What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-31 15:40:00 | Les pirates russes ciblent l'Europe avec des logiciels malveillants de tête et la récolte d'identification Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting (lien direct) |
L'acteur de menace russe soutenu par GRU APT28 a été attribué comme derrière une série de campagnes ciblant les réseaux à travers l'Europe avec les logiciels malveillants de tête et les pages Web de récolte des informations d'identification.
APT28, également connu sous les noms Bledelta, Fancy Bear, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe avancé de menace persistante (APT) affiliée à
The Russian GRU-backed threat actor APT28 has been attributed as behind a series of campaigns targeting networks across Europe with the HeadLace malware and credential-harvesting web pages. APT28, also known by the names BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, and TA422, is an advanced persistent threat (APT) group affiliated with |
Malware Threat | APT 28 | ★★★ |
 |
2024-05-31 09:00:00 | # Infosec2024: Pourquoi la cybersécurité est essentielle pour les Jeux olympiques de Paris 2024 #Infosec2024: Why Cybersecurity is Critical for the 2024 Paris Olympics (lien direct) |
Le grand volume de participants mélangés à des infrastructures interconnectées offre aux acteurs des menaces de faire des ravages pendant les Jeux olympiques de Paris
The large volume of attendees mixed with interconnected infrastructure provides opportunities for threat actors to wreak havoc during the Paris Olympics |
Threat | ★★★ | |
 |
2024-05-31 06:27:09 | Équipage de phishing Flyingyeti ancré après abominable les attaques ukrainiennes FlyingYeti phishing crew grounded after abominable Ukraine attacks (lien direct) |
gang aligné par le Kremlin a utilisé des ressources Cloudflare et GitHub, et ils n'ont pas aimé que l'équipe Intel de la menace de Cloud de la menace \\ ait prétendu avoir contrecarré un phishing et un espionnage d'un moisAttaque ciblant l'Ukraine qu'elle a attribuée au gang aligné par la Russie Flyetyeti.…
Kremlin-aligned gang used Cloudflare and GitHub resources, and they didn\'t like that one bit Cloudflare\'s threat intel team claims to have thwarted a month-long phishing and espionage attack targeting Ukraine which it has attributed to Russia-aligned gang FlyingYeti.… |
Threat | ★★★ | |
|
2024-05-30 22:07:00 | Flyetyeti exploite la vulnérabilité Winrar pour livrer des logiciels malveillants de boîte de cuisine en Ukraine FlyingYeti Exploits WinRAR Vulnerability to Deliver COOKBOX Malware in Ukraine (lien direct) |
Cloudflare a déclaré jeudi qu'il avait pris des mesures pour perturber une campagne de phishing d'un mois orchestrée par un acteur de menace aligné par la Russie appelé Flyetyeti ciblant l'Ukraine.
"La campagne Flyetyeti a capitalisé sur l'anxiété concernant la perte potentielle d'accès au logement et aux services publics en attirant des cibles pour ouvrir des fichiers malveillants via des leurres sur le thème de la dette"
Cloudflare on Thursday said it took steps to disrupt a month-long phishing campaign orchestrated by a Russia-aligned threat actor called FlyingYeti targeting Ukraine. "The FlyingYeti campaign capitalized on anxiety over the potential loss of access to housing and utilities by enticing targets to open malicious files via debt-themed lures," Cloudflare\'s threat intelligence team Cloudforce One |
Malware Vulnerability Threat | ★★★ | |
 |
2024-05-30 21:10:58 | Perturber les utilisations trompeuses de l'IA par les opérations d'influence secrètes Disrupting deceptive uses of AI by covert influence operations (lien direct) |
## Instantané
OpenAI a réussi à perturber plusieurs opérations d'influence secrète (iOS) en tirant parti des modèles d'IA pour les activités trompeuses, présentant des tendances et des mesures défensives que les praticiens de la cybersécurité peuvent utiliser pour lutter contre ces menaces.
## Description
Au cours des trois derniers mois, Openai a contrecarré cinq iOS secrètes qui ont exploité ses modèles pour générer divers types de contenu, des commentaires sur les réseaux sociaux aux articles longs, dans plusieurs langues.Ces opérations proviennent de pays tels que la Russie, la Chine, l'Iran et Israël, et ont ciblé divers problèmes géopolitiques tels que l'invasion de l'Ukraine par la Russie, le conflit à Gaza et la politique en Europe et aux États-Unis.Malgré ces efforts, les campagnes d'influence n'ont pas atteint un engagement important du public, car aucun n'a marqué plus d'un 2 sur l'échelle de Brookings \\ ', indiquant un impact minimal.Les opérations ont combiné le contenu généré par l'IA avec des médias traditionnels et visaient à simuler l'engagement plutôt que d'attirer des interactions authentiques.
OpenAI a identifié quatre tendances clés dans la façon dont les opérations d'influence secrètes ont récemment utilisé des modèles d'IA.Premièrement, la génération de contenu: ces acteurs de menace ont utilisé des services OpenAI pour produire du texte (et parfois des images) dans des volumes plus importants et avec moins d'erreurs linguistiques que les opérateurs humains pourraient réaliser seuls.Deuxièmement, le mélange ancien et nouveau: Bien que l'IA ait été habituée dans une certaine mesure dans toutes les opérations, elle n'a pas été utilisée exclusivement.Au lieu de cela, le contenu généré par l'IA était l'un des nombreux types de contenu affichés, aux côtés de formats traditionnels comme des textes ou des mèmes écrits manuellement provenant d'Internet.Troisièmement, truquer l'engagement: certains réseaux ont utilisé les services d'Openai \\ pour simuler l'engagement des médias sociaux, générant des réponses à leurs propres messages.Cependant, cela ne s'est pas traduit par un véritable engagement, ce qu'aucun de ces réseaux n'a réussi à réaliser de manière significative.Enfin, les gains de productivité: de nombreux acteurs de menace ont utilisé les services d'Openai \\ pour stimuler l'efficacité, par exemple en résumant les publications sur les réseaux sociaux ou le code de débogage.
Pour les praticiens de la cybersécurité, il est crucial de comprendre les tendances opérationnelles de ces iOS.Les stratégies défensives contre une telle utilisation abusive comprennent la mise en œuvre de systèmes de sécurité robustes dans les modèles d'IA, qui peuvent empêcher la génération de contenu malveillant et exploiter des outils améliorés par l'IA pour rationaliser les enquêtes.Le partage des indicateurs de menaces et des informations au sein de l'industrie s'avère également vitaux pour amplifier l'impact des perturbations.Les praticiens doivent rester vigilants de l'élément humain de ces opérations, car les attaquants sont sujets à des erreurs qui peuvent être exploitées pour la détection et l'atténuation.En adoptant ces stratégies, les professionnels de la cybersécurité peuvent mieux se défendre contre les opérations sophistiquées d'influence sur l'IA.
En savoir plus sur la façon dont Microsoft est [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef).
## Les références
[Perturbant les utilisations trompeuses de l'IA par les opérations d'influence secrètes] (https://openai.com/index/disrupting-deceptive-uses-of-ai-by-covert-influence-operations/).OpenAI (consulté en 2024-05-30)
## Snapshot OpenAI has successfully disrupted multiple covert influence operations (IOs) leveraging AI models for deceptive activities, showcasing trends and defensive |
Tool Threat | ★★ | |
|
2024-05-30 21:08:56 | Analyse technique des campagnes Anatsa: un malware Android Banking Active dans le Google Play Store Technical Analysis of Anatsa Campaigns: An Android Banking Malware Active in the Google Play Store (lien direct) |
#### Géolocations ciblées - Royaume-Uni - États-Unis - Allemagne - Espagne - Finlande - Singapour - Corée - Europe de l'Ouest #### Industries ciblées - Services financiers ## Instantané Zscaler ThreatLabz a identifié plus de 90 applications malveillantes sur le Google Play Store, qui a accumulé plus de 5,5 millions d'installations.Zscaler a en outre observé une vague notable dans les logiciels malveillants Anatsa (A.K.A Teabot), qui cible principalement les informations d'identification bancaires par le biais de techniques de superposition et d'accessibilité. ## Description Anatsa est un malware bancaire Android notoire qui a été observé ciblant plus de 650 institutions financières, principalement en Europe et aux États-Unis.Récemment, cependant, les acteurs de la menace ont élargi leur objectif pour inclure des demandes bancaires en Allemagne, en Espagne, en Finlande, en Corée du Sud et à Singapour.De plus, Zscaler a découvert deux charges utiles malveillantes liées à Anatsa se faisant passer pour des applications PDF Reader et QR Code Reader dans le Google Play Store.Au moment de l'analyse de Zscaler \\, les deux applications avaient amassé plus de 70 000 installations. Le malware échappe à la détection en vérifiant les environnements virtuels et en corrompant les en-têtes APK pour entraver l'analyse.Le processus d'infection implique plusieurs étapes, la charge utile finale téléchargeant et exécutant une fois l'environnement vérifié.Anatsa demande des autorisations comme SMS et des options d'accessibilité pour faciliter ses activités. Le malware décode également les chaînes cryptées et communique avec un serveur de commandement et de contrôle pour enregistrer les appareils et recevoir une liste d'applications financières ciblées.Lorsqu'une application ciblée est détectée, Anatsa charge une fausse page de connexion pour voler des informations d'identification. ## Analyse supplémentaire Anatsa a émergé pour la première fois en 2021 et a depuis un troie bancaire prolifique.[Les chercheurs de ThreatFabric] (https://www.thereatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-panding-it-reach#introduction) notent que les pervasives de malware \\ découlent de ses capacitésà se faire passer pour une variété d'applications de services publics gratuites dans le Google Play Store.Ces applications deviennent fréquemment les plus téléchargées dans la catégorie "Top New Free", diminuant la probabilité que les victimes remettent en question leur authenticité.De plus, comme les intrusions sont initiées à partir du même appareil que la victime utilise déjà, les systèmes anti-fraude bancaires ont du mal à détecter et à défendre. Les acteurs de la menace tirant parti d'Anatsa concentrent leurs attaques contre un petit nombre de pays et de régions plutôt que de répandre les logiciels malveillants à l'échelle mondiale.Cette approche plus ciblée leur permet de se concentrer sur une poignée d'organisations financières, des analystes de fraude en charge et des équipes de support client. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Androidos / anatsa.a *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: Androidos / anatsa.a & menaceID = -2147160095) - [* Trojan: Androidos / Teabot.a *] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-dercription?name=trojan:Androidos/teabot.a& ;Thereatid=-2147180504) - [* TrojandRopper: Androidos / Teabot.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-descsRIPTION? Name = TrojandRopper: Androidos / Teabot.A! Mtb & menaceID = -2147153207) ## Les références [Analyse technique des campagnes Anatsa: un logiciel malveillant bancaire | Malware Threat Mobile Technical | ★★★ | |
|
2024-05-30 20:56:00 | Alerte de cyber-espionnage: les lilas qui les ciblent, l'énergie et les secteurs pharmaceutiques Cyber Espionage Alert: LilacSquid Targets IT, Energy, and Pharma Sectors (lien direct) |
Un acteur de menace axé sur le cyber-espionnage, sans papiers, sans documentation, a été lié à Lilacsquid a été lié à des attaques ciblées couvrant divers secteurs aux États-Unis (États-Unis), en Europe et en Asie dans le cadre d'une campagne de vol de données depuis au moins 2021.
"La campagne vise à établir un accès à long terme aux organisations de victimes compromises pour permettre aux lilasquidés de siphonner les données d'intérêt pour
A previously undocumented cyber espionage-focused threat actor named LilacSquid has been linked to targeted attacks spanning various sectors in the United States (U.S.), Europe, and Asia as part of a data theft campaign since at least 2021. "The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to |
Threat | ||
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-05-30 19:54:00 | Redtail Crypto-Exhimin Maleware exploitant Palo Alto Networks Vulnérabilité du pare-feu RedTail Crypto-Mining Malware Exploiting Palo Alto Networks Firewall Vulnerability (lien direct) |
Les acteurs de la menace derrière les logiciels malveillants de la crypto-monnaie de Redtail ont ajouté un défaut de sécurité récemment divulgué impactant les pare-feu Palo Alto Networks à son exploit Arsenal.
L'ajout de la vulnérabilité PAN-OS à sa boîte à outils a été complété par des mises à jour du malware, qui intègre désormais de nouvelles techniques d'anti-analyse, selon les résultats de l'infrastructure Web et de la sécurité
The threat actors behind the RedTail cryptocurrency mining malware have added a recently disclosed security flaw impacting Palo Alto Networks firewalls to its exploit arsenal. The addition of the PAN-OS vulnerability to its toolkit has been complemented by updates to the malware, which now incorporates new anti-analysis techniques, according to findings from web infrastructure and security |
Malware Vulnerability Threat | ||
|
2024-05-30 19:19:00 | Les chercheurs découvrent l'exploitation active des vulnérabilités du plugin WordPress Researchers Uncover Active Exploitation of WordPress Plugin Vulnerabilities (lien direct) |
Les chercheurs en cybersécurité ont averti que de multiples vulnérabilités de sécurité à haute sévérité dans les plugins WordPress sont activement exploitées par les acteurs de la menace pour créer des comptes administrateurs voyous pour l'exploitation de suivi.
"Ces vulnérabilités se trouvent dans divers plugins WordPress et sont sujettes à des attaques de scripts inter-sites stockés non authentifiés (XSS) en raison d'une désintégration des entrées inadéquate
Cybersecurity researchers have warned that multiple high-severity security vulnerabilities in WordPress plugins are being actively exploited by threat actors to create rogue administrator accounts for follow-on exploitation. "These vulnerabilities are found in various WordPress plugins and are prone to unauthenticated stored cross-site scripting (XSS) attacks due to inadequate input sanitization |
Vulnerability Threat | ||
 |
2024-05-30 16:34:09 | Données de 560 millions de clients Ticketmaster à vendre après une violation présumée Data of 560 million Ticketmaster customers for sale after alleged breach (lien direct) |
Un acteur de menace connu sous le nom de Shinyhunters vend ce qu'ils prétendent être les informations personnelles et financières de 560 millions de clients de TicketMaster sur le forum de piratage de BreachForums récemment relancé pour 500 000 $.[...]
A threat actor known as ShinyHunters is selling what they claim is the personal and financial information of 560 million Ticketmaster customers on the recently revived BreachForums hacking forum for $500,000. [...] |
Threat | ★★★ | |
 |
2024-05-30 15:19:33 | Les dangers des attaques de ransomware à double extorsion The Dangers of Double Extortion Ransomware Attacks (lien direct) |
Renseignez-vous sur la dernière tendance des attaques de ransomwares appelées double extorsion.Découvrez comment DarkTrace peut aider à protéger votre organisation de cette menace.
Learn about the latest trend in ransomware attacks known as double extortion. Discover how Darktrace can help protect your organization from this threat. |
Ransomware Threat Prediction | ||
|
2024-05-30 14:25:00 | Les États-Unis démontent le plus grand botnet 911 S5 de World \\, avec 19 millions d'appareils infectés U.S. Dismantles World\\'s Largest 911 S5 Botnet, with 19 Million Infected Devices (lien direct) |
Le département américain de la Justice (DOJ) a déclaré mercredi avoir démantelé ce qu'il décrivait comme "probablement le plus grand botnet du monde" de tous les temps ", qui consistait en une armée de 19 millions d'appareils infectés qui ont été loués à d'autres acteurs de menace pour commettre unlarge éventail d'infractions.
Le botnet, qui a une empreinte mondiale couvrant plus de 190 pays, a fonctionné comme un service de proxy résidentiel appelé 911 S5.
The U.S. Department of Justice (DoJ) on Wednesday said it dismantled what it described as "likely the world\'s largest botnet ever," which consisted of an army of 19 million infected devices that was leased to other threat actors to commit a wide array of offenses. The botnet, which has a global footprint spanning more than 190 countries, functioned as a residential proxy service known as 911 S5. |
Threat | ||
 |
2024-05-30 14:00:09 | Les logiciels malveillants mystères détruisent 600 000 routeurs d'un seul FAI pendant 72 heures Mystery malware destroys 600,000 routers from a single ISP during 72-hour span (lien direct) |
Un acteur de menace inconnu avec des motifs tout aussi inconnus oblige le ISP à remplacer les routeurs.
An unknown threat actor with equally unknown motives forces ISP to replace routers. |
Malware Threat | ||
 |
2024-05-30 13:59:00 | Accélérer la détection et la réponse des menaces d'identité avec Genai Accelerating identity threat detection and response with GenAI (lien direct) |
Les flux de processus qui combinent des agents du Genai avec des experts humains peuvent gagner du temps sur les enquêtes et réduire les corvées dans le SOC
Process flows that combine GenAI agents with human experts can save time on investigations and reduce drudgery in the SOC |
Threat | ||
 |
2024-05-30 13:17:12 | Centripète étend le portefeuille avec l'offre DNS Centripetal Expands Portfolio with DNS Offering (lien direct) |
Centripetal, le leader mondial de la cybersécurité alimentée par le renseignement, a annoncé aujourd'hui qu'il élargit son offre d'inclure CleanInternet & Reg;DNS pour protéger de manière préventive les entreprises contre les cyber-menaces sur le Web.Contrairement à d'autres produits de filtrage DNS qui reposent uniquement sur les listes de blocage, CleanInternet & Reg;DNS est la toute première solution pour tirer parti de l'intelligence avancée des menaces de plusieurs fournisseurs pour empêcher de manière proactive [& # 8230;]
Le post Centripetal étend le portefeuille avec DNS offrant Il est apparu pour la première fois sur gourou de la sécurité informatique .
Centripetal, the global leader in intelligence powered cybersecurity, today announced that it is expanding its offering to include CleanINTERNET® DNS to pre-emptively safeguard businesses against web-based cyber threats. Unlike other DNS filtering products that rely solely on blocklists, CleanINTERNET® DNS is the first-ever solution to leverage advanced threat intelligence from multiple providers to proactively prevent […] The post Centripetal Expands Portfolio with DNS Offering first appeared on IT Security Guru. |
Threat | ||
|
2024-05-30 12:22:00 | Okta met en garde contre les attaques de bourrage d'identification ciblant le cloud d'identité client Okta Warns of Credential Stuffing Attacks Targeting Customer Identity Cloud (lien direct) |
Okta avertit qu'une fonctionnalité d'authentification croisée dans le cloud d'identité des clients (CIC) est sensible aux attaques de rembourrage des informations d'identification orchestrées par les acteurs de la menace.
"Nous avons observé que les points de terminaison utilisés pour soutenir la fonction d'authentification croisée en étant attaqués via un bourrage d'identification pour un certain nombre de nos clients", a déclaré le fournisseur de services d'identité et d'accès à la gestion (IAM).
Le
Okta is warning that a cross-origin authentication feature in Customer Identity Cloud (CIC) is susceptible to credential stuffing attacks orchestrated by threat actors. "We observed that the endpoints used to support the cross-origin authentication feature being attacked via credential stuffing for a number of our customers," the Identity and access management (IAM) services provider said. The |
Threat Cloud | ||
|
2024-05-30 11:01:52 | Cooler Master confirme les informations sur les clients volés en violation de données Cooler Master confirms customer info stolen in data breach (lien direct) |
Le fabricant de matériel informatique Cooler Master a confirmé qu'il avait subi une violation de données le 19 mai, permettant à un acteur de menace de voler les données des clients.[...]
Computer hardware manufacturer Cooler Master has confirmed that it suffered a data breach on May 19, allowing a threat actor to steal customer data. [...] |
Data Breach Threat | ||
 |
2024-05-30 08:26:14 | Les principaux botnets perturbés par le retrait mondial des forces de l'ordre Major Botnets Disrupted via Global Law Enforcement Takedown (lien direct) |
Global law enforcement recently announced Operation Endgame, a widespread effort to disrupt malware and botnet infrastructure and identify the alleged individuals associated with the activity. In a press release, Europol called it the “largest ever operation against botnets, which play a major role in the deployment of ransomware.” In collaboration with private sector partners including Proofpoint, the efforts disrupted the infrastructure of IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee, and Trickbot. Per Europol, in conjunction with the malware disruption, the coordinated action led to four arrests, over 100 servers taken down across 10 countries, over 2,000 domains brought under the control of law enforcement, and illegal assets frozen. Malware Details SmokeLoader SmokeLoader is a downloader that first appeared in 2011 and is popular among threat actors. It is a modular malware with various stealer and remote access capabilities, and its main function is to install follow-on payloads. Proofpoint observed SmokeLoader in hundreds of campaigns since 2015, and it was historically used by major initial access brokers including briefly by TA577 and TA511 in 2020. Many SmokeLoader campaigns are not attributed to tracked threat actors, as the malware is broadly available for purchase on various forums. Its author claims to only sell to Russian-speaking users. Proofpoint has observed approximately a dozen SmokeLoader campaigns in 2024, with the malware leading to the installation of Rhadamanthys, Amadey, and various ransomware. Many SmokeLoader campaigns from 2023 through 2024 are attributed to an actor known as UAC-0006 that targets Ukrainian organizations with phishing lures related to “accounts” or “payments.” Example macro-enabled document delivering SmokeLoader in a May 2024 campaign. CERT-UA attributes this activity to UAC-0006. SystemBC SystemBC is a proxy malware and backdoor leveraging SOCKS5 first identified by Proofpoint in 2019. Initially observed being delivered by exploit kits, it eventually became a popular malware used in ransomware-as-a-service operations. Proofpoint rarely observes SystemBC in email threat data, as it is typically deployed post-compromise. However, our researchers observed it used in a handful of campaigns from TA577 and TA544, as well as dropped by TA542 following Emotet infections. IcedID IcedID is a malware originally classified as a banking trojan and first detected by Proofpoint in 2017. It also acted as a loader for other malware, including ransomware. The well-known IcedID version consists of an initial loader which contacts a Loader C2 server, downloads the standard DLL Loader, which then delivers the standard IcedID Bot. Proofpoint has observed nearly 1,000 IcedID campaigns since 2017. This malware was a favored payload by numerous initial access brokers including TA511, TA551, TA578, and occasionally TA577 and TA544, as well as numerous unattributed threats It was also observed dropped by TA542, the Emotet threat actor, which was the only actor observed using the “IcedID Lite” variant Proofpoint identified in 2022. IcedID was often the first step to ransomware, with the malware being observed as a first-stage payload in campaigns leading to ransomware including Egregor, Sodinokibi, Maze, Dragon Locker, and Nokoyawa. Proofpoint has not observed IcedID in campaign data since November 2023, after which researchers observed campaigns leveraging the new Latrodectus malware. It is likely the IcedID developers are also behind Latrodectus malware. IcedID\'s widespread use by advanced cybercriminal threats made it a formidable malware on the ecrime landscape. Its disruption is great news for defenders. Pikabot Pikabot is a malware that has two components, a loader and a core module, designed to execute arbitrary commands and load additional payloads. Pikabot\'s main objective is to download follow-on malware. Pikabot first appeared in campaign data in March 2023 used by TA577 and has since been almost exclusively used by this actor. Pikab | Ransomware Malware Threat Legislation Technical | ||
 |
2024-05-30 07:49:44 | Plus d'un tiers des tentatives de fraude ciblant les institutions financières utilisent désormais l'IA Over a third of fraud attempts targeting financial institutions now use AI (lien direct) |
Plus d'un tiers des tentatives de fraude ciblant les institutions financières utilisent désormais l'IA Sigicat annonce un nouveau rapport sur la menace croissante de la fraude à l'identité axée sur l'IA en partenariat avec un conseil indépendant Consult Hyperion.
• Des tentatives de fraude sur quinze ans utilisent désormais des FaKes Deep pour attaquer non seulement les entreprises B2C, mais aussi de plus en plus de B2B.
• Les décideurs de la prévention de la fraude conviennent que l'IA stimulera presque toutes les fraudes d'identité à l'avenir, et plus de personnes seront victimes que jamais.
• Cependant, environ les trois quarts des organisations citent un manque d'expertise, de temps et de budget pour entraver leur capacité à détecter et à lutter contre le problème.
-
rapports spéciaux
/ /
affiche
Over a third of fraud attempts targeting financial institutions now use AI Signicat announces a new report on the growing threat of AI-driven identity fraud in partnership with independent consultancy Consult Hyperion. • One in fifteen fraud attempts now use deepfakes to attack not just B2C firms but increasingly also B2B ones. • Fraud prevention decision-makers agree that AI will drive almost all identity fraud in the future, and more people will fall victim than ever before. • However, around three-quarters of organisations cite a lack of expertise, time, and budget as hindering their ability to detect and combat the problem. - Special Reports / affiche |
Threat | ||
 |
2024-05-30 05:12:51 | Analyse des cas d'attaque APT utilisant Dora Rat contre les sociétés coréennes (Andariel Group) Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert les cas d'attaque Andariel APT contre les sociétés coréennes et les instituts.Les organisations ciblées comprenaient des établissements d'enseignement et des entreprises de fabrication et de construction en Corée.Keylogger, Infostaler et des outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques.L'acteur de menace a probablement utilisé ces souches de logiciels malveillants pour contrôler et voler des données des systèmes infectés.Les attaques avaient des souches de logiciels malveillants identifiées dans les cas passés d'Andariel, dont le plus notable est Nestdoor, un ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered Andariel APT attack cases against Korean corporations and institutes. Targeted organizations included educational institutes and manufacturing and construction businesses in Korea. Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks. The threat actor probably used these malware strains to control and steal data from the infected systems. The attacks had malware strains identified in Andariel group’s past cases, the most notable of which is Nestdoor, a... |
Malware Tool Threat | ||
|
2024-05-30 04:36:51 | Distribution de logiciels malveillants sous le couvert de versions fissurées de MS Office (XMRIG, Orcusrat, etc.) Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) (lien direct) |
par le biais d'un article intitulé & # 8220; rat orcus distribué déguisé en hangul processeur de mots crack & # 8221;[1], Ahnlab Security Intelligence Center (ASEC) a précédemment révélé un cas d'attaque dans lequel un acteur de menace distribuait des rats et des co -minoirs aux utilisateurs coréens.Jusqu'à récemment, l'attaquant a créé et distribué diverses souches de logiciels malveillants, tels que les téléchargeurs, Coinmin, Rat, Proxy et Antiav.De nombreux systèmes en Corée du Sud ont tendance à être infectés par des souches de logiciels malveillants qui sont distribuées sous le couvert de versions fissurées de programmes légitimes, tels que le traitement de texte hangul ou les outils d'activation pour Windows ou Microsoft Office.Les acteurs de la menace ont mis à niveau leurs logiciels malveillants en ajoutant une autre couche à ce processus, qui s'inscrit au planificateur de tâches dans le système infecté.Après la tâche ...
Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until recently, the attacker created and distributed various malware strains, such as downloaders, CoinMiner, RAT, Proxy, and AntiAV. Numerous systems in South Korea tend to become infected by malware strains that are distributed under the guise of cracked versions of legitimate programs, such as Hangul Word Processor or activation tools for Windows or Microsoft Office. Threat actors have been upgrading their malware by adding another layer to this process, which is registering to the Task Scheduler in the infected system. After task... |
Malware Tool Threat | ||
|
2024-05-30 02:45:40 | Comment l'IA a attrapé APT41 exploitant les vulnérabilités How AI Caught APT41 Exploiting Vulnerabilities (lien direct) |
En analysant comment le groupe cybercriminal APT41 a exploité une vulnérabilité à jour zéro, nous montrons comment DarkTrace \\ a Ai a détecté et étudié la menace immédiatement.
Analyzing how the cyber-criminal group APT41 exploited a zero-day vulnerability, we show how Darktrace\'s AI detected and investigated the threat immediately. |
Vulnerability Threat | APT 41 | |
 |
2024-05-30 00:00:00 | Décoder les derniers astuces d'obscurcissement de Sigbin \\ Decoding Water Sigbin\\'s Latest Obfuscation Tricks (lien direct) |
Water Sigbin (alias le gang 8220) a exploité les vulnérabilités Oracle Weblogic CVE-2017-3506 et CVE-2023-21839 pour déployer un mineur de crypto-monnaie à l'aide d'un script PowerShell.L'acteur de menace a également adopté de nouvelles techniques pour cacher ses activités, ce qui rend les attaques plus difficiles à défendre.
Water Sigbin (aka the 8220 Gang) exploited the Oracle WebLogic vulnerabilities CVE-2017-3506 and CVE-2023-21839 to deploy a cryptocurrency miner using a PowerShell script. The threat actor also adopted new techniques to conceal its activities, making attacks harder to defend against. |
Vulnerability Threat | ||
|
2024-05-29 20:46:00 | Le point de contrôle prévient les attaques zéro jour sur ses produits VPN Gateway Check Point Warns of Zero-Day Attacks on its VPN Gateway Products (lien direct) |
Le point de contrôle est d'avertissement d'une vulnérabilité zéro-jour dans ses produits de la passerelle de sécurité du réseau que les acteurs menacent les acteurs dans la nature.
Suivi en CVE-2024-24919, le problème a un impact sur le réseau CloudGuard, le maestro quantique, le châssis quantique évolutif, les passerelles de sécurité quantique et les appareils d'étincelles quantiques.
"La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur
Check Point is warning of a zero-day vulnerability in its Network Security gateway products that threat actors have exploited in the wild. Tracked as CVE-2024-24919, the issue impacts CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, and Quantum Spark appliances. "The vulnerability potentially allows an attacker to read certain information on |
Vulnerability Threat | ★★★ | |
|
2024-05-29 20:27:37 | Fichiers avec une extension TXZ utilisée comme pièces jointes Malspam Files with TXZ extension used as malspam attachments (lien direct) |
#### Géolocations ciblées - Croatie - Espagne - Slovaquie - Tchéchie ## Instantané Des chercheurs du SANS Internet Storm Center ont découvert que les acteurs de la menace utilisent des fichiers avec TXZ Extension comme pièces jointes Malspam dans des campagnes ciblées régionalement. ## Description L'utilisation de l'extension TXZ est relativement inhabituelle et les chercheurs en sécurité ont révélé que les fichiers malveillants étaient en fait renommés des archives RAR.Microsoft a ajouté la prise en charge native à Windows 11 pour les fichiers TXZ et RAR à la fin de l'année dernière, ce qui peut avoir facilité les destinataires potentiels des messages malveillants pour ouvrir les pièces jointes à l'aide de l'explorateur de fichiers Windows standard, même si l'extension et le type de fichier ont été incompatibles. Les messages malveillants faisaient partie de deux campagnes, l'une contenant des textes dans les langues espagnols et slovaques et distribuant un fichier de 464 kb PE avec Guloder Maleware, et l'autre contenant des textes dans les langues croate et tchèque et distribuant un téléchargement de fichiers par lots de 4 kb pour le Formbook Micware et la distribution d'un fichier de fichiers de 4 kb pour le FormBook Micware Formbook et la distribution d'un téléchargement de fichiers par lots de 4 kb pour le FormBook Micware FormBook. ## Analyse supplémentaire Guloader est un téléchargeur de shellcode proéminent qui a été utilisé dans un grand nombre d'attaques pour fournir une large gamme de logiciels malveillants.Découvert en 2019, Guloader a commencé comme une famille de logiciels malveillants écrite dans Visual Basic 6 (VB6), selon la sécurité [chercheurs de CrowdStrike] (https://security.microsoft.com/intel-explorer/articles/49c83a74).In 2023, [Researchers at CheckPoint](https://security.microsoft.com/intel-explorer/articles/661847be) discovered that more recent versions of GuLoader integrated new anti-analysis techniques and a payload that is fully encrypted, including PEen-têtes.Cela permet aux acteurs de la menace de stocker des charges utiles à l'aide de services de cloud public bien connues, de contourner les protections antivirus et de conserver les charges utiles disponibles en téléchargement pendant une longue période. FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Ces dernières années, [Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d6d6).Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maltraités. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: MSIL / Formbook] (Https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojandownloher: MSIL / Formbook.kan! Mtb & - [Trojan: Win32 / Guloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?n?Ame = Trojan: Win32 / Guloader.ss! Mtb) ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le cent | Malware Tool Threat Cloud | ||
 |
2024-05-29 20:04:06 | Microsoft: \\ 'Moonstone Sheet \\' APT MELDS ESPIONAGE, OBJECTIFS FINANCIERS Microsoft: \\'Moonstone Sleet\\' APT Melds Espionage, Financial Goals (lien direct) |
Le plus récent acteur de menace de la Corée du Nord utilise chaque astuce du livre de jeu de l'État-nation, et la plupart des astuces de la cybercriminalité.Il a également développé une entreprise de jeux vidéo entière pour masquer les logiciels malveillants.
North Korea\'s newest threat actor uses every trick in the nation-state APT playbook, and most of cybercrime\'s tricks, too. It also developed a whole video game company to hide malware. |
Malware Threat | ||
 |
2024-05-29 18:42:27 | Menage acteur void Manticore utilise des «essuie-glaces» de cyber-armes pour détruire les données et les systèmes Threat Actor Void Manticore Uses Cyber Weapon “Wipers” to Destroy Data and Systems (lien direct) |
|
Threat | ||
|
2024-05-29 18:04:01 | Exploiter pour Fortinet Critical RCE Bug permet d'accès à la racine SIEM Exploit for Fortinet Critical RCE Bug Allows SIEM Root Access (lien direct) |
Les administrateurs de l'entreprise doivent corriger immédiatement le MAX-Severity CVE-2024-23108, ce qui permet une injection de commandement non authentifiée.
Corporate admins should patch the max-severity CVE-2024-23108 immediately, which allows unauthenticated command injection. |
Threat | ★★★ | |
|
2024-05-29 17:09:34 | Security Brief: Sing Us a Song You\'re the Piano Scam (lien direct) | #### Géolocations ciblées
- Amérique du Nord
#### Industries ciblées
- Éducation
- L'enseignement supérieur
- Santé et santé publique
## Instantané
Proofpoint a récemment découvert une série de campagnes de courrier électronique malveillantes qui utilisent des messages sur le thème du piano pour attirer les victimes des escroqueries à la fraude aux frais (AFF).
## Description
Ces campagnes, actives depuis au moins janvier 2024, ciblent principalement les étudiants et les professeurs des collèges et universités nord-américains, bien que d'autres secteurs tels que les services de santé et de nourriture et de boissons aient également été affectés.À ce jour, au moins 125 000 e-mails d'escroquerie associés à ce thème de piano ont été observés par Proofpoint.
Les acteurs de la menace offrent généralement des cibles un piano gratuit, citant des raisons comme un décès dans la famille.Lorsque l'objectif répond, ils sont dirigés vers une compagnie maritime frauduleuse gérée par les acteurs de la menace, qui exige le paiement des frais d'expédition avant de livrer le piano.Les méthodes de paiement demandées incluent Zelle, Cash App, PayPal, Apple Pay ou la crypto-monnaie.De plus, les acteurs de la menace tentent de collecter des informations personnellement identifiables (PII) des victimes.
Proofpoint a identifié un portefeuille Bitcoin associé à ces escroqueries, qui a accumulé plus de 900 000 $ en transactions.Le volume et la variété des transactions suggèrent que les acteurs de menaces multiples peuvent utiliser le même portefeuille pour diverses escroqueries.Les e-mails varient dans le contenu et les adresses de l'expéditeur, mais utilisent souvent des comptes Freemail avec des combinaisons de noms et de numéros.
Pour recueillir plus d'informations, les chercheurs de PROVEPPOINT ont interagi avec les acteurs de la menace et ont pu identifier au moins une adresse IP d'un acteur et des informations sur l'appareil.À partir de cela, les chercheurs évaluent avec une grande confiance qu'au moins une partie de l'opération est basée au Nigéria.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- Allumez [Paramètres d'identité dans les politiques anti-phishing dans Defender for Office 365.] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#impersonation-settings-in-antti-Phishing-polices-in-microsoft-défender-for-office-365) Cette atténuation peut être utile dans les scénarios où les acteurs de menace utilisent un domaine de look pour usurper l'identité des expéditeurs que vos utilisateurs peuvent savoir.
- Allumez [SAFE LINKS] (https://learn.microsoft.com/defenderofice-365/safe-links-about) et [les pièces jointes de sécurité] (https://learn.microsoft.com/defenderofo-office-365 / Safe-Aattachments-About) Politiques dans Defender for Office 365 pour empêcher le compromis de compte initial.
- Augmenter [Seuil de phishing avancé] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#advanced-phishing-thresholds-in-ant-phishing-policies-in-microsoft-Defender-for-office-365) à 2 - agressif ou 3 - plus agressif.
- Allumez [Zero-Hour Auto Purge (ZAP)] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge) dans Defender for Office 365 à Quarantine SendMail en réponse à l'intelligence de menace nouvellement acquise et neutralise rétroactivement des messages de phishing, de spam ou de logiciels malveillants qui ont déjà été livrés dans des boîtes aux lettres.
## Les références
[Mémoire de sécurité: Chantez-nous une chanson que vous \\ 're the piano Scam] (https://www.proofpoint.com/us/blog/thereat-insight/security-brief-sing-us-song-youre-piano-arnaque).Proofpoint (consulté 2024-05-29)
#### Targeted Geolocations - North America #### Targeted Industries - Education - |
Spam Malware Threat Medical | ★★ | |
|
2024-05-29 17:09:13 | Facteur plus cool frappé par la violation de données exposant les informations des clients Cooler Master hit by data breach exposing customer information (lien direct) |
Le fabricant de matériel informatique Cooler Master a subi une violation de données après qu'un acteur de menace a enfreint le site Web de la société et a prétendu voler les informations des membres de Fanzone de 500 000 clients.[...]
Computer hardware manufacturer Cooler Master has suffered a data breach after a threat actor breached the company\'s website and claimed to steal the Fanzone member information of 500,000 customers. [...] |
Data Breach Threat | ||
 |
2024-05-29 16:28:03 | L'intégration de Cisco Secure Kenace Defense Virtual avec Megaport Integration of Cisco Secure Threat Defense Virtual with Megaport (lien direct) |
Introduction au partenariat Cisco FTDV avec Megaport.Découvrez comment les organisations peuvent résoudre facilement leur puzzle de sécurité du réseau de dernier mile. 
Introduction to Cisco FTDv partnership with Megaport. Learn how organisations can solve their last-mile network security puzzle with ease. |
Threat | ★★ | |
 |
2024-05-29 16:12:47 | Alerte de menace: la porte dérobée XZ - fournit des chaînes dans votre SSH THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) |
|
Threat | ★★ | |
|
2024-05-29 16:05:00 | Microsoft Uncovers \\ 'Moonstone Sheet \\' - Nouveau groupe de pirates nord Microsoft Uncovers \\'Moonstone Sleet\\' - New North Korean Hacker Group (lien direct) |
Un acteur de menace nord-coréen jamais vu auparavant, le nom de manche de Moonstone Sleet a été attribué comme derrière les cyberattaques ciblant les individus et les organisations dans les secteurs de base industrielle des technologies et des technologies de l'information, de l'éducation et de la défense avec un ransomware et un malware sur mesure auparavant associé au célèbre groupe Lazarus Lazare.
"On observe que le grésil de la pierre de lune installe de fausses entreprises et
A never-before-seen North Korean threat actor codenamed Moonstone Sleet has been attributed as behind cyber attacks targeting individuals and organizations in the software and information technology, education, and defense industrial base sectors with ransomware and bespoke malware previously associated with the infamous Lazarus Group. "Moonstone Sleet is observed to set up fake companies and |
Ransomware Malware Threat Industrial | APT 38 | ★★ |
|
2024-05-29 14:43:22 | BlackSuit affirme que des dizaines de victimes avec un ransomware soigneusement organisé BlackSuit Claims Dozens of Victims With Carefully Curated Ransomware (lien direct) |
Les chercheurs sont en profondeur sur une attaque du groupe de menaces, qui cible principalement les entreprises américaines dans les secteurs de l'éducation et des biens industriels, en particulier pour maximiser le gain financier.
Researchers went in-depth on an attack by the threat group, which mainly targets US companies in the education and industrial goods sectors, specifically to maximize financial gain. |
Ransomware Threat Industrial | ★★ | |
|
2024-05-29 10:15:00 | Nouveau groupe de piratage nord-coréen identifié par Microsoft New North Korean Hacking Group Identified by Microsoft (lien direct) |
Moonstone Sheet est un groupe de menaces nouvellement observé ciblant les sociétés pour les objectifs financiers et cyber-espionnages
Moonstone Sleet is a newly observed threat group targeting companies for financial and cyber espionage objectives |
Threat | ★★★ | |
|
2024-05-29 09:31:37 | Le point de contrôle libère une correction d'urgence pour VPN Zero-Day exploité dans les attaques Check Point releases emergency fix for VPN zero-day exploited in attacks (lien direct) |
Check Point a publié des hotfixs pour une vulnérabilité VPN zéro-jour exploitée dans les attaques pour accéder à distance aux pare-feu et tenter de violer les réseaux d'entreprise.[...]
Check Point has released hotfixes for a VPN zero-day vulnerability exploited in attacks to gain remote access to firewalls and attempt to breach corporate networks. [...] |
Vulnerability Threat | ★★★ | |
|
2024-05-29 09:30:00 | # Infosec2024: Décodage de la Sentinelone \\'s Ai Mende Hugning Assistant #Infosec2024: Decoding SentinelOne\\'s AI Threat Hunting Assistant (lien direct) |
Sentinélone présentera une manifestation de chasse aux menaces au cours de laquelle un analyste de la sécurité concurrencera une personne non technique utilisant son assistant d'IA
SentinelOne will present a threat-hunting demonstration during which a security analyst will compete against a non-technical person using its AI assistant |
Threat | ★★★ | |
 |
2024-05-29 07:35:44 | Présentation de Sekoia TDR Introducing Sekoia TDR (lien direct) |
> Cette fois, nous ne révélons pas une nouvelle enquête ou analyse de cyber-menace, mais je veux partager quelques idées sur l'équipe derrière tous les rapports d'ingénierie de l'intelligence et de détection des menaces de Sekoia.Permettez-moi de vous présenter l'équipe Sekoia TDR.TL; Dr Sekoia Menace Detection & # 038;La recherche (TDR) est une équipe multidisciplinaire dédiée à la cyber-menace [& # 8230;]
la publication Suivante Présentation de Sekoia tdr est un article de Blog Sekoia.io .
>This time, we’re not revealing a new cyber threat investigation or analysis, but I want to share some insights about the team behind all Sekoia Threat Intelligence and Detection Engineering reports. Let me introduce you to the Sekoia TDR team. TL;DR Sekoia Threat Detection & Research (TDR) is a multidisciplinary team dedicated to Cyber Threat […] La publication suivante Introducing Sekoia TDR est un article de Sekoia.io Blog. |
Threat | ★★ | |
|
2024-05-29 05:00:00 | Mémoire de sécurité: chantez-nous une chanson que vous êtes l'arnaque du piano Security Brief: Sing Us a Song You\\'re the Piano Scam (lien direct) |
What happened Proofpoint recently identified a cluster of activity conducting malicious email campaigns using piano-themed messages to lure people into advance fee fraud (AFF) scams. The campaigns have occurred since at least January 2024, and are ongoing. Most of the messages target students and faculty at colleges and universities in North America, however other targeting of industries including healthcare and food and beverage services was also observed. Proofpoint observed at least 125,000 messages so far this year associated with the piano scam campaigns cluster. In the campaigns, the threat actor purports to offer up a free piano, often due to alleged circumstances like a death in the family. When a target replies, the actor instructs them to contact a shipping company to arrange delivery. That contact address will also be a fake email managed by the same threat actor. The “shipping company” then claims they will send the piano if the recipient sends them the money for shipping first. Lure email purporting to be giving away a “free” piano. Shipping options provided by the fake shipping company. The actor requests payment via multiple options including Zelle, Cash App, PayPal, Apple Pay, or cryptocurrency. The actor also attempts to collect personally identifiable information (PII) from the user including names, physical addresses, and phone numbers. Proofpoint identified at least one Bitcoin wallet address the piano scam fraudsters directed payment to. At the time of this writing, it contained over $900,000 in transactions. It is likely that multiple threat actors are conducting numerous different types of scams concurrently using the same wallet address given the volume of transactions, the variations in transaction prices, and overall amount of money associated with the account. While the email body content of the messages is similar, the sender addresses vary. Typically, the actors use freemail email accounts, usually with some combination of names and numbers. Most of the campaigns include multiple variations on the email content and contact addresses. Attribution To obtain more information about the fraudsters, researchers started a discussion with the actors and convinced them to interact with a researcher-managed redirect service. Proofpoint was able to identify at least one perpetrator\'s IP address and device information. Based on the information obtained, researchers assess with high confidence that at least one part of the operation is based in Nigeria. Screenshot of a part of a conversation between a researcher and threat actor. Advance Fee Fraud (AFF), which in the past has been referred to as 419,” “Nigerian 419,” or “Nigerian Prince” email fraud, occurs when a threat actor asks the potential victim for a small amount of money in advance of a larger, promised payout to be given to the victim at a later date. There are endless variations of this type of fraud. Typical schemes contain elaborate stories that explain why there is a large sum of money, job opportunity, or other goods or services available to the victim and why the sender needs a small upfront or advanced fee before the victim gets the promised money or goods. The fraudsters often bait victims with subjects such as inheritance, awards, government payouts, and international business. Once the victim provides the small amount of money to the fraudster, however, they cut all contact and disappear. Why it matters Proofpoint has previously published research on AFF campaigns using a variety of different themes to entice recipients to engage with them, including employment opportunities targeting university students and cryptocurrency fraud. In all cases, AFF relies on elaborate social engineering and the use of multiple different payment platforms. People should be aware of the common techniques used by threat actors and remember that if an unsolicited email so | Threat Medical | ★★★ | |
|
2024-05-28 21:01:11 | Les groupes de menaces Catddos accélèrent fortement les attaques DDOS CatDDOS Threat Groups Sharply Ramp Up DDoS Attacks (lien direct) |
Lors des attaques au cours des trois derniers mois, les acteurs de la menace ont exploité plus de 80 vulnérabilités pour accélérer la distribution de la variante Mirai.
In attacks over the past three months, threat actors have exploited more than 80 vulnerabilities to accelerate distribution of the Mirai variant. |
Vulnerability Threat | ★★★ | |
|
2024-05-28 20:51:27 | Arc Browsers Windows Lancez ciblé par Google Ads Malvertising Arc Browsers Windows Launch Targeted by Google Ads Malvertising (lien direct) |
## Instantané Le navigateur ARC, un nouveau navigateur Web qui a récemment été publié, a été la cible d'une campagne de malvertising. ## Description Les cybercriminels ont créé une fausse campagne publicitaire qui imite le navigateur Arc, en utilisant des logos et des sites Web officiels pour inciter les utilisateurs à télécharger des logiciels malveillants.Le malware est emballé de manière unique, le programme d'installation principal contenant deux autres exécutables.L'un de ces exécutables récupère un installateur Windows pour le logiciel Arc légitime, tandis que l'autre contacte la plate-forme cloud méga via l'API de son développeur \\.En raison de l'installation du navigateur ARC comme prévu sur la machine de la victime et des fichiers malveillants exécutés furtivement en arrière-plan, il est peu probable que la victime se rendait à la victime qu'elles sont maintenant infectées par des logiciels malveillants. Les acteurs de la menace capitalisent sur le battage médiatique entourant les nouveaux lancements logiciels / jeux ne sont pas nouveaux, mais continue d'être une méthode efficace pour distribuer des logiciels malveillants. Les utilisateurs qui cherchent à télécharger des logiciels devraient ignorer tous les résultats promus sur Google Search, utiliser des bloqueurs d'annonces qui masquent ces résultats et mettant en signet les sites Web officiels du projet pour une utilisation future. ## Recommandations # Recommandations pour protéger contre la malvertising Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection par les logiciels malveillants.Utilisez [Formation de la simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'installation de rats et d'autres applications indésirables. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-Microsoft-Defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) et échantillon automatiqueSoumission sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Allumez [Fonctionnalités de protection contre les alcool% 3eta% 3C / EM% 3ELEARNDOC) Pour empêcher les attaquants d'empêcher les services de sécurité. Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti%3CEM%3ETA%3C/EM% | Ransomware Malware Threat Cloud | ★★ | |
|
2024-05-28 19:40:48 | ShrinkLocker: transformer le bitlocker en ransomware ShrinkLocker: Turning BitLocker into Ransomware (lien direct) |
#### Géolocations ciblées
- Mexique
- Indonésie
- Jordan
## Instantané
Des chercheurs de Kapersky ont identifié un incident dans lequel les attaquants se sont déployés et un script de base visuel avancé (VBScript) qui a profité du bitlocker pour le cryptage de fichiers non autorisé.
## Description
Bitlocker a été initialement conçu pour protéger les données contre le vol ou l'exposition lorsque les appareils sont perdus, volés ou mal éliminés.Cependant, les attaquants ont découvert comment exploiter cette fonctionnalité à des fins malveillantes.Les chercheurs de Kapersky ont détecté ce script et ses versions modifiées au Mexique, en Indonésie et en Jordanie.
Initialement, le script utilise Windows Management Instrumentation (WMI) pour collecter des informations sur le système d'exploitation (OS).Il vérifie le domaine et la version du système d'exploitation actuels, se terminant s'il rencontre certaines conditions, telles que les anciennes versions Windows comme XP ou Vista.
Le script effectue des opérations de redimensionnement du disque uniquement sur des disques fixes pour éviter les outils de détection sur les lecteurs de réseau.Pour Windows Server 2008 et 2012, il rétrécit les partitions non-Boot, crée de nouvelles partitions, les formats et réinstalle les fichiers de démarrage à l'aide de DiskPart et BCDBoot.Pour d'autres versions Windows, des opérations similaires sont exécutées avec du code adapté à la compatibilité.
Les entrées de registre sont ajoutées par le script, qui vérifie si les outils de chiffrement BitLocker Drive sont actifs et démarre le service de cryptage BitLocker Drive s'il ne s'exécute pas déjà.Le script désactive et supprime ensuite les protecteurs de bitlocker par défaut, les remplaçant par un mot de passe numérique pour éviter la récupération des clés.
Une clé de chiffrement unique à 64 caractères est générée à l'aide d'éléments aléatoires et de données spécifiques au système, converti en une chaîne sécurisée et utilisé pour activer BitLocker sur les disques.Les attaquants utilisent le domaine trycloudflare.com pour envoyer des demandes de publication chiffrées avec des informations système et la clé de chiffrement de leur serveur.
Pour couvrir ses pistes, le script se supprime, efface les journaux et modifie les paramètres du système avant de forcer un arrêt.Lors du redémarrage, la victime est confrontée à un écran Bitlocker sans options de récupération, les verrouillant efficacement de leurs données.
## Les références
[ShrinkLocker: transformer Bitlocker en ransomware] (https://securelist.com/ransomware-abuses-bitlocker/112643/).Kapersky (consulté en 2024-05-28)
#### Targeted Geolocations - Mexico - Indonesia - Jordan ## Snapshot Researchers at Kapersky identified an incident where attackers deployed and an advanced Visual Basic Script (VBScript) that took advantage of BitLocker for unauthorized file encryption. ## Description BitLocker was originally designed to protect data from being stolen or exposed when devices are lost, stolen, or improperly disposed of. However, attackers have discovered how to exploit this feature for malicious purposes. Kapersky researchers have detected this script and its modified versions in Mexico, Indonesia, and Jordan. Initially, the script uses Windows Management Instrumentation (WMI) to gather operating system (OS) information. It checks the current domain and OS version, terminating itself if it encounters certain conditions, such as older Windows versions like XP or Vista. The script performs disk resizing operations only on fixed drives to avoid detection tools on network drives. For Windows Server 2008 and 2012, it shrinks non-boot partitions, creates new partitions, formats them, and reinstalls boot files using diskpart and bcdboot. For other Windows versions, similar operations are executed wit |
Ransomware Tool Threat | ★★★ | |
|
2024-05-28 17:37:40 | Faits saillants hebdomadaires, 28 mai 2024 Weekly OSINT Highlights, 28 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse array of sophisticated cyber threats targeting various sectors, including financial institutions, government entities, and academic organizations. The reports highlight a variety of attack types such as banking trojans, stealers, crypto mining malware, ransomware, and remote access trojans (RATs). Attack vectors include malspam campaigns, spear-phishing emails, search engine advertisements, and trojanized software packages. Threat actors range from financially motivated groups like UAC-0006 and Ikaruz Red Team to state-sponsored entities such as the Chinese-linked "Unfading Sea Haze" and the Iranian Void Manticore. These actors employ advanced techniques like fileless malware, DLL sideloading, and custom keyloggers to achieve persistence and data exfiltration. The targets of these attacks are geographically widespread, encompassing North and South America, the South China Sea region, the Philippines, and South Korea, underscoring the global reach and impact of these threats. ## Description 1. **[Metamorfo Banking Trojan Targets North and South America](https://security.microsoft.com/intel-explorer/articles/72f52370)**: Forcepoint reports that the Metamorfo (Casbaneiro) banking trojan spreads through malspam campaigns, using HTML attachments to initiate system metadata collection and steal user data. This malware targets banking users in North and South America by employing PowerShell commands and various persistence mechanisms. 2. **[Unfading Sea Haze Targets South China Sea Military and Government Entities](https://security.microsoft.com/intel-explorer/articles/c95e7fd5)**: Bitdefender Labs identified a Chinese-linked threat actor, "Unfading Sea Haze," using spear-phishing emails and fileless malware to target military and government entities in the South China Sea region. The campaign employs tools like SerialPktdoor and Gh0stRAT to exfiltrate data and maintain persistence. 3. **[Acrid, ScarletStealer, and Sys01 Stealers](https://security.microsoft.com/intel-explorer/articles/8ca39741)**: Kaspersky describes three stealers-Acrid, ScarletStealer, and Sys01-targeting various global regions. These stealers focus on stealing browser data, cryptocurrency wallets, and credentials, posing significant financial risks by exfiltrating sensitive user information. 4. **[REF4578 Crypto Mining Campaign](https://security.microsoft.com/intel-explorer/articles/c2420a77)**: Elastic Security Labs reports on REF4578, an intrusion set leveraging vulnerable drivers to disable EDRs for deploying Monero crypto miners. The campaign\'s GHOSTENGINE module ensures persistence and termination of security agents, targeting systems for crypto mining. 5. **[SmokeLoader Malware Campaign in Ukraine](https://security.microsoft.com/intel-explorer/articles/7bef5f52)**: CERT-UA observed the UAC-0006 threat actor distributing SmokeLoader malware via phishing emails in Ukraine. The campaign downloads additional malware like Taleshot and RMS, targeting remote banking systems and increasing fraud schemes. 6. **[Ikaruz Red Team Targets Philippines with Modified Ransomware](https://security.microsoft.com/intel-explorer/articles/624f5ce1)**: The hacktivist group Ikaruz Red Team uses leaked LockBit 3 ransomware builders to attack Philippine organizations, aligning with other hacktivist groups like Turk Hack Team. The group engages in politically motivated data leaks and destructive actions. 7. **[Grandoreiro Banking Trojan Campaign](https://security.microsoft.com/intel-explorer/articles/bc072613)**: IBM X-Force tracks the Grandoreiro banking trojan, which operates as Malware-as-a-Service (MaaS) and targets over 1500 global banks. The malware uses advanced evasion techniques and spreads through phishing emails, aiming to commit banking fraud worldwide. 8. **[Void Manticore\'s Destructive Wiping Attacks](https://security.microsoft.com/intel-explorer/articles/d5d5c07f)**: Check Point Research analyzes the Iranian threat actor Void Manticore, conducting destructive wip | Ransomware Malware Hack Tool Threat | APT 34 | ★★★ |
|
2024-05-28 16:15:00 | Vérifier le point exhorte l'examen de la configuration VPN au milieu de la pointe d'attaque Check Point Urges VPN Configuration Review Amid Attack Spike (lien direct) |
Ces attaques n'ont pas exploité de vulnérabilité mais ont plutôt exploité des méthodes d'authentification plus faibles
These attacks did not exploit a vulnerability but instead leveraged weaker authentication methods |
Vulnerability Threat | ★★★ | |
|
2024-05-28 15:45:00 | Les chercheurs mettent en garde contre la technique d'attaque DDOS Catddos Botnet et DNSBomb DDOS Researchers Warn of CatDDoS Botnet and DNSBomb DDoS Attack Technique (lien direct) |
Les acteurs de la menace derrière le botnet malware Catddos ont exploité sur 80 défauts de sécurité connus dans divers logiciels au cours des trois derniers mois pour infiltrer des appareils vulnérables et les coopter dans un botnet pour mener des attaques de déni de service distribué (DDOS).
"Les échantillons de gangs liés à Catddos ont utilisé un grand nombre de vulnérabilités connues pour livrer des échantillons", l'équipe Qianxin XLAB & NBSP;
The threat actors behind the CatDDoS malware botnet have exploited over 80 known security flaws in various software over the past three months to infiltrate vulnerable devices and co-opt them into a botnet for conducting distributed denial-of-service (DDoS) attacks. "CatDDoS-related gangs\' samples have used a large number of known vulnerabilities to deliver samples," the QiAnXin XLab team |
Malware Vulnerability Threat | ★★★ | |
 |
2024-05-28 13:32:24 | Distorsion sociale: la menace de la peur, de l'incertitude et de la tromperie dans la création de risques de sécurité Social Distortion: The Threat of Fear, Uncertainty and Deception in Creating Security Risk (lien direct) |
> Un look dans les piliers traditionnels de la culture communautaire de sécurité et comment ils sont affaiblis et compromis, et même jetant un œil à l'endroit où tout cela pourrait aller dans un monde de fesses profondes et de biais et d'hallucination alimentés par l'IA.
>A look int the traditional pillars of security community culture and how they are being weakened and compromised, and even peek at where this all could go in a world of deepfakes and AI-fueled bias and hallucination. |
Threat | ★★★ | |
|
2024-05-28 12:16:01 | Cyjax: les signes révélateurs que le groupe Ransomware Medusa est affilié russe Cyjax: Telltale signs that the Medusa Ransomware group are Russian affiliated (lien direct) |
Cyjax: les signes révélateurs que le groupe de ransomwares Medusa est affilié russe par Ian Thornton-Trump, CISO, Cyjax &
Fidèle romain, Cyber Threat Intelligence Eadving, Cyjax
-
opinion
Cyjax: Telltale signs that the Medusa Ransomware group are Russian affiliated by Ian Thornton-Trump, CISO, Cyjax & Roman Faithful, Cyber Threat Intelligence Team Lead, Cyjax - Opinion |
Ransomware Threat | ★★★ | |
 |
2024-05-28 12:00:22 | Ai Powers Saber \\ est une détection et une réponse de menace améliorées AI Powers Sabre\\'s Enhanced Threat Detection & Response (lien direct) |
Précision AI par Palo Alto Networks aide les équipes de sécurité à faire confiance aux résultats de l'IA en utilisant des modèles spécifiques à la sécurité pour automatiser la détection, la prévention et la correction.
Precision AI by Palo Alto Networks helps security teams trust AI outcomes using security-specific models to automate detection, prevention and remediation. |
Threat | ★★★ | |
|
2024-05-28 12:00:00 | Plugin WordPress exploité pour voler les données de la carte de crédit des sites de commerce électronique WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites (lien direct) |
Les acteurs de menaces inconnus abusent des plugins d'extraits de code moins connues pour que WordPress inséte le code PHP malveillant dans les sites victimes et NBSP; qui sont & nbsp; capable de récolter les données de carte de crédit.
La campagne, observée par SUCURI le 11 mai 2024, implique & nbsp; The Abuse of & nbsp; un plugin WordPress appelé & nbsp; Dessky Extraits, qui permet aux utilisateurs d'ajouter du code PHP personnalisé.Il dispose de plus de 200 installations actives.
Unknown threat actors are abusing lesser-known code snippet plugins for WordPress to insert malicious PHP code in victim sites that are capable of harvesting credit card data. The campaign, observed by Sucuri on May 11, 2024, entails the abuse of a WordPress plugin called Dessky Snippets, which allows users to add custom PHP code. It has over 200 active installations. |
Threat | ★★★ |
To see everything:
Our RSS (filtrered)
