SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-11-13 01:41:34	2023 Sep & # 8211;Rapport sur la tendance des menaces du Web Deep et Dark 2023 Sep – Deep Web and Dark Web Threat Trend Report (lien direct)	Ce rapport de tendance sur le Web Deep et le Web Dark de septembre 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.Ransomware & # 8211;Akira & # 8211;Alphv (Blackcat) & # 8211;Lockbit & # 8211;Forum Ransomedvc & # 38;Marché noir & # 8211;Violation de données affectant 7 millions d'utilisateurs & # 8211;Les informations personnelles des policiers ont divulgué l'acteur de menace & # 8211;Poursuite des individus associés au ... This trend report on the deep web and dark web of September 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. Ransomware – Akira – ALPHV (BlackCat) – LockBit – RansomedVC Forum & Black Market – Data Breach Affecting 7 Million Users – Personal Information of Police Officers Leaked Threat Actor – Prosecution of Individuals Associated with the...	Ransomware Data Breach Threat Prediction		★★★
	2023-11-08 08:02:49	Distribution des ransomwares de verrouillage et de l'infostaler de VIDAR déguisé en curriculum vitae Distribution of LockBit Ransomware and Vidar Infostealer Disguised as Resumes (lien direct)	La méthode de distribution impliquant l'identité des CV est l'une des principales méthodes utilisées par les ransomwares de verrouillage.Les informations liées à cela ont été partagées via le blog ASEC en février de cette année.[1] Contrairement au passé où seul le ransomware de verrouillage a été distribué, il a été confirmé qu'un infostecteur est également inclus dans les distributions récentes.[2] (Ce lien est uniquement disponible en coréen.) & # 8216; ressume16.egg & # 8217;Maintient le ransomware de verrouillage déguisé en fichier pdf ... The distribution method involving the impersonation of resumes is one of the main methods used by the LockBit ransomware. Information related to this has been shared through the ASEC Blog in February of this year. [1] In contrast to the past where only the LockBit ransomware was distributed, it has been confirmed that an Infostealer is also being included in recent distributions. [2] (This link is only available in Korean.) ‘Resume16.egg’ holds the LockBit ransomware disguised as a PDF file...	Ransomware		★★★★
	2023-11-08 07:33:45	AVERTISSEMENT contre Phobos Ransomware distribué via RDP vulnérable Warning Against Phobos Ransomware Distributed via Vulnerable RDP (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert la distribution active des ransomwares de phobos.Phobos est une variante connue pour partager des similitudes techniques et opérationnelles avec les ransomwares Dharma et Crysis.Ces souches de ransomware ciblent généralement les services de protocole de bureau à distance externe en externe (RDP) avec des titres vulnérables en tant que vecteurs d'attaque.Compte tenu de la présence fréquente de la distribution des ransomwares qui exploite ces RDP vulnérables comme points d'accès initiaux, il est conseillé aux administrateurs d'être prudents.[1] [2] [3] 1. Présentation du ransomware phobos Phobos Ransomware ... AhnLab Security Emergency response Center (ASEC) has recently discovered the active distribution of the Phobos ransomware. Phobos is a variant known for sharing technical and operational similarities with the Dharma and CrySis ransomware. These ransomware strains typically target externally exposed Remote Desktop Protocol (RDP) services with vulnerable securities as attack vectors. Given the frequent occurrence of ransomware distribution that leverages these vulnerable RDPs as initial access points, administrators are advised to be cautious. [1] [2] [3] 1. Phobos Ransomware Overview Phobos ransomware...	Ransomware Technical		★★★
	2023-11-08 06:34:52	Fichiers PDF de phishing Téléchargement des packages malveillants Phishing PDF Files Downloading Malicious Packages (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a observé la distribution des fichiers PDF qui contiennent des URL malveillants.Les domaines liés à partir des fichiers PDF indiquent que des PDF similaires sont distribués sous le couvert de téléchargement de certains jeux ou de versions de crack de fichiers de programme.Vous trouverez ci-dessous une liste de certains des fichiers PDF qui sont distribués.Cliquez sur le bouton dans les fichiers PDF distribués connecte les utilisateurs à une URL malveillante.La figure ci-dessous est l'écran affiché ... AhnLab Security Emergency response Center (ASEC) observed the distribution of PDF files that contain malicious URLs. The domains linked from the PDF files indicate that similar PDFs are being distributed under the guise of downloading certain games or crack versions of program files. Below is a list of some of the PDF files that are being distributed. Clicking the button within the distributed PDF files connects users to a malicious URL. The figure below is the screen that is displayed...			★★
	2023-11-08 05:55:29	[Kimsuky] Opération SCOVER STALKER [Kimsuky] Operation Covert Stalker (lien direct)	Le 3 mai 2022, Ahnlab a publié une analyse sur le blog ASEC sous le titre & # 8220;Distribution du fichier de mots malveillant lié à la Corée du Nord & # 8217; s défilé militaire du 25 avril & # 8221;.[+] Analyse des logiciels malveillants déguisés avec un contenu de défilé militaire: https://asec.ahnlab.com/en/33936/ Ce rapport est basé sur 17 mois de suivi et d'analyse des activités de piratage de Kimsuky Group & # 8217;, gestion, envoyer des e-mails de piratage, distribution de logiciels malveillants, etc.) qui partagent des modèles similaires avec les principales caractéristiques (c2, shells web, etc.) expliqués dans l'analyse ci-dessus .... On May 3rd, 2022, AhnLab posted an analysis on the ASEC blog under the title “Distribution of Malicious Word File Related to North Korea’s April 25th Military Parade”. [+] Analysis of Malware Disguised with Military Parade Content: https://asec.ahnlab.com/en/33936/ This report is based on 17 months of tracking and analysis of the Kimsuky group’s hacking activities (C2 operations, management, sending hacking emails, distributing malware, etc.) that share similar patterns with the major characteristics (C2, web shells, etc.) explained in the analysis above....	Malware		★★
	2023-11-01 04:29:21	AVERTISSEMENT contre les infections à l'infostaler lors de l'exécution de fichiers EXE légitimes (détournement de DLL) Warning Against Infostealer Infections Upon Executing Legitimate EXE Files (DLL Hijacking) (lien direct)	La prudence est informée en tant qu'infostaler qui invite l'exécution de fichiers EXE légitimes est activement distribué.L'acteur de menace distribue un fichier EXE légitime avec une signature valide et une DLL malveillante compressée dans le même répertoire.Le fichier EXE lui-même est légitime, mais lorsqu'il est exécuté dans le même répertoire que la DLL malveillante, il exécute automatiquement cette DLL malveillante.Cette technique est appelée détournement de DLL et est souvent utilisée dans la distribution des logiciels malveillants.La distribution ... Caution is advised as an Infostealer that prompts the execution of legitimate EXE files is actively being distributed. The threat actor is distributing a legitimate EXE file with a valid signature and a malicious DLL compressed in the same directory. The EXE file itself is legitimate, but when executed in the same directory as the malicious DLL, it automatically runs that malicious DLL. This technique is called DLL hijacking and is often used in the distribution of malware. The distribution...	Threat		★★
	2023-11-01 01:45:57	Avertissement contre les documents HWP intégrés avec des objets OLE malveillants Warning Against HWP Documents Embedded with Malicious OLE Objects (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a trouvé des documents HWP qui étaient intégrés à des objets OLE, ciblant les individus dansdes secteurs spécifiques tels que la défense nationale et la presse.Le malware est présumé être distribué principalement via des URL de téléchargement ou des pièces jointes dans les e-mails.Les noms de dossiers des documents distribués sont pertinents pour les domaines de la défense nationale, de l'unification, de l'éducation et de la radiodiffusion, ce qui suggère que le malware cible les professionnels impliqués dans ces domaines.Les documents HWP analysés dans ce post en grande partie ... AhnLab Security Emergency response Center (ASEC) found HWP documents that were embedded with OLE objects, targeting individuals in specific sectors such as the national defense and the press. The malware is presumed to be distributed mainly through download URLs or attachments in emails. The file names of the distributed documents are relevant to the areas of national defense, unification, education, and broadcasting, suggesting that the malware targets professionals involved in these areas. The HWP documents analyzed in this post largely...	Malware Threat		★★★
	2023-10-30 04:58:37	Distribution du rat Remcos déguisé en glissade Distribution of Remcos RAT Disguised as Payslip (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert que les circonstances des logiciels malveillants à distance des remcos en cours de distribution par le biais d'une-mail déguisé en glissade.Comme le montre la figure 1, le rat Remcos identifié a été distribué sous un sujet par e-mail qui se lisait & # 8216; Il s'agit d'un document de confirmation pour votre transfert de paiement & # 8217;, tromper les lecteurs.Le fichier de cabine comprimé joint contient un fichier EXE (REMCOS RAT) déguisé avec une icône de fichier PDF comme illustré à la figure 2. Figure 1. Figure de messagerie de phishing ... AhnLab Security Emergency response Center (ASEC) has discovered circumstances of the Remcos remote control malware being distributed through an email disguised as a payslip. As shown in Figure 1, the identified Remcos RAT was distributed under an email subject that read ‘This is a confirmation document for your payment transfer’, deceiving the readers. The attached compressed cab file contains an EXE file (Remcos RAT) disguised with a PDF file icon as shown in Figure 2. Figure 1. Phishing email Figure...	Malware		★★
	2023-10-30 04:18:29	Avertissement contre les vulnérabilités de Cisco IOS XE Software Web (CVE-2023-20198, CVE-2023-20273) Warning Against Cisco IOS XE Software Web UI Vulnerabilities (CVE-2023-20198, CVE-2023-20273) (lien direct)	aperçu ce mois-ci, Cisco a publié un avis de sécurité concernant deux vulnérabilités actuellement exploitées activement dans les attaques réelles: CVE CVE-2023-20198 et CVE-2023-20273.Ces vulnérabilités sont présentes dans la fonction d'interface utilisateur Web du logiciel Cisco iOS XE.La vulnérabilité CVE-2023-20198 permet à un acteur de menace non autorisé de créer un compte arbitraire avec des privilèges de niveau 15, qui est le plus haut niveau d'autorisation d'accès possible et de prendre le contrôle du système.La vulnérabilité CVE-2023-20273 permet une injection de commande qui permet d'écrire un contenu malveillant ... Overview This month, Cisco released a security advisory regarding two vulnerabilities currently being actively exploited in actual attacks: CVE-2023-20198 and CVE-2023-20273. These vulnerabilities are present in the web UI feature of Cisco IOS XE Software. The CVE-2023-20198 vulnerability allows an unauthorized threat actor to create an arbitrary account with level 15 privileges, which is the highest level of access permission possible, and take control over the system. The CVE-2023-20273 vulnerability allows command injection which enables malicious content to be written...	Vulnerability Threat		★★
	2023-10-23 02:24:33	2023 août & # 8211;Rapport de tendance des menaces sur les statistiques des ransomwares et les problèmes majeurs 2023 Aug – Threat Trend Report on Ransomware Statistics and Major Issues (lien direct)	Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en août 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Tactiques de pression élargies des ransomwares sur les entreprises ciblées 2) Rhysida Ransomware Connection avec la vice Society 3) Monti Ransomware a introduit une nouvelle technique de chiffrement Linux Aug_Thereat Trend Rapport sur les statistiques des ransomwares et les principaux problèmes This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in August 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) CLOP ransomware expanded pressure tactics on targeted businesses 2) Rhysida ransomware connection with Vice Society 3) Monti ransomware introduced new Linux encryption technique Aug_Threat Trend Report on Ransomware Statistics and Major Issues	Ransomware Threat Prediction		★★
	2023-10-23 02:22:46	2023 Jul & # 8211;Rapport sur la tendance des menaces du Web Deep et Dark 2023 Jul – Deep Web and Dark Web Threat Trend Report (lien direct)	Ce rapport de tendance sur le Web Deep et le Web sombre d'août 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteurs de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) Alphv (Blackcat) (2) Lockbit (3) NoEscape (4) Metaencryptor (5) Rhysida 2) Forum & # 38;Black Market (1) Le retour du voleur de raton laveur (2) Anonfiles a fermé (3) violation de données du site Web d'apprentissage des langues étrangères 3) ... This trend report on the deep web and dark web of August 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actors. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) ALPHV (BlackCat) (2) LockBit (3) NoEscape (4) MetaEncryptor (5) Rhysida 2) Forum & Black Market (1) The Return of Raccoon Stealer (2) Anonfiles Shut Down (3) Data Breach of Foreign Language Learning Website 3)...	Ransomware Data Breach Threat Prediction		★★
	2023-10-23 02:22:16	2023 août & # 8211;Rapport de tendance des menaces sur les groupes APT 2023 Aug – Threat Trend Report on APT Groups (lien direct)	août 2023 Problèmes majeurs sur les groupes de l'APT 1) Andariel 2) APT29 3) APT31 4) amer 5)Bronze Starlight 6) Callisto 7) Cardinbee 8) Typhoon de charbon de bois (Redhotel) 9) Terre estrie 10) Typhon de lin 11) Groundpeony 12) Chisel infâme 13) Kimsuky 14) Lazarus 15)Moustachedbouncher 16) Éléphant mystérieux (APT-K-47) 17) Nobelium (Blizzard de minuit) 18) Red Eyes (APT37) Aug_Thereat Trend Rapport sur les groupes APT August 2023 Major Issues on APT Groups 1) Andariel 2) APT29 3) APT31 4) Bitter 5) Bronze Starlight 6) Callisto 7) Carderbee 8) Charcoal Typhoon (RedHotel) 9) Earth Estries 10) Flax Typhoon 11) GroundPeony 12) Infamous Chisel 13) Kimsuky 14) Lazarus 15) MoustachedBouncher 16) Mysterious Elephant (APT-K-47) 17) Nobelium (Midnight Blizzard) 18) Red Eyes (APT37) Aug_Threat Trend Report on APT Groups	Threat Prediction	APT 38 APT 38 APT 37 APT 29 APT 31	★★★
	2023-10-23 02:21:45	2023 août & # 8211;Rapport de tendance des menaces sur le groupe Kimsuky 2023 Aug – Threat Trend Report on Kimsuky Group (lien direct)	Les activités de Kimsuky Group & # 8217;Les activités d'autres types étaient relativement faibles.De plus, des échantillons de phishing ont été trouvés dans l'infrastructure connue pour la distribution de logiciels malveillants antérieurs (fleurs, randomquery et appleseed), et des échantillons de babyshark ont été découverts dans l'infrastructure RandomQuery.Cela suggère la probabilité de plusieurs types de logiciels malveillants en utilisant une seule infrastructure.Rapport de tendance AUG_TRÉTÉE sur le groupe Kimsuk The Kimsuky group’s activities in August 2023 showed a notable surge in the BabyShark type, while the activities of other types were relatively low. Also, phishing samples were found in the infrastructure known for distributing previous malware (FlowerPower, RandomQuery, and AppleSeed), and BabyShark samples were discovered in the RandomQuery infrastructure. This suggests the likelihood of multiple types of malware utilizing a single infrastructure. Aug_Threat Trend Report on Kimsuky Group	Malware Threat Prediction	APT 43	★★★
	2023-10-18 05:55:43	Où est parti le logiciel malveillant du document MS Office? Where Has the MS Office Document Malware Gone? (lien direct)	InfostEllers, qui volent les informations d'identification du compte utilisateur enregistrées dans les navigateurs Web ou les clients de messagerie, constituent la majorité des attaques ciblées ciblant les ciblage des attaquesutilisateurs généraux ou d'entreprise.Les informations connexes ont été partagées via le blog ASEC en décembre de l'année dernière.[1] Bien que la méthode de distribution des logiciels malveillants nommés diffère légèrement en fonction de leurs principales caractéristiques, les logiciels malveillants de type infoséaler utilisent généralement des sites malveillants déguisés en pages pour télécharger des programmes légitimes comme voie de distribution.Ils sont également activement distribués via des pièces jointes de spam ou MS ... Infostealers, which steal user account credentials saved in web browsers or email clients, constitute the majority of attacks targeting general or corporate users. Related information was shared through the ASEC Blog in December of last year. [1] While the distribution method for the named malware differs slightly depending on their main features, Infostealer-type malware typically uses malicious sites disguised as pages for downloading legitimate programs as their distribution route. They are also actively distributed through spam email attachments or MS...	Spam Malware		★★★
	2023-10-17 09:08:51	Kimsuky Threat Group utilise RDP pour contrôler les systèmes infectés Kimsuky Threat Group Uses RDP to Control Infected Systems (lien direct)	Kimsuky, un groupe de menaces connu pour être soutenu par la Corée du Nord, est actif depuis 2013. Au début, ils ont attaqué les instituts de recherche liés à la Corée du Nord en Corée du Sud avant d'attaquer une agence d'énergie sud-coréenne en 2014. D'autres pays sont également devenus des cibles de leur attaque depuis 2017. [1] Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, diplomatique diplomatique,, et les secteurs universitaires, les industries de la défense et des médias, ainsi que des organisations nationales.Leur objectif est d'exfiltrer les informations et la technologie internes ... Kimsuky, a threat group known to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy agency in 2014. Other countries have also become targets of their attack since 2017. [1] The group usually launches spear phishing attacks on the national defense, diplomatic, and academic sectors, defense and media industries, as well as national organizations. Their goal is to exfiltrate internal information and technology...	Threat	APT 43	★★★
	2023-10-17 00:55:09	La magie de rêve de l'opération de Lazarus Group \\ Lazarus Group\\'s Operation Dream Magic (lien direct)	Le groupe Lazare est un groupe de piratage connu pour être parrainé par l'État et mène activement des activités de piratageDans le monde entier pour le gain financier, le vol de données et d'autres fins.Un aperçu simplifié de l'attaque du trou d'arrosage du groupe Lazare qui a abusé de la vulnérabilité inisafée est la suivante: un lien malveillant a été inséré dans un article spécifique sur un site Web d'actualités.Par conséquent, les entreprises et les institutions qui ont cliqué sur cet article étaient ciblées pour le piratage.Les pirates ont exploité des sites Web coréens vulnérables avec C2 ... The Lazarus group is a hacking group that is known to be state-sponsored and is actively conducting hacking activities worldwide for financial gain, data theft, and other purposes. A simplified overview of the Lazarus group’s watering hole attack that abused the INISAFE vulnerability is as follows: a malicious link was inserted within a specific article on a news website. Consequently, companies and institutions that clicked on this article were targeted for hacking. The hackers exploited vulnerable Korean websites with C2...	Vulnerability	APT 38	★★
	2023-10-13 08:21:01	Rapport d'analyse sur le Volgmer et Scout Malwares de Lazarus Analysis Report on Lazarus Threat Group\\'s Volgmer and Scout Malwares (lien direct)	aperçu1.Analyse de la porte dérobée de Volgmer….1.1.Version précoce de Volgmer …… .. 1.1.1.Analyse des compte-gouttes Volgmer …… .. 1.1.2.Analyse de la porte dérobée de Volgmer….1.2.Version ultérieure de Volgmer …… .. 1.2.1.Analyse de Volgmer Backdoor2.Analyse du téléchargeur Scout….2.1.DIGNES (Volgmer, Scout)….2.2.Analyse du téléchargeur Scout …… .. 2.2.1.Scout Downloader v1 …… .. 2.2.2.Scout Downloader V23.Conclusion Table des matières Le groupe de menaces de Lazarus parrainé par l'État a des dossiers d'activité qui remontent à 2009. Au début, leurs activités étaient principalement axées sur ... Overview1. Analysis of Volgmer Backdoor…. 1.1. Early Version of Volgmer…….. 1.1.1. Analysis of Volgmer Dropper…….. 1.1.2. Analysis of Volgmer Backdoor…. 1.2. Later Version of Volgmer…….. 1.2.1. Analysis of Volgmer Backdoor2. Analysis of Scout Downloader…. 2.1. Droppers (Volgmer, Scout)…. 2.2. Analysis of Scout Downloader…….. 2.2.1. Scout Downloader v1…….. 2.2.2. Scout Downloader v23. Conclusion Table of Contents The seemingly state-sponsored Lazarus threat group has records of activity that date back to 2009. In the early days, their activities were mostly focused on...	Threat	APT 38	★★
	2023-10-12 00:53:07	Shellbot DDOS malware installé via des adresses de notation hexadécimale ShellBot DDoS Malware Installed Through Hexadecimal Notation Addresses (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment découvert un changement dans la méthode de distribution du shellbot malveillant malveillant les logiciels malveillants shellbot malveillants (ASEC), qui est installé sur des serveurs Linux SSH mal gérés.Le flux global reste le même, mais l'URL de téléchargement utilisé par l'acteur de menace pour installer Shellbot est passé d'une adresse IP ordinaire à une valeur hexadécimale.1. cas passé d'évasion de détection d'URL.format, avec des acteurs de menace utilisant des adresses ... AhnLab Security Emergency response Center (ASEC) has recently discovered a change in the distribution method of the ShellBot malware, which is being installed on poorly managed Linux SSH servers. The overall flow remains the same, but the download URL used by the threat actor to install ShellBot has changed from a regular IP address to a hexadecimal value. 1. Past Case of URL Detection Evasion Typically, IP addresses are used in the “dot-decimal notation” format, with threat actors using addresses...	Malware Threat		★★★
	2023-10-11 00:13:32	Distribution des arrêts de ransomware de magnéte (depuis le 25 août) Distribution of Magniber Ransomware Stops (Since August 25th) (lien direct)	Grâce à un processus de surveillance continu, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) répond rapidement à Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magniber, le Magnibre, le Magnibre, le Magniber, le Magnibre, le Magnibre, le Magnibre, le Magnibre, le Magnibre, le Magniber, le Magnibre, le Magniber, le Magnibre, le Magnibre, le Magniber, le MAGNIGHLes logiciels malveillants principaux qui sont activement distribués à l'aide de la méthode de typosquat qui abuse des fautes de frappe dans des adresses de domaine.Après que les règles de blocage de la technique d'injection utilisée par Magnber ont été distribuées, l'ASEC a publié un article sur les informations pertinentes le 10 août.Par la suite, le nombre de cas a diminué à mesure que le créateur de magnétique a effectué divers tests de dérivation de détection et, au 25 août, le ... Through a continuous monitoring process, AhnLab Security Emergency response Center (ASEC) is swiftly responding to Magniber, the main malware that is actively being distributed using the typosquatting method which abuses typos in domain addresses. After the blocking rules of the injection technique used by Magniber were distributed, ASEC published a post about the relevant information on August 10th. Subsequently, the number of cases diminished as the creator of Magniber conducted various detection bypass tests, and as of August 25th, the...	Ransomware Malware		★★
	2023-10-10 04:42:35	Infostaler avec un certificat anormal en cours de distribution Infostealer with Abnormal Certificate Being Distributed (lien direct)	Récemment, il y a eu un taux de distribution élevé de logiciels malveillants en utilisant des certificats anormaux.Les logiciels malveillants se déguisent souvent avec des certificats normaux.Cependant, dans ce cas, les logiciels malveillants ont saisi les informations de certificat au hasard, le nom du sujet et les champs de noms émetteur ayant des chaînes inhabituellement longues.En conséquence, les informations sur le certificat ne sont pas visibles dans les systèmes d'exploitation Windows, et un outil ou une infrastructure spécifique est nécessaire pour inspecter la structure de ces certificats.Bien sûr, ces certificats échouent en vérification de signature depuis ... Recently, there has been a high distribution rate of malware using abnormal certificates. Malware often disguise themselves with normal certificates. However, in this case, the malware entered the certificate information randomly, with the Subject Name and Issuer Name fields having unusually long strings. As a result, the certificate information is not visible in Windows operating systems, and a specific tool or infrastructure is required to inspect the structure of these certificates. Of course, these certificates fail in signature verification since...	Malware Tool		★★★
	2023-10-10 04:36:49	InfoSteller en cours de distribution par e-mail de spam (AgentTesla) Infostealer Being Distributed via Spam Email (AgentTesla) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a repéré l'agenttesla infosterun fichier de chauve-souris malveillant.Lorsque le fichier BAT est exécuté, il utilise la méthode inférieure pour exécuter AgentTesla (EXE) sans créer le fichier sur le PC de l'utilisateur.Ce billet de blog fournira une explication du processus de distribution, de l'e-mail de spam au binaire final (AgentTesla), ainsi que des techniques connexes.La figure 1 montre le corps de l'e-mail de spam distribuant ... AhnLab Security Emergency response Center (ASEC) spotted the AgentTesla Infostealer being distributed through an email in the form of a malicious BAT file. When the BAT file is executed, it employs the fileless method to run AgentTesla (EXE) without creating the file on the user’s PC. This blog post will provide an explanation of the distribution process, from the spam email to the final binary (AgentTesla), along with related techniques. Figure 1 shows the body of the spam email distributing...	Spam		★★★
	2023-09-24 23:30:52	Processus de distribution de Coinminn dans les systèmes infiltrés (détectés par EDR) CoinMiner Distribution Process within Infiltrated Systems (Detected by EDR) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a identifié le processus par lequel les acteurs menaçaient installent des coïsUn système compromis est des ressources pour l'exploitation des crypto-monnaies.Ce message couvrira la façon dont le produit AHNLAB EDR détecte le processus d'installation des co -miners qui utilisent des ressources système pour l'exploitation de la crypto-monnaie.Figure 1. Exécution de la commande de l'acteur de menace & # 160;La figure 1 montre que l'acteur de menace a utilisé la même commande de manière cohérente sur le système infiltré.Il montre qu'un script PowerShell a été détecté en étant ... AhnLab Security Emergency Response Center (ASEC) has identified the process through which threat actors install CoinMiners, which utilize a compromised system’s resources for cryptocurrency mining. This post will cover how the AhnLab EDR product detects the installation process of CoinMiners that use system resources for cryptocurrency mining. Figure 1. Execution of command from threat actor Figure 1 shows that the threat actor used the same command consistently on the infiltrated system. It shows a PowerShell script was detected being...	Threat		★★★
	2023-09-21 08:27:12	Dossier de LNK malveillant en cours de distribution, usurpant l'identité du National Tax Service Malicious LNK File Being Distributed, Impersonating the National Tax Service (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert les circonstances d'un fichier de LNK malveillant imitant le service national fiscêtre distribué.La distribution à l'aide de fichiers LNK est une méthode qui a été utilisée dans le passé, et récemment, il y a eu plusieurs cas de distribution aux utilisateurs coréens.Le fichier LNK récemment identifié est supposé être distribué via une URL incluse dans les e-mails.L'URL identifiée via AHNLAB Smart Defense (ASD) est la suivante, et à partir de celui-ci, un fichier compressé ... AhnLab Security Emergency response Center (ASEC) has discovered circumstances of a malicious LNK file impersonating the National Tax Service being distributed. Distribution using LNK files is a method that has been used in the past, and recently, there have been multiple cases of distribution to Korean users. The recently identified LNK file is presumed to be distributed via a URL included in emails. The URL identified through AhnLab Smart Defense (ASD) is as follows, and from it, a compressed file...			★★
	2023-09-21 07:33:23	Hiddengh0st malware attaquant les serveurs MS-SQL HiddenGh0st Malware Attacking MS-SQL Servers (lien direct)	gh0st rat est un logiciel malveillant à distance développé par l'équipe de sécurité de C. Rufus de Chine.Étant donné que son code source est accessible au public, les développeurs de logiciels malveillants l'utilisent comme référence alors qu'ils continuent de développer de nombreuses variantes qui sont encore activement utilisées dans les attaques.Bien que le code source soit public, GH0st Rat est principalement utilisé par les acteurs de la menace basés en Chine.Des cas de rat GH0Stcringe, une variante de rat GH0ST, étant distribués, des serveurs de base de données de ciblage (MS-SQL, serveurs MySQL) ont été divulgués ... Gh0st RAT is a remote control malware developed by the C. Rufus Security Team from China. Due to its source code being publicly available, malware developers use it as a reference as they continue developing numerous variants that are still actively used in attacks. Although the source code is public, Gh0st RAT is mainly used by threat actors based in China. Cases of Gh0stCringe RAT, a variant of Gh0st RAT, being distributed targeting database servers (MS-SQL, MySQL servers) were disclosed...	Malware Threat		★★
	2023-09-14 01:37:17	Téléchargeur déguisé avec le contenu de la violation des droits de propriété intellectuelle (détectés par MDS) Downloader Disguised With Contents on Violation of Intellectual Property Rights (Detected by MDS) (lien direct)	Le 28 août, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) a découvert les circonstances d'un téléchargeur en distribution déguisée avecContenu concernant la violation des droits de propriété intellectuelle, ciblant les masses non spécifiées en Corée.Le logiciel malveillant distribué comprenait un code qui détecte les environnements virtuels pour échapper aux solutions de sécurité basées sur Sandbox et était un type .NET qui télécharge le malware MainBot.À en juger par les informations de dossier collectées par AHNLAB Smart Defense (ASD) et Virustotal, il semble que la Corée et Taiwan soient les destinations cibles pour la distribution .... On August 28, AhnLab Security Emergency response Center (ASEC) discovered circumstances of a downloader in distribution disguised with contents regarding the violation of intellectual property rights, targeting unspecified masses in Korea. The distributed malware included a code that detects virtual environments to evade sandbox-based security solutions and was a .NET-type that downloads the MainBot malware. Judging from the file information collected by AhnLab Smart Defense (ASD) and VirusTotal, it seems that Korea and Taiwan were the target destinations for distribution....	Malware		★★
	2023-09-11 05:05:00	Rapport de tendance des menaces sur les ransomwares & # 8211;Juillet 2023 Threat Trend Report on Ransomware – July 2023 (lien direct)	Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en juillet 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Plus d'entreprises affectées par l'exploitation des ransomwares de Clop & # 8217;Problèmes This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in July 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) More businesses affected by CLOP ransomware’s exploitation of MOVEit zero-day vulnerability 2) Big Head ransomware disguised as an emergency Windows update 3) Detection names for ransomware disguised as Sophos file ATIP_2023_Jul_Threat Trend Report on Ransomware Statistics and Major Issues	Ransomware Vulnerability Threat Prediction		★★
	2023-09-11 05:02:48	Rapport de tendance des menaces sur les groupes APT & # 8211;Juillet 2023 Threat Trend Report on APT Groups – July 2023 (lien direct)	juillet 2023 Problèmes majeurs sur les groupes APT 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Chicheur charmant 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Eyes rouges 13) Pirates d'espace 14) Turla 15) ATIP_2023_JUL_JULAT RAPPORT D'APTER LE Rapport sur les APT July 2023 Major Issues on APT Groups 1) APT28 2) APT29 3) APT31 4) Camouflaged Hunter 5) Charming Kitten 6) Gamaredon 7) Kimsuky 8) Konni 9) Lazarus 10) Mustang Panda 11) Patchwork 12) Red Eyes 13) Space Pirates 14) Turla 15) Unclassified ATIP_2023_Jul_Threat Trend Report on APT Groups	Threat Prediction	APT 38 APT 37 APT 37 APT 35 APT 35 APT 29 APT 29 APT 28 APT 28 APT 31	★★
	2023-09-11 05:02:13	Rapport sur la tendance du Web Deep et Dark WEB & # 8211;Juillet 2023 Deep Web and Dark Web Threat Trend Report – July 2023 (lien direct)	Ce rapport de tendance sur le Web Deep et le réseau sombre de juillet 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteur de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) Alphv (Blackcat) (2) Cactus (3) Clop (4) Monti 2) Forum & # 38;Black Market (1) La vente de Genesis Market (2) Base de données pour violation de la base de données (3) US Medical Institution & # 8217; s Base de données 3) Acteur de menace (1) ... This trend report on the deep web and dark web of July 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actor. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) ALPHV (BlackCat) (2) Cactus (3) CLOP (4) Monti 2) Forum & Black Market (1) The Sale of Genesis Market (2) BreachedForums Database on Sale (3) US Medical Institution’s Database Breached 3) Threat Actor (1)...	Ransomware Threat Prediction Medical		★★
	2023-09-11 05:01:36	Rapport de tendance des menaces sur le groupe Kimsuky & # 8211;Juillet 2023 Threat Trend Report on Kimsuky Group – July 2023 (lien direct)	Les activités de Kimsuky Group & # 8217;diversifie simultanément leurs méthodes d'attaque.De plus, il n'y avait pas de problèmes particuliers concernant les types d'applications et RandomQuery car ils sont désormais moins utilisés.Le type BabyShark qui sera décrit en détail sur ce rapport sera inclus dans les statistiques de juillet.ATIP_2023_JUL_TRÉTERAT RAPPORT DE TRENDE SUR LE GROUPE KIMSUKY The Kimsuky group’s activities in July 2023 showed that FlowerPower is gaining traction, and the group is simultaneously diversifying their attack methods. Additionally, there were no particular issues regarding AppleSeed and RandomQuery types as they are now less used. The BabyShark type to be described in detail further on this report will be included in the statistics from July thereon. ATIP_2023_Jul_Threat Trend Report on Kimsuky Group	Threat Prediction		★★
	2023-09-11 00:48:55	Blueshell utilisé dans les attaques aptes contre les cibles coréennes et thaïlandaises BlueShell Used in APT Attacks Against Korean and Thai Targets (lien direct)	Blueshell est une porte dérobée développée en Go.Il est disponible sur GitHub et prend en charge les systèmes d'exploitation Windows, Linux et Mac.Actuellement, il semble que le référentiel GitHub original ait été supprimé, mais le code source Blueshell peut être téléchargé à partir d'autres référentiels.Notamment, le fichier ReadMe contenant les directives est en chinois, ce qui suggère que le créateur peut être un orateur chinois.Il n'y a pas de nombreux cas où Blueshell est connu pour avoir été utilisé dans les attaques contrairement à Sparkrat, Silver ... BlueShell is a backdoor developed in Go. It is available on GitHub and supports Windows, Linux, and Mac operating systems. Currently, it seems the original GitHub repository has been deleted, but the BlueShell source code can be downloaded from other repositories. Notably, the ReadMe file containing the guidelines is in Chinese, and this suggests that the creator may be a Chinese speaker. There aren’t many cases where BlueShell is known to have been used in the attacks unlike SparkRAT, Silver...			★★
	2023-09-08 00:55:10	Redeyes (scarcruft) \\'s chm malware en utilisant le sujet de la version des eaux usées de Fukushima RedEyes (ScarCruft)\\'s CHM Malware Using the Topic of Fukushima Wastewater Release (lien direct)	L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB a récemment découvert que le MAC MALW, qui est le CHM, qui estsupposé avoir été créé par le groupe de menaces Redeyes, est à nouveau distribué.La distribution de logiciels malveillants CHM fonctionne de la même manière que le logiciel malveillant & # 8220; CHM déguisé en e-mail de sécurité d'une société financière coréenne & # 8221; [1] couverte en mars de cette année et utilise également les mêmes commandes utilisées dans le & #.8220; 2.3.Persistance & # 8221; [2] Étape dans le processus d'attaque des redeyes ... The AhnLab Security Emergency response Center (ASEC) analysis team has recently discovered that the CHM malware, which is assumed to have been created by the RedEyes threat group, is being distributed again. The CHM malware in distribution operates in a similar way to the “CHM Malware Disguised as Security Email from a Korean Financial Company”[1] covered in March of this year and also uses the same commands used in the “2.3. Persistence”[2] stage in the attack process of the RedEyes...	Malware Threat	APT 37	★★
	2023-09-08 00:48:28	Fichier de script de phishing Brochant les informations utilisateur via le télégramme en cours de distribution Phishing Script File Breaching User Information via Telegram Being Distributed (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment identifié les circonstances de fichiers de scripts de phishing multiples déguisés en document PDFLes écrans de la visionneuse sont distribués sous forme de pièces jointes aux e-mails.Une partie des noms de fichiers identifiés est comme ci-dessous, et des mots clés tels queLe bon de commande (PO), la commande et le reçu ont été utilisés.Nouveau ordre_20230831.html SALBO_PO_20230823.pdf.html Woonggiorder-230731.pdf.html PO_BG20231608-019ML _PURCHASE Ordre reçu de ○val Cosmetics_MSG (Email) BL_148200078498.html en ○val Order Order.html Sung ○ ○ BiOX_NEW PO.PDF.HTML Comme illustré à la figure 1 ci-dessous, une image floue ... / p> AhnLab Security Emergency response Center (ASEC) has recently identified circumstances of multiple phishing script files disguised as PDF document viewer screens being distributed as attachments to emails. A portion of the identified file names are as below, and keywords such as purchase order (PO), order, and receipt were used. New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-019.html ○○○ Pharma.pdf.html DH○_BILL_LADING_DOCUMENT_RECEIPT.html _Purchase Order Received from ○○○ Cosmetics_msg (email) BL_148200078498.html En○○○ Purchase Order.html Sung○○ BioX_New PO.pdf.html As shown in Figure 1 below, a blurred image...			★★
	2023-09-06 01:29:24	Distribution de la porte dérobée via un LNK malveillant: redeyes (Scarcruft) Distribution of Backdoor via Malicious LNK: RedEyes (ScarCruft) (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a confirmé que le malware [1], qui était auparavant distribué dansLe format CHM, est maintenant distribué au format LNK.Ce logiciel malveillant exécute des scripts supplémentaires situés à une URL spécifique via le processus MSHTA.Il reçoit ensuite des commandes du serveur de la menace pour effectuer des comportements malveillants supplémentaires.L'acteur de menace a distribué le fichier LNK confirmé sur un site Web ordinaire en le téléchargeant aux côtés de logiciels malveillants dans un fichier compressé.Le LNK malveillant ... AhnLab Security Emergency response Center (ASEC) has confirmed that malware [1], which was previously distributed in CHM format, is now being distributed in LNK format. This malware executes additional scripts located at a specific URL through the mshta process. It then receives commands from the threat actor’s server to carry out additional malicious behaviors. The threat actor has been distributing the confirmed LNK file on a regular website by uploading it alongside malware within a compressed file. The malicious LNK...	Malware Threat	APT 37	★★★
	2023-09-04 02:37:05	Suivi des logiciels malveillants sans fichier distribués via des courriers de spam Tracking Fileless Malware Distributed Through Spam Mails (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a découvert une campagne de phishing qui se propage par des e-mails de spam et exécute unFichier PE (EXE) sans créer le fichier dans le PC utilisateur.La pièce jointe malveillante dans l'extension HTA exécute finalement des souches de logiciels malveillants tels que AgentTesla, Remcos et Limerat.Ce billet de blog expliquera le flux du processus de distribution du courrier de spam au binaire final, ainsi que les techniques utilisées. & # 160;La figure 1 montre le texte principal du courrier du spam ... AhnLab Security Emergency response Center (ASEC) has discovered a phishing campaign that propagates through spam mails and executes a PE file (EXE) without creating the file into the user PC. The malware attachment in the hta extension ultimately executes malware strains such as AgentTesla, Remcos, and LimeRAT. This blog post will explain the distribution process flow from the spam mail to the final binary, as well as the techniques employed. Figure 1 shows the main text of the spam mail...	Spam Malware		★★★
	2023-08-31 07:39:23	Analyse des nouvelles activités d'attaque d'Andariel \\ Analysis of Andariel\\'s New Attack Activities (lien direct)	contenu1.Cas d'attaque antérieurs & # 8230;.1.1.Cas d'abus d'agent Innix & # 8230; & # 8230; .. 1.1.1.Variante nukesped & # 8211;Volgmer & # 8230; & # 8230; .. 1.1.2.Andardoor & # 8230; & # 8230; .. 1.1.3.1th Troy Shell inverse & # 8230;.1.2.Cas d'attaques contre les sociétés coréennes & # 8230; & # 8230; .. 1.2.1.Tigerrat & # 8230; & # 8230; .. 1.2.2.Rat noir & # 8230; & # 8230; .. 1.2.3.Variantes nues2.Cas d'attaques récentes & # 8230;.2.1.Cas d'abus d'agent Innix & # 8230; & # 8230; .. 2.1.1.GOAT RAT & # 8230;.2.2.Cas d'attaques contre les sociétés coréennes & # 8230; & # 8230; .. 2.2.1.Andarloader & # 8230; & # 8230; .. 2.2.2.DurianBeacon3.Connexions avec les cas d'attaque récents4.Connexions aux cas d'attaque antérieurs du groupe Andariel5.Conclusion Le groupe de menaces Andariel ... Contents1. Past attack cases…. 1.1. Cases of Innorix Agent abuse…….. 1.1.1. NukeSped variant – Volgmer…….. 1.1.2. Andardoor…….. 1.1.3. 1th Troy Reverse Shell…. 1.2. Cases of attacks against Korean corporations…….. 1.2.1. TigerRat…….. 1.2.2. Black RAT…….. 1.2.3. NukeSped variants2. Cases of recent attacks…. 2.1. Cases of Innorix Agent abuse…….. 2.1.1. Goat RAT…. 2.2. Cases of attacks against Korean corporations…….. 2.2.1. AndarLoader…….. 2.2.2. DurianBeacon3. Connections to recent attack cases4. Connections to past attack cases of the Andariel group5. Conclusion The Andariel threat group...	Threat		★★
	2023-08-24 23:52:31	Analyse des cas de proxyjacking de serveur MS-SQL Analysis of MS-SQL Server Proxyjacking Cases (lien direct)	Le centre de réponse d'urgence de sécurité (ASEC) d'AhnLab a récemment découvert des cas de proxyjacking ciblant des serveurs MS-SQL mal gérés..Les serveurs MS-SQL accessibles au public avec des mots de passe simples sont l'un des principaux vecteurs d'attaque utilisés pour cibler les systèmes Windows.En règle générale, les acteurs malveillants ciblent les serveurs MS-SQL mal gérés et tentent d'y accéder par force brute ou par dictionnaire.En cas de succès, ils installent des logiciels malveillants sur le système infecté.Les acteurs malveillants installent LoveMiner sur des serveurs MS-SQL depuis un certain temps, et leur... AhnLab Security Emergency response Center (ASEC) has recently discovered cases of proxyjacking targeting poorly managed MS-SQL servers. Publicly accessible MS-SQL servers with simple passwords are one of the main attack vectors used when targeting Windows systems. Typically, threat actors target poorly managed MS-SQL servers and attempt to gain access through brute force or dictionary attacks. If successful, they install malware on the infected system. The threat actors have been installing LoveMiner on MS-SQL servers for quite some time, and their...	Malware Threat		★★★
	2023-08-22 02:13:28	Analyse des cas d'attaque APT ciblant les services Web de sociétés coréennes Analysis of APT Attack Cases Targeting Web Services of Korean Corporations (lien direct)	Les serveurs Web sont vulnérables aux attaques car ils sont accessibles au public à un large éventail d'utilisateurs à des fins de finfournir des services Web.Cette accessibilité en fait une cible principale pour les acteurs de la menace.AHNLAB Security Emergency Response Center (ASEC) surveillait les attaques ciblant les serveurs Web vulnérables qui n'ont pas été corrigés ou mal gérés.Dans cet article, nous avons compilé les cas d'attaque APT où les serveurs Web des sociétés coréens ont été continuellement ciblés au fil des ans.Nous avons ... Web servers are vulnerable to attacks because they are publicly accessible to a wide range of users for the purpose of delivering web services. This accessibility makes them a prime target for threat actors. AhnLab Security Emergency response Center (ASEC) is monitoring attacks targeting vulnerable web servers that have not been patched or are poorly managed. In this post, we have compiled APT attack cases where the web servers of Korean corporations were continuously targeted over the years. We have...	Threat		★★★
	2023-08-16 06:46:45	Rapport de tendance des menaces sur les groupes APT & # 8211;Juin 2023 Threat Trend Report on APT Groups – June 2023 (lien direct)	Tendances du groupe APT & # 8211;Juin 2023 1) Andariel 2) APT28 3) Cadet Blizzard (Dev-0586) 4) Camaro Dragon 5) Chicheau charmant (Mint Sandstorm) 6) Gamaredon (Shuckworm) 7) Ke3Chang (Apt15, Nickel) 8) Kimsuky 9) Lazarus 10) Eau boueuse 11) Mustang Panda 12) Oceanlotus 13) Patchwork (éléphant blanc) 14) REd Eyes (APT37) 15) Sharp Panda 16) Sidecopy 17) Soldat Stealth ATIP_2023_JUN_THREAT Rapport de tendance sur les groupes APT APT Group Trends – June 2023 1) Andariel 2) APT28 3) Cadet Blizzard (DEV-0586) 4) Camaro Dragon 5) Charming Kitten (Mint Sandstorm) 6) Gamaredon (Shuckworm) 7) Ke3chang (APT15, Nickel) 8) Kimsuky 9) Lazarus 10) Muddy Water 11) Mustang Panda 12) OceanLotus 13) Patchwork (White Elephant) 14) Red Eyes (APT37) 15) Sharp Panda 16) SideCopy 17) Stealth Soldier ATIP_2023_Jun_Threat Trend Report on APT Groups	Threat Prediction	APT 38 APT 37 APT 37 APT 35 APT 35 APT 32 APT 32 APT 28 APT 28 APT 15 APT 15 APT 25	★★
	2023-08-16 06:46:19	Rapport sur la tendance des menaces Web Deep & Dark & # 8211;Juin 2023 Deep Web & Dark Web Threat Trend Report – June 2023 (lien direct)	Ce rapport de tendance sur le Web Deep et le réseau sombre de juin 2023 est sectionné en ransomware, forums & # & #38;Marchés noirs et acteur de menace.Nous tenons à dire à l'avance qu'une partie du contenu n'a pas encore été confirmée comme vraie.1) Ransomware (1) CLOP (2) Lockbit (3) Snatch (4) groupe RA (5) groupes de ransomwares & # 8217;Recrutement affilié ADS 2) Forum & # 38;Marché noir (1) Le marché du monopole & # 8217; S'exploitant arrêté (2) Suspension des exposés pour pour les forums (3) la renaissance de BreachForums 3) Menace ... This trend report on the deep web and dark web of June 2023 is sectioned into Ransomware, Forums & Black Markets, and Threat Actor. We would like to state beforehand that some of the content has yet to be confirmed to be true. 1) Ransomware (1) CLOP (2) LockBit (3) Snatch (4) RA Group (5) Ransomware Groups’ Affiliate Recruitment Ads 2) Forum & Black Market (1) Monopoly Market’s Operator Arrested (2) Suspension of ExposedForums (3) Rebirth of BreachForums 3) Threat...	Ransomware Threat Prediction		★★
	2023-08-16 06:45:59	Rapport de tendance des menaces sur Kimsuky & # 8211;Juin 2023 Threat Trend Report on Kimsuky – June 2023 (lien direct)	Les activités du groupe Kimsuk observées en juin 2023 ont montré une légère augmentation du nombre global de domaine entièrement qualifié entièrement qualifiéNoms (FQDN), avec plus de types d'applications détectés par rapport aux activités du groupe en mai.À un moment donné, la fonction de collecte d'informations a été retirée du type de fleurs, mais quelques jours plus tard, les échantillons ont été équipés de ladite fonctionnalité.De plus, le type RandomQuery a montré des tentatives pour se transformer en un nouveau système après mars 2023, mais il semble ... Activities of the Kimsuky group observed during June 2023 showed a slight increase in the overall number of fully qualified domain names (FQDNs), with more AppleSeed types detected in comparison to the group’s activities in May. At one point, the information collection feature was removed from the FlowerPower type, but a few days later, samples were equipped with the said feature again. Also, the RandomQuery type showed attempts to change into a new system after March 2023, but it seems...	Threat Prediction		★★
	2023-08-16 06:45:39	Rapport de tendance des menaces sur les ransomwares & # 8211;Juin 2023 Threat Trend Report on Ransomware – June 2023 (lien direct)	Ce rapport fournit des statistiques sur de nouveaux échantillons de ransomware, des systèmes attaqués et des entreprises ciblées en juin 2023, ainsi queEn tant que problèmes de ransomware notables en Corée et dans d'autres pays.D'autres problèmes et statistiques majeurs pour les ransomwares qui ne sont pas mentionnés dans le rapport peuvent être trouvés en recherchant les mots clés suivants ou via le menu Statistiques de la plate-forme AHNLAB Threat Intelligence (ATIP).Les statistiques des ransomwares en tapant le nombre d'échantillons de ransomware et de systèmes ciblés sont basés sur les noms de détection désignés ... This report provides statistics on new ransomware samples, attacked systems, and targeted businesses in June 2023, as well as notable ransomware issues in Korea and other countries. Other major issues and statistics for ransomware that are not mentioned in the report can be found by searching for the following keywords or via the Statistics menu at AhnLab Threat Intelligence Platform (ATIP). Ransomware Statistics by Type The number of ransomware samples and targeted systems are based on the detection names designated...	Ransomware Threat Prediction		★★
	2023-08-15 23:02:00	Hakuna Matata Ransomware ciblant les entreprises coréennes Hakuna Matata Ransomware Targeting Korean Companies (lien direct)	Récemment, Ahnlab Security Emergency Response Center (ASEC) a identifié que les ransomwares de Hakuna Matata sont utilisés pourAttaquez les entreprises coréennes.Hakuna Matata est un ransomware qui a été développé relativement récemment.Le premier rapport lié à Hakuna Matata a été identifié le 6 juillet 2023 sur Twitter.[1] Le 14 juillet 2023, un poste d'acteur de menace faisant la promotion de Hakuna Matata sur le Dark Web a également été partagé sur Twitter.[2] Aussi, des souches de ransomware téléchargées sur Virustotal, ... Recently, AhnLab Security Emergency response Center (ASEC) has identified that the Hakuna Matata ransomware is being used to attack Korean companies. Hakuna Matata is a ransomware that has been developed relatively recently. The first report related to Hakuna Matata was identified on July 6th, 2023 on Twitter. [1] On July 14th, 2023, a post of a threat actor promoting Hakuna Matata on the dark web was shared on Twitter as well. [2] Also, out of the ransomware strains uploaded on VirusTotal,...	Ransomware Threat		★★
	2023-08-10 01:00:00	Guloader Malware déguisé en factures fiscales et relevés d'expédition (détectés par les produits MDS) GuLoader Malware Disguised as Tax Invoices and Shipping Statements (Detected by MDS Products) (lien direct)	factures fiscales et relevés d'expédition.La variante Guloader récemment identifiée a été incluse dans un fichier compressé RAR (Roshal Archive Compressé).Lorsqu'un utilisateur exécute Guloader, il télécharge finalement des souches de logiciels malveillants connues telles que Remcos, AgentTesla et Vidar.Les produits MDS AHNLAB & # 8217; sont une fonction d'agent de transfert de courrier (MTA) pour bloquer les logiciels malveillants distribués par e-mail.La figure 3 ci-dessous montre la détection des logiciels malveillants Guloader ... AhnLab Security Emergency response Center (ASEC) has identified circumstances of GuLoader being distributed as attachments in emails disguised with tax invoices and shipping statements. The recently identified GuLoader variant was included in a RAR (Roshal Archive Compressed) compressed file. When a user executes GuLoader, it ultimately downloads known malware strains such as Remcos, AgentTesla, and Vidar. AhnLab’s MDS products provide a Mail Transfer Agent (MTA) feature to block malware distributed via email. Figure 3 below shows the GuLoader malware detection...	Malware		★★
	2023-08-10 00:00:00	V3 détecte et bloque l'injection de ransomware de magnéte (détection directe du système) V3 Detects and Blocks Magniber Ransomware Injection (Direct Syscall Detection) (lien direct)	Le ransomware de magnétique est systématiquement distribué à des volumes élevés.Il a été distribué par la vulnérabilité IE (Internet Explorer) pour les dernières années, mais a cessé d'exploiter la vulnérabilité après la fin du support pour le navigateur.Récemment, le ransomware est distribué avec des noms de fichiers déguisés en package de mise à jour de sécurité Windows (par exemple, error.center.security.msi) dans les navigateurs Edge et Chrome.Magnber en ce moment injecte actuellement le ransomware dans un processus en cours d'exécution, le fait que ce processus cause des dommages en cryptant les fichiers de l'utilisateur \\.Ce message ... The Magniber ransomware is consistently being distributed at high volumes. It has been distributed through the IE (Internet Explorer) vulnerability for the past few years but stopped exploiting the vulnerability after the support for the browser ended. Recently, the ransomware is distributed with filenames disguised as a Windows security update package (e.g. ERROR.Center.Security.msi) in Edge and Chrome browsers. Magniber at the moment injects the ransomware into a running process, having this process cause damage by encrypting the user\'s files. This post...	Ransomware Vulnerability		★★
	2023-08-09 23:00:00	Modifications détectées dans la distribution de logiciels malveillants CHM Changes Detected in CHM Malware Distribution (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert un type de logiciel malveillant CHM usurpant des instituts financiers coréens et une assurance coréens et une assuranceentreprises.Récemment, la méthode d'exécution de ce type de logiciel malveillant a changé chaque semaine.Ce message couvrira la façon dont les processus d'exécution modifiés des logiciels malveillants CHM sont enregistrés dans les produits EDR AHNLAB & # 8217;La figure 1 montre le diagramme de détection des produits EDR sur la méthode d'exécution des instituts financiers et des compagnies d'assurance CHM.Le diagramme de la distribution initiale ... AhnLab Security Emergency response Center (ASEC) has previously covered a CHM malware type impersonating Korean financial institutes and insurance companies. Recently, the execution method of this malware type has been changing every week. This post will cover how the changed execution processes of the CHM malware are recorded in AhnLab’s EDR products. Figure 1 shows the detection diagram in EDR products on the execution method of the CHM malware impersonating financial institutes and insurance companies. The diagram for the initial distribution...	Malware		★★
	2023-08-09 01:00:00	Malware déguisé en fichier d'installation normal d'une société de développement coréenne & # 8211;Détection EDR Malware Disguised as Normal Installation File of a Korean Development Company – EDR Detection (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert le malware généré par le fichier d'installation deUne entreprise de développement de programmes coréens.Lorsque les logiciels malveillants sont distribués aux côtés d'un fichier d'installation, les utilisateurs auront du mal à remarquer que les logiciels malveillants sont exécutés simultanément.De plus, en raison de sa caractéristique de fonctionner dans un format sans fichier en étant injecté dans un programme normal, les produits anti-malware basés sur la signature ont du mal à détecter de tels logiciels malveillants.Cependant, la détection des points de terminaison & # 38;Réponse (EDR), qui enregistre et ... AhnLab Security Emergency response Center (ASEC) has previously covered the malware that is generated by the installation file of a Korean program development company. When malware is distributed alongside an installation file, users will struggle to notice that malware is being executed concurrently. Additionally, due to its characteristic of operating in a fileless format by being injected into a normal program, signature-based anti-malware products find it difficult to detect such malware. However, Endpoint Detection & Response (EDR), which records and...	Malware		★★★
	2023-08-09 00:00:00	Distribution de logiciels malveillants déguisés en pièces de monnaie et contenu lié à l'investissement Distribution of Malware Disguised as Coin and Investment-related Content (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé la distribution des logiciels malveillants déguisés avec des échanges de pièces et des investissements-Rubriques connexes.Le malware est distribué sous la forme d'un fichier exécutable et d'un fichier Word.Sur la base du nom d'agent utilisateur utilisé dans les logiciels malveillants, il est soupçonné qu'il a été créé par le groupe Kimsuky.Les noms de fichiers confirmés sont les suivants: Date Nom de fichier 07.17 20230717_030190045911.pdf .exe 07.28 0728-we Portefeuille Retrait automatique de fonds.docx.exe (supposée) 07.28 230728 WE Équipe & # 8211;Piratage de portefeuille similitudes.docx.exe ... AhnLab Security Emergency response Center (ASEC) has recently confirmed the distribution of malware disguised with coin exchange and investment-related topics. The malware is being distributed in the form of an executable and a Word file. Based on the User-Agent name used in the malware, it is suspected that it was created by the Kimsuky group. The confirmed filenames are as follows: Date Filename 07.17 20230717_030190045911.pdf .exe 07.28 0728-WeWallet Automatic Withdrawal of Funds.docx.exe (assumed) 07.28 230728 WeTeam – Wallet Hacking Similarities.docx.exe...	Malware		★★★
	2023-08-03 00:00:00	Reptile malware ciblant les systèmes Linux Reptile Malware Targeting Linux Systems (lien direct)	Reptile est un module de noyau ouvert RootKit qui cible les systèmes Linux et est accessible au public sur GitHub.[1] Les rootkits sont des logiciels malveillants qui possèdent la capacité de cacher eux-mêmes ou d'autres logiciels malveillants.Ils ciblent principalement les fichiers, les processus et les communications réseau pour leur dissimulation.Les capacités de dissimulation des reptiles incluent non seulement son propre module de noyau, mais aussi les fichiers, les répertoires, les contenus de fichiers, les processus et le trafic réseau.Contrairement à d'autres logiciels malveillants Rootkit qui ne fournissent généralement que des capacités de dissimulation, Reptile va plus loin en offrant un revers ... Reptile is an open-source kernel module rootkit that targets Linux systems and is publicly available on GitHub. [1] Rootkits are malware that possess the capability to conceal themselves or other malware. They primarily target files, processes, and network communications for their concealment. Reptile’s concealment capabilities include not only its own kernel module but also files, directories, file contents, processes, and network traffic. Unlike other rootkit malware that typically only provide concealment capabilities, Reptile goes a step further by offering a reverse...	Malware		★★
	2023-08-01 00:00:00	Sliver C2 distribué par le biais de la société de développement de programmes coréens Sliver C2 Being Distributed Through Korean Program Development Company (lien direct)	Dans le passé, le centre d'intervention d'urgence de sécurité Ahnlab (ASEC) avait partagé le & # 8220; Sparkrat étantDistribué au sein d'un installateur VPN coréen & # 8221;[1] Post de cas et & # 8220; Analyse des cas d'attaque: des installations de VPN coréenes aux infections à meshagents & # 8221;[2] Post de cas qui couvrait le logiciel malveillant Sparkrat distribué via un installateur de services VPN coréen.L'ASEC a récemment identifié des souches de logiciels malveillants similaires distribuées tout en étant déguisées en fichiers de configuration pour les fournisseurs de services VPN coréens et les producteurs de programmes de marketing.Contrairement au passé ... In the past, AhnLab Security Emergency response Center (ASEC) had shared the “SparkRAT Being Distributed Within a Korean VPN Installer” [1] case post and the “Analysis of Attack Cases: From Korean VPN Installations to MeshAgent Infections” [2] case post which covered the SparkRAT malware being distributed through a Korean VPN service provider’s installer. ASEC has recently identified similar malware strains being distributed while being disguised as setup files for Korean VPN service providers and marketing program producers. Unlike the past...	Malware		★★
	2023-07-27 23:30:00	InfostEaler distribué via des fichiers CHM Infostealer Distributed via CHM Files (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a précédemment couvert les souches de logiciels malveillants CHM usurpulsant les sociétés de sécurité et les établissements financiers (ASEC).Ce poste couvrira les souches de CHM récemment identifiées imitantes d'instituts financiers coréens et les compagnies d'assurance, car elles ont été jugées distribuées pour voler des informations.La distribution s'est produite le 17 (lundi), lorsque des déclarations sont régulièrement envoyées aux utilisateurs dont le calendrier de paiement aux instituts financiers tombe sur le 25 de chaque mois.Il est certainement possible pour ceux qui ont le même calendrier pour ... AhnLab Security Emergency response Center (ASEC) previously covered CHM-type malware strains impersonating security companies and financial institutes. This post will cover recently identified CHM strains impersonating Korean financial institutes and insurance companies as they were found being distributed to steal information. The distribution occurred on the 17th (Monday), when statements are regularly sent to users whose payment schedule to financial institutes falls on the 25th of each month. It is certainly possible for those who have the same schedule to...	Malware		★★

Last update at: 2024-06-16 03:10:32
See our sources.

To see everything: Our RSS (filtrered)