What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-09 16:44:05 | The Darkgate Menace: Tireing AutoHotKey et tenter d'échapper à SmartScreen The DarkGate Menace: Leveraging Autohotkey & Attempt to Evade Smartscreen (lien direct) |
## Instantané Des chercheurs de McAfee Labs ont découvert une nouvelle chaîne d'infection associée aux logiciels malveillants de Darkgate. Voir la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Darkgate est un cheval de Troie (RAT) à l'accès à distance, commercialisé comme une offre de logiciels malveillants en tant que service (MAAS) sur un forum de cybercriminalité en russe depuis au moins 2018. Le logiciel malveillant possède un éventail de fonctionnalités, telles que l'injection de processus, les fichiersTéléchargez et exécution, vol de données, exécution de la commande shell, capacités de keylogging, entre autres.Darkgate intègre de nombreuses tactiques d'évasion pour contourner la détection, notamment CIrcuvent Microsoft Defender SmartScreen ([CVE-2023-36025] (https://sip.security.microsoft.com/intel-profiles/cve-2023-36025)), Probandant Microsoft T To Libérez par la suite un correctif pour aborder cette vulnérabilité. McAffee Labs a découvert une nouvelle chaîne d'infection associée à Darkgate qui a deux vecteurs initiaux distincts qui transportent une coquille et une charge utile Darkgate identiques.Le premier vecteur provient d'un fichier HTML, tandis que le second commence par un fichier XLS.Lors de l'interaction avec l'un ou l'autre de ces fichiers, un fichier VBScript est exécuté.Exploitant CVE-2023-36025, les attaquants échappent aux invites de protection à écran intelligent à l'aide d'un fichier de raccourci Windows (.url) incorporant un fichier de script dans le cadre de la charge utile malveillante.Le fichier VBScript abandonne un fichier à un emplacement spécifié, conduisant à une séquence de commandes qui télécharge et exécutent finalement du contenu malveillant, y compris un fichier exécutable compilé de Delphi constituant la charge utile finale de Darkgate.Cette charge utile s'engage dans l'activité réseau sur un site C2 à des fins d'exfiltration, tout en maintenant la persistance via un fichier .lnk abandonné dans le dossier de démarrage, garantissant l'exécution des fichiers AutoHotKey et Shellcode pour une activité malveillante continue. ## Analyse Microsoft Parmi les groupes d'activités de menace, les chercheurs que Microsoft ont observé le déploiement de Darkgate figurent [Storm-0464] (https://sip.security.microsoft.com/intel-profiles/181dce10854e61400e7d65ccee41b995bfb8a429ef8de83ad73f1f1f groupe bercriminal qui a pivoté pour commencer à distribuerDarkgate en septembre 2023 après l'opération de perturbation de Qakbot en août 2023;[Storm-1674] (https://sip.security.microsoft.com/intel-profiles/1e4aed47c8ac0f360c4786d16420dadf2fff4f3b32c217a329edb43c7859e451) ;et [Storm-1607] (https://sip.security.microsoft.com/intel-profiles/27d533252dc97a2be141e1795892f05e3ae95292f1d4bb6cae3b3d5bd6e62911) (Dev-1607), a 3 et a été observé en exploitant CVE-2023-36025 pour livrer le malware. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Darkgate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/darkgate) - [Trojan: win64 / darkgate] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encYClopedia-Description? Name = Trojan: Win64 / Darkgate! Mtb & menaceID = -2147076814) - [Trojan: VBS / Darkgate] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = Trojan: VBS / Darkgate.ba! MSR & menaceID = -2147075963) - [comportement: win32 / darkgate] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/darkgate.zy& threatId=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité d | Malware Vulnerability Threat Cloud | ||
 |
2024-05-09 16:34:00 | Mirai Botnet exploite Ivanti Connect Secure Flaws pour la livraison de charge utile malveillante Mirai Botnet Exploits Ivanti Connect Secure Flaws for Malicious Payload Delivery (lien direct) |
Deux défauts de sécurité récemment divulgués dans les appareils Ivanti Connect Secure (ICS) sont exploités pour déployer l'infâme & nbsp; Mirai Botnet.
Qui \\ sont selon & nbsp; résultats & nbsp; de Juniper Threat Labs, qui indiquaient les vulnérabilités & nbsp; CVE-2023-46805 et CVE-2024-21887 & nbsp; ont été exploitées pour livrer la charge électrique de Botnet.
Alors que le CVE-2023-46805 est un défaut de dérivation d'authentification,
Two recently disclosed security flaws in Ivanti Connect Secure (ICS) devices are being exploited to deploy the infamous Mirai botnet. That\'s according to findings from Juniper Threat Labs, which said the vulnerabilities CVE-2023-46805 and CVE-2024-21887 have been leveraged to deliver the botnet payload. While CVE-2023-46805 is an authentication bypass flaw, |
Threat | ||
|
2024-05-09 16:11:06 | Mises à jour de Hijackloader HijackLoader Updates (lien direct) |
## Instantané
Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Hijackloader, un chargeur de logiciels malveillants et ses nouvelles tactiques d'évasion.
## Description
Hijackloader, également connu sous le nom de chargeur IDAT, a émergé en 2023 comme un chargeur de logiciels malveillants équipé de modules polyvalents pour l'injection et l'exécution de code.Hijackloader a une architecture modulaire, un attribut qui le distingue des chargeurs typiques.
Les chercheurs de ZSCaler ont analysé une nouvelle variante Hijackloader qui présente des techniques d'évasion améliorées.Ces améliorations visent à aider à la furtivité du malware, prolongeant sa capacité à échapper à la détection.La dernière version de Hijackloader introduit des modules pour contourner Windows Defender Antivirus, Courtmvant User Compte Control (UAC), EVADER LE HOCKING API COMMENT utilisé par des outils de sécurité et utiliser des creux de processus.
Le mécanisme de livraison de Hijackloader \\ implique l'utilisation d'une image PNG, décryptée et analysée pour charger l'étape suivante de l'attaque.Hijackloader a été observé servant de mécanisme de livraison pour diverses familles de logiciels malveillants, notamment Amadey, [Lumma Stealer] (https: //sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer V2 et Remcos Rat.
## Détections
Microsoft Defender ANtivirus détecte les composants de menace comme le malware suivant:
- [Trojan: Win32 / Hijackloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hijackloader.ahj!mtb& ;heted=-2147058662)
## Les références
[Hijackloader Mises à jour] (https://www.zscaler.com/blogs/security-research/hijackloader-updates).Zscaler (consulté en 2024-05-09)
## Snapshot Researchers at Zscaler have published a report about the evolution of HijackLoader, a malware loader, and its new evasion tactics. ## Description HijackLoader, also known as IDAT Loader, emerged in 2023 as a malware loader equipped with versatile modules for injecting and executing code. HijackLoader has modular architecture, an attribute that sets it apart from typical loaders. Zscaler researchers analyzed a new HijackLoader variant that features upgraded evasion techniques. These enhancements aim to aid in the malware\'s stealth, prolonging its ability to evade detection. The latest version of HijackLoader introduces modules to bypass Windows Defender Antivirus, circumvent User Account Control (UAC), evade inline API hooking commonly used by security tools, and utilize process hollowing. HijackLoader\'s delivery mechanism involves utilizing a PNG image, decrypted and parsed to load the subsequent stage of the attack. HijackLoader has been observed serving as a delivery mechinism for various malware families, including Amadey, [Lumma Stealer](https://sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer v2, and Remcos RAT. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/HijackLoader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/HijackLoader.AHJ!MTB&threatId=-2147058662) ## References [HijackLoader Updates](https://www.zscaler.com/blogs/security-research/hijackloader-updates). Zscaler (accessed 2024-05-09) |
Malware Tool Threat | ||
 |
2024-05-09 13:00:21 | Avril 2024 \\'s le plus recherché des logiciels malveillants: surtension dans les attaques AndroxGH0st et la baisse de Lockbit3 April 2024\\'s Most Wanted Malware: Surge in Androxgh0st Attacks and the Decline of LockBit3 (lien direct) |
> Les chercheurs ont récemment identifié un pic dans les attaques AndroxGH0st, un Troie qui cible les plates-formes Windows, Mac et Linux, qui l'ont vu sauter directement à la deuxième place de la liste des logiciels malveillants.Pendant ce temps, Lockbit3 reste étroitement le premier groupe de ransomwares, malgré une réduction de sa prévalence, notre dernier indice de menace mondial pour avril 2024 SAW, les chercheurs ont révélé une augmentation significative de l'utilisation des attaques AndroxGH0st, le malware étant utilisé comme un outil pour voler des informations sensibles à l'aidebotnets.Parallèlement, Lockbit3 est resté le groupe de ransomware le plus répandu en avril, malgré une baisse de 55% de son taux de détection depuis le début [& # 8230;]
>Researchers recently identified a spike in Androxgh0st attacks, a Trojan that targets Windows, Mac and Linux platforms, which saw it jump straight into second place in the top malware list. Meanwhile, LockBit3 narrowly remains the top ransomware group, despite a reduction in its prevalence Our latest Global Threat Index for April 2024 saw researchers revealed a significant increase in the use of Androxgh0st attacks, with the malware being used as a tool for stealing sensitive information using botnets. Meanwhile, LockBit3 remained the most prevalent ransomware group in April, despite a 55% drop in its rate of detection since the beginning […] |
Ransomware Malware Tool Threat | ||
 |
2024-05-09 11:58:39 | SecureWorks & Reg;annoncé la sortie de SecureWorks Taegis ™ NDR Secureworks® announced the release of Secureworks Taegis™ NDR (lien direct) |
SecureWorks apporte la prévention et la détection des menaces alimentées par AI au réseau avec Taegis NDR
La nouvelle solution permet aux organisations d'intégrer leur réseau à tous les contrôles de sécurité pour atténuer les risques
-
revues de produits
Secureworks Brings AI-Powered Threat Prevention and Detection To The Network With Taegis NDR New solution empowers organizations to integrate their network with all security controls to mitigate risk - Product Reviews |
Threat | ||
|
2024-05-09 11:41:00 | Les vulnérabilités critiques de F5 Central Manager permettent de permettre une prise de contrôle complète des appareils Critical F5 Central Manager Vulnerabilities Allow Enable Full Device Takeover (lien direct) |
Deux vulnérabilités de sécurité ont été découvertes dans F5 Next Central Manager qui pourraient être exploitées par un acteur de menace pour prendre le contrôle des appareils et créer des comptes d'administrateur voyou cachées pour la persistance.
Les défauts exploitables à distance "peuvent donner aux attaquants un contrôle administratif complet de l'appareil, et permettent par la suite aux attaquants de créer des comptes sur les actifs F5 gérés par le suivant
Two security vulnerabilities have been discovered in F5 Next Central Manager that could be exploited by a threat actor to seize control of the devices and create hidden rogue administrator accounts for persistence. The remotely exploitable flaws "can give attackers full administrative control of the device, and subsequently allow attackers to create accounts on any F5 assets managed by the Next |
Vulnerability Threat | ||
 |
2024-05-09 11:21:59 | Dell met en garde contre la violation des données, 49 millions de clients auraient été touchés Dell warns of data breach, 49 million customers allegedly affected (lien direct) |
Dell avertit les clients d'une violation de données après qu'un acteur de menace a affirmé avoir volé des informations pour environ 49 millions de clients.[...]
Dell is warning customers of a data breach after a threat actor claimed to have stolen information for approximately 49 million customers. [...] |
Data Breach Threat | ||
 |
2024-05-09 11:15:55 | Cyolo, partenaire Dragos pour dévoiler l'offre d'accès à distance sécurisé holistique pour les infrastructures critiques Cyolo, Dragos partner to unveil holistic secure remote access offering for critical infrastructure (lien direct) |
> Cyolo a annoncé un partenariat avec des dragos qui combine la visibilité et la détection de la menace OT avec un accès à distance sécurisé, la restauration ...
>Cyolo announced a partnership with Dragos that combines OT threat visibility and detection with secure remote access, catering... |
Threat Industrial | ||
|
2024-05-09 11:09:44 | Nozomi, Mandiant étend une alliance pour stimuler la détection et la réponse des menaces pour l'infrastructure critique mondiale Nozomi, Mandiant extend alliance to boost threat detection and response for global critical infrastructure (lien direct) |
Nozomi Networks et Mandiant, qui fait partie de Google Cloud, a annoncé mercredi qu'ils avaient élargi leur partenariat mondial à ...
Nozomi Networks and Mandiant, part of Google Cloud, announced Wednesday that they have expanded their global partnership to... |
Threat Cloud | ||
|
2024-05-09 07:50:58 | Dernier groupe de sécurité VIPRE Tendances de menace des e-mails expose le paysage mondial de la menace de phishing et de logiciels malveillants Latest VIPRE Security Group Email Threat Trends Research Exposes Global Phishing and Malware Threat Landscape (lien direct) |
Les dernières tendances des tendances de la menace par e-mail du groupe de sécurité vipre expose le paysage mondial de phishing et de logiciels malveillants
Les États-Unis, le Royaume-Uni, l'Irlande et le Japon émergent comme la principale source de spam;Les secteurs de la fabrication, du gouvernement et des informations sont les plus victimes;Pikabot Top Malware Family
-
rapports spéciaux
Latest VIPRE Security Group Email Threat Trends Research Exposes Global Phishing and Malware Threat Landscape The US, UK, Ireland, and Japan emerge as the main source of spam; manufacturing, government, and IT sectors are most victimised; Pikabot top malware family - Special Reports |
Spam Malware Threat | ||
 |
2024-05-09 06:00:11 | Ummasking Tycoon 2FA: Un kit de phishing furtif utilisé pour contourner Microsoft 365 et Google MFA Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA (lien direct) |
Tycoon 2FA is a phishing-as-a-service (PhaaS) platform that was first seen in August 2023. Like many phish kits, it bypasses multifactor authentication (MFA) protections and poses a significant threat to users. Lately, Tycoon 2FA has been grabbing headlines because of its role in ongoing campaigns designed to target Microsoft 365 and Gmail accounts. This blog post is a rundown of how these attacks work, how they\'re evolving, what they look like in the real world-and how Proofpoint can help. How it works Tycoon 2FA operates as an adversary-in-the-middle (AitM) phishing kit. Its primary function is to harvest Microsoft 365 and Gmail session cookies. Attackers use these cookies to circumvent MFA access controls during subsequent authentication. That allows them to gain unauthorized access to a user\'s accounts, systems and cloud services-even those that have additional security measures in place. What\'s new In March 2024, the group behind Tycoon 2FA released an updated version of the kit. This new version boasts enhanced detection evasion capabilities that make it even harder for security systems to identify and block the kit. Significant alterations to the kit\'s JavaScript and HTML code have been implemented to increase its stealthiness and effectiveness. These changes include: Obfuscation techniques that scramble the code, making it difficult to understand Dynamic code generation that alters the code each time it runs, thereby enabling it to evade signature-based detection systems Where to find it The group behind Tycoon 2FA sells ready-to-use phishing pages for Microsoft 365 and Gmail via Telegram, a malicious cloud-based encrypted messaging service. Prices start at $120 for 10 days of access to the service, with variations based on top-level domains (TLDs). This business model broadens the potential pool of attackers because it allows less technically skilled bad actors to launch sophisticated phishing attacks. What an attack looks like Tycoon 2FA relies on attacker-controlled infrastructure to host the phishing webpage. Through the use of a “reverse proxy,” the platform allows the interception of victims\' entered credentials. The credentials are then relayed to the legitimate service for a transparent, successful login, prompting MFA requests. The resulting session cookies are relayed back to the threat actors. The stolen session credentials allow the attackers to bypass a company\'s MFA protection if they remain active. This gives them unauthorized access to the user\'s account. Real-world examples Since December 2023, Proofpoint has observed phishing landing pages that use Tycoon 2FA to facilitate MFA token theft and bypass. Proofpoint TAP Dashboard campaign snapshot from December campaigns. A forensics snapshot that showcases our Emerging Threats rules, which detect the Tycoon 2FA landing pages. QR code and voicemail lure examples for the Tycoon 2FA threats that were seen in late 2023. In the next steps of the attack chain, the user is directed to a CAPTCHA landing page and then to a final landing page that the attackers use to harvest credentials. Proofpoint PTIS portal Threat Tippers around Tycoon 2FA phish threats that were curated for security awareness and training teams and end users. A PSAT portal snapshot that showcases Threat Alerts around Tycoon 2FA phish threats (bonus-themed and WordPress lures). The lures the attackers use include the following. Malicious links in emails to fake authentication landing pages Voicemail-themed threats Attached PDFs with QR codes that lead to phishing landing pages These lures are designed to trick users into providing their login credentials and sensitive information. In the threats Proofpoint has seen, lure themes have frequently been related to company bonuses, payroll increases and bogus WordPress updates. However, it is impor | Tool Threat Prediction Cloud | ||
|
2024-05-09 00:49:06 | Les pirates abusent des annonces de recherche Google pour livrer des logiciels malveillants pleins de MSI Hackers Abuse Google Search Ads to Deliver MSI-Packed Malware (lien direct) |
## Instantané Les chercheurs en sécurité ont identifié une nouvelle campagne dans laquelle les pirates exploitent des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI (Microsoft Installer).Cette campagne, impliquant le chargeur de logiciels malveillants connue sous le nom de FakeBat, cible les utilisateurs sans méfiance en se faisant passer pour des téléchargements de logiciels légitimes. ## Description L'attaque commence par une annonce de recherche Google qui semble légitime, en utilisant l'adresse du site Web réel des logiciels populaires comme la notion.Cependant, l'annonce est une façade, achetée par des acteurs de la menace qui ont toujours utilisé des identités liées au Kazakhstan.Cliquez sur les redirections publicitaires vers un site d'apparence hébergé chez Notilion \ [. \] Co.Le site incite les utilisateurs à télécharger ce qui semble être un programme d'installation de logiciel standard au format MSIX, signé sous le nom apparemment crédible «Forth View Designs Ltd.» Lors de l'exécution du programme d'installation MSIX, un script PowerShell caché est activé.Les commandes PowerShell exécutées au cours de ce processus sont conçues pour contourner les mesures de sécurité locales et injecter les logiciels malveillants Zgrat directement dans les processus système, prenant efficacement le contrôle de la machine infectée.La campagne utilise un service Click Tracker pour gérer l'efficacité de l'annonce et filtrer le trafic indésirable.Cette étape implique un domaine intermédiaire qui sépare l'URL malveillante de la publicité Google, améliorant la furtivité de l'attaque.Une fois les logiciels malveillants installés, le script PowerShell atteint le serveur FakeBat C2, qui dicte les actions suivantes, y compris la livraison de la charge utile Zgrat.Cet incident met en évidence les risques en cours associés à la malvertisation et à la sophistication des cyber-menaces modernes. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT ces derniers mois avec des nombres d'incidences et des acteurs de menace utilisant des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Microsoft a suivi les tendances à travers des incidents et des observations de malvertising récents de toute la communauté de la sécurité.Ces tendances incluent la diversification des charges utiles, l'émergence des logiciels malveillants MSIX et l'amélioration du clochard et de l'évasion. En savoir plus sur [les tendances récentes de l'osint en malvertising] (https://sip.security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement l'installateur d'application] (https: //security.microsoft.com/intel-explorer/articles/74368091). Les groupes de cybercrimins sont probablement à l'origine de la majorité des activités de malvertisation, à en juger par un examen des rapports open-source.Dans l'économie souterraine, les forums criminels et les marchés facilitent l'échange de services et d'outils adaptés à la malvertisation.Cet écosystème rend ces tactiques accessibles et rentables pour un large éventail de cybercriminels. Les acteurs de la menace active dans ce domaine incluent les acteurs que Microsoft suit comme [Storm-0569] (https://security.microsoft.com/Thereatanalytics3/6d557f37-0952-4a05-bdc5-d40d6742fbaf/analystreport) et [Storm-1113] (HTTPS: //sip.security.microsoft.com/intel-profiles/4847b8382f24f3cd10d4cf3acdda5c59d5c48df64b042590436be6e92e1b232f). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme suitmalware: *** Fakebat / Eugenloader *** - [Trojandownloader: PowerShell / EugenLoader] (https://www.microsoft.com/en-us/wdsi/atherets/malwarE-SencyClopedia-Description? Name = Trojandownloader: PowerShell / Eugenloader.a & menaceID = -214706790) - [Trojan: Win32 / EugenlOader] | Ransomware Malware Tool Threat Prediction Cloud | ||
 |
2024-05-08 23:00:00 | Opérations du centre de données: les systèmes de refroidissement sont des cibles possibles pour les perturbations opérationnelles Data Centre Operations: Cooling Systems Are Possible Targets for Operational Disruption (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post opérations du centre de données: les systèmes de refroidissement sontDes objectifs possibles pour la perturbation opérationnelle sont apparus pour la première fois sur dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Data Centre Operations: Cooling Systems Are Possible Targets for Operational Disruption first appeared on Dragos. |
Threat Industrial | ||
|
2024-05-08 21:28:20 | Sentinelone a lancé la sécurité native du cloud Singularity ™ SentinelOne launched Singularity™ Cloud Native Security (lien direct) |
Sentinelone & Reg;Redéfinit la sécurité du cloud
L'entreprise lance le CNApp révolutionnaire avec un moteur de sécurité offensif ™ unique qui pense comme un pirate pour aller au-delà du théorique et livrer Exploit Paths ™
-
revues de produits
SentinelOne® Redefines Cloud Security Company launches revolutionary CNAPP with unique Offensive Security Engine™ that thinks like a hacker to move beyond the theoretical and deliver Verified Exploit Paths™ - Product Reviews |
Threat Cloud | ||
|
2024-05-08 19:42:50 | Les pirates exploitent activement les vulnérabilités d'Ivanti Pulse Secure Hackers Actively Exploiting Ivanti Pulse Secure Vulnerabilities (lien direct) |
## Instantané
Juniper Threat Labs a rapporté que les attaquants exploitent activement les vulnérabilités dans les appareils VPN Secure Ivanti Secure.
** En savoir plus sur la couverture de Microsoft \\ de [CVE-2023-46805 et CVE-2024-21887 ici.] (Https://sip.security.microsoft.com/intel-profiles/cve-2023-46805)**
## Description
Les vulnérabilités, identifiées comme CVE-2023-46805 et CVE-2024-21887, ont été exploitées pour livrer le botnet Mirai, entre autres logiciels malveillants, constituant une menace importante pour la sécurité du réseau dans le monde entier.
Le CVE-2023-46805 est un défaut de sécurité critique affectant Ivanti Connect Secure (ICS) et Ivanti Policy Secure Gateways.Cette vulnérabilité permet aux attaquants distants de contourner les mécanismes d'authentification et de gagner un accès non autorisé aux ressources restreintes.La deuxième vulnérabilité, CVE-2024-21887, est une faille d'injection de commande trouvée dans les composants Web d'Ivanti Connect Secure et Ivanti Policy Secure.Cette vulnérabilité permet aux attaquants d'envoyer des demandes spécialement conçues pour exécuter des commandes arbitraires sur l'appliance.Les attaquants ont utilisé ces vulnérabilités pour livrer des charges utiles Mirai via des scripts Shell.
Les organisations utilisant des appareils électroménagers Ivanti Pulse Secure sont invités à appliquer immédiatement les correctifs fournis et à examiner leur posture de sécurité pour se protéger contre ces vulnérabilités et futures.
## Recommandations
Au 31 janvier, 2024 Ivanti a publié des correctifs via le portail de téléchargement standard pour Ivanti Connect Secure (versions 9.1r14.4, 9.1r17.2, 9.18.3, 22.4r2.2 et 22.5r1.1) et ZTA version 22.6R1.3.Suivez le Guide [du vendeur \\ »(https://forums.ivanti.com/s/article/how-to-the-complete-upgrade-guide) pour passer à une version corrigée.
## Les références
"[Les pirates exploitent activement les vulnérabilités d'Ivanti Pulse Secure] (https://gbhackers.com/hackers-activetive-exploiting/)" gbhackers.(Consulté en 2024-05-08)
## Snapshot Juniper Threat Labs has reported that attackers are actively exploiting vulnerabilities in Ivanti Pulse Secure VPN appliances. **Read more about Microsoft\'s coverage of [CVE-2023-46805 and CVE-2024-21887 here.](https://sip.security.microsoft.com/intel-profiles/cve-2023-46805)** ## Description The vulnerabilities, identified as CVE-2023-46805 and CVE-2024-21887, have been exploited to deliver the Mirai botnet, among other malware, posing a significant threat to network security worldwide. CVE-2023-46805 is a critical security flaw affecting Ivanti Connect Secure (ICS) and Ivanti Policy Secure gateways. This vulnerability allows remote attackers to bypass authentication mechanisms and gain unauthorized access to restricted resources. The second vulnerability, CVE-2024-21887, is a command injection flaw found in the web components of Ivanti Connect Secure and Ivanti Policy Secure. This vulnerability allows attackers to send specially crafted requests to execute arbitrary commands on the appliance. Attackers have used these vulnerabilities to deliver Mirai payloads through shell scripts. Organizations using Ivanti Pulse Secure appliances are urged to apply the provided patches immediately and review their security posture to protect against these and future vulnerabilities. ## Recommendations As of January 31, 2024 Ivanti has released patches via the standard download portal for Ivanti Connect Secure (versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1) and ZTA version 22.6R1.3. Follow the [vendor\'s guide](https://forums.ivanti.com/s/article/How-to-The-Complete-Upgrade-Guide) to upgrade to a patched version. ## References "[Hackers Actively Exploiting Ivanti Pulse Secure Vulnerabilities](https://gbhackers.com/hackers-actively-exploiting/)" GBHackers. (Accessed 2024-05-08) |
Malware Vulnerability Threat | ★★★ | |
|
2024-05-08 19:30:25 | Zscaler prend "Environnement de test" hors ligne après les rumeurs d'une violation Zscaler takes "test environment" offline after rumors of a breach (lien direct) |
Zscaler dit avoir découvert un "environnement de test" exposé qui a été mis hors ligne pour analyse après que les rumeurs ont circulé selon laquelle un acteur de menace vendait un accès aux systèmes de la société.[...]
Zscaler says that they discovered an exposed "test environment" that was taken offline for analysis after rumors circulated that a threat actor was selling access to the company\'s systems. [...] |
Threat | ||
|
2024-05-08 12:33:00 | Les pirates exploitant le bug de cache LiteSpeed pour prendre le contrôle total des sites WordPress Hackers Exploiting LiteSpeed Cache Bug to Gain Full Control of WordPress Sites (lien direct) |
Un défaut à haute sévérité impactant & nbsp; le plugin de cache LiteSpeed pour WordPress & nbsp; est activement exploité par les acteurs de la menace et NBSP; pour créer des comptes d'administration voyous sur des sites Web sensibles.
Le & nbsp; résultats & nbsp; proviennent de WPSCAN, qui indiquait que la vulnérabilité (CVE-2023-40000, CVSS score: 8.3) & nbsp; Has & nbsp; a été levier & nbsp; pour configurer des utilisateurs administratifs de bond avec les noms & nbsp; wpsupp-user & nbsp;
A high-severity flaw impacting the LiteSpeed Cache plugin for WordPress is being actively exploited by threat actors to create rogue admin accounts on susceptible websites. The findings come from WPScan, which said that the vulnerability (CVE-2023-40000, CVSS score: 8.3) has been leveraged to set up bogus admin users with the names wpsupp‑user |
Vulnerability Threat | ★★ | |
 |
2024-05-08 10:00:40 | État des ransomwares en 2024 State of ransomware in 2024 (lien direct) |
À l'approche de la journée anti-ransomware, Kaspersky partage des informations sur le paysage et les tendances des menaces de ransomware en 2023, et les activités anti-ransomwares récentes par les gouvernements et les forces de l'ordre.
As Anti-Ransomware Day approaches, Kaspersky shares insights into the ransomware threat landscape and trends in 2023, and recent anti-ransomware activities by governments and law enforcement. |
Ransomware Threat Legislation | ★★★ | |
|
2024-05-08 06:00:27 | Comment les attaquants utilisent-ils des e-mails usurpés pour détourner vos communications commerciales?4 scénarios de risque How Do Attackers Use Spoofed Email to Hijack Your Business Communications? 4 Risk Scenarios (lien direct) |
When you hear the term “spoofed” email, does business email compromise (BEC) come to mind? It does for many people-especially security leaders. BEC is a form of email fraud, and it has been a top concern for chief information security officers for years. BEC scams are a costly problem. The latest Internet Crime Report from the FBI\'s Internet Crime Complaint Center (IC3) notes that adjusted losses from BEC were $2.9 billion last year. Since 2013, accumulated financial losses due to BEC have reached nearly $53 billion. Spoofing is impersonation, and it is the essence of email fraud. It is also one of the most common techniques used in other types of attacks like phishing and ransomware. Your business, like many, probably focuses on stopping spoofed emails before they can reach employees\' inboxes. However, there is more to worry about. Spoofed email has the potential to damage your brand reputation and jeopardize your business ecosystem, too. In this post, we will explore various impersonation risk scenarios. But first, let\'s look at some common tactics. Impersonation tactics Here are some common methods bad actors use to impersonate others so they can further their attacks. Display name spoofing. The display name appears in the “From:” field of an email. It is the easiest email identifier to manipulate. Attackers forge email headers so that client software displays the fraudulent sender, which most users take at face value. Domain spoofing. Bad actors will use an exact match of an organization\'s domain to launch this type of fraud attack. Attackers who engage in domain spoofing will attempt to imitate the sending server or sending domain. Lookalike domains. Third parties can register lookalike domains and send email that appears to have come from a trusted source. Compromised supplier accounts. In some advanced attacks, attackers will compromise an account from a supplier that works with the business that they want to target. They will use the compromised supplier account to hijack the email communication between their target and its supplier. Eventually, attackers are in a position to launch an attack or solicit fraudulent payment or sensitive data. Attack scenarios Now, let\'s dive into how attackers can use spoofed emails to exploit the trusted relationships you have with your customers, business partners, suppliers and employees. Scenario 1: Impersonate you to target your employees You are probably most familiar with the first scenario, where attackers pretend to be someone within your company, like your CEO or manager. The scam often starts with a simple lure that seems to be a benign message like: How is your day? Are you at your desk? Can you help me with something urgent? Once attackers get a victim to engage, the conversation evolves. The bad actor may request the victim to purchase gift cards for them, proceed with a fraudulent payment, or share confidential data. Not only can attackers impersonate executives, but they can also pretend to be general employees asking human resources to redirect their payrolls. In short, it doesn\'t matter what a victim\'s role is. Anyone can be impersonated to target anyone within an organization. An example of a simple lure where the attacker used display name spoofing to impersonate Ken, the CEO. Another example of a BEC lure where an attacker used a lookalike domain of Watertronics (vs. waltertronics, in the example) to spoof their CEO. Scenario 2: Exploit your suppliers or business partners to target your employees The most common theme in this scenario is supplier invoicing fraud. Bad actors will exploit a company\'s suppliers using tactics such as malicious lookalike domains of suppliers or compromised supplier accounts to either send a fake invoice or request the victim to redirect the payment to a bank account that the attackers control. (Sometimes, we see multiple | Ransomware Malware Tool Threat Cloud | ★★★ | |
 |
2024-05-08 00:59:58 | Cas de distribution de logiciels malveillants liant le site Web de jeu illégal ciblant le serveur Web coréen Case of Malware Distribution Linking to Illegal Gambling Website Targeting Korean Web Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ...
AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as... |
Malware Tool Threat | ★★ | |
|
2024-05-07 18:25:00 | Les pirates liés à la Chine ont utilisé une cote de boutique RootRot dans l'intrusion du réseau mitre China-Linked Hackers Used ROOTROT Webshell in MITRE Network Intrusion (lien direct) |
La Miter Corporation a offert plus de détails sur la cyberattaque récemment divulguée, déclarant que la première preuve de l'intrusion & nbsp; maintenant & nbsp; remonte au 31 décembre 2023.
L'attaque, qui a été révélée le mois dernier, a révélé l'expérimentation, la recherche et l'environnement de la recherche et de la virtualisation en réseau de Mitre \\ grâce à l'exploitation de deux ivanti connectés à l'abri de zéro-jour Secure Zero-Day
The MITRE Corporation has offered more details into the recently disclosed cyber attack, stating that the first evidence of the intrusion now dates back to December 31, 2023. The attack, which came to light last month, singled out MITRE\'s Networked Experimentation, Research, and Virtualization Environment (NERVE) through the exploitation of two Ivanti Connect Secure zero-day |
Vulnerability Threat | ★★ | |
|
2024-05-07 16:42:00 | Dragos s'intègre à SIEM de Next-Gen Falcon de CrowdStrike Falcon pour la détection des menaces dans les réseaux OT Dragos integrates with CrowdStrike Falcon next-gen SIEM for threat detection in OT networks (lien direct) |
> Dragos Inc. a annoncé un partenariat élargi avec CrowdStrike pour intégrer OT Threat Intelligence de la plate-forme Dragos dans ...
>Dragos Inc. announced an expanded partnership with CrowdStrike to integrate OT threat intelligence from the Dragos Platform into... |
Threat Industrial | ★★★ | |
|
2024-05-07 16:32:56 | Le point de contrôle protège les entreprises en accélérant la sécurité des réseaux et de l'infrastructure cloud IA, en collaboration avec NVIDIA Check Point Protects Enterprises by Accelerating Security for Networks and AI Cloud Infrastructure, in Collaboration with NVIDIA (lien direct) |
> Alors que les cybermenaces se développent rapidement, les entreprises peuvent faire confiance à un point de contrôle pour fournir des solutions accélérées de réseau et de cloud, en collaboration avec NVIDIA.En combinant l'expérience de Check Point \\ dans la prévention avancée des menaces avec les plates-formes informatiques accélérées de pointe de Nvidia \\, les entreprises peuvent obtenir la meilleure sécurité sur les réseaux les plus rapides.Vérifier la collaboration pluriannuelle de Point \\ avec NVIDIA s'étend sur trois domaines clés: Premièrement, la sécurisation de l'infrastructure de cloud AI propulsée par les unités de traitement des données Bluefield NVIDIA (DPU) pour aider les entreprises à développer et à déployer des applications généatives d'IA génératives.Deuxièmement, accélérer la sécurité du réseau en tirant parti de la plate-forme de réseautage NVIDIA ConnectX à haute vitesse pour l'inspection du pare-feu.Troisièmement, en utilisant des commutateurs intelligents [& # 8230;]
>As cyber threats expand rapidly, enterprises can trust Check Point to deliver accelerated network and cloud security solutions, in collaboration with NVIDIA. By combining Check Point\'s experience in advanced threat prevention with NVIDIA\'s cutting-edge accelerated computing platforms, enterprises can get the best security on the fastest networks. Check Point\'s multi-year collaboration with NVIDIA spans three key areas: First, securing the AI Cloud infrastructure powered by NVIDIA BlueField data processing units (DPUs) to help enterprises safely develop and deploy generative AI applications. Second, accelerating network security by leveraging the high-speed NVIDIA ConnectX networking platform for firewall inspection. Third, using intelligent switches […] |
Threat Cloud | ★★★ | |
|
2024-05-07 16:30:00 | Cloudflare, Inc. annonce Cloudflare for Unified Risk Posture (lien direct) | Cloudflare annonce une suite de solutions pour une gestion complète, continue et gratuite des risques à grande échelle Une suite de fonctionnalités avancées de gestion des risques permet l'identification en toute transparence et l'atténuation des menaces sur l'ensemble des applications, qu'elles résultent d'une perte de données, d'une exposition ou d'une erreur humaine - Produits | Threat | ★★ | |
 |
2024-05-07 16:22:00 | #RSAC: log4j toujours parmi les meilleurs vulnérabilités exploitées, Cato trouve #RSAC: Log4J Still Among Top Exploited Vulnerabilities, Cato Finds (lien direct) |
Un nouveau rapport de Cato Networks a révélé que l'exploitation de vieilles vulnérabilités dans les systèmes non corrigées est l'un des acteurs de la menace \\ 'Vectors d'accès préféré
A new report by Cato Networks found that exploiting old vulnerabilities in unpatched systems is one of threat actors\' favorite initial access vectors |
Vulnerability Threat | ★★★ | |
|
2024-05-07 16:10:43 | Docontrol introduit la détection et la réponse des menaces d'identité DoControl introduces Identity Threat Detection and Response (lien direct) |
DoControl dévoile les nouveaux produits innovations: détection et réponse des menaces d'identité (ITDR) et la gestion des erreurs de conformité SaaS
Avec ces deux capacités révolutionnaires, Docontrol fournit une solution de gestion de la posture de sécurité SaaS holistique, de sauvegarde des données SaaS, des identités, des applications connectées et des configurations pour atténuer l'exposition aux données sensibles et les menaces d'initiés de combat
-
revues de produits
DoControl Unveils New Product Innovations: Identity Threat Detection and Response (ITDR) and SaaS Misconfigurations Management With these two groundbreaking capabilities, DoControl delivers a holistic SaaS Security Posture Management solution, safeguarding SaaS data, identities, connected apps, and configurations to mitigate sensitive data exposure and combat insider threats - Product Reviews |
Threat Cloud | ★★ | |
|
2024-05-07 15:41:53 | Le Royaume-Uni confirme les données de paie du ministère de la Défense exposées dans la violation de données UK confirms Ministry of Defence payroll data exposed in data breach (lien direct) |
Le gouvernement britannique a confirmé aujourd'hui qu'un acteur de menace avait récemment violé le ministère de la Défense du pays et a eu accès à une partie du réseau de paiement des forces armées.[...]
The UK Government confirmed today that a threat actor recently breached the country\'s Ministry of Defence and gained access to part of the Armed Forces payment network. [...] |
Data Breach Threat | ★★ | |
 |
2024-05-07 15:27:13 | Cybearon annonce la disponibilité de la défense des menaces mobiles de la cyberréasie en réponse à une augmentation des attaques sophistiquées d'appareils mobiles Cybereason Announces the Availability of Cybereason Mobile Threat Defence in Response to Increases in Sophisticated Mobile Device Attacks (lien direct) |
Cybearason a annoncé la disponibilité de la défense des menaces mobiles de la cyberréasie, propulsée par Zimperium.Avec la croissance explosive des appareils mobiles et des applications, une surface d'attaque en constante évolution.La recherche montre que 60% des paramètres accédant aux actifs d'entreprise se déroulent via des appareils mobiles, donc les menaces pour la surface d'attaque sont ralentis.Comme nous le voyons, la croissance continue vers [& # 8230;]
Le message Cyberison annonce la disponibilité de la défense de la menace mobile cyberéaison en réponse à l'augmentation des attaques sophistiquées d'appareils mobiles est apparu pour la première fois sur gourou de la sécurité informatique .
Cybereason has announced the availability of Cybereason Mobile Threat Defence, Powered by Zimperium. With the explosive growth in mobile devices and apps comes an ever-evolving attack surface. Research shows that 60% of endpoints accessing enterprise assets are through mobile devices, so threats to the attack surface aren’t slowing down. As we see continued growth toward […] The post Cybereason Announces the Availability of Cybereason Mobile Threat Defence in Response to Increases in Sophisticated Mobile Device Attacks first appeared on IT Security Guru. |
Threat Mobile | ★★★★ | |
 |
2024-05-07 14:51:31 | Amélioration de la sécurité sociale: introduction Enhancing SOC security: Introducing Pure Signal™ Scout Insight (lien direct) |
Outil d'intelligence des menaces conviviale pour l'analyse IP et le domaine si vous êtes un analyste SOC ou un chef d'équipe et que vous êtes utilisé pour alerter la fatigue ...
User-friendly threat intelligence tool for IP and domain analysis If you are a SOC Analyst or Team Manager and are used to alert fatigue... |
Tool Threat | ★★★ | |
|
2024-05-07 13:42:04 | Le phishing du code QR est un problème - ce qui est pourquoi Proofpoint a introduit la simulation de phishing du code QR QR Code Phishing is a Problem-That\\'s Why Proofpoint Has Introduced QR Code Phishing Simulation (lien direct) |
QR codes are a part of our everyday lives. They appear in everything from restaurant menus to payment portals. We can use them to quickly access information or perform tasks with a simple scan from our smartphones. However, the ubiquity and convenience of QR codes have also made them an attractive tool for attackers. These seemingly innocuous squares have become a Trojan horse for phishing schemes. In December 2023, Proofpoint launched new in-line threat detection capabilities to stop QR code-based threats. We did this for several reasons. First, we recognized that these attacks are highly deceptive, and existing technologies could not analyze embedded URLs with accuracy. We also understood it was highly likely that users would fall victim to these attacks, as external survey data indicated over 80% of users believe that QR codes are safe. Additionally, our own research showed that QR code attacks had already hit the mainstream. Now, we see daily QR code attack spikes reaching into the tens of thousands. So, our customers must stay vigilant about this threat. To help in that effort, Proofpoint now offers QR code phishing simulations through Proofpoint Security Awareness. You can use them to help your users learn how to recognize and proactively report real QR code phishing attempts. In this post, we will cover the basics of our simulations, and how they serve as a key pillar of our human-centric security strategy. But first, let\'s examine how QR code phishing works. The sequence of events in a QR code attack In QR code phishing, an attacker will disguise malicious URLs within a QR code and embed the QR code into an email. The email is socially engineered to convince the victim to scan the code. After the code is scanned, the victim is redirected to a fraudulent website that is designed to steal sensitive data like login credentials, credit card numbers or personal data. Overview of a QR code attack sequence. What makes malicious QR codes so hard to detect is that attackers are intentionally combining evasion tactics with malicious QR codes to evade email gateways. For example, in a recent QR code attack, threat actors hid malicious QR codes within a PDF attachment. Further, the redirected URL used evasion tactics like adding a Cloudflare CAPTCHA to appear legitimate. Threat actors know that if successfully delivered to their victim it can lead to a successful compromise and they are motivated to continue investing in evasion. The solution: QR code phishing simulation The risk of user exposure to a QR code phishing attack is high, which is why it\'s so important to educate your users about this threat. Here is where our QR code phishing simulation can help. At its core, the simulation works by using email templates that are derived from real-world attacks. Administrators can use the prebuilt templates to launch simulation campaigns that test how employees might react to a QR code attack. These simulations give users firsthand experience in how to identify, avoid and report these threats. This exercise also helps administrators understand their users\' vulnerabilities so that they can develop tailored educational plans. A sample of a QR Code Phishing Simulation template from Proofpoint. To help hone a user\'s knowledge and skills, the prebuilt templates are automatically categorized based on their difficulty level using our Leveled Phishing capability. Proofpoint is the first and only security awareness provider to combine machine learning and NIST Phish Scale research to automatically categorize the level of difficulty of our phishing simulation templates. Leveled Phishing ensures that administrators can objectively challenge a user\'s understanding of the threat. As a user\'s knowledge improves with each simulation, the administrator can continue to challenge that user by launching more, and more difficult, simulations. If the user fails a s | Tool Vulnerability Threat | ★★ | |
|
2024-05-07 13:34:29 | Recherche de cyber-menaces: les mauvaises pratiques de correction et les protocoles non cryptés continuent de hanter les entreprises Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises (lien direct) |
Cato Networks, le leader de Sase, a dévoilé aujourd'hui les résultats de son inaugural Cato Ctrl Sase Mende Rapport pour le premier triCybercriminels pour se déplacer sur les réseaux.Développé par Cato Ctrl, le Cyber Threat Intelligence du Sase \\ [& # 8230;]
Le post Cyber Threat Research: les mauvaises pratiques de correction et les protocoles non cryptés continuent de hanter les entreprises Apparu pour la première fois sur gourou de la sécurité informatique .
Cato Networks, the SASE leader, today unveiled the findings of its inaugural Cato CTRL SASE Threat Report for Q1 2024. The report shows all organizations surveyed continue to run insecure protocols across their wide access networks (WAN), making it easier for cybercriminals to move across networks. Developed by Cato CTRL, the SASE leader\'s cyber threat intelligence […] The post Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises first appeared on IT Security Guru. |
Threat Patching | ★★★ | |
|
2024-05-07 13:15:10 | Fédération mondiale de la résilience, partenaire hacknotice pour stimuler la cyber-intelligence dans les secteurs Global Resilience Federation, HackNotice partner to boost cyber intelligence across sectors (lien direct) |
> La Fédération mondiale de la résilience (GRF) a annoncé lundi un nouveau partenariat avec HackNotice, un fournisseur de renseignements sur les menaces en temps réel ...
>Global Resilience Federation (GRF) announced on Monday a new partnership with HackNotice, a provider of real-time threat intelligence... |
Threat | ★★ | |
|
2024-05-07 10:00:39 | Exploits et vulnérabilités au premier trimestre 2024 Exploits and vulnerabilities in Q1 2024 (lien direct) |
Le rapport fournit des statistiques de vulnérabilité et d'exploitation, les tendances clés et l'analyse des vulnérabilités intéressantes découvertes au premier trimestre 2024.
The report provides vulnerability and exploit statistics, key trends, and analysis of interesting vulnerabilities discovered in Q1 2024. |
Vulnerability Threat | ★★★ | |
|
2024-05-07 07:30:27 | CEQUENCE a annoncé plusieurs progrès alimentés par l'apprentissage automatique à sa plate-forme Unified API Protection (UAP) Cequence announced multiple machine learning-powered advancements to its Unified API Protection (UAP) platform (lien direct) |
Céquence prend les devants en utilisant l'apprentissage automatique pour lutter contre les attaques soutenues par l'AI
Améliorations à la plate-forme phare de protection API unifiée de l'entreprise Économiser 90% des analystes de sécurité \\ 'Temps, permettant à la chasse à la menace simultanée sur plusieurs API
-
revues de produits
Cequence Takes the Lead in Using Machine Learning to Tackle AI-Backed Attacks Enhancements to company\'s flagship Unified API Protection platform save 90% of security analysts\' time, enabling simultaneous threat hunting across multiple APIs - Product Reviews |
Threat | ★★ | |
|
2024-05-07 07:20:11 | F5 dévoile de nouvelles solutions de sécurité (lien direct) | F5 annonce de nouvelles solutions pour simplifier radicalement la sécurité de chaque application et API F5 Distributed Cloud Services Web Application Scanning automatise la détection de la sécurité et les tests de pénétration des applications web. BIG-IP Next WAF réduit les menaces liées aux applications web et aux API tout en optimisant l'efficacité opérationnelle des équipes NetOps et SecOps. NGINX App Protect étend les protections du pare-feu des applications web pour les déploiements open-source NGINX pour doter les équipes DevSecOps de contrôles efficaces sans nuire à l'agilité des développeurs. - Produits | Threat Cloud | ★★★ | |
|
2024-05-06 22:55:00 | #RSAC: les acteurs de la menace armé le hacktivisme pour un gain financier #RSAC: Threat Actors Weaponizing Hacktivism for Financial Gain (lien direct) |
Alexander Leslie de l'avenir enregistré met en évidence les lignes de plus en plus floues entre le hacktivisme, la cybercriminalité financière et les activités de l'État-nation lors de la conférence RSA 2024
Recorded Future\'s Alexander Leslie highlights the increasingly blurred lines between hacktivism, financial cybercrime and nation-state activities during the RSA Conference 2024 |
Threat Conference | ★★★ | |
|
2024-05-06 19:54:46 | Uncharmed: les opérations APT42 de l'Iran démêle Uncharmed: Untangling Iran\\'s APT42 Operations (lien direct) |
#### Géolocations ciblées - Moyen-Orient - Amérique du Nord - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux - Organisation non gouvernementale ## Instantané Mandiant discute des activités de l'APT42, acteur iranien de cyber-espionnage parrainé par l'État, ciblant les ONG occidentales et moyen-orientales, les organisations médiatiques, les universités, les services juridiques et les militants. ** Les activités de l'APT42 se chevauchent avec le suivi de Microsoft \\ de Mint Sandstorm.[En savoir plus ABOut Mint Sandstorm ici.] (https://sip.security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) ** ## descript APT42 utilise des programmes d'ingénierie sociale améliorés pour gagner en confiance et fournir des invitations aux conférences ou aux documents légitimes, leur permettant de récolter des informations d'identification et d'obtenir un accès initial aux environnements cloud.Les opérations récentes impliquent l'utilisation de délais personnalisés tels que NiceCurl et Tamecat, livrés via le phishing de lance. Les opérations cloud d'APT42 \\ impliquent une exfiltration d'exfiltration secrète des environnements Microsoft 365 victimes, en utilisant des schémas d'ingénierie sociale améliorés pour obtenir un accès initial et contourner l'authentification multi-facteurs.L'acteur de menace se précipita comme des ONG légitimes, se fait passer pour le personnel de haut rang et déploie du matériel de leurre pour gagner la confiance de la victime.APT42 déploie également diverses méthodes pour contourner l'authentification multi-facteurs, notamment en utilisant de fausses pages duo et en servant des sites de phishing pour capturer les jetons MFA. APT42 déploie des logiciels malveillants personnalisés tels que Tamecat et NiceCurl pour cibler les ONG, le gouvernement ou les organisations intergouvernementales gantant les problèmes liés à l'Iran et au Moyen-Orient.Ces délais offrent aux opérateurs APT42 un accès initial aux cibles et à une interface de code-Exécution flexible. ## Recommandations Les techniques utilisées par les sous-ensembles de la tempête de menthe peuvent être atténuées à travers les actions suivantes: ### durcissant les actifs orientés Internet et compréhension de votre périmètre Les organisations doivent identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Les interfaces de balayage publique, telles que Microsoft Defender External Attack Surface Management, peuvent être utilisées pour améliorer les données. Les vulnérabilités observées dans les campagnes récentes attribuées aux sous-groupes de sable à la menthe que les défenseurs peuvent identifier et atténuer: inclure: - IBM ASPERA FASPEX affecté par CVE-2022-47986: Les organisations peuvent corriger CVE-2022-47986 en mettant à niveau vers FASPEX 4.4.2 Niveau 2 du patch 2 ou en utilisant FasPex 5.x qui ne contient pas cette vulnérabilité. - Zoho ManageEngine affecté par CVE-2022-47966: les organisations utilisant des produits Zoho Manage Engine vulnérables au CVE-2022-47966 devraient télécharger et appliquer des mises à niveau de l'avis officiel dès que possible.Le correctif de cette vulnérabilité est utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent le CVE-2022-47966 pour l'accès initial. - Apache Log4j2 (aka log4shell) (CVE-2021-44228 et CVE-2021-45046): [Microsoft \\ S GOIDANCE pour les organisations utilisant des applications vulnérables à l'exploitation de log4.com / en-us / security / blog / 2021/12/11 / guidance-for-préventing-détectant et chasseur-pour-CVE-2021-44228-LOG4J-2-Exploitation /) Cette direction est utile pour toutOrganisation avec des applications vulnérables et utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent Log4Shell pour obten | Malware Vulnerability Threat Patching Cloud | APT 42 | ★★★ |
|
2024-05-06 17:05:52 | Liens qui mentent: arrêtez les attaques basées sur une URL avant de commencer Links That Lie: Stop URL-Based Attacks Before They Start (lien direct) |
Les cyber-menaces les plus dommageables n'ont pas aujourd'hui des machines cibles ou des systèmes, ils ciblent les humains.Aujourd'hui, 74% des violations de données reposent sur l'exploitation de l'élément humain.Des employés cliquant sur des liens malveillants à la tromperie par des courriels se faisant passer pour des dirigeants et des fournisseurs, les attaques ciblées humaines mettent en péril les entreprises dans le monde entier. & NBSP; En ce qui concerne les menaces de courrier électronique ciblées, Proofpoint a vu les attaquants éloigner des pièces jointes statiques vers des liens malveillants qui doivent être déclenchés par des clics humains pour initier une attaque plus large.Que leur objectif soit de lancer une attaque de phishing et de voler des informations d'identification ou des utilisateurs directs vers des sites Web chargés de logiciels malveillants et de libérer les ransomwares, les adversaires comptent désormais les URL malveillants comme l'une de leurs tactiques préférées pour poursuivre leurs attaques. Pour aider les organisations à arrêter les attaques basées sur une URL avant même de commencer, Proofpoint est d'introduire la première capacité de maintien et de sable préalable de l'industrie et de la capacité de sable dans le cadre de la protection des menaces de preuves.Lorsqu'il est combiné avec nos protections de clics, il crée l'ensemble le plus formidable de mesures de défense en profondeur disponibles pour les organisations afin d'empêcher les attaques d'atteindre leurs cibles humaines. & NBSP; Menaces basées sur une URL: une technique d'attaquant populaire Les données récentes de l'intelligence et de la recherche sur les menaces de preuves montrent que le nombre moyen de menaces basées sur URL quotidiennes a augmenté à plus de 4,5 millions.Il s'agit d'une augmentation alarmante de 119% au cours des trois dernières années. & NBSP; Infographie: 1 clics sur 7 sur les liens malveillants se produit en 60 secondes de livraison. & Nbsp; Ce qui est également préoccupant, c'est la vitesse à laquelle ces attaques peuvent causer des dommages.La recherche de Proofpoint montre que 1 clic sur 7 sur un lien dangereux se produit en moins de 60 secondes après la livraison d'un e-mail.Cette réponse à clic rapide démontre la nature critique d'une forte protection avant la livraison pour réduire le risque que les utilisateurs cliquent sur des liens malveillants. Amélioration de la protection de la prédivision pour les menaces basées sur l'URL Notre nouvelle capacité permet aux organisations de contenir des messages suspects avec des URL pour l'analyse du bac à sable, minimisant le risque qu'un utilisateur s'engage avec l'URL malveillante.Nous utilisons des signaux comportementaux et de l'intelligence des menaces pour déterminer si un message doit être détenu pour une inspection plus approfondie.Notre technologie de bac à sable effectue une analyse exhaustive de l'URL en utilisant une analyse statique et dynamique, ainsi qu'une exécution assistée par l'analyste pour maximiser la détection et l'extraction de l'intelligence. Maintenir et les messages de bac à sable avec des URL suspects arrêtent les menaces avant d'atteindre les utilisateurs. Défense continue avec protection contre le temps de clics Les URL ne sont pas toujours nées malveillantes.Ils peuvent devenir armées après la livraison.En tant que tels, les e-mails contenant des liens nécessitent un examen constant pour se protéger contre les menaces avancées.C'est pourquoi l'analyse continue de la pré-livraison à l'heure de clic est si importante pour arrêter les attaques basées sur l'URL.Avec notre nouvelle prise avant la livraison &Sandbox pour la capacité de l'URL suspecte, ProofPoint fournit de manière unique la protection de bout en bout la plus avancée contre les menaces URL. ProofPoint fournit de manière unique une défense continue pour les menaces basées sur l'URL. Détection de pré-livraison.ProofPoint identifie et bloque les attaques avant d'att | Ransomware Threat | ★★★ | |
|
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
 |
2024-05-06 16:15:31 | Derrière les portes fermées: la montée de l'accès à distance malveillant caché Behind Closed Doors: The Rise of Hidden Malicious Remote Access (lien direct) |
Threat | ★★★ | ||
 |
2024-05-06 14:31:18 | Qu'est-ce que la récolte d'identification et comment les acteurs de la menace le réalisent-ils? What Is Credential Harvesting and How Do Threat Actors Pull It Off? (lien direct) |
79% Les comptes d'entreprise ont été compromis par les acteurs de la menace utilisant des tactiques de récolte d'identification, telles que le phishing des informations d'identification.
Credential harvesting, otherwise known as credential compromising or credential theft, can be a highly devastating cyber threat. It also happens to be very successful, as over 79% of business accounts were compromised by threat actors using credential harvesting tactics, such as credential phishing. |
Threat | ★★ | |
 |
2024-05-06 14:14:36 | L\'incroyable record d\'overclocking à 9,1 GHz sur Raptor Lake (lien direct) | Les overclockers ont pulvérisé un record vieux de 17 ans en poussant un CPU Raptor Lake à 9,1 GHz. Découvrez les coulisses de cet exploit, les défis du refroidissement extrême et les secrets pour repousser les limites des processeurs. | Threat | ★★ | |
 |
2024-05-06 14:05:00 | Introduction de niveauBlue: élever la confiance des entreprises en simplifiant la sécurité Introducing LevelBlue: Elevating Business Confidence By Simplifying Security (lien direct) |
aujourd'hui est une journée monumentale pour l'industrie de la cybersécurité.En direct de la conférence RSA 2024, i & rsquo; je suis ravi d'introduire le niveauBlue & ndash;Une coentreprise avec AT & t et Willjam Ventures, pour former une nouvelle entreprise de services de sécurité gérée autonome.Vous pouvez en savoir plus sur les nouvelles ici .
En 2022, j'ai fondé ma société de capital-investissement, Willjam Ventures, et depuis lors, nous avons tenu une expérience exceptionnelle à investir et à opérer les entreprises de cybersécurité de classe mondiale.Ce dernier investissement dans LevelBlue ne fait pas exception, ce qui témoigne de cet engagement.Nous sommes enthousiasmés par l'opportunité à venir pour LevelBlue.Ici & rsquo; s pourquoi:
& # 9679; sa mission & ndash;pour simplifier la sécurité et faire de la cyber-résilience un résultat réalisable & ndash;est essentiel au succès des entreprises. Alors que les organisations continuent d'innover, des technologies telles que l'intelligence artificielle (IA) et le cloud computing créent un paysage de menace plus dynamique et élargi.Avec LevelBlue, les organisations n'ont plus besoin de sacrifier l'innovation avec la sécurité et le ndash;Ils réalisent les deux, avec confiance.Avec plus de 1 300 employés axés sur cette mission, LevelBlue propose des services de sécurité stratégiques, notamment des services de sécurité gérés primés, des conseils stratégiques expérimentés, des renseignements sur les menaces et des recherches révolutionnaires & ndash;Servir de conseiller de confiance pour les entreprises du monde entier.
& # 9679; LevelBlue rassemble certains des esprits les plus talentueux et les plus brillants de la cybersécurité. Tout comme tout voyage, les organisations ne devraient pas se lancer dans leur voyage de cybersécurité seul.C'est là que LevelBlue entre en jeu. Chaque membre de notre équipe de conseil a en moyenne 15 ans d'expérience en cybersécurité, détenant les dernières certifications et connaissances en travaillant avec des organisations de différents types et tailles.Je suis également ravi d'être rejoint par Sundhar Annamalai, le président de LevelBlue, qui a plus de 20 ans d'expérience dans les services technologiques et l'exécution stratégique pour aider notre entreprise à de nouveaux sommets.
& # 9679; La société a une histoire de longue date de la recherche de recherches à l'avenir et neutres. Les conseillers de confiance tiennent leurs clients informés sur les dernières tendances avant qu'elles ne se produisent, et c'est à cela que LevelBlue est le meilleur.Avec la plate-forme de renseignement sur les menaces de niveau Blue, ainsi que les rapports de recherche de l'industrie de l'entreprise (plus à venir sur ce blog), les clients peuvent rester en une étape avant les dernières cyber-menaces, tout en acquittent des informations précieuses sur la façon d'allouer correctement allouéRessources de cybersécurité.
La cyber-résilience n'est pas facilement définie, et elle n'est pas facilement réalisable sans le soutien nécessaire.Les services de cybersécurité stratégiques de niveauBlue aideront à résoudre ce défi à une époque où il a le plus besoin.Nous avons la bonne équipe, la bonne technologie et au bon moment dans le temps & ndash;Je suis ravi pour le voyage à venir.
Pour ceux de la conférence RSA, nous vous invitons à venir en savoir plus sur LevelBlue en visitant le stand # 6155 à Moscone North Expo.Nous sommes impatients de nous présenter à vous.
Today is a monumental day for the cybersecurity industry. Live from RSA Conference 2024, I’m excited to introduce LevelBlue – a joint venture with AT&T and WillJam Ventures, to form a new, standalone managed security services busines |
Threat Cloud Conference | ||
|
2024-05-06 13:19:30 | OpenText™ annonce de nouvelles solutions (lien direct) | OpenText permet aux cyber défenseurs de bénéficier d'innovations pour surpasser les menaces toujours plus sophistiquées avec OpenText cyDNA et OpenText NetIQ Identity Manager 4.9 avec ACDI - Produits | Threat | ★★ | |
 |
2024-05-06 13:00:00 | Résultats clés du rapport de menace Fortiguard Labs 2H 2023 Key Findings from the 2H 2023 FortiGuard Labs Threat Report (lien direct) |
Dans ce rapport, nous examinons le paysage de la cybernarré en 2h 2023 pour identifier les tendances et offrir des informations sur ce que les professionnels de la sécurité devraient savoir.
In this report, we examine the cyberthreat landscape in 2H 2023 to identify trends and offer insights on what security professionals should know. |
Threat | ★★★ | |
|
2024-05-06 11:21:36 | 6 mai & # 8211;Rapport de renseignement sur les menaces 6th May – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations dans une déclaration conjointe avec l'Allemagne et l'OTAN, la République tchèque a découvert une campagne de cyber-espionnage par l'acteur affilié à l'État russe APT28.Ces cyberattaques ont ciblé les institutions tchèques utilisant une nouvelle vulnérabilité dans Microsoft [& # 8230;]
>For the latest discoveries in cyber research for the week of 29th April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES In a joint statement with Germany and NATO, the Czech Republic uncovered a cyber espionage campaign by Russian state affiliated actor APT28. These cyber-attacks targeted Czech institutions using a new vulnerability in Microsoft […] |
Vulnerability Threat | APT 28 | ★★★ |
|
2024-05-06 11:07:37 | Les pirates russes de l'APT28 exploitent les perspectives de vue pour cibler les organisations tchèques, allemandes et polonaises Russian APT28 hackers exploit Outlook flaw to target Czech, German, Polish organizations (lien direct) |
> La Tchéche conjointement avec l'Allemagne, la Lituanie, la Pologne, la Slovaquie, la Suède, l'Union européenne, l'OTAN et les partenaires internationaux condamnent le ...
>The Czechia jointly with Germany, Lithuania, Poland, Slovakia, Sweden, the European Union, NATO, and international partners condemns the... |
Threat | APT 28 | ★★★★ |
|
2024-05-06 09:20:57 | ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises (lien direct) | Face à la pénurie de talents, ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises • Deux nouveaux niveaux d'abonnement sont désormais disponibles pour répondre aux exigences des PME comme des grandes entreprises. • ESET Mobile Threat Defense, fait son apparition pour renforcer la sécurité des appareils mobiles professionnels • ESET Server Security et ESET LiveGuard Advanced bénéficient de mises à jour majeures pour détecter encore précocement les tentatives d'attaques. - Produits | Threat Mobile | ★★ | |
|
2024-05-06 09:04:02 | ProofPoint établit une nouvelle norme de l'industrie dans la sécurité des e-mails avec des capacités de protection des menaces adaptatives dans toute la chaîne de livraison des e-mails Proofpoint Sets New Industry Standard in Email Security with Adaptive Threat Protection Capabilities Across the Entire Email Delivery Chain (lien direct) |
Face à la pénurie de talents, ESET étend sa gamme de services managés MDR aux PME et aux Grandes Entreprises • Deux nouveaux niveaux d'abonnement sont désormais disponibles pour répondre aux exigences des PME comme des grandes entreprises. • ESET Mobile Threat Defense, fait son apparition pour renforcer la sécurité des appareils mobiles professionnels • ESET Server Security et ESET LiveGuard Advanced bénéficient de mises à jour majeures pour détecter encore précocement les tentatives d'attaques. - Produits | Threat | ★★ | |
|
2024-05-06 08:49:27 | Cybereason annonce la disponibilité de Cybereason Mobile Threat Defense (lien direct) | Pour répondre à la recrudescence des attaques sophistiquées contre les dispositifs mobiles, Cybereason annonce la disponibilité de sa solution Cybereason Mobile Threat Defense - Produits | Threat Mobile | ★★ |
To see everything:
Our RSS (filtrered)
