promet que vos conversations sont privées, anonymisées et non utilisées pour la formation du modèle d'IA.
The privacy-minded DuckDuck Go promises that your chats are private, anonymized, and not used for AI model training. |
Tool | ★★★ | |
|
2024-06-10 14:00:00 | UNC5537 cible les instances des clients de Snowflake pour le vol de données et l'extorsion UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) |
Introduction Through the course of our incident response engagements and threat intelligence collections, Mandiant has identified a threat campaign targeting Snowflake customer database instances with the intent of data theft and extortion. Snowflake is a multi-cloud data warehousing platform used to store and analyze large amounts of structured and unstructured data. Mandiant tracks this cluster of activity as UNC5537, a financially motivated threat actor suspected to have stolen a significant volume of records from Snowflake customer environments. UNC5537 is systematically compromising Snowflake customer instances using stolen customer credentials, advertising victim data for sale on cybercrime forums, and attempting to extort many of the victims. Mandiant\'s investigation has not found any evidence to suggest that unauthorized access to Snowflake customer accounts stemmed from a breach of Snowflake\'s enterprise environment. Instead, every incident Mandiant responded to associated with this campaign was traced back to compromised customer credentials. In April 2024, Mandiant received threat intelligence on database records that were subsequently determined to have originated from a victim\'s Snowflake instance. Mandiant notified the victim, who then engaged Mandiant to investigate suspected data theft involving their Snowflake instance. During this investigation, Mandiant determined that the organization\'s Snowflake instance had been compromised by a threat actor using credentials previously stolen via infostealer malware. The threat actor used these stolen credentials to access the customer\'s Snowflake instance and ultimately exfiltrate valuable data. At the time of the compromise, the account did not have multi-factor authentication (MFA) enabled. On May 22, 2024 upon obtaining additional intelligence identifying a broader campaign targeting additional Snowflake customer instances, Mandiant immediately contacted Snowflake and began notifying potential victims through our Victim Notification Program. To date, Mandiant and Snowflake have notified approximately 165 potentially exposed organizations. Snowflake\'s Customer Support has been directly engaged with these customers to ensure the safety of their accounts and data. Mandiant and Snowflake have been conducting a joint investigation into this ongoing threat campaign and coordinating with relevant law enforcement agencies. On May 30, 2024, Snowflake published detailed detection and hardening guidance to Snowflake customers. | Malware Tool Threat Legislation Cloud | ★★ | |
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ★★ | |
 |
2024-06-10 12:00:50 | Garder le contenu frais: 4 meilleures pratiques pour la sensibilisation à la sécurité axée sur les menaces pertinente Keeping Content Fresh: 4 Best Practices for Relevant Threat-Driven Security Awareness (lien direct) |
The threat landscape moves fast. As new attack methods and social engineering techniques appear, organizations need to maintain security awareness programs that are relevant, agile and focused. Research from Proofpoint for the 2024 State of the Phish report found that most businesses used real-world threat intelligence to shape their security awareness programs in 2023. That makes us happy! At Proofpoint, we know it is essential to use threats and trends from the wild to teach your employees about attacks they might encounter. It is equally important to ensure that your program isn\'t teaching them about security topics that are no longer relevant. In this article, we discuss four essential best practices to help keep your security awareness and training content both fresh and threat-driven: Analyze real threat trends to stay current and relevant Use real-world threats to inform your testing and training Refresh your training plan so that it\'s relevant and accurate Ensure that security practitioners stay on top of content changes An image from our always-fresh (see what we did here?) phishing template that tests brand impersonation. The human-centric risk of not keeping it fresh Let\'s first talk about what happens when you use outdated threat content to train your employees. The results can create significant human-centric risk for your business because your employees might approach security with unsafe behavior such as: Having a false sense of security about their knowledge. People might believe they are well prepared to identify and respond to threats, leading to actions based on incorrect assumptions. Not responding effectively to targeted threats. People might make decisions based on incorrect assumptions, increasing the possibility of successful attacks specific to their role or industry. Incorrectly reporting a security incident. Outdated training content may give incorrect procedures for reporting and responding to security incidents. Being noncompliant with industry regulations. Outdated content might not fit the required compliance training, exposing your company to possible legal and financial penalties. Being unengaged in your security culture. If employees perceive security education as outdated or irrelevant, they might see security responsibility as a waste of their time. Now, let\'s talk about our four best practices to help ensure that none of this happens. An image from the “AI Chatbot Threats” training (play video). 1: Analyze real threat trends to stay current and relevant Informing your program with threat intelligence is a must. Real-world insights will help your employees understand the scope and impact of the threats they may face. It will also enable your security teams to tailor their training and messaging accordingly. To use threat intelligence effectively, security awareness practitioners must work collaboratively across their organizations. You want to understand the attack trends that the security practitioners who monitor, analyze and investigate cyber threats see in real time. These practitioners might be your incident response team or your security operations center (SOC) team. At Proofpoint, we are committed to staying on top of the latest threats and passing this information to customers. The Proofpoint Security Awareness solution is built on insights that we gather from analyzing over 2.6 billion emails daily, monitoring 430+ million domains and tracking hundreds of threat groups to stay ahead of attackers. We do this by collaborating with our in-house Threat Intelligence Services team and using their insights in our integrated threat platform, which ties email monitoring and remediation to human risk detection and education. Recent insights from real-world trends include: Telephone-oriented attack delivery (TOAD). In the 2024 State of the Phish, we reported | Tool Vulnerability Threat Prediction | ★★★ | |
|
2024-06-10 11:34:09 | Utilisation des dossiers de santé électroniques (DSE) pour l'extraction des données de santé Using Electronic Health Records (EHRs) for Healthcare Data Extraction (lien direct) |
Les dossiers de santé électroniques (DSE) sont devenus des outils cruciaux pour stocker et gérer les informations sur les patients.Ces enregistrements numériques contiennent & # 8230;
Electronic health records (EHRs) have become crucial tools for storing and managing patient information. These digital records contain… |
Tool Medical | ★★★ | |
|
2024-06-07 21:10:07 | TargetCompany\'s Linux Variant Targets ESXi Environments (lien direct) | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu | Ransomware Malware Tool Threat Mobile Prediction | ★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 17:32:33 | Cloudforce One perturbe la campagne de phishing Flyetyeti alignée en Russie exploitant le stress financier ukrainien Cloudforce One Disrupts Russia-Aligned FlyingYeti Phishing Campaign Exploiting Ukrainian Financial Stress (lien direct) |
#### Géolocations ciblées - Ukraine - Russie - L'Europe de l'Est #### Industries ciblées - Services financiers - Produits de dépôt, de crédit à la consommation et de systèmes de paiement ## Instantané Des chercheurs de Cloudflare ont détaillé les activités de l'acteur de menace aligné par la Russie, Flyingyeti, qui ciblait des individus ukrainiens, en particulier ceux confrontés au stress financier en raison de la levée de l'interdiction du gouvernement et de l'interdiction des expulsions et de la fin des services utilitaires pour une dette impayée. ## Description Flyetyeti a utilisé des tactiques de phishing à l'aide de leurres sur le thème de la dette et a exploité la vulnérabilité Winrar [CVE-2023-38831] (https://security.microsoft.com/intel-explorer/cves/cve-2023-38831/description) pour livrer la Cookbox/CVE-2023-38831/description) pour livrer le Cookboxmalware.L'acteur de menace s'est principalement concentré sur le ciblage des entités militaires ukrainiennes, en utilisant DNS dynamique pour les infrastructures et en tirant parti des plates-formes cloud pour l'hébergement de contenu malveillant et de contrôle et de contrôle des logiciels malveillants.L'objectif de l'acteur de menace était de livrer le logiciel malveillant de la boîte de cuisine via des documents de leurre et des liens de suivi cachés, avec le serveur C2 situé à Postdock \ [. \] Serveftp \ [. \] Com. Les actions de Cloudforce One ont conduit au retrait des fichiers malveillants de l'acteur de menace et de la suspension de leurs comptes, ainsi que de la coordination avec des partenaires de l'industrie pour atténuer l'activité de l'acteur.Cloudflare a fourni des informations sur les techniques de phishing et de livraison de Flyeti \\, les mesures défensives prises par Cloudforce One, les efforts de coordination avec les partenaires de l'industrie et les recommandations pour la chasse aux opérations Flyety et l'atténuation des menaces liées. ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: ** CVE-2023-38831 Détections connexes ** - [Exploit: win32 / cve-2023-38831] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=exPLOIT: WIN32 / CVE-2023-38831 & menaceID = -2147077428 & ocid = magicti_ta_ency) - [Exploit: BAT / CVE-2023-38831.D] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Scription?name=Exploit:bat/CVE-2023-38831.D & menaceID = -2147078218 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande leE Suite à des atténuations pour réduire l'impact de cette menace. - Utilisez la dernière version [Winrarsion 6.23] (https://www.win-rar.com/singlenewsview.html?&l=0&tx_ttnews%5BTT_NEWS%5D=232&chash=c5bf79590657e3 . - Investir dansSolutions avancées et anti-phishing qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_ta_learndoc) rassemble une gestion d'incident et d'alerte à travers les e-mails, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentiftify and Block] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc) Site Web malveillantS, y compris ceux utilisés dans cette campagne de phishing. - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou l | Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-07 16:39:00 | Cyber Landscape évolue - votre SCA devrait aussi Cyber Landscape is Evolving - So Should Your SCA (lien direct) |
Les SCAS traditionnels sont cassés: saviez-vous que vous manquez des pièces critiques?
Les professionnels de la sécurité des applications sont confrontés à d'énormes défis assurant leurs chaînes d'approvisionnement logicielles, en course contre le temps pour battre l'attaquant à la marque. & Nbsp;
Les outils d'analyse de composition logicielle (SCA) sont devenus un instrument de base dans l'arsenal de sécurité des applications au cours des 7 dernières années.Bien que essentiels, de nombreuses plateformes
Traditional SCAs Are Broken: Did You Know You Are Missing Critical Pieces? Application Security professionals face enormous challenges securing their software supply chains, racing against time to beat the attacker to the mark. Software Composition Analysis (SCA) tools have become a basic instrument in the application security arsenal in the last 7 years. Although essential, many platforms |
Tool | ★★★ | |
|
2024-06-07 16:37:00 | Le débat sur l'IA: les directives de Google \\, le différend du RGPD de Meta \\, Rappel de Microsoft \\ The AI Debate: Google\\'s Guidelines, Meta\\'s GDPR Dispute, Microsoft\\'s Recall Backlash (lien direct) |
Google exhorte les développeurs d'applications Android tiers à incorporer des fonctionnalités d'intelligence artificielle générative (Genai) de manière responsable.
Les nouveaux conseils du géant de la recherche et de la publicité sont un effort pour lutter contre le contenu problématique, y compris le contenu sexuel et le discours de haine, créé à travers de tels outils.
À cette fin, les applications qui génèrent du contenu à l'aide de l'IA doivent s'assurer qu'ils ne créent pas
Google is urging third-party Android app developers to incorporate generative artificial intelligence (GenAI) features in a responsible manner. The new guidance from the search and advertising giant is an effort to combat problematic content, including sexual content and hate speech, created through such tools. To that end, apps that generate content using AI must ensure they don\'t create |
Tool Mobile | ★★ | |
 |
2024-06-07 12:00:56 | Sécurité, le cloud et l'IA: construire des résultats puissants tout en simplifiant votre expérience Security, the cloud, and AI: building powerful outcomes while simplifying your experience (lien direct) |
Lisez comment Cisco Security Cloud Control Control priorise la consolidation des outils et la simplification de la politique de sécurité sans compromettre votre défense.
Read how Cisco Security Cloud Control prioritizes consolidation of tools and simplification of security policy without compromising your defense. |
Tool Cloud | ★★ | |
|
2024-06-07 06:47:56 | Arrêt de cybersécurité du mois: les attaques d'identité du PDG Cybersecurity Stop of the Month: CEO Impersonation Attacks (lien direct) |
This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain: reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) In this post, we continue to explore the topic of impersonation tactics, examining how threat actors use them to get information for financial gain. Background Last year, the Federal Trade Commission (FTC) received more than 330,000 reports of business impersonation scams and nearly 160,000 reports of government impersonation scams. This represents about half of all the fraud reported directly to the FTC. The financial losses due to email impersonation scams are staggering. They topped $1.1 billion in 2023, which was more than three times the amount reported in 2020. Financial fraud is a serious issue-and it\'s on the rise. In 2023, consumers reported losing more than $10 billion to fraud. This is the first time that losses reached that benchmark, and it\'s a 14% increase from 2022. The most common reports were imposter scams. This category saw significant increases in reports from the business and government sectors. The scenario Proofpoint recently detected a threat actor\'s message to the financial controller of a Dutch financial institution, which is known for its expertise in commercial risk. In this attack, the threat actor pretended to be the company\'s CEO-a tactic that\'s known as CEO fraud. In these attacks, the goal is to exploit the recipient\'s trust to get them to perform a specific action. The threat: How did the attack happen? The attacker emailed the Dutch financial company\'s controller, asking that two payments be sent to London. The email demanded that payments be made “today” to create a sense of urgency. To help make the message seem credible, the attacker claimed to have access to the IBAN and SWIFT codes. Original email from the threat actor. The same email translated into English. Detection: How did Proofpoint prevent this attack? Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Powered by a large language (LLM) model engine, it stops advanced email threats before they\'re delivered to users\' inboxes. That\'s what stopped this malicious message from reaching the financial controller\'s inbox. Pre-delivery protection is so critical because, based on Proofpoint\'s telemetry across more than 230,000 organizations around the world, post-delivery detections are frequently too late. Nearly one in seven malicious URL clicks occur within one minute of the email\'s arrival, and more than one-third of BEC replies happen in less than five minutes. These narrow timeframes, du | Tool Threat Cloud Commercial | ★★★ | |
|
2024-06-06 20:51:21 | Conseils de confidentialité de Chatgpt: deux façons importantes de limiter les données que vous partagez avec OpenAI ChatGPT privacy tips: Two important ways to limit the data you share with OpenAI (lien direct) |
Vous voulez utiliser des outils d'IA sans compromettre le contrôle de vos données?Voici deux façons de protéger votre vie privée dans le chatbot d'Openai \\.
Want to use AI tools without compromising control of your data? Here are two ways to safeguard your privacy in OpenAI\'s chatbot. |
Tool | ChatGPT | ★★ |
|
2024-06-06 20:12:19 | Fake Advanced IP Scanner Installer fournit dangereux CobaltStrike Backdoor Fake Advanced IP Scanner Installer Delivers Dangerous CobaltStrike Backdoor (lien direct) |
## Instantané L'équipe Trustwave SpiderLabs a découvert une attaque d'arrosage ciblant les utilisateurs à la recherche de l'outil de scanner IP avancé légitime. ** En savoir plus sur Microsoft \'s [couverture de Cobaltsstrike ici.] (Https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) ** ## Description Les acteurs de la menace ont imité le site Web légitime et abusé des publicités Google pour s'assurer que leur site malveillant se classe fortement dans les résultats de recherche.Le programme d'installation compromis, téléchargé à partir d'un domaine de typo-carré, contenait un module DLL arrière qui a injecté une balise de CobaltStrike dans un processus parent nouvellement créé en utilisant la technique de creux de processus.Cela a permis aux acteurs de menace d'accéder au système et de communiquer avec leurs serveurs de commandement et de contrôle (C2), leur permettant d'émettre des commandes, de voler des données et de se propager à d'autres ordinateurs du réseau. La campagne en cours a également signalé d'autres domaines de la faute de frappe de typo-squatted offrant des alternatives de Cobaltsstrike comme Sliver C2, ainsi que des logiciels malveillants, notamment Danabot, Idatloader et Madmxshell. ## Recommandations ** Guide pour les utilisateurs finaux ** - Pour plus de conseils pour assurer la sécurité de votre appareil, allez sur [Microsoft Security Help & Learning Portal] (https://support.microsoft.com/security). - Pour en savoir plus sur la prévention des chevaux de Troie ou d'autres logiciels malveillants d'affecter les appareils individuels, [en lisez sur la prévention de l'infection des logiciels malveillants] (https://www.microsoft.com/security/business/security-101/what-is-malware). ** Guide pour les administrateurs d'entreprise et les clients de défenseur Microsoft 365 ** Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre à Microsoft Defender pour que le point de terminaison prenne des mesures immédiates sur les alertes à résoudre pour résoudre à résoudreviolations, réduisant considérablement le volume d'alerte. - Utilisez [Discovery Discovery] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/device-discovery) pour augmenter votre visibilité dans votre réseau en trouvant des appareils non gérés sur votre réseau et en les embarquant vers MicrosoftDéfenseur pour le point de terminaison. ## Les références [https://www.trustwave.com/en-us/resources/blogs/spiderLabs-blog/fake-advanced-ip-scanner-installer- | Malware Tool Threat | ★★ | |
|
2024-06-06 15:35:00 | Le pirate éthique publie un outil pour exploiter Microsoft \\'s Rappel Ai, dit que ce n'est pas \\ 'Rocket Science \\' Ethical hacker releases tool to exploit Microsoft\\'s Recall AI, says it\\'s not \\'rocket science\\' (lien direct) |
Rappel AI n'a pas encore été lancé mais c'est déjà une cible.
Recall AI hasn\'t launched yet but it\'s already a target. |
Tool Threat | ★★ | |
|
2024-06-06 11:37:41 | Interpol et le FBI rompent un programme cyber en Moldavie pour obtenir l'asile pour les criminels recherchés Interpol and FBI Break Up a Cyber Scheme in Moldova to Get Asylum for Wanted Criminals (lien direct) |
> Une opération multinationale par Interpol et le FBI ont réprimé les tentatives de Moldavie pour saboter l'un des outils clés de l'agence de police internationale, le système de préavis rouge.
>A multinational operation by Interpol and the FBI cracked down on attempts in Moldova to sabotage one of the international police agency\'s key tools, the Red Notice system. |
Tool Legislation | ★★★ | |
 |
2024-06-06 02:57:41 | Quelle est la différence entre FIM et DLP? What Is the Difference between FIM and DLP? (lien direct) |
Les menaces aux données sensibles sont partout.Des syndicats de cybercrimins sophistiqués à une exposition accidentelle aux groupes de menace persistante avancés (APT) soutenus par l'État-nation et tout le reste, il n'a jamais été aussi critique pour les organisations pour avoir les outils corrects de protection des données.Lors de la conception de la façon de protéger les informations de l'entreprise contre les pertes, quelle que soit la méthode, les entreprises déploient une stratégie de «défense en profondeur» ou exploitent plusieurs mesures de sécurité pour protéger les actifs d'une organisation.Lorsqu'il est corrélé, cela crée une approche puissante pour identifier quand quelque chose ne va pas dans ...
Threats to sensitive data are everywhere. From sophisticated cybercriminal syndicates to accidental exposure to nation-state-backed advanced persistent threat (APT) groups and everything in between, it\'s never been more critical for organizations to have the correct data protection tools. When designing how to protect company information from loss, regardless of the method, companies deploy a “defense in depth” strategy or leverage multiple security measures to protect an organization\'s assets. When correlated, this creates a powerful approach to identifying when something is going wrong in... |
Tool Threat | ★★★ | |
|
2024-06-05 21:10:50 | Les fausses mises à jour du navigateur offrent Bitrat et Lumma Stealer Fake Browser Updates Deliver BitRAT and Lumma Stealer (lien direct) |
## Instantané En mai 2024, l'unité de réponse aux menaces d'Esesentire (TRU) a détecté de fausses mises à jour fournissant Bitrat et Lumma Stealer.L'attaque a commencé avec les utilisateurs visitant une page Web infectée contenant du code JavaScript malveillant, les conduisant à une fausse page de mise à jour. ## Description Le fichier JavaScript dans l'archive Zip a agi comme téléchargeur initial pour les charges utiles, qui comprenait Bittrat et Lumma Stealer.Les deux logiciels malveillants ont des capacités avancées de reconnaissance, de vol de données et d'accès à distance.Le faux leurre de mise à jour du navigateur est devenu courant chez les attaquants comme moyen d'entrée sur un appareil ou un réseau. Il y avait quatre fichiers uniques identifiés dans cette attaque, qui servent tous des objectifs différents: s.png & # 8211;Charge utile de chargeur et du voleur Lumma;z.png & # 8211;Script PowerShell qui crée Runkey pour la persistance et télécharge le chargeur et la charge utile bitrat;a.png & # 8211;Charge utile du chargeur et bitrat;et 0x.png & # 8211;Fichier de persistance BitRat qui relève le relocage a.png et l'exécute.L'utilisation de fausses mises à jour pour fournir une variété de logiciels malveillants affiche la capacité de l'opérateur à tirer parti des noms de confiance pour maximiser la portée et l'impact. ## Recommandations # Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement [Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=mAGICTI_TA_LELARNDOC) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pou | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-06-05 14:05:11 | Pourquoi l'exportation de données ne doit pas être complexe, lourde ou coûteuse Why Exporting Data Doesn\\'t Have to Be Complex, Cumbersome or Costly (lien direct) |
In 2024, I will continue highlighting key features within the Proofpoint Intelligent Compliance portfolio-Archive, Automate, Capture, Discover, Patrol, Supervision and Track-to underscore why they\'re important for our clients. If you missed my December 2023 blog, “3 Must-Haves of Archive Search Performance: An Email Archive Software Comparison,” please check it out. Hopefully, it will give you a new perspective on search performance. This post focuses on exporting data from the archive. At face value, the process of exporting data might seem routine and straightforward. You simply grab the respective data and send it-like when you sent it to outside counsel for review during an e-discovery request. But in practice, things can be quite different, depending on what tool you use. Here, I\'ll explain how Proofpoint Archive can help you reduce complexity, cumbersome processes and costs when you export data. Reduce complexity Exporting doesn\'t have to be complex, given the right tools. With Proofpoint Archive, we provide an intuitive workflow to make it easy. You start the process by identifying the search results that you want to export. Then, you select “Export” as an action to initiate the workflow. In the very first step, you can: Name your export job Specify your export file type, such as PST, Relativity MSG/EML, EDRM MSG/EML, CSV or JSON Provide an export job description (optional) Specify the case (optional) What I really like is that when you\'re done the workflow estimates the number of items that will be exported as well as the size of the export (see below). With this information, you can decide whether you want to follow through with the export or pause and cull your search results further by applying more filters. Estimating the number of items and size in the export workflow. The next action is optional: You can specify authorized users with whom to share your export job. Why would you want to do that? Let\'s say that you are working on a case with your colleague “Bob,” who asks about the details of an export job that you\'re planning to send. Rather than having Bob come over to your desk and view the details in the user interface (UI) on your laptop, you can share the export job with him so that he can view it in his UI. Finally, you can choose to send the data to its destination securely via SFTP encrypted by TLS 1.2. You enter specifics such as the IP address, port and upload path. And before you send it, you can test the connection to see whether any issues surface. Once you click “Save” in the workflow, the export job is promptly queued for sending. It is a straightforward process. Reduce cumbersome processes Exporting data doesn\'t have to be cumbersome, either. Having a complex UI is one thing. But having to jump through hoops to accomplish a simple task like exporting data is something else. Cumbersome processes can extend your task and potentially introduce points of failure that could force you to restart everything. With Proofpoint, we provide an easy-to-use UI for exporting data. We have also streamlined the steps for that process (see below). It can take as few as 12 simple steps from start (logging in to Proofpoint Archive) to finish (clicking “Download”). The steps to export data with Proofpoint Archive. Now, compare that to Microsoft Purview eDiscovery, and you\'ll be surprised at how many steps are required to export data. From start to finish, it takes 39 steps, at minimum! Plus, with each export, Microsoft requires you to download and run a utility file outside of Purview eDiscovery to facilitate the export. This is perplexing. Not only is this not very efficient, but a process with so many steps is so much more susceptible to failure. The steps to export data with Microsoft Purview eDiscovery. Reduce costs Exporting data doesn\'t have to be costly. What got me thinking about writing this blog in the first place was a post that I read on X (formerly Twitter), where a CEO lamented about exporting data from | Tool | ★★ | |
 |
2024-06-05 13:18:56 | L\'illusion de l\'intelligence dans les outils de communication d\'entreprise (lien direct) | Les acheteurs doivent garder à l'esprit que les solutions véritablement alimentées par l'IA se distinguent par leur capacité à offrir des analyses évoluées, une adaptation contextuelle et une évolution continue. | Tool | ★★ | |
 |
2024-06-05 11:00:58 | Confidentialité et surpêche en ligne Online Privacy and Overfishing (lien direct) |
Microsoft Récemment pirates soutenus par l'État en utilisant sa génération AI générativeOutils pour aider avec leurs attaques.Dans la communauté de la sécurité, les questions immédiates n'étaient pas des questions sur la façon dont les pirates utilisaient les outils (qui était tout à fait prévisible), mais sur la façon dont Microsoft l'a compris.La conclusion naturelle était que Microsoft espionne ses utilisateurs de l'IA, à la recherche de pirates nuisibles au travail.
Certains repoussent pour caractériser les actions de Microsoft & # 8217; S comme & # 8220; Espupulation. & # 8221;Des fournisseurs de services cloud Course surveillent ce que font les utilisateurs.Et parce que nous nous attendons à ce que Microsoft fasse quelque chose comme ça, il n'est pas juste de l'appeler espionner ...
Microsoft recently caught state-backed hackers using its generative AI tools to help with their attacks. In the security community, the immediate questions weren’t about how hackers were using the tools (that was utterly predictable), but about how Microsoft figured it out. The natural conclusion was that Microsoft was spying on its AI users, looking for harmful hackers at work. Some pushed back at characterizing Microsoft’s actions as “spying.” Of course cloud service providers monitor what users are doing. And because we expect Microsoft to be doing something like this, it’s not fair to call it spying... |
Tool Cloud | ★★ |
To see everything:
Our RSS (filtrered)
