What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2021-11-02 08:01:01 | Mandiant Data Science présente la dernière recherche sur l'apprentissage de la machine de sécurité à Camlis \\ '21 Mandiant Data Science Showcases Latest Security Machine Learning Research at CAMLIS \\'21 (lien direct) |
La mission de l'équipe de science des données mandialiants (MDS) est de développer des solutions d'apprentissage automatique innovantes qui appliquent l'expertise unique et l'intelligence des menaces de Maniant \\ à l'échelle pour nos clients.MDS est impliqué dans de nombreux projets divers dispensés dans le cadre de la Mandiant Advantage SaaS Platform, mais nous présentons égalementet publier des recherches de pointe à l'intersection de la sécurité et de l'apprentissage automatique lors des principales conférences de l'industrie et des universitaires.Nous sommes fiers d'annoncer que notre équipe a récemment eu quatre conférences acceptées au Conférence sur l'apprentissage appliqué en matière de sécurité de l'information (CAMLIS)
The Mandiant Data Science (MDS) team\'s mission is to develop innovative machine learning solutions that apply Mandiant\'s unique expertise and threat intelligence at scale for our customers. MDS is involved in many diverse projects delivered as part of the Mandiant Advantage SaaS platform, but we also present and publish cutting-edge research at the intersection of security and machine learning at leading industry and academic conferences. We are proud to announce that our team recently had four talks accepted at the Conference on Applied Machine Learning in Information Security (CAMLIS) |
Threat Cloud | ★★★ | |
|
2021-10-27 08:01:01 | Fichier exécutable portable infectant les logiciels malveillants se trouve de plus en plus dans les réseaux OT Portable Executable File Infecting Malware Is Increasingly Found in OT Networks (lien direct) |
Lors de la recherche de fichiers associés à une gamme de fabricants d'équipements d'origine (OT) (OEM), Mandiant Threat Intelligence a découvert un grand nombre de binaires exécutables portables (PE) légitimes affectés par divers types de PEinfecter les logiciels malveillants.Les fichiers infectés incluent les binaires associés aux contrôleurs logiques programmables (PLC), les communications OLE pour le contrôle de processus (OPC), les applications d'interface humaine-machine (HMI) et d'autres fonctions OT prise en charge par des appareils basés sur Windows aux niveaux 2 et 3 du PurdueModèle.
Un PE est un format de fichier développé par Microsoft
While researching files associated with a range of operational technology (OT) original equipment manufacturers (OEM), Mandiant Threat Intelligence uncovered a large number of legitimate portable executable (PE) binaries affected by various types of PE infecting malware. The infected files include binaries associated with programmable logical controllers (PLC), OLE for process control (OPC) communications, human-machine interface (HMI) applications, and other OT functions supported by Windows-based devices at levels 2 and 3 of the Purdue Model. A PE is a file format developed by Microsoft |
Malware Threat Industrial | ★★★ | |
|
2021-10-12 08:01:01 | Définition des composants de frappe de cobalt afin que vous puissiez-vous confiant dans votre analyse Defining Cobalt Strike Components So You Can BEA-CONfident in Your Analysis (lien direct) |
cobalt frappe est un logiciel de simulation adversaire commercial qui est commercialisé dans les équipes rouges mais qui est également volé et activement utilisé par un large éventail d'acteurs de menaces, des opérateurs de ransomwares aux menaces persistantes avancées axées sur l'espionnage (APT).De nombreux défenseurs du réseau ont vu des charges utiles de grève de Cobalt utilisées dans les intrusions, mais pour ceux qui n'ont pas eu l'occasion d'utiliser Cobalt Strike en tant qu'opérateur, il peut être difficile de comprendre les nombreux composants et fonctionnalités inclus dans ce cadre.
Dans cet article de blog, nous parcourons des définitions et des concepts importants pour aider les défenseurs
Cobalt Strike is a commercial adversary simulation software that is marketed to red teams but is also stolen and actively used by a wide range of threat actors from ransomware operators to espionage-focused Advanced Persistent Threats (APTs). Many network defenders have seen Cobalt Strike payloads used in intrusions, but for those who have not had the opportunity to use Cobalt Strike as an operator, it can be challenging to understand the many components and features included in this framework. In this blog post, we will walk through important definitions and concepts to help defenders |
Ransomware Threat | ★★★ | |
|
2021-10-07 00:01:01 | FIN12: L'acteur prolifique de la menace d'intrusion des ransomwares qui a agressivement poursuivi les objectifs de soins de santé FIN12: The Prolific Ransomware Intrusion Threat Actor That Has Aggressively Pursued Healthcare Targets (lien direct) |
Aujourd'hui, Maniant Intelligence publie un rapport complet détaillant FIN12, un acteur de menace agressif et motivé par financièrement derrière des attaques de ransomwares prolifiques depuis au moins octobre 2018. FIN12 est unique parmi de nombreux acteurs axés sur les ransomwares suivis aujourd'hui parce queIls ne s'engagent généralement pas dans l'extorsion aux multiples facettes et ont eu un impact de manière disproportionnée dans le secteur des soins de santé.Ils sont également le premier acteur de FIN que nous faisons la promotion qui se spécialise dans une phase spécifique du déploiement de cyclistes de cycle de vie des attaques - tout en s'appuyant sur d'autres acteurs de menace pour avoir accédé initial aux victimes
Today, Mandiant Intelligence is releasing a comprehensive report detailing FIN12, an aggressive, financially motivated threat actor behind prolific ransomware attacks since at least October 2018. FIN12 is unique among many tracked ransomware-focused actors today because they do not typically engage in multi-faceted extortion and have disproportionately impacted the healthcare sector. They are also the first FIN actor that we are promoting who specializes in a specific phase of the attack lifecycle-ransomware deployment-while relying on other threat actors for gaining initial access to victims |
Ransomware Threat | ★★★ | |
|
2021-10-06 04:30:00 | Mandiant redonne, collaborant avec Vetsec, Inc. pour former les militaires américains et les anciens combattants Mandiant Gives Back, Collaborating with VetSec, Inc. to Train U.S. Service Members and Veterans (lien direct) |
Chaque jour, les vétérans du retour comblent des rôles importants dans le secteur privé, y compris les vétérans critiques de l'industrie de la cybersécurité.Souvent, cette transition est facilitée lorsque des entreprises comme Mandiant tendent un coup de main.
Mandiant est heureux d'annoncer sa collaboration avec un organisme à but non lucratif 501 (c) (3), aidant les anciens combattants à entrer des carrières dans l'industrie de la cybersécurité.Grâce à Vetsec, Inc., Mandiant fournit un accès gratuit aux cours de formation de la cyber-menace à la demande du nouveau programme de formation de Mandiant \\, Mandiant Academy , pour 33 membres de Vetsec, Inc.À travers ces cours
Every day returning veterans are filling important roles in the private sector, including critical ones within the cyber security industry. Often this transition is made easier when companies like Mandiant extend a helping hand. Mandiant is pleased to announce its collaboration with a 501(c)(3) nonprofit, helping veterans enter careers in the cyber security industry. Through VetSec, Inc., Mandiant is providing complimentary access to cyber threat intelligence on-demand courses from Mandiant\'s new training program, Mandiant Academy, for 33 VetSec, Inc. members. Through these courses |
Threat | ★★★ | |
|
2021-09-14 04:04:51 | Grâce à l'objectif de l'analyste: la puissance réelle des services de détection et de réponse gérés Through the Analyst Lens: The Real Power of Managed Detection and Response Services (lien direct) |
La menace constante de la violation de données fait que les organisations examinent leur capacité à protéger l'entreprise de la prochaine grande attaque.Mais la technologie à elle seule n'a pas réduit votre temps moyen à détecter et à répondre.Selon Craig Robinson, directeur de programme au sein de la pratique de recherche sur les services de sécurité d'IDC \\ et auteur de la dernière étude IDC Marketscape dans les services de détection et de réponse gérés aux États-Unis, «Il y aura de plus en plus de besoin de MDRServices à l'avenir.Dans les talons de la publication IDC Marketscape, je me suis assis avec Craig pour découvrir ce que les clients et les vendeurs voient
The constant threat of data breach has organizations scrutinizing their ability to protect the business from the next big attack. But technology alone won\'t reduce your mean-time-to-detect and respond. According to Craig Robinson, Program Director within IDC\'s Security Services research practice and author of the latest IDC MarketScape study in U.S. Managed Detection and Response (MDR) Services, “there is going to be more and more of a need for MDR Services in the future.” On the heels of the IDC MarketScape publication, I sat down with Craig to discover what customers and vendors are seeing |
Data Breach Threat Studies | ★★★ | |
|
2021-09-07 07:00:00 | La campagne d'influence pro-PRC s'étend à des dizaines de plateformes de médias sociaux, de sites Web et de forums dans au moins sept langues, a tenté de mobiliser physiquement les manifestants aux États-Unis Pro-PRC Influence Campaign Expands to Dozens of Social Media Platforms, Websites, and Forums in at Least Seven Languages, Attempted to Physically Mobilize Protesters in the U.S. (lien direct) |
En juin 2019, Mandiant Threat Intelligence a d'abord rapporté aux clients une République de Pro-People \'sChine (PRC) Réseau de centaines de comptes inauthentiques sur Twitter, Facebook et YouTube, qui était à l'époque principalement axé sur la discréditation des manifestations pro-démocratie dans hong kong .Depuis lors, l'ensemble d'activités plus large a rapidement élargi en taille et en portée et a reçu une attention généralisée du public après le retrait des comptes connexes de Twitter dans août 2019 .De nombreux autres chercheurs ont publié des enquêtes sur divers aspects de cet ensemble d'activités, notamment Analyse des menaces de Google
In June 2019, Mandiant Threat Intelligence first reported to customers a pro-People\'s Republic of China (PRC) network of hundreds of inauthentic accounts on Twitter, Facebook, and YouTube, that was at that time primarily focused on discrediting pro-democracy protests in Hong Kong. Since then, the broader activity set has rapidly expanded in size and scope and received widespread public attention following Twitter\'s takedown of related accounts in August 2019. Numerous other researchers have published investigations into various aspects of this activity set, including Google\'s Threat Analysis |
Threat | ★★★ | |
|
2021-08-23 03:39:03 | Fireeye reconnu comme un leader des services de détection et de réponse gérés aux États-Unis FireEye Recognized as a Leader in U.S. Managed Detection and Response Services (lien direct) |
Tous les deux ans, le paysage des menaces de sécurité est transformé.Les entreprises doivent se transformer pour se protéger contre les menaces actuelles et les menaces émergentes de demain.2021 a déjà présenté plusieurs vulnérabilités très publiques, ransomwares, extorsion et attaques de chaîne d'approvisionnement qui affligent les entreprises de toutes les industries.La sécurité continue d'être un sujet de premier plan dans la salle de conférence.Tout cela montre à quel point les entreprises doivent prendre au sérieux leur posture de sécurité pour protéger leurs marques, produits et clients.De nombreuses entreprises réalisent que l'augmentation de leur sécurité existante
Every couple of years the security threat landscape is transformed. Companies must transform to protect themselves against the current threats and the emerging threats of tomorrow. 2021 has already featured several very public zero-day vulnerabilities, ransomware, extortion, and supply chain attacks plaguing companies of all industries. Security continues to be a prominent topic in the boardroom. All of this demonstrates how seriously companies must take their security posture to protect their brands, products, and customers. Many companies realize that augmenting their existing security |
Threat | ★★★ | |
|
2021-06-28 13:00:00 | Allumez la charge avec XDR pour une meilleure détection des menaces Lighten the Load With XDR for Better Threat Detection (lien direct) |
La fatigue alerte est réelle.Pensez à ceci: combien de temps vos analystes de sécurité passent-ils à la poursuite des fausses alertes ou à la maintenance des contrôles de sécurité?Combien de temps passez-vous à entraîner de nouveaux membres de l'équipe de sécurité pour les faire s'éteindre rapidement des tâches vitales, mais banales de surveillance du réseau pour les menaces?À quelle fréquence passe-t-il à un autre travail, vous laissant à nouveau le cycle d'embauche et de formation?Jeter les gens sur le raz de marée des données pour étudier une alerte avant qu'il ne devienne un incident n'est pas une solution réalisable.
De nombreux centres d'opérations de sécurité (SOC) déjà
Alert fatigue is real. Think about this: How much time do your security analysts spend chasing false alerts or maintaining security controls? How much time do you spend training new security team members only to have them burn out quickly from the vital, yet mundane tasks of monitoring the network for threats? How often do they move on to another job, leaving you to repeat the hiring and training cycle all over again? Throwing people at the tidal wave of data to investigate an alert before it becomes an incident is not a feasible solution. Many security operations centers (SOC) already |
Threat | ★★★ | |
|
2021-06-15 07:00:00 | Entraînement efficace à la cyber-intelligence à la demande, n'importe où, à tout moment Effective On-Demand Cyber Intelligence Training, Anywhere, Any Time (lien direct) |
Les organisations et les équipes de sécurité visent de plus en plus la sécurité dirigée par le renseignement pour maximiser les programmes d'atténuation des risques, réduire l'impact des événements de sécurité critiques et, finalement, améliorer leur sensibilisation à la menace et leur posture de sécurité.Ils commencent à reconnaître la réalité que l'expertise en matière de sécurité, la dotation et les données de menace exploitables doivent aligner, et que Cyber Threat Intelligence (CTI) est essentiel pour franchir la ligne d'arrivée en toute sécurité.
En fait, l'adoption de CTI a pris un élan significatif au cours des 12 derniers mois.Selon Forrester, les décideurs souscrivent désormais à une moyenne de
Organizations and security teams are increasingly aiming for intelligence-led security to maximize risk mitigation programs, reduce the impact of critical security events, and ultimately enhance their threat awareness and security posture. They\'re beginning to acknowledge the reality that security expertise, staffing and actionable threat data must align, and that cyber threat intelligence (CTI) is essential to safely cross the finish line. In fact, adoption of CTI has gained significant momentum over the past 12 months. According to Forrester, decision-makers now subscribe to an average of |
Threat | ★★★★ | |
|
2021-05-25 09:00:00 | Crimes d'opportunité: augmentation de la fréquence des compromis sur la technologie opérationnelle à faible sophistication Crimes of Opportunity: Increasing Frequency of Low Sophistication Operational Technology Compromises (lien direct) |
Les attaques contre les processus de contrôle soutenues par la technologie opérationnelle (OT) sont souvent perçues comme nécessairement complexes.En effet, perturber ou modifier un processus de contrôle pour provoquer un effet prévisible est souvent assez difficile et peut nécessiter beaucoup de temps et de ressources.Cependant, Maniant Threat Intelligence a observé des attaques plus simples, où les acteurs ayant différents niveaux de compétences et de ressources utilisent des outils et des techniques informatiques communs pour accéder et interagir avec les systèmes OT exposés.
L'activité n'est généralement pas sophistiquée et n'est normalement pas ciblée contre des organisations spécifiques
Attacks on control processes supported by operational technology (OT) are often perceived as necessarily complex. This is because disrupting or modifying a control process to cause a predictable effect is often quite difficult and can require a lot of time and resources. However, Mandiant Threat Intelligence has observed simpler attacks, where actors with varying levels of skill and resources use common IT tools and techniques to gain access to and interact with exposed OT systems. The activity is typically not sophisticated and is normally not targeted against specific organizations |
Tool Threat Industrial | ★★★ | |
|
2021-05-24 12:00:00 | Cybergers supérieurs contre l'Amérique latine et les Caraïbes Top Cyber Threats to Latin America and the Caribbean (lien direct) |
L'activité cyber-menace affecte les gouvernements, les entreprises et les sociétés à travers l'Amérique latine et les Caraïbes.Maniant Threat Intelligence a observé des acteurs à motivation financière poursuivant une variété de programmes dans la région, y compris l'ingénierie sociale pour inciter les individus et les entreprises à transférer de l'argent vers des comptes contrôlés par l'attaquant, et à recruter des initiés dans les banques et les sociétés de télécommunications pour faciliter le blanchiment d'argent et l'échange de sim.Des acteurs parrainés par l'État liés à la Chine, à la Russie et à l'Iran déploient des opérations de cyber-espionnage et d'information pour recueillir des renseignements et
Cyber threat activity affects governments, businesses, and societies across Latin America and the Caribbean. Mandiant Threat Intelligence has observed financially motivated actors pursuing a variety of schemes in the region, including social engineering to trick individuals and businesses into transferring money to attacker-controlled accounts, and recruiting insiders at banks and telecommunications companies to facilitate money laundering and SIM swapping. State-sponsored actors linked to China, Russia, and Iran deploy cyber espionage and information operations to gather intelligence and |
Threat | ★★★ | |
|
2021-05-04 09:00:00 | Le Triple Double UNC2529: une campagne de phishing trifecta The UNC2529 Triple Double: A Trifecta Phishing Campaign (lien direct) |
En décembre 2020, Mandiant a observé une campagne de phishing mondiale répandue ciblant de nombreuses organisations dans un éventail d'industries.Mandiant suit cet acteur de menace comme UNC2529.Sur la base de l'infrastructure considérable employée, des leurres de phishing personnalisés et de la sophistication codée par des professionnels du malware, cet acteur de menace semble expérimenté et bien ressources.Ce billet de blog discutera de la campagne de phishing, de l'identification de trois nouvelles familles de logiciels malveillants, Doubledrag, Doubledrop et Doubleback, fournissent une plongée profonde dans leur fonctionnalité, présentent un aperçu du modus de l'acteur \\
In December 2020, Mandiant observed a widespread, global phishing campaign targeting numerous organizations across an array of industries. Mandiant tracks this threat actor as UNC2529. Based on the considerable infrastructure employed, tailored phishing lures and the professionally coded sophistication of the malware, this threat actor appears experienced and well resourced. This blog post will discuss the phishing campaign, identification of three new malware families, DOUBLEDRAG, DOUBLEDROP and DOUBLEBACK, provide a deep dive into their functionality, present an overview of the actor\'s modus |
Malware Threat | ★★★ | |
|
2021-05-03 08:00:00 | Maniant Managed Defense prend désormais en charge Microsoft Defender pour le point final Mandiant Managed Defense Now Supports Microsoft Defender for Endpoint (lien direct) |
En septembre dernier, Mandiant a annoncé une collaboration avec Microsoft pour lutter contre les cyberattaques et les acteurs de la menace.Cette collaboration a représenté notre appartenance à la Microsoft Intelligence Security Association (MISA) et a prévisualisé notre plan pour étendre Défense gérée pour prendre en charge Microsoft Defender pour Endpoint.Cette intégration combine la télémétrie de Defender \\ avec l'expertise de la défense gérée, de puissantes capacités analytiques et de l'intelligence des menaces de pointe.
Aujourd'hui, nous sommes ravis d'annoncer que Défense gérée mandiante pour Defenderpour le point de terminaison est désormais disponible pour nos clients conjoints.
Last September, Mandiant announced a collaboration with Microsoft to combat cyber attacks and threat actors. This collaboration represented our membership in the Microsoft Intelligence Security Association (MISA) and previewed our plan to extend Managed Defense to support Microsoft Defender for Endpoint. This integration combines Defender\'s telemetry with Managed Defense\'s expertise, powerful analytical capabilities, and industry-leading threat intelligence. Today, we are pleased to announce that Mandiant Managed Defense for Defender for Endpoint is now available to our joint customers. |
Threat | ★★★★ | |
|
2021-04-29 16:00:00 | UNC2447 Ransomware Sombrat et Fivehands: une menace financière sophistiquée UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat (lien direct) |
Mandiant a observé un groupe agressif à motivation financière, UNC2447, exploitant une vulnérabilité VPN de SONicwall VPN avant qu'un patch soit disponible et le déploiement de logiciels malveillants sophistiqués précédemment signalés par d'autres fournisseurs comme sombrat.Mandiant a lié l'utilisation de Sombrat au déploiement de ransomwares, qui n'a pas été signalé publiquement.
UNC2447 monétise les intrusions en extorquant d'abord leurs victimes avec des ransomwares à cinq main-hands suivis de la pression agressive par des menaces d'attention des médias et de l'offre de données sur les victimes à vendre sur les forums de pirates.Unc2447 a
Mandiant has observed an aggressive financially motivated group, UNC2447, exploiting one SonicWall VPN zero-day vulnerability prior to a patch being available and deploying sophisticated malware previously reported by other vendors as SOMBRAT. Mandiant has linked the use of SOMBRAT to the deployment of ransomware, which has not been previously reported publicly. UNC2447 monetizes intrusions by extorting their victims first with FIVEHANDS ransomware followed by aggressively applying pressure through threats of media attention and offering victim data for sale on hacker forums. UNC2447 has |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2021-04-28 05:00:00 | Mise à jour de Ghostwriter: Cyber Espionage Group UNC1151 mène probablement l'activité d'influence de Ghostwriter Ghostwriter Update: Cyber Espionage Group UNC1151 Likely Conducts Ghostwriter Influence Activity (lien direct) |
En juillet 2020, Mandiant Threat Intelligence libéré un rapport public détaillant une campagne d'influence continue que nous avons nommée« Ghostwriter ».Ghostwriter est une campagne d'influence cyberlative qui cible principalement le public en Lituanie, en Lettonie et en Pologne et promeut les récits critiques de la présence de l'Organisation du Traité de l'Atlantique Nord (OTAN) en Europe de l'Est.Depuis la publication de notre rapport public, nous avons continué à enquêter et à faire rapport sur l'activité Ghostwriter aux clients de l'intelligence Mandiant.Nous avons suivi de nouveaux incidents au fur et à mesure qu'ils se sont produits et identifié l'activité s'étendant à l'arrière des années avant
In July 2020, Mandiant Threat Intelligence released a public report detailing an ongoing influence campaign we named “Ghostwriter.” Ghostwriter is a cyber-enabled influence campaign which primarily targets audiences in Lithuania, Latvia and Poland and promotes narratives critical of the North Atlantic Treaty Organization\'s (NATO) presence in Eastern Europe. Since releasing our public report, we have continued to investigate and report on Ghostwriter activity to Mandiant Intelligence customers. We tracked new incidents as they happened and identified activity extending back years before we |
Threat | ★★★★ | |
|
2021-04-27 12:00:00 | Abuser de la réplication de l'annonce: voler des secrets AD FS sur le réseau Abusing AD FS Replication: Stealing AD FS Secrets Over the Network (lien direct) |
Les organisations adoptent de plus en plus des services basés sur le cloud tels que Microsoft 365 pour héberger des applications et des données.Les acteurs de menace sophistiqués se réunissent et Mandiant a observé un accent accru sur l'accès persistant à long terme à Microsoft 365 comme l'un de leurs principaux objectifs.L'accent mis sur le développement de méthodes nouvelles et difficiles à détecter pour atteindre cet objectif a été mise en évidence avec la récente détection de UNC2452 et leur accès à Microsoft 365 .L'un des TTPS de ce groupe \\ a été de voler le certificat de signature de jeton d'un serveur AD FS de l'organisation \\ pour leur permettre de contourner MFA et d'accès
Organizations are increasingly adopting cloud-based services such as Microsoft 365 to host applications and data. Sophisticated threat actors are catching on and Mandiant has observed an increased focus on long-term persistent access to Microsoft 365 as one of their primary objectives. The focus on developing novel and hard to detect methods to achieve this goal was highlighted with the recent detection of UNC2452 and their access to Microsoft 365. One of this group\'s key TTPs was to steal the Token Signing Certificate from an organization\'s AD FS server to enable them to bypass MFA and access |
Threat | ★★★★ | |
|
2021-04-13 08:45:00 | M-Trends 2021: une vue depuis les lignes de front M-Trends 2021: A View From the Front Lines (lien direct) |
Nous sommes ravis de lancer M-Trends 2021 , le 12 Th édition de notre publication annuelle Fireeye Mandiant.L'année dernière a été unique, car nous avons été témoins d'une combinaison sans précédent d'événements mondiaux.Les opérations commerciales se sont déplacées en réponse aux acteurs mondiaux de pandémie et de menace ont continué à dégénérer la sophistication et l'agressivité de leurs attaques, tandis que des événements mondiaux inattendus se sont mis à profit parallèles à leur avantage.
Nous discutons de tout cela et bien plus encore dans le rapport complet, qui est Disponible au téléchargement aujourd'hui .Mais d'abord, voici un aperçu des M-Trends les plus populaires
We are thrilled to launch M-Trends 2021, the 12th edition of our annual FireEye Mandiant publication. The past year has been unique, as we witnessed an unprecedented combination of global events. Business operations shifted in response to the worldwide pandemic and threat actors continued to escalate the sophistication and aggressiveness of their attacks, while in parallel leveraged unexpected global events to their advantage. We discuss all of this and much more in the full report, which is available for download today. But first, here is a sneak preview of the most popular M-Trends metric |
Threat Studies | ★★★★ | |
|
2021-01-19 14:00:00 | Les stratégies de remédiation et de durcissement pour Microsoft 365 pour se défendre contre UNC2452 |Blog Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | Blog (lien direct) |
Mise à jour (mai 2022): Nous avons fusionné unc2452 avec apt29 .L'activité UNC2452 décrite dans ce post et ce rapport est désormais attribuée à APT29.
Mise à jour (28 octobre 2021): Mandiant a récemment observé des acteurs de menace ciblés utilisant l'identité EWS (via le rôle de l'impression d'application) pour maintenir un accès persistant aux boîtes aux lettres dans les environnements victimes.Une fois que l'acteur de menace a accès à ce rôle, ses abus sont difficiles à détecter et fournissent le contrôle de l'acteur de menace sur chaque boîte aux lettres d'un locataire victime.Mandiant a également observé des acteurs de menace ciblés abusant de la relation de confiance entre le cloud
UPDATE (May 2022): We have merged UNC2452 with APT29. The UNC2452 activity described in this post and report is now attributed to APT29. UPDATE (Oct. 28, 2021): Mandiant has recently observed targeted threat actors using EWS impersonation (via the ApplicationImpersonation role) to maintain persistent access to mailboxes in victim environments. Once the threat actor has access to this role, its abuse is hard to detect and provides the threat actor control over every mailbox in a victim tenant. Mandiant has also observed targeted threat actors abusing the trust relationship between Cloud |
Threat | APT 29 | ★★★★ |
|
2020-12-24 20:15:00 | Sunburst Détails techniques supplémentaires SUNBURST Additional Technical Details (lien direct) |
Fireeye a découvert des détails supplémentaires sur la porte dérobée Sunburst depuis notre publication initiale le 13 décembre 2020. Avant de plonger dans la profondeur technique de ce logiciel malveillant, nous recommandons aux lecteurs de se familiariser avec notre article de blog sur le Solarwinds Supply Compromis , qui a révélé une campagne d'intrusion mondiale par une campagne sophistiquée sophistiquée Acteur de menace que nous suivons actuellement UNC2452.
Sunburst est une version trojanisée d'un plugin SolarWinds Orion signé numérique appelé solarwinds.orion.core.businesslayer.dll .Le plugin contient une porte dérobée qui communique via HTTP à un tiers
FireEye has discovered additional details about the SUNBURST backdoor since our initial publication on Dec. 13, 2020. Before diving into the technical depth of this malware, we recommend readers familiarize themselves with our blog post about the SolarWinds supply chain compromise, which revealed a global intrusion campaign by a sophisticated threat actor we are currently tracking as UNC2452. SUNBURST is a trojanized version of a digitally signed SolarWinds Orion plugin called SolarWinds.Orion.Core.BusinessLayer.dll. The plugin contains a backdoor that communicates via HTTP to third party |
Threat | Solardwinds | ★★★★ |
|
2020-12-17 13:01:01 | Attribution de débunchage: comment mandiant suit les acteurs de menace non classés DebUNCing Attribution: How Mandiant Tracks Uncategorized Threat Actors (lien direct) |
Beaucoup de gens entendent le terme UNC pour la première fois après avoir publié les détails d'un groupe de menaces que nous appelons Un2452 .Groupes «UNC» - ou non «non classés», les groupes sont une analyse d'attribution brute que nous avons auparavant gardée principalement en interne.Nous avons récemment commencé à déployer des informations UNC à Advantage mandiant Clients parce que nous voulons donner aux utilisateurs un accès direct aux matériaux source et brutsAnalyse que les experts mandiants utilisent pour rédiger des renseignements, répondre aux violations et défendre nos clients.À la lumière des événements récents, nous voulons fournir plus de détails au plus grand public sur la désignation UNC.
Many people are hearing the term UNC for the first time after we published details of a threat group we refer to as UNC2452. “UNC” groups-or “uncategorized” groups-are raw attribution analysis that we previously kept primarily in house. We recently began rolling out UNC information to Mandiant Advantage customers because we want to give users direct access to source materials and raw analysis that Mandiant experts use to write intelligence, respond to breaches, and defend our clients. In light of recent events, we want to provide some more details to the greater public on the UNC designation. |
Threat | Solardwinds | ★★★ |
|
2020-11-19 19:00:00 | VBA purgalicious: obscurcissement macro avec purge de VBA Purgalicious VBA: Macro Obfuscation With VBA Purging (lien direct) |
Les documents de bureau malveillants restent une technique préférée pour chaque type d'acteur de menace, des Teamers Red aux groupes FIN en passant par APTS.Dans cet article de blog, nous discuterons de "Purging VBA", une technique que nous avons de plus en plus observée dans la nature et c'était d'abord Documé publiquement par Didier Stevens en février 2020 .Nous expliquerons comment VBA Purging fonctionne avec les documents Microsoft Office au format binaire de fichiers composés (CFBF), partagez certaines opportunités de détection et de chasse et introduire un nouvel outil créé par l'équipe rouge de Mandiant \\: officepurge .
Format de fichier MS-OVBA
Avant de plonger dans la purge VBA, c'est
Malicious Office documents remain a favorite technique for every type of threat actor, from red teamers to FIN groups to APTs. In this blog post, we will discuss "VBA Purging", a technique we have increasingly observed in the wild and that was first publicly documented by Didier Stevens in February 2020. We will explain how VBA purging works with Microsoft Office documents in Compound File Binary Format (CFBF), share some detection and hunting opportunities, and introduce a new tool created by Mandiant\'s Red Team: OfficePurge. MS-OVBA File Format Before diving into VBA Purging, it is |
Tool Threat Technical | ★★★★ | |
|
2020-10-28 17:00:00 | Spécial d'heure malheureuse: Kegtap et Singlemalt avec un chasseur de ransomwares Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser (lien direct) |
tout au long de 2020, l'activité des ransomwares est devenue de plus en plus prolifique, en s'appuyant sur un écosystème d'opérations distinctes mais co-habilitantes pour accéder à des cibles d'intérêt avant de procéder à l'extorsion.Mandiant Threat Intelligence a suivi plusieurs campagnes de chargeur et de porte dérobée qui mènent au déploiement post-compromis de ransomwares, parfois dans 24 heures de compromis initial .Une détection efficace et rapide de ces campagnes est essentielle pour atténuer cette menace.
Les familles de logiciels malveillants permettant ces attaques précédemment rapportées par Mandiant aux abonnés de l'intelligence incluent Kegtap / Beerbot
Throughout 2020, ransomware activity has become increasingly prolific, relying on an ecosystem of distinct but co-enabling operations to gain access to targets of interest before conducting extortion. Mandiant Threat Intelligence has tracked several loader and backdoor campaigns that lead to the post-compromise deployment of ransomware, sometimes within 24 hours of initial compromise. Effective and fast detection of these campaigns is key to mitigating this threat. The malware families enabling these attacks previously reported by Mandiant to intelligence subscribers include KEGTAP/BEERBOT |
Ransomware Malware Threat | ★★★ | |
|
2020-10-28 10:30:00 | Bienvenue à KenersPursuit VM: A mention Intelligence and Hunting Virtual Machine Welcome to ThreatPursuit VM: A Threat Intelligence and Hunting Virtual Machine (lien direct) |
 Les adversaires qualifiés peuvent tromper la détection et utiliser souvent de nouvelles mesures dans leur métier.Garder un accent strict sur le cycle de vie et l'évolution des adversaires permet aux analystes de concevoir de nouveaux mécanismes de détection et des processus de réponse.L'accès à l'outillage et aux ressources appropriés est essentiel pour découvrir ces menaces en temps opportun et précis.Par conséquent, nous compilons activement les packages de logiciels les plus essentiels dans une distribution basée sur Windows: VM de menace pour la combinaison .
MenkingPursuit Virtual Machine (VM) est une distribution Windows entièrement personnalisable et open source focalisée
 Skilled adversaries can deceive detection and often employ new measures in their tradecraft. Keeping a stringent focus on the lifecycle and evolution of adversaries allows analysts to devise new detection mechanisms and response processes. Access to the appropriate tooling and resources is critical to discover these threats within a timely and accurate manner. Therefore, we are actively compiling the most essential software packages into a Windows-based distribution: ThreatPursuit VM.
ThreatPursuit Virtual Machine (VM) is a fully customizable, open-sourced Windows-based distribution focused |
Threat | ★★★ | |
|
2020-10-14 07:00:00 | FIN11: campagnes par e-mail généralisées comme précurseur pour les ransomwares et le vol de données FIN11: Widespread Email Campaigns as Precursor for Ransomware and Data Theft (lien direct) |
Mandiant Threat Intelligence a récemment promu un groupe de menaces à un groupe de menaces FIN (ou à motivé financièrement) pour la première fois depuis 2017. Nous avons détaillé diverses tactiques, techniques et procédures de Fin11 \\ dans un rapport disponible maintenant disponible maintenantEn s'inscrivant à mandiant avantage gratuit .
À certains égards, Fin11 rappelle APT1;Ils ne sont pas notables non pas pour leur sophistication, mais pour leur volume d'activité.Il existe des lacunes importantes dans les opérations de phishing de Fin11, mais lorsqu'elles sont actives, le groupe mène jusqu'à cinq campagnes à volume élevé par semaine.Tandis que de nombreuses motivations financières
Mandiant Threat Intelligence recently promoted a threat cluster to a named FIN (or financially motivated) threat group for the first time since 2017. We have detailed FIN11\'s various tactics, techniques and procedures in a report that is available now by signing up for Mandiant Advantage Free. In some ways, FIN11 is reminiscent of APT1; they are notable not for their sophistication, but for their sheer volume of activity. There are significant gaps in FIN11\'s phishing operations, but when active, the group conducts up to five high-volume campaigns a week. While many financially motivated |
Ransomware Threat | ★★★★ | |
|
2020-09-29 08:01:01 | Dans la poursuite d'une visualisation Gestalt: fusion de l'agent à mitre ATT & CK & Reg;Pour l'entreprise et les CI, communiquer les comportements adversaires In Pursuit of a Gestalt Visualization: Merging MITRE ATT&CK® for Enterprise and ICS to Communicate Adversary Behaviors (lien direct) |
mise à jour (10 décembre): Ce message a été mis à jour pour refléter les modifications de la matrice de mitre ATT & amp; CK pour l'entreprise, qui comprend désormais des tactiques supplémentaires.
Comprendre les menaces de plus en plus complexes auxquelles sont confrontés les organisations d'infrastructures industrielles et critiques n'est pas une tâche simple.Alors que les acteurs de menaces très qualifiés continuent de se renseigner sur les nuances uniques de la technologie opérationnelle (OT) et les systèmes de contrôle industriel (CI), nous observons de plus en plus les attaquants explorant une diversité de méthodes pour atteindre leurs objectifs.Les défenseurs sont confrontés au défi de l'analyse systématique des informations de ces incidents
Update (Dec. 10): This post has been updated to reflect changes in MITRE ATT&CK Matrix for Enterprise, which now includes additional tactics. Understanding the increasingly complex threats faced by industrial and critical infrastructure organizations is not a simple task. As high-skilled threat actors continue to learn about the unique nuances of operational technology (OT) and industrial control systems (ICS), we increasingly observe attackers exploring a diversity of methods to reach their goals. Defenders face the challenge of systematically analyzing information from these incidents |
Threat Industrial | ★★★ | |
|
2020-09-14 11:30:00 | Une perspective "DFUR-ent" sur la modélisation des menaces et l'analyse médico-légale du journal des applications A "DFUR-ent" Perspective on Threat Modeling and Application Log Forensic Analysis (lien direct) |
De nombreuses organisations opérant dans le commerce électronique, l'hôtellerie, les soins de santé, les services gérés et d'autres secteurs de services reposent sur des applications Web.Et enterré dans les journaux de demande peut être la découverte potentielle d'une utilisation et / ou d'un compromis frauduleux!Mais, laissez-le faire face, trouver le mal dans les journaux d'application peut être difficile et écrasant pour plusieurs raisons, notamment:
La grande variété d'applications Web avec des fonctionnalités uniques
L'absence d'un format d'exploitation standard
Formats de journalisation conçus pour le dépannage des problèmes d'application et non les enquêtes de sécurité
La nécessité d'un
Many organizations operating in e-commerce, hospitality, healthcare, managed services, and other service industries rely on web applications. And buried within the application logs may be the potential discovery of fraudulent use and/or compromise! But, let\'s face it, finding evil in application logs can be difficult and overwhelming for a few reasons, including: The wide variety of web applications with unique functionality The lack of a standard logging format Logging formats that were designed for troubleshooting application issues and not security investigations The need for a |
Threat | ★★★ | |
|
2020-08-11 12:00:00 | Cookiejar: suivi des adversaires avec module de tracker de connexion de FireEye Endpoint Security \\ COOKIEJAR: Tracking Adversaries With FireEye Endpoint Security\\'s Logon Tracker Module (lien direct) |
Lors d'une récente enquête dans une société de télécommunications dirigée par MandiantDéfense gérée , notre équipe a été chargée d'identifier rapidement des systèmes accessibles par un acteur de menace utilisant des références de domaine légitimes mais compromises.Cette tâche parfois prolongée a été rendue simple parce que le client avait activé le module de tracker de connexion dans leur fireeye Fin Point Security Produit.
Logon Tracker est un module d'architecture d'innovation de sécurité finale conçu pour simplifier l'étude du mouvement latéral dans les environnements d'entreprise Windows.Logon Tracker améliore le
During a recent investigation at a telecommunications company led by Mandiant Managed Defense, our team was tasked with rapidly identifying systems that had been accessed by a threat actor using legitimate, but compromised domain credentials. This sometimes-challenging task was made simple because the customer had enabled the Logon Tracker module within their FireEye Endpoint Security product. Logon Tracker is an Endpoint Security Innovation Architecture module designed to simplify the investigation of lateral movement within Windows enterprise environments. Logon Tracker improves the |
Threat | ★★★★ | |
|
2020-07-28 09:15:00 | \\ 'Ghostwriter \\' Campagne d'influence: les acteurs inconnus exploitent les compromis sur le site Web et le contenu fabriqué pour pousser les récits alignés sur les intérêts de sécurité russes \\'Ghostwriter\\' Influence Campaign: Unknown Actors Leverage Website Compromises and Fabricated Content to Push Narratives Aligned With Russian Security Interests (lien direct) |
Mandiant Threat Intelligence a égalé plusieurs opérations d'information que nous évaluons avec une confiance modérée comprend une partie d'une campagne d'influence plus large de la campagne depuis au moins mars 2017, alignée avec les intérêts de sécurité russe.Les opérations ont principalement ciblé le public en Lituanie, en Lettonie et en Pologne avec des récits critiques de la présence de l'Organisation du Traité de l'Atlantique Nord (OTAN) en Europe, en tirant parfois parti d'autres thèmes tels que les anti-U.S.et les récits liés à Covid-19 dans le cadre de cet programme anti-NATA plus large.Nous avons surnommé cette campagne « Ghostwriter .»
Mandiant Threat Intelligence has tied together several information operations that we assess with moderate confidence comprise part of a broader influence campaign-ongoing since at least March 2017-aligned with Russian security interests. The operations have primarily targeted audiences in Lithuania, Latvia, and Poland with narratives critical of the North Atlantic Treaty Organization\'s (NATO) presence in Eastern Europe, occasionally leveraging other themes such as anti-U.S. and COVID-19-related narratives as part of this broader anti-NATO agenda. We have dubbed this campaign “Ghostwriter.” |
Threat | ★★★★ | |
|
2020-07-15 10:00:00 | Les acteurs à motivation financière étendent l'accès à l'OT: analyse des listes de mise à mort qui incluent des processus OT utilisés avec sept familles de logiciels malveillants Financially Motivated Actors Are Expanding Access Into OT: Analysis of Kill Lists That Include OT Processes Used With Seven Malware Families (lien direct) |
Mandiant Threat Intelligence a recherché et rédigé de nombreuses recherches sur l'activité de menace financière croissante impactant directement les réseaux de technologie opérationnelle (OT).Certaines de ces recherches sont disponibles dans nos précédents articles de blog sur post-compromise industrielleRansomware Et approche de Fireeye \\ pour la sécurité OT .Bien que la plupart des acteurs derrière cette activité ne se différencient probablement pas entre celui-ci et l'OT ou ont un intérêt particulier pour les actifs OT, ils sont motivés par le but de gagner de l'argent et ont démontré les compétences nécessaires pour fonctionner dans ces réseaux.Par exemple, le changement vers
Mandiant Threat Intelligence has researched and written extensively on the increasing financially motivated threat activity directly impacting operational technology (OT) networks. Some of this research is available in our previous blog posts on industrial post-compromise ransomware and FireEye\'s approach to OT security. While most of the actors behind this activity likely do not differentiate between IT and OT or have a particular interest in OT assets, they are driven by the goal of making money and have demonstrated the skills needed to operate in these networks. For example, the shift to |
Malware Threat Industrial | ★★★★ | |
|
2020-05-14 10:00:00 | Utiliser des événements en temps réel dans les enquêtes Using Real-Time Events in Investigations (lien direct) |
Pour comprendre ce qu'un acteur de menace a fait sur un système Windows, les analystes se tournent souvent vers les sources éprouvées et réelles d'artefacts de point de terminaison historiques tels que la table de fichiers maître (MFT), les ruches de registre et le cache de compatibilité des applications (AppCompat).Cependant, ces sources de preuves n'ont pas été conçues avec la détection ou la réponse aux incidents à l'esprit;Les détails cruciaux peuvent être omis ou effacés par des méthodes anti-forsentes.En examinant les preuves historiques seules, un analyste peut ne pas voir l'histoire complète.
Les événements en temps réel peuvent être considérés comme des artefacts médico-légaux spécialement conçus pour la détection et l'incident
To understand what a threat actor did on a Windows system, analysts often turn to the tried and true sources of historical endpoint artifacts such as the Master File Table (MFT), registry hives, and Application Compatibility Cache (AppCompat). However, these evidence sources were not designed with detection or incident response in mind; crucial details may be omitted or cleared through anti-forensic methods. By looking at historical evidence alone, an analyst may not see the full story. Real-time events can be thought of as forensic artifacts specifically designed for detection and incident |
Threat | ★★★★ | |
|
2020-05-12 09:30:00 | Analyse du rat de cristal foncé, une porte dérobée C # Analyzing Dark Crystal RAT, a C# Backdoor (lien direct) |
le Fireeye Mandiant Threat Intelligence Team aide à protéger nos clients en suivant les cyberattaquants et les logiciels malveillants qu'ils utilisent.L'équipe Flare aide à augmenter notre intelligence des menaces en insensé des échantillons de logiciels malveillants en ingénierie.Récemment, Flare a travaillé sur une nouvelle variante C # de Dark Crystal Rat (DCRAT) que l'équipe d'Intel de menace nous a transmise.Nous avons examiné l'intelligence open source et les travaux antérieurs, effectué des tests de bac à sable et inversé le rat de cristal noir pour examiner ses capacités et son protocole de communication.En publiant ce billet de blog, nous visons à aider les défenseurs à rechercher des indicateurs de
The FireEye Mandiant Threat Intelligence Team helps protect our customers by tracking cyber attackers and the malware they use. The FLARE Team helps augment our threat intelligence by reverse engineering malware samples. Recently, FLARE worked on a new C# variant of Dark Crystal RAT (DCRat) that the threat intel team passed to us. We reviewed open source intelligence and prior work, performed sandbox testing, and reverse engineered the Dark Crystal RAT to review its capabilities and communication protocol. Through publishing this blog post we aim to help defenders look for indicators of |
Malware Threat | ★★★ | |
|
2020-05-07 18:00:00 | Navigation dans le labyrinthe: tactiques, techniques et procédures associées aux incidents de ransomware du labyrinthe Navigating the MAZE: Tactics, Techniques and Procedures Associated With MAZE Ransomware Incidents (lien direct) |
Les incidents de ransomwares ciblés ont entraîné une menace d'attaques perturbatrices et destructrices aux organisations des industries et des géographies.Fireeye Mandiant Threat Intelligence a précédemment documenté cette menace dans nos enquêtes sur tendances à travers les incidents de ransomware , Fin6 Activité , Implications pour les réseaux OT et d'autres aspects du déploiement des ransomwares post-compromis.Depuis novembre 2019, nous avons vu le ransomware du labyrinthe utilisé dans les attaques qui combinent l'utilisation des ransomwares ciblés, l'exposition publique des données de victime et un modèle d'affiliation.
Les acteurs malveillants ont activement déployé
Targeted ransomware incidents have brought a threat of disruptive and destructive attacks to organizations across industries and geographies. FireEye Mandiant Threat Intelligence has previously documented this threat in our investigations of trends across ransomware incidents, FIN6 activity, implications for OT networks, and other aspects of post-compromise ransomware deployment. Since November 2019, we\'ve seen the MAZE ransomware being used in attacks that combine targeted ransomware use, public exposure of victim data, and an affiliate model. Malicious actors have been actively deploying |
Ransomware Threat | ★★★★ | |
|
2020-04-27 07:30:00 | (Déjà vu) Mettre le modèle au travail: activer les défenseurs avec une intelligence de vulnérabilité - Intelligence pour la gestion de la vulnérabilité, la quatrième partie Putting the Model to Work: Enabling Defenders With Vulnerability Intelligence - Intelligence for Vulnerability Management, Part Four (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Les organisations doivent souvent faire des choix difficiles en ce qui concerne la priorisation des correctifs.Beaucoup sont confrontés à la sécurisation complexe
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Organizations often have to make difficult choices when it comes to patch prioritization. Many are faced with securing complex |
Vulnerability Threat | ★★★ | |
|
2020-04-22 09:00:00 | Acteurs de menace vietnamiens APT32 ciblant le gouvernement de Wuhan et le ministère chinois de la gestion des urgences dans le dernier exemple de l'espionnage lié à Covid-19 Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage (lien direct) |
De Janvier à avril 2020, des acteurs vietnamiens présumés APT32 ont mené des campagnes d'intrusion contre les cibles chinoises qui, selon Maniant, mention, ont été conçues pour collecter des renseignements sur la crise de Covid-19.Les messages de phishing de lance ont été envoyés par l'acteur au ministère de la gestion des urgences de la Chine ainsi que par le gouvernement de la province de Wuhan, où Covid-19 a été identifié pour la première fois.Bien que le ciblage de l'Asie de l'Est soit cohérent avec les activité que nous avons précédemment signalée sur APT32 , cet incidentet d'autres intrusions publiquement signalées font partie d'une augmentation mondiale du cyber
From at least January to April 2020, suspected Vietnamese actors APT32 carried out intrusion campaigns against Chinese targets that Mandiant Threat Intelligence believes was designed to collect intelligence on the COVID-19 crisis. Spear phishing messages were sent by the actor to China\'s Ministry of Emergency Management as well as the government of Wuhan province, where COVID-19 was first identified. While targeting of East Asia is consistent with the activity we\'ve previously reported on APT32, this incident, and other publicly reported intrusions, are part of a global increase in cyber |
Threat | APT 32 APT 32 | ★★★★ |
|
2020-04-20 07:00:00 | (Déjà vu) Séparer le signal du bruit: comment les renseignements mandiants évaluent les vulnérabilités - Intelligence pour la gestion des vulnérabilités, troisième partie Separating the Signal from the Noise: How Mandiant Intelligence Rates Vulnerabilities - Intelligence for Vulnerability Management, Part Three (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Chaque praticien de la sécurité de l'information sait que les vulnérabilités de correction sont l'une des premières étapes vers un sain et bien
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Every information security practitioner knows that patching vulnerabilities is one of the first steps towards a healthy and well |
Vulnerability Threat | ★★★★ | |
|
2020-04-13 07:00:00 | (Déjà vu) Pensez vite: temps entre la divulgation, la libération des patchs et l'exploitation de la vulnérabilité - Intelligence pour la gestion de la vulnérabilité, deuxième partie Think Fast: Time Between Disclosure, Patch Release and Vulnerability Exploitation - Intelligence for Vulnerability Management, Part Two (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de CTI pour permettre la gestion de la vulnérabilité, et dévoile et dévoile CTIDe nouvelles recherches sur les dernières menaces, tendances et recommandations.Consultez notre premier article sur vulnérabilités zéro-jour .
Les attaquants sont en cours de course constante pour exploiter les vulnérabilités nouvellement découvertes
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Check out our first post on zero-day vulnerabilities. Attackers are in a constant race to exploit newly discovered vulnerabilities |
Vulnerability Threat | ★★ | |
|
2020-04-08 11:15:00 | Chart limité dans le paysage cyber-menace entraîné par Covid-19 Limited Shifts in the Cyber Threat Landscape Driven by COVID-19 (lien direct) |
Bien que Covid-19 ait eu d'énormes effets sur notre société et notre économie, ses effets sur le paysage cyber-menace restent limités.Pour la plupart, les mêmes acteurs que nous avons toujours suivis se comportent de la même manière qu'avant la crise.Il y a de nouveaux défis, mais ils sont perceptibles, et nous-et nos clients sont prêts à poursuivre ce combat à travers cette période de changement sans précédent.
Les changements importants du paysage des menaces que nous suivons actuellement comprennent:
L'augmentation soudaine majeure d'une main-d'œuvre à distance a changé la nature et la vulnérabilité de l'entreprise
Though COVID-19 has had enormous effects on our society and economy, its effects on the cyber threat landscape remain limited. For the most part, the same actors we have always tracked are behaving in the same manner they did prior to the crisis. There are some new challenges, but they are perceptible, and we-and our customers-are prepared to continue this fight through this period of unprecedented change. The significant shifts in the threat landscape we are currently tracking include: The sudden major increase in a remote workforce has changed the nature and vulnerability of enterprise |
Vulnerability Threat | ★★★ | |
|
2020-04-06 07:00:00 | L'exploitation zéro-jour démontre de plus en plus l'accès à l'argent plutôt qu'à la compétence - intelligence pour la gestion de la vulnérabilité, la première partie Zero-Day Exploitation Increasingly Demonstrates Access to Money, Rather than Skill - Intelligence for Vulnerability Management, Part One (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de la CTI pour permettre la gestion des vulnérabilité, et les dévoilementsNouvelles recherches sur les dernières menaces, tendances et recommandations.
Fireeye Mandiant Threat Intelligence a documenté plus de jours zéro exploités en 2019 que toutes les trois années précédentes.Bien que pas
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. FireEye Mandiant Threat Intelligence documented more zero-days exploited in 2019 than any of the previous three years. While not |
Vulnerability Threat | ★★★ | |
|
2020-03-31 10:00:00 | C'est votre argent et ils le veulent maintenant - le cycle de la poursuite de l'adversaire It\\'s Your Money and They Want It Now - The Cycle of Adversary Pursuit (lien direct) |
Lorsque nous découvrons de nouvelles intrusions, nous nous posons des questions qui nous aideront à comprendre la totalité de l'ensemble d'activités.
Quelle est la fréquence de cette activité?Y a-t-il quelque chose d'unique ou de spécial dans ce logiciel malveillant ou cette campagne?Qu'est-ce qui est nouveau et qu'est-ce qui est ancien en termes de TTPS ou d'infrastructures?Est-ce que cela est vu ailleurs?Quelles informations ai-je qui soutiennent la nature de cet acteur de menace?
Pour suivre un adversaire rapide au fil du temps, nous exploitons des données d'intrusion organiques, pivotons à d'autres ensembles de données, et rendons ces connaissances exploitables pour les analystes et les répondeurs incidents, permettant de nouveaux
When we discover new intrusions, we ask ourselves questions that will help us understand the totality of the activity set. How common is this activity? Is there anything unique or special about this malware or campaign? What is new and what is old in terms of TTPs or infrastructure? Is this being seen anywhere else? What information do I have that substantiates the nature of this threat actor? To track a fast-moving adversary over time, we exploit organic intrusion data, pivot to other data sets, and make that knowledge actionable for analysts and incident responders, enabling new |
Malware Threat | ★★★ | |
|
2020-03-27 14:00:00 | Ingénierie sociale basée sur le projet de loi de relance et les systèmes de rémunération financière Covid-19 qui devraient croître dans les semaines à venir Social Engineering Based on Stimulus Bill and COVID-19 Financial Compensation Schemes Expected to Grow in Coming Weeks (lien direct) |
Compte tenu de l'intérêt communautaire et de la couverture médiatique entourant le projet de loi sur la relance économique actuellement examiné par la Chambre des représentants des États-Unis, nous prévoyons que les attaquants tiendront de plus en plus des leurres adaptés au nouveau projet de loi de relance et aux efforts de rétablissement connexes tels que les chèques de relance, la compensation de chômageet les prêts aux petites entreprises.Bien que les campagnes employant des thèmes pertinentes à ces questions commencent à être adoptées par des acteurs de la menace, nous nous attendons à de futures campagnes prudemment celles perpétrées par des acteurs de menace motivés financièrement pour incorporer ces thèmes dans
Given the community interest and media coverage surrounding the economic stimulus bill currently being considered by the United States House of Representatives, we anticipate attackers will increasingly leverage lures tailored to the new stimulus bill and related recovery efforts such as stimulus checks, unemployment compensation and small business loans. Although campaigns employing themes relevant to these matters are only beginning to be adopted by threat actors, we expect future campaigns-primarily those perpetrated by financially motivated threat actors-to incorporate these themes in |
Threat | ★★★ | |
|
2020-03-23 07:00:00 | Surveillance des outils de cyber-opération ICS et des modules d'exploitation de logiciels pour anticiper les menaces futures Monitoring ICS Cyber Operation Tools and Software Exploit Modules To Anticipate Future Threats (lien direct) |
Il n'y a eu qu'un petit nombre de cyberattaques largement documentées ciblant les technologies opérationnelles (OT) / systèmes de contrôle industriel (ICS) au cours de la dernière décennie.Bien que moins d'attaques soit clairement une bonne chose, l'absence d'une taille d'échantillon adéquate pour déterminer les seuils de risque peut rendre difficile pour les défenseurs de comprendre l'environnement de menace, de hiérarchiser les efforts de sécurité et de justifier l'allocation des ressources.
Pour résoudre ce problème, Fireeye Mandiant Threat Intelligence produit une gamme de rapports pour abonnement Les clients qui se concentrent sur différents indicateurs pour prédire les menaces futures
There has only been a small number of broadly documented cyber attacks targeting operational technologies (OT) / industrial control systems (ICS) over the last decade. While fewer attacks is clearly a good thing, the lack of an adequate sample size to determine risk thresholds can make it difficult for defenders to understand the threat environment, prioritize security efforts, and justify resource allocation. To address this problem, FireEye Mandiant Threat Intelligence produces a range of reports for subscription customers that focus on different indicators to predict future threats |
Tool Threat Industrial Prediction | ★★★★ | |
|
2020-03-16 10:30:00 | Ils viennent dans la nuit: tendances de déploiement des ransomwares They Come in the Night: Ransomware Deployment Trends (lien direct) |
Ransomware est un shakedown numérique éloigné.Il est perturbateur et coûteux, et il affecte toutes sortes d'organisations, à partir de Cutting Edge Technologie spatiale Firms, aux Woolindustrie , à | Ransomware Threat Industrial | ★★★ | |
|
2020-02-19 18:30:00 | LNK manquant - Corrélation des fichiers LNK de recherche d'utilisateurs The Missing LNK - Correlating User Search LNK files (lien direct) |
Les enquêteurs médico-légaux utilisent des fichiers de raccourci LNK pour récupérer les métadonnées sur les fichiers récemment consultés, y compris les fichiers supprimés après l'heure de l'accès.Dans une enquête récente, FireEye Mandiant a rencontré des fichiers LNK qui indiquaient un attaquant accessible aux fichiers inclus dans les résultats de recherche Windows Explorer.D'après notre expérience, il s'agissait d'une nouvelle combinaison d'artefacts médico-légaux.Nous sommes ravis de partager nos résultats car ils aident à peindre une image plus complète des actions et des objectifs d'un attaquant sur les systèmes ciblés.De plus, ces résultats peuvent également être exploités pour les cas de menaces d'initiés afin de déterminer
Forensic investigators use LNK shortcut files to recover metadata about recently accessed files, including files deleted after the time of access. In a recent investigation, FireEye Mandiant encountered LNK files that indicated an attacker accessed files included in Windows Explorer search results. In our experience, this was a new combination of forensic artifacts. We\'re excited to share our findings because they help to paint a more complete picture of an attacker\'s actions and objectives on targeted systems. Further, these findings can also be leveraged for insider threat cases to determine |
Threat | ★★★★ | |
|
2020-02-12 12:30:00 | Opération d'information "éminent l'identité" qui a précédemment imité les politiciens et les journalistes américains sur les réseaux sociaux fabriqués des personnages libéraux américains pour promouvoir les intérêts iraniens "Distinguished Impersonator" Information Operation That Previously Impersonated U.S. Politicians and Journalists on Social Media Leverages Fabricated U.S. Liberal Personas to Promote Iranian Interests (lien direct) |
En mai 2019, FireEye Threat Intelligence a publié un article de blog exposant un réseau de comptes de médias sociaux en anglais qui se sont engagés dans un comportement inauthentique et une fausse déclaration que nous avons évalués avec une faible confiance a été organisé pour soutenir les intérêts politiques iraniens.Les personnages de ce réseau ont usurpé l'identité des candidats aux sièges de la Chambre des représentants des États-Unis en 2018 et ont mis à profit des personnages de journalistes fabriqués pour solliciter diverses personnes, y compris de vrais journalistes et politiciens, pour des interviews destinées à renforcer les récits politiques souhaités.Depuis la sortie de ce billet de blog, nous
In May 2019, FireEye Threat Intelligence published a blog post exposing a network of English-language social media accounts that engaged in inauthentic behavior and misrepresentation that we assessed with low confidence was organized in support of Iranian political interests. Personas in that network impersonated candidates for U.S. House of Representatives seats in 2018 and leveraged fabricated journalist personas to solicit various individuals, including real journalists and politicians, for interviews intended to bolster desired political narratives. Since the release of that blog post, we |
Threat | ★★★ | |
|
2020-01-31 16:45:00 | DLL LEAT-WORKING & RIJACKING - Utilisation de l'intelligence des menaces pour armer la R&D DLL Side-loading & Hijacking - Using Threat Intelligence to Weaponize R&D (lien direct) |
Aperçu des techniques d'abus DLL
Bibliothèque dynamique-link (dll) Side-Choting se produit lorsque Windows Side-Aide (WinsXSS) se manifester programme.En termes de laïc \\, DLL LEAD-LADODING peut permettre à un attaquant de tromper un programme pour charger une DLL malveillante.Si vous êtes intéressé à en savoir plus sur la façon dont DLL à chargement latéral Fonctionne et comment nous voyons les attaquants en utilisant cette technique, lisez notre rapport.
dll hijacking Se produit lorsqu'un attaquant est en mesure de profiter de l'ordre de recherche et de chargement Windows, permettant l'exécution d'une DLL malveillante
DLL Abuse Techniques Overview Dynamic-link library (DLL) side-loading occurs when Windows Side-by-Side (WinSxS) manifests are not explicit about the characteristics of DLLs being loaded by a program. In layman\'s terms, DLL side-loading can allow an attacker to trick a program into loading a malicious DLL. If you are interested in learning more about how DLL side-loading works and how we see attackers using this technique, read through our report. DLL hijacking occurs when an attacker is able to take advantage of the Windows search and load order, allowing the execution of a malicious DLL |
Threat | ★★★ | |
|
2020-01-24 17:00:00 | Beau essai: 501 (ransomware) non implémenté Nice Try: 501 (Ransomware) Not Implemented (lien direct) |
une menace en constante évolution
Depuis le 10 janvier 2020, Fireeye a suivi une vaste exploitation globale de CVE-2019-19781, qui continue d'avoir un impact sur Citrix ADC et Gateway Instances qui sont non corrigées ou n'ont pas Mitigations appliquées .Nous avons précédemment rendu compte des attaquants \\ 'Swift Tuts d'exploiter cette vulnérabilité et le déploiement post-compromis de l'invisible Notrobin Makware Family par un acteur de menace.FireEye continue de suivre activement plusieurs grappes d'activité associées à l'exploitation de cette vulnérabilité, principalement basée sur la façon dont les attaquants interagissent avec vulnérable
An Ever-Evolving Threat Since January 10, 2020, FireEye has tracked extensive global exploitation of CVE-2019-19781, which continues to impact Citrix ADC and Gateway instances that are unpatched or do not have mitigations applied. We previously reported on attackers\' swift attempts to exploit this vulnerability and the post-compromise deployment of the previously unseen NOTROBIN malware family by one threat actor. FireEye continues to actively track multiple clusters of activity associated with exploitation of this vulnerability, primarily based on how attackers interact with vulnerable |
Malware Vulnerability Threat | ★★★★ | |
|
2020-01-15 15:00:00 | Vigilante Déploiement de l'atténuation pour la vulnérabilité Citrix NetScaler tout en maintenant la porte dérobée Vigilante Deploying Mitigation for Citrix NetScaler Vulnerability While Maintaining Backdoor (lien direct) |
comme indiqué dans Patch rust: je le promets que ce sera 200 ok , notre Fireeye mandiant L'équipe de réponse aux incidents a étéLe travail dur en répondant aux intrusions résultant de l'exploitation du CVE-2019-19781.Après avoir analysé des dizaines de tentatives d'exploitation réussies contre Citrix ADC qui n'avaient pas le Étapes d'atténuation Citrix Implémentées, nous avons reconnu plusieurs groupes d'activités post-exploitation.Dans ces derniers, quelque chose a attiré notre attention: un acteur de menace particulier qui a déployé une charge utile auparavant unie pour laquelle nous avons créé la famille de code Notrobin.
en ayant accès à un
As noted in Rough Patch: I Promise It\'ll Be 200 OK, our FireEye Mandiant Incident Response team has been hard at work responding to intrusions stemming from the exploitation of CVE-2019-19781. After analyzing dozens of successful exploitation attempts against Citrix ADCs that did not have the Citrix mitigation steps implemented, we\'ve recognized multiple groups of post-exploitation activity. Within these, something caught our eye: one particular threat actor that\'s been deploying a previously-unseen payload for which we\'ve created the code family NOTROBIN. Upon gaining access to a |
Vulnerability Threat | ★★★ | |
|
2020-01-09 17:30:00 | Saigon, la mystérieuse fourche Ursnif SAIGON, the Mysterious Ursnif Fork (lien direct) |
ursnif (aka Gozi / Gozi-ISFB) est l'une des plus anciennes familles de logiciels malveillants bancaires encore en distribution active.Alors que la première version majeure d'URSNIF a été identifiée en 2006, plusieurs versions ultérieures ont été publiées en grande partie en raison des fuites de code source.Fireeye a rendu compte d'une variante non identifiée auparavant de la famille Ursnif Malware à nos abonnés de l'intelligence des menaces en septembre 2019 après avoir identifié un serveur qui a hébergé une collection d'outils, qui comprenait plusieurs familles de logiciels malveillants de point de vente.Ce malware s'est identifié comme "Saigon version 3.50 Rev 132" et notre analyse
Ursnif (aka Gozi/Gozi-ISFB) is one of the oldest banking malware families still in active distribution. While the first major version of Ursnif was identified in 2006, several subsequent versions have been released in large part due source code leaks. FireEye reported on a previously unidentified variant of the Ursnif malware family to our threat intelligence subscribers in September 2019 after identification of a server that hosted a collection of tools, which included multiple point-of-sale malware families. This malware self-identified as "SaiGon version 3.50 rev 132," and our analysis |
Malware Threat | ★★★ | |
|
2019-10-21 12:00:00 | Encodeur Shikata Ga Nai va toujours fort Shikata Ga Nai Encoder Still Going Strong (lien direct) |
L'un des cadres d'exploitation les plus populaires au monde est Metasploit.Sa vaste bibliothèque d'exploits de poche, son environnement de charge utile enfichable et sa simplicité d'exécution en font la plate-forme de base de facto.Metasploit est utilisé par les Pentesters, les amateurs de sécurité, les enfants de script et même les acteurs malveillants.Il est si répandu que sa base d'utilisateurs comprend même des acteurs de menace appropriés, comme nous le démontrerons plus loin dans le billet de blog.
Malgré l'existence de plus de 15 ans de métasploit, il existe encore des techniques de base qui ne sont pas détectées, permettant aux acteurs malveillants d'échapper à la détection.L'une de ces techniques de base est
One of the most popular exploit frameworks in the world is Metasploit. Its vast library of pocket exploits, pluggable payload environment, and simplicity of execution makes it the de facto base platform. Metasploit is used by pentesters, security enthusiasts, script kiddies, and even malicious actors. It is so prevalent that its user base even includes APT threat actors, as we will demonstrate later in the blog post. Despite Metasploit\'s over 15 year existence, there are still core techniques that go undetected, allowing malicious actors to evade detection. One of these core techniques is |
Threat | ★★★ |
To see everything:
Our RSS (filtrered)
