What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-02-17 07:45:42 | 3 Ways Visualization Improves Cloud Asset Management and Security (lien direct) | Public cloud services and cloud assets are agile and dynamic environments. Close oversight of these assets is a critical component of your asset management and security practices. While it's important to understand the relationships and potential vulnerabilities of your cloud assets, the practice of managing these systems is complicated by the ever-changing nature of cloud […] | Cloud | ★★★ | |
 |
2023-02-16 10:55:24 | Espionage WIP26 |Les acteurs de la menace abusent des infrastructures cloud dans les attaques de télécommunications ciblées WIP26 Espionage | Threat Actors Abuse Cloud Infrastructure in Targeted Telco Attacks (lien direct) |
Un nouveau cluster de menaces a ciblé les fournisseurs de télécommunications au Moyen-Orient et abusé des services cloud Microsoft, Google et Dropbox.
A new threat cluster has been targeting telecommunication providers in the Middle East and abusing Microsoft, Google and Dropbox cloud services. |
Threat Cloud | ★★★ | |
 |
2023-02-16 00:00:00 | WatchGuard lance une nouvelle gamme de firewalls pour améliorer la sécurité unifiée des entreprises distantes et multisites (lien direct) | Paris, le 16 février 2023 - WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, annonce la sortie de ses nouveaux firewalls Firebox T25/T25-W, T45/T45-POE/T45-W-POE et T85-POE en version tabletop. Propulsés par l'architecture Unified Security Platform® de WatchGuard pour offrir une sécurité complète et une gestion simplifiée via WatchGuard Cloud, ces nouveaux firewalls sont conçus pour offrir les performances dont les environnements professionnels distants et multisites ont besoin pour mieux se protéger contre les menaces de sécurité réseau les plus récentes. Avec plus de mémoire et des vitesses de traitement plus rapides pour un meilleur débit, cette nouvelle gamme d'appliances Firebox permet aux partenaires WatchGuard, MSP et administrateurs informatiques de sécuriser les succursales, les équipements de bureau, les appareils distants, les logiciels de point de vente et les utilisateurs distants contre les menaces complexes et émergentes, tout en réduisant autant que possible les exigences de configuration et de gestion du réseau. " Les environnements informatiques de tous types et de toutes tailles sont confrontés à des cybermenaces avancées et sophistiquées mais les PME et les succursales ne disposent généralement pas de compétences dédiées pour configurer, installer et gérer les solutions de sécurité réseau ", explique Ryan Poutre, Product Manager chez WatchGuard Technologies. " Cette nouvelle génération de Firebox tire pleinement parti de l'architecture de notre plateforme de sécurité unifiée. Les MSP peuvent ainsi proposer les solutions robustes et la gestion simplifiée dont ils ont besoin pour répondre aux besoins d'un large éventail de clients et de scénarios de déploiement. " Grâce à des services de sécurité comme APTBlocker (sandbox malware detection) et ThreatSync (partage des connaissances entre l'endpoint et le réseau), les nouvelles Firebox sont idéales pour les petites entreprises qui ne disposent pas d'une équipe de sécurité dédiée. En plus d'offrir une protection avancée contre les logiciels malveillants en environnement multisites, les nouvelles solutions intègrent des fonctionnalités SD-WAN pour optimiser les performances du réseau en distribuant dynamiquement le trafic réseau sur plusieurs connexions en fonction de politiques définies. Ces nouvelles Firebox tirent parti des dernières mises à jour de WatchGuard Cloud pour afficher graphiquement et en temps réel l'état des liens SD-WAN et de tout basculement. Elles prennent également en charge les dernières fonctionnalités Fireware pour le partage de la charge sur plusieurs liens. Ces capacités sont incluses dans toutes les offres de services de WatchGuard. " Les appliances Firebox portables de WatchGuard nous offrent toutes les fonctionnalités et la protection de sécurité des appliances en rack, et nous rendent plus efficaces avec le provisioning Zero Touch pour déployer et configurer les appareils, mettre à jour le firmware et appliquer les politiques après qu'un utilisateur distant ait activé un appareil. Nous pouvons rapidement déployer et configurer le SD-WAN via WatchGuard Cloud à partir de sites distants ", explique Troy Midwood, Chief Technology Officer chez Aabyss. " Ces appliances sont un autre exemple de l'attention que WatchGuard porte à l'élaboration d'excellents produits qui soutiennent notre activité MSP ". Les principales caractéristiques de chacune des nouvelles appliances Firebox : WatchGuard Firebox T25/T25-W : fourn | Malware Tool Threat Cloud | ★★ | |
 |
2023-02-15 20:29:00 | North Korea\'s APT37 Targeting Southern Counterpart with New M2RAT Malware (lien direct) | The North Korea-linked threat actor tracked as APT37 has been linked to a piece of new malware dubbed M2RAT in attacks targeting its southern counterpart, suggesting continued evolution of the group's features and tactics. APT37, also tracked under the monikers Reaper, RedEyes, Ricochet Chollima, and ScarCruft, is linked to North Korea's Ministry of State Security (MSS) unlike the Lazarus and | Malware Threat Cloud | APT 38 APT 37 | ★★ |
 |
2023-02-15 10:06:57 | RedEyes Hackers Adopts New Malware, Steals Data From Devices (lien direct) | The APT37 threat group targets people for intelligence gathering using the new elusive “M2RAT” malware and steganography. North Korea’s APT37, sometimes referred to as “RedEyes” or “ScarCruft,” is a hacker collective thought to be funded by the government. The hacker gang was observed in 2022 using Internet Explorer zero-day vulnerabilities to distribute a wide range […] | Malware Threat Cloud | APT 37 | ★★ |
 |
2023-02-14 17:37:57 | RedEyes hackers use new malware to steal data from Windows, phones (lien direct) | The APT37 threat group (aka 'RedEyes' or 'ScarCruft') has been spotted using a new evasive malware named 'M2RAT' along with steganography to attack specific individuals for intelligence collection. [...] | Malware Threat Cloud | APT 37 | ★★ |
 |
2023-02-01 15:00:00 | Ajouter une visibilité du nuage à votre programme de gestion de surface d'attaque Add Cloud Visibility to Your Attack Surface Management Program (lien direct) |
La surface d'attaque externe se développe au-delà du DNS et des domaines pour inclure des ressources et des applications hébergées dans le nuage.Pour les organisations ayant des empreintes sur site et dans deux ou plusieurs environnements cloud, la réalisation d'une visibilité continue et centralisée de tous les actifs possédés est lourd, ce qui a conduit les équipes de sécurité à basculer entre les consoles pour bricoler ensemble une vue de la surface d'attaque.
Ajoutant au défi, l'accélération de l'adoption des nuages a donné un nombre croissant de applications entrant des instances de cloud avant que l'équipe de sécurité puisse les évaluer pour le risque . observations du monde réel indic
The external attack surface expands beyond DNS and domains to include resources and applications hosted in the cloud. For organizations with footprints on-prem and in two or more cloud environments, achieving continuous and centralized visibility of all owned assets is cumbersome, leading security teams to toggle between consoles to cobble together a view of the attack surface. Adding to the challenge, the acceleration of cloud adoption has yielded an increasing number of applications entering cloud instances before the security team can assess them for risk. Real-world observations indic |
Cloud | ★★★ | |
|
2023-01-18 00:00:00 | WatchGuard nomme Simon Yeo Senior Vice President of Operations (lien direct) | Paris - le 18 janvier 2023 - WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, annonce la nomination de Simon Yeo en tant que nouveau Senior Vice President of Operations de l'éditeur. Simon dirigera les opérations liées au Cloud, à la sécurité, aux systèmes et à l'infrastructure IT de WatchGuard. Vétéran de l'industrie technologique avec plus de trois décennies d'expérience, l'expertise professionnelle de Simon Yeo couvre les domaines du Cloud public et privé, du datacenter, de l'ingénierie réseau, du DevOps, des systèmes IT d'entreprise, de la sécurité, etc. " Simon apporte à WatchGuard une expertise approfondie du secteur de la technologie et un mode de management axé sur les personnes, la collaboration et l'intégrité ", explique Prakash Panjwani, CEO de WatchGuard Technologies. " Ses précieuses compétences en sécurité, sa connaissance des produits WatchGuard et son approche du marché, ainsi que son expertise en matière de transformation numérique font de lui le candidat idéal pour ce rôle. Nous sommes ravis d'accueillir Simon dans l'équipe dirigeante de WatchGuard. " Avant de rejoindre WatchGuard, Simon Yeo a occupé pendant six ans le poste de CIO chez Barracuda Networks. Il a supervisé diverses initiatives stratégiques, notamment la transformation numérique de l'entreprise, la migration du Cloud privé vers le cloud public, et la transformation des programmes de sécurité et de conformité. Simon Yeo a également occupé des postes de direction chez Upwork, Tout.com, Meebo et LoudCloud. Passionné de technologie depuis toujours, Simon Yeo est titulaire d'une licence en informatique et ingénierie de l'UCLA et d'une maîtrise en informatique de l'université de Stanford. " WatchGuard est un leader reconnu en matière de cybersécurité, avec une culture de travail remarquablement collaborative ", se réjouit Simon Yeo. " Je suis enthousiaste à l'idée d'endosser ce nouveau rôle et j'ai hâte de travailler avec les équipes de WatchGuard, afin de d'accélérer la modernisation des systèmes et les processus, et de la transformation du Cloud” | Cloud | ★★★ | |
|
2023-01-12 18:00:00 | Donner un sens à la gestion externe de la surface des attaques: l'état actuel et futur de la catégorie Making Sense of External Attack Surface Management: The Current and Future State of the Category (lien direct) |
La catégorie externe de gestion de la surface d'attaque (EASM) a vu le jour alors que les fournisseurs de sécurité ont cherché à améliorer les lacunes de la visibilité des actifs et de l'énumération de la vulnérabilité créée par l'héritageDes outils qui n'ont pas réussi à s'adapter à l'évolution de la dynamique de l'informatique et à la croissance des écosystèmes numériques.Parmi les défis liés à la visibilité sur les actifs inconnus, les organisations sont confrontées au risque introduit par les actifs tiers, y compris les applications.Le Équipe d'action de cybersécurité Google (GCAT) prédit des actifs et des dépendances tiers dans le cloud nécessitera des mises à jour de la gestion des risques
The external attack surface management (EASM) category came into existence as security vendors sought to improve the gaps in asset visibility and vulnerability enumeration created by legacy tools that failed to adapt to the evolving dynamics of enterprise IT and the growth of digital ecosystems. Among challenges with gaining visibility into unknown assets, organizations are faced with risk introduced by third party assets, including applications. The Google Cybersecurity Action Team (GCAT) predicts third-party assets and dependencies within the cloud will necessitate updates to risk management |
Tool Vulnerability Cloud | ★★★ | |
|
2023-01-11 15:00:00 | Annonçant la menace prête avec mandiant Announcing Threat Ready with Mandiant (lien direct) |
Les experts mandiants utilisent des données et des idées glanées à partir de leurs expériences de réponse aux incidents de première ligne pour informer nos services et solutions.Ces expériences combinées à l'intelligence de menace de Mandiant \\ sont au cœur de menace prête avec mandiant , une nouvelle offre de Google Cloud . La menace prête avec Mandiant permet aux organisations de protéger ce qui compte le plus pour leur entreprise, et d'avoir également accès aux experts mandiants pour répondre aux violations et aider à durcir leur environnement contre les menaces actives.
menace prête avec mandiant est disponible pour les clients de Google Cloud et les clients fonctionnant sur
Mandiant experts use data and insights gleaned from their frontline incident response experiences to inform our services and solutions. Those experiences combined with Mandiant\'s threat intelligence are at the core of Threat Ready with Mandiant, a new offering from Google Cloud. Threat Ready with Mandiant allows organizations to protect what matters most to their business, and also have access to Mandiant experts to respond to breaches and to help harden their environments against active threats. Threat Ready with Mandiant is available to both Google Cloud customers and customers running on |
Threat Cloud | ★★★ | |
 |
2022-12-15 00:00:00 | Développez votre cloud natif apps la manière durable Develop Your Cloud Native Apps the Sustainable Way (lien direct) |
Le développement d'applications utilisant Cloud Native Technologies change la donne pour les développeurs.Avec une base de code robuste et maintenable, ils sont positionnés pour faire de leur mieux.Découvrez comment Sonar a le plan de jeu Clean Code pour compléter parfaitement vos initiatives natives cloud.
Application development using cloud native technologies is a game changer for developers. With a robust, maintainable codebase, they are positioned to do their best work. Learn how Sonar has the clean code game plan to perfectly complement your cloud native initiatives. |
Cloud | ★★★ | |
|
2022-12-12 00:00:00 | WatchGuard dévoile l\'appliance Firebox NV5 et le point d\'accès AP332CR pour le travail à distance et les environnements extérieurs (lien direct) | Paris, le 12 décembre 2022 – WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, présente Firebox NV5, une appliance VPN en version tabletop, ainsi que l'AP332CR, un nouveau point d'accès Wi-Fi 6 pour les déploiements en extérieur ou en milieu difficile. Conçus pour subvenir aux besoins des MSP et des utilisateurs finaux dans des lieux de déploiement ciblés, ces deux ajouts à la robuste gamme de produits et de services de sécurité de WatchGuard viennent renforcer la protection pour les entreprises dont les opérations sont distribuées, et ce dans le cadre d'une expérience transparente partout, peu importe où se trouvent les utilisateurs. Associés à WatchGuard Cloud pour obtenir une plateforme simplifiée pour la gestion centralisée de la sécurité, l'appliance NV5 et le point d'accès AP332CR sont faciles à déployer et à configurer avec un reporting simplifié grâce au framework Unified Security Platform® de WatchGuard. " WatchGuard reste concentré sur sa vision d'être le fournisseur de sécurité de choix pour les MSP, en leur offrant des solutions de sécurité qui répondent à un large éventail d'exigences et de besoins côté clients, y compris dans les environnements distants et distribués ", a déclaré Ryan Poutre, Product Manager chez WatchGuard Technologies. " Nous tenons notre promesse d'établir une nouvelle norme en matière de sécurité, grâce à notre technologie, à notre équipe et à l'écosystème florissant des partenaires de WatchGuard. Ensemble, nous continuerons à repousser toujours plus haut l'excellence. " L'expansion continue du robuste portefeuille de sécurité de WatchGuard, tant en ampleur qu'en pertinence, constitue un élément clé de la mission de l'éditeur, qui vise à rendre une sécurité de pointe accessible à toutes les organisations, et cette expansion permet à l'éditeur de simplifier et de faire évoluer chaque aspect de de la mise à disposition et de la gestion de la sécurité. Firebox NV5 : connectivité en périphérie pour les succursales et les applications à distance Solution puissante pour le trafic VPN distribué et sécurisé, l'appliance Firebox NV5 s'accompagne d'une solution de sécurité et de journalisation centralisée pour les administrateurs. Conçue pour prendre en charge les connexions VPN à distance vers une appliance Firebox virtuelle ou physique d'entreprise, la solution NV5 peut rediriger le trafic vers l'appliance de sécurité de l'entreprise grâce aux capacités Branch Office VPN (BOVPN) de WatchGuard afin de fournir le même niveau de protection qu'un appareil installé dans les bureaux de l'entreprise. Avec ses capacités SD-WAN avancées, l'appliance NV5 convient parfaitement aux déploiements dans des applications à distance telles que les kiosques, les distributeurs automatiques et les équipements de bureau. Les principales caractéristiques de l'appliance Firebox NV5 sont les suivantes : Déploiement sans intervention – WatchGuard Cloud offre un outil de déploiement et de configuration " Zero Touch " fourni en standard avec l'appliance Firebox NV5. Le déploiement sans intervention élimine une grande partie du travail nécessaire à la mise en place d'une appliance Firebox sur le réseau, que les équipes informatiques peuvent effectuer sans quitter leur bureau. Le personnel local connecte simplement l'appareil &a | Cloud | ★★★ | |
|
2022-12-08 13:29:00 | Google Warns of Internet Explorer Zero-Day Vulnerability Exploited by ScarCruft Hackers (lien direct) | An Internet Explorer zero-day vulnerability was actively exploited by a North Korean threat actor to target South Korean users by capitalizing on the recent Itaewon Halloween crowd crush to trick users into downloading malware. The discovery, reported by Google Threat Analysis Group researchers Benoît Sevens and Clément Lecigne, is the latest set of attacks perpetrated by ScarCruft, which is | Vulnerability Threat Cloud | APT 37 | ★★★ |
 |
2022-12-06 19:07:40 | Cloud Threats Memo: Cyber Espionage Exploiting Google Drive for C2 Infrastructure (lien direct) | >Another day, another legitimate cloud service exploited for a cyber espionage campaign… Researchers at ESET recently discovered Dolphin, a previously unreported backdoor used by the North-Korean threat actor APT37 (AKA ScarCruft and Reaper) against selected targets. The backdoor, deployed after the initial compromise using less sophisticated malware, was observed for the first time in early […] | Threat Cloud | APT 37 | ★★★ |
 |
2022-12-01 11:02:51 | North Korea ScarCruft APT used previously undetected Dolphin Backdoor against South Korea (lien direct) | >North Korea-linked ScarCruft group used a previously undocumented backdoor called Dolphin against targets in South Korea. ESET researchers discovered a previously undocumented backdoor called Dolphin that was employed by North Korea-linked ScarCruft group (aka APT37, Reaper, and Group123) in attacks aimed at targets in South Korea. ScarCruft has been active since at least 2012, it made the headlines in early February 2018 when researchers […] | Cloud | APT 37 | ★★ |
|
2022-12-01 00:00:00 | North Korea Hackers Using New "Dolphin" Backdoor to Spy on South Korean Targets (lien direct) | The North Korea-linked ScarCruft group has been attributed to a previously undocumented backdoor called Dolphin that the threat actor has used against targets located in its southern counterpart. "The backdoor [...] has a wide range of spying capabilities, including monitoring drives and portable devices and exfiltrating files of interest, keylogging and taking screenshots, and stealing | Threat Cloud | APT 37 | ★★ |
 |
2022-11-30 14:15:11 | Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s\'appuyant sur Google Drive (lien direct) | Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu'alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d'un large éventail de fonctionnalités d'espionnage. | Cloud | APT 37 | ★★★ |
 |
2022-11-30 13:59:28 | ESET Research : un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s\'appuyant sur Google Drive (lien direct) | ESET Research : un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s'appuyant sur Google Drive ● Les chercheurs d'ESET ont analysé Dolphin, une porte dérobée jusqu'à présent inconnue, utilisée par le groupe de pirates ScarCruft. ● Dolphin possède de nombreuses fonctionnalités d'espionnage, notamment de surveillance des lecteurs et des appareils portables, d'exfiltration de fichiers d'intérêt, d'enregistrement des frappes de clavier, de capture d'écran et de vol d'identifiants dans les navigateurs. ● Elle est uniquement déployée sur des cibles sélectionnées. Elle parcourt les lecteurs des systèmes compromis à la recherche de fichiers intéressants et les exfiltre vers Google Drive. ● ScarCruft, également connu sous le nom d'APT37 ou Reaper, est un groupe d'espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud. Les cibles de ScarCruft semblent être liées aux intérêts de la Corée du Nord. ● La porte dérobée est le malware final d'une attaque menée en plusieurs étapes au début de l'année 2021, qui se compose d'une attaque dite de " point d'eau " sur un journal en ligne sud-coréen, l'exploitation d'une vulnérabilité d'Internet Explorer, et une autre porte dérobée de ScarCruft appelée BLUELIGHT. ● Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs d'ESET ont observé de multiples versions et améliorations de cette porte dérobée, dont l'ajout de techniques pour échapper à sa détection. ● La possibilité de modifier les paramètres des comptes Google et Gmail connectés des victimes afin d'en réduire la sécurité est une caractéristique notable des versions antérieures de Dolphin. - Malwares | Malware Cloud | APT 37 | ★★★ |
 |
2022-11-30 10:30:33 | Who\'s swimming in South Korean waters? Meet ScarCruft\'s Dolphin (lien direct) | ESET researchers uncover Dolphin, a sophisticated backdoor extending the arsenal of the ScarCruft APT group | Cloud | APT 37 | ★★★ |
 |
2022-11-22 17:01:40 | Cloud " souverain " : Inria et Hive lancent un défi (lien direct) | Soutenir l'émergence d'un cloud distribué capable de contourner les fournisseurs historiques, Hive et des équipes-projets d'Inria le tentent. | Cloud | ★★★★ | |
|
2022-11-21 04:41:00 | Hermitage Solutions signe un accord de distribution avec JumpCloud (lien direct) | Hermitage Solutions signe un accord de distribution avec JumpCloud , fournisseur d'une plateforme d'annuaire d'entreprise dans le cloud (Open Directory) qui unifie la gestion des périphériques et des identités pour tous les types de ressources informatiques - sur site, dans le cloud et pour Windows, Mac, Linux, iOS. - Business | Cloud | APT 37 | |
|
2022-11-18 23:30:00 | 24 nov. 2022 12:00 - 13:00 Webinaire ACCEDIAN et Hermitage Solutions : Pourquoi utiliser une solution NDR pour couvrir les angles morts des EDR & pare-feux (Firewall) de vos clients ? (lien direct) | Face aux moyens de protection avancés, les attaquants sont devenus de plus en plus innovants avec des techniques d'attaques évoluées telles que le DNS tunnelling, le balisage (beaconing), des typologies d'attaque difficilement identifiables par les pare-feux et EDR de vos clients. Comment donc combler cette faille pour assurer une protection complète de vos clients ? Ce jeudi 24 novembre à 12h, nos experts Yvan Lanzada, responsable commercial pour Hermitage Solutions, et Romain Ollier, (...) - Événements | Cloud | APT 37 | |
|
2022-11-17 17:40:11 | Hermitage Solutions intègre la solution de détection et de réponse réseau (NDR) d\'Accedian à son catalogue (lien direct) | Hermitage Solutions intègre la solution de détection et de réponse réseau (NDR) d'Accedian à son catalogue - Business | Cloud | APT 37 | |
|
2022-11-16 19:00:00 | Plus intelligent, pas plus difficile: comment hiérarchiser intelligemment le risque de surface d'attaque Smarter, Not Harder: How to Intelligently Prioritize Attack Surface Risk (lien direct) |
Il y a un dicton commun dans la cybersécurité: «Vous ne pouvez pas protéger ce que vous ne savez pas», et cela s'applique parfaitement à la surface d'attaque d'une organisation donnée.
De nombreuses organisations ont des risques cachés tout au long de leur infrastructure informatique et de sécurité étendue.Que le risque soit introduit par la croissance du nuage organique, l'adoption de dispositifs IoT ou par des fusions et acquisitions, le risque caché est dormant.En conséquence, les équipes informatiques et de sécurité n'ont pas toujours une image à jour de l'écosystème étendu qu'ils doivent défendre.Les outils hérités ont souvent des listes statiques de l'inventaire des actifs \\ 'connu
There\'s a common saying in cyber security, “you can\'t protect what you don\'t know,” and this applies perfectly to the attack surface of any given organization. Many organizations have hidden risks throughout their extended IT and security infrastructure. Whether the risk is introduced by organic cloud growth, adoption of IoT devices, or through mergers and acquisitions, the hidden risk lies dormant. As a result, IT and security teams do not always have an up-to-date picture of the extended ecosystem they need to defend. Legacy tools often have static lists of the \'known\' asset inventory |
Tool Cloud | ★★★★ | |
 |
2022-10-18 08:41:18 | The benefits of taking an intent-based approach to detecting Business Email Compromise (lien direct) |  By Abhishek Singh.BEC is a multi-stage attack. Adversaries first identify targets, then they establish rapport with the victim before exploiting them for whatever their end goal is. In the case of BEC, a threat actor can impersonate any employee in the organization to trick targets. A policy that checks for authorized email addresses of the sender can prevent BEC attacks. However, scaling the approach for every employee in a large organization is a challenge. Building an executive profile based on email analysis using a machine learning model and scanning emails against that profile will detect BEC. Data collection for building and training machine learning algorithms can take time, though, opening a window of opportunity for threat actors to exploit. Detection of exploitation techniques such as lookalike domains and any differences in the email addresses in the "From" and "Reply-to" fields can also detect BEC messages. However, the final verdict cannot account for the threat actor's intent. The intent-based approach detects BEC and then classifies it into the type of scam. It catches BEC messages, irrespective of whether a threat actor is impersonating a C-level executive or any employee in an organization. Classification based on the type of scam can help identify which segment of an organization was targeted and which employees were being impersonated by the threat actor. The additional information will further assist in better designing preventive features to stop BEC. Business email compromise (BEC) is one of the most financially damaging online crimes. As per the internet crime 221 report, the total loss in 2021 due to BEC is around 2.4 billion dollars. Since 2013, BEC has resulted in a 43 billion dollars loss. The report defines BEC as a scam targeting businesses (not individuals) working with foreign suppliers and companies regularly performing wire transfer payments. Fraudsters carry out these sophisticated scams to conduct the unauthorized transfer of funds. This introduces the challenge of how to detect and block these campaigns as they continue to compromise organizations successfully. There are a variety of approaches to identifying BEC email messages, such as using policy to allow emails from authorized email addresses, detecting exploitation techniques used by threat actors, building profiles by analysis of emails, and validating against the profile to detect BEC. These approaches have a variety of limitations or shortcomings. Cisco Talos is taking a different approach and using an intent-based model to identify and block BEC messages. Before we get too deep into the intent-based model, take a deeper look at the commonly used approaches to block BEC from the simplistic through machine learning (ML) approaches. Policy-based detection The first place to start is with policy-based detection as it is one of the most common and simplistic approaches to blocking BEC campaigns. Let's start by looking at an example of a BEC email. |
Threat Medical Cloud | Yahoo Uber APT 38 APT 37 APT 29 APT 19 APT 15 APT 10 | |
|
2022-10-11 08:00:00 | Protection des risques numériques mandialiants pour les clients Splunk Enterprise Mandiant Digital Risk Protection for Splunk Enterprise Customers (lien direct) |
Une surface d'attaque d'une organisation \\ est en constante évolution à mesure que les empreintes numériques et l'adoption du cloud se développent, de nouvelles relations commerciales sont conçues et que les employés travaillent de n'importe où.En conséquence, chaque appareil, application, service réseau, fournisseur ou employé peut désormais être une cible pour le compromis initial dans le grand schéma d'une campagne d'acteur de menace.
Pour atténuer les risques, les équipes de sécurité ont besoin d'une visibilité sur la surface d'attaque mondiale et le Web profond et sombre.La visibilité requise comprend l'établissement et la surveillance d'un inventaire complet d'actifs (connu et inconnu), comment leur marque est discutée sur
An organization\'s attack surface is ever-changing as digital footprints and cloud adoption grow, new business relationships are conceived, and employees work from anywhere. As a result, every device, application, network service, supplier, or employee can now be a target for initial compromise in the grand scheme of a threat actor campaign. To mitigate risk, security teams need visibility into the global attack surface and deep and dark web. The required visibility includes establishing and monitoring a complete inventory of assets (known and unknown), how their brand is being discussed on |
Threat Cloud | ★★★ | |
|
2022-10-05 00:00:00 | WatchGuard AuthPoint plus performant en termes de fonctionnalités MFA, de facilité d\\'utilisation et de rentabilité, selon le laboratoire Miercom (lien direct) | Paris, le 19 octobre 2022 - WatchGuard® Technologies, acteur mondial de la cybersécurité unifiée, annonce que sa solution d'authentification multifacteur (MFA) AuthPoint® a obtenu la certification " Performance Verified " du laboratoire de test et certification indépendant, Miercom. En évaluant AuthPoint par rapport à des solutions concurrentes dans une grande diversité de catégories, Miercom a constaté que la solution MFA de WatchGuard offrait une plus grande richesse fonctionnelle à un coût moindre, une configuration et une administration plus aisées, et une meilleure expérience pour l'utilisateur final. " Face à des acteurs de la menace accédant facilement à des milliards d'informations d'identification volées et divulguées en ligne, sans parler de la sophistication croissante des attaques de phishing, l'authentification par mot de passe seule n'est plus une protection adéquate dans l'environnement de sécurité actuel ", déclare Tracy Hillstrom, Vice President of Content Strategy & Experience chez WatchGuard Technologies. " Désormais, avec le passage au travail distant ou hybride notamment, les entreprises sont devenues dépendantes de la MFA pour vérifier l'identité des télétravailleurs où qu'ils se trouvent ". Le laboratoire Miercom a évalué les solutions MFA proposées par WatchGuard, Cisco Duo et Microsoft Azure en fonction de 24 critères différents. L'analyse a montré qu'AuthPoint procurait un ensemble complet de fonctionnalités à un prix abordable (y compris de nombreuses fonctions pour lesquelles ses concurrents facturent des frais supplémentaires), tout en surpassant les deux alternatives en termes de facilité d'utilisation et de fonctionnalités, pour les administrateurs comme pour les utilisateurs finaux. Tout cela représentant un retour sur investissement global incomparable. Miercom a ainsi noté qu'AuthPoint : Procure la plus grande simplicité de configuration et d'utilisation de l'authentification unique (SSO) pour les administrateurs et les utilisateurs. Offre une expérience utilisateur transparente et intuitive, ce qui la rend idéale pour les utilisateurs novices Intègre des fonctionnalités modernes comme l'authentification basée sur les risques, qui offre des capacités d'accès sécurisé encore améliorées par l'utilisation de politiques de risque personnalisables. Est la seule solution parmi celles testées offrant une migration fondée sur l'empreinte dans le Cloud sur toutes les plateformes lors de l'activation (l'approche qui offre le plus haut niveau de sécurité face aux pirates). Offre une valeur ajoutée et un retour sur investissement élevés grâce à la combinaison d'un riche éventail de fonctionnalités, d'un prix d'achat unique abordable et d'une extrême facilité d'utilisation. Dans l'ensemble, Miercom a estimé que WatchGuard AuthPoint " s'est montré compétitivement supérieur dans le provisioning de l'authentification, le déploiement et les tests de sécurité ", notant que " Cisco and Microsoft sont loin d'offrir autant de fonctionnalités, de facilité d'utilisation ou d'interfaces intuitives que WatchGuard ". Cliquer ici pour lire le rapport complet de Miercom (en anglais) et ici pour accéder au rapport de synthèse en français. Cliquer ici pour plus d'informations sur AuthPoint. | Cloud | ★★ | |
 |
2022-09-21 18:36:17 | Sophisticated Hermit Mobile Spyware Heralds Wave of Government Surveillance (lien direct) | At the SecTor 2022 conference in Toronto next month, researchers from Lookout will take a deep dive into Hermit and the shadowy world of mobile surveillance tools used by repressive regimes. | Cloud | APT 37 | |
 |
2022-09-19 13:47:00 | Meeting the “Ministrer” (lien direct) | FortiGuard Labs discovered an unassuming phishing email that attempts to deploy malware. The actions used to execute this strategy are consistent with Konni, a RAT that has been tied to the group APT 37. Read to learn more about this social engineering lure. | Cloud | APT 37 | |
|
2022-09-12 08:00:00 | Déplacer la mission vers l'avant: Mandiant rejoint Google Cloud Moving the Mission Forward: Mandiant Joins Google Cloud (lien direct) |
google \\ 's acquisition of Mandiant est désormais complet , marquant un grand moment pour notre équipe et pour la communauté de sécurité que nous servons.
Dans le cadre de Google Cloud, Mandiant a désormais une capacité beaucoup plus grande pour combler l'écart de sécurité créé parun nombre croissant d'adversaires.Au cours de mes 29 ans en première ligne de la sécurisation des réseaux, j'ai vu des criminels, des États-nations et de mauvais acteurs à faire nuire aux bonnes personnes.En combinant notre expertise et notre intelligence avec l'échelle et les ressources de Google Cloud, nous pouvons faire une grande différence dans la prévention et la lutte contre les cyberattaques, tout en pincement
Google\'s acquisition of Mandiant is now complete, marking a great moment for our team and for the security community we serve. As part of Google Cloud, Mandiant now has a far greater capability to close the security gap created by a growing number of adversaries. In my 29 years on the front lines of securing networks, I have seen criminals, nation states, and plain bad actors bring harm to good people. By combining our expertise and intelligence with the scale and resources of Google Cloud, we can make a far greater difference in preventing and countering cyber attacks, while pinpointing |
Cloud | ★★★ | |
 |
2022-08-30 15:01:00 | Anomali Cyber Watch: First Real-Life Video-Spoofing Attack, MagicWeb Backdoors via Non-Standard Key Identifier, LockBit Ransomware Blames Victim for DDoSing Back, and More (lien direct) | The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: Authentication, DDoS, Fingerprinting, Iran, North Korea, Ransomware, and Russia. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity.
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
LastPass Hackers Stole Source Code
(published: August 26, 2022)
In August 2022, an unidentified threat actor gained access to portions of the password management giant LastPass development environment. LastPass informed that it happened through a single compromised developer account and the attacker took portions of source code and some proprietary LastPass technical information. The company claims that this incident did not affect customer data or encrypted password vaults.
Analyst Comment: This incident doesn’t seem to have an immediate impact on LastPass users. Still, organizations relying on LastPass should raise the concern in their risk assessment since “white-box hacking” (when source code of the attacking system is known) is easier for threat actors. Organizations providing public-facing software should take maximum measures to block threat actors from their development environment and establish robust and transparent security protocols and practices with all third parties involved in their code development.
Tags: LastPass, Password manager, Data breach, Source code
Mercury Leveraging Log4j 2 Vulnerabilities in Unpatched Systems to Target Israeli
(published: August 25, 2022)
Starting in July 2022, a new campaign by Iran-sponsored group Static Kitten (Mercury, MuddyWater) was detected targeting Israeli organizations. Microsoft researchers detected that this campaign was leveraging exploitation of Log4j 2 vulnerabilities (CVE-2021-45046 and CVE-2021-44228) in SysAid applications (IT management tools). For persistence Static Kitten was dropping webshells, creating local administrator accounts, stealing credentials, and adding their tools in the startup folders and autostart extensibility point (ASEP) registry keys. Overall the group was heavily using various open-source and built-in operating system tools: eHorus remote management software, Ligolo reverse tunneling tool, Mimikatz credential theft tool, PowerShell programs, RemCom remote service, Venom proxy tool, and Windows Management Instrumentation (WMI).
Analyst Comment: Network defenders should monitor for alerts related to web shell threats, suspicious RDP sessions, ASEP registry anomaly, and suspicious account creation. Similarly, SysAid users can monitor for webshells and abnormal processes related to SysAisServer instance. Even though Static Kitten was observed leveraging the Log4Shell vulnerabilities in the past (targeting VMware apps), most of their attacks still start with spearphishing, often from a compromised email account.
MITRE ATT&CK: [MITRE ATT&CK] Exploit Public-Facing Application - T1190 | [MITRE ATT&CK] OS Credential Dumping - T1003 | [MITRE ATT&CK] Phishing - T1566 | |
Ransomware Hack Tool Vulnerability Threat Guideline Cloud | APT 37 APT 29 LastPass | |
 |
2022-08-25 01:00:31 | Kimsuky\'s GoldDragon cluster and its C2 operations (lien direct) | Kimsuky (also known as Thallium, Black Banshee and Velvet Chollima) is a prolific and active threat actor primarily targeting Korea-related entities. In early 2022, we observed this group was attacking the media and a think-tank in South Korea. | Threat Cloud | APT 37 | |
|
2022-08-18 08:00:00 | Ukraine and the fragility of agriculture security (lien direct) |  By Joe Marshall.The war in Ukraine has had far-reaching global implications and one of the most immediate effects felt will be on the global supply chain for food. This war-induced fragility has exposed the weaknesses of how we feed ourselves globally. Ransomware cartels and other adversaries are well aware of this and are actively exploiting that fragility. For the past six years, Cisco Talos has been actively involved in assisting public and private institutions in Ukraine to defend themselves against state-sponsored actors. Our involvement stretches the gamut from commercial to critical infrastructure, to election security. Our presence has afforded us unique opportunities and observations about cybersecurity in a macro and micro way. Ukraine has been a frequent victim of state-sponsored cyber attacks aimed at critical infrastructures like power and transportation. Talos is proud to stand with our partners in Ukraine and help defend their critical networks and help users there maintain access to necessary services. Now that Russia has invaded Ukraine, those threats have escalated to kinetic attacks that are wreaking havoc on a critical element of our world: agriculture and our global food supply chain. Even worse is the implications this war will have for future cyber attacks, as fragility is considered a lucrative element in deciding victimology by threat actors like ransomware cartels. To truly grasp the implications of the war in Ukraine, we have to examine how vital Ukrainian agriculture feeds the world, the current state of affairs, and what this means for the global cybersecurity posture to protect agricultural assets. Where there is weakness, there is opportunityRansomware cartels and their affiliates are actively targeting the agricultural industry. Moreover, these actors have done their homework and are targeting agricultural companies during the two times of the year where they cannot suffer disruptions: planting and harvesting. Per the published FBI PIN Alert: “Cyber actors may perceive cooperatives as lucrative targets with a willingness to pay due to the time-sensitive role they play in agricultural production.” This is far from unusual for these adversaries - they are shrewd and calculating, and understand their victims' weaknesses and industries. H |
Ransomware Threat Guideline Cloud | NotPetya Uber APT 37 APT 32 APT 28 APT 10 APT 21 Guam | |
 |
2022-08-06 10:46:21 | CISO workshop slides (lien direct) | A glossy, nicely-constructed and detailed PowerPoint slide deck by Microsoft Security caught my beady this morning. The title 'CISO Workshop: Security Program and Strategy' with 'Your Name Here' suggests it might be a template for use in a workshop/course bringing CISOs up to speed on the governance, strategic and architectural aspects of information security, but in fact given the amount of technical detail, it appears to be aimed at informing IT/technology managers about IT or cybersecurity, specifically. Maybe it is intended for newly-appointed CISOs or more junior managers who aspire to be CISOs, helping them clamber up the pyramid (slide 87 of 142): | Malware Vulnerability Threat Patching Guideline Medical Cloud | Uber APT 38 APT 37 APT 28 APT 19 APT 15 APT 10 APT 34 Guam | |
|
2022-08-02 15:17:00 | Anomali Cyber Watch: Velvet Chollima Steals Emails from Browsers, Austrian Mercenary Leverages Zero-Days, China-Sponsored Group Uses CosmicStrand UEFI Firmware Rootkit, and More (lien direct) | The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, Cyber mercenaries, Phishing, Rootkits, Spyware, and Vulnerabilities. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity.
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
SharpTongue Deploys Clever Mail-Stealing Browser Extension “SHARPEXT”
(published: July 28, 2022)
Volexity researchers discovered SharpExt, a new malicious browser app used by the North-Korea sponsored Velvet Chollima (Kimsuky, SharpTongue, Thallium) group. SharpExt inspects and exfiltrates data from a victim's webmail (AOL or Gmail) account as they browse it. Velvet Chollima continues to add new features to the app, the latest known version (3.0) supports three browsers: Microsoft Edge, Google Chrome, and Whale, the latter almost exclusively used in South Korea. Following the initial compromise, Velvet Chollima deploy SharpExt and to avoid warning the victim they manually exfiltrate settings files to change the settings and generate a valid "super_mac" security check value. They also hide the newly opened DevTools window and any other warning windows such as a warning regarding extensions running in developer mode.
Analyst Comment: Velvet Chollima is known for its tactic of deploying malicious browser extensions, but in the past it was concentrating on stealing credentials instead of emails. The group continues aggressive cyberespionage campaigns exfiltrating military and industrial technologies from Europe, South Korea, and the US. Network defenders should monitor for suspicious instances of PowerShell execution, as well as for traffic to and from known Velvet Chollima infrastructure (available in Anomali Match).
MITRE ATT&CK: [MITRE ATT&CK] Browser Extensions - T1176 | [MITRE ATT&CK] Email Collection - T1114 | [MITRE ATT&CK] Command and Scripting Interpreter - T1059 | [MITRE ATT&CK] Hide Artifacts - T1564
Tags: SharpExt, Velvet Chollima, Kimsuky, SharpTongue, Thallium, APT, North Korea, source-country:KP, South Korea, target-country:KR, USA, target-country:US, target-region:Europe, AOL, Gmail, Edge, Chrome, Whale, PowerShell, VBS, Browser extension
Untangling KNOTWEED: European Private-Sector Offensive Actor Using 0-Day Exploits
(published: July 27, 2022)
Microsoft researchers detail activity of DSIRF, Austrian private-sector offensive actor (PSOA). In 2021, this actor, tracked as Knotweed, used four Windows and Adobe 0-day exploits. In 2022, DSIRF was exploiting another Adobe Reader vulnerability, CVE-2022-22047, which was patched in July 2022. DSIRF attacks rely on their malware toolset called Subzero. The initial downloader shellcode is executed from either the exploit chains or malicious Excel documents. It downloads a JPG image file with extra encrypted data, extracts, decrypts and loads to the memory the Corelump memory-only infostealer. For persistence, Corelump creates trojanized copies of legitimate Windows DLLs that se |
Malware Tool Vulnerability Threat Patching Guideline Cloud | APT 37 APT 28 | |
 |
2022-07-28 00:00:00 | 2022 semble être sur la cible de l'année la plus basse des violations signalées par les grandes sociétés américaines dans les six premiers mois de 2022, les grandes sociétés américaines [de revenus> 2 milliards] ont déclaré le moins de violations de données au cours des cinq dernières années. 2022 seems to be on target for the lowest year of reported breaches by large US corporationsIn the first six months of 2022, large [Revenue >2bn] US corporations reported the fewest data breaches in the past five years.Read More (lien direct) |
âThe number of data breaches reported in the first 6 months of 2022 has put this year on track to be the lowest year of reports in the last 5 years for large [Revenue >2bn] US corporations. By looking at the rate at which data breach events have been reported so far this year, we predict that the number of events reported is expected to be15-20% of the number of breaches reported in 2021âPossible causes:Increased reporting delays: But the time to report has shown a decreasing trend over the last 4 yearsGenuine improvement in cyber defenses preventing data exfiltration Reduction in reporting requirements, or public disclosure preventionIn this analysis we look at all the reported cyber events which involve data exfiltration (data breach), allocated to the year in which the event started. Comparing the number of events reported at each point during the year then gives us an indication for the rate which can be compared between years.The data and populationThe data collected represents public reports of data breaches from US companies with an annual revenue above $2bn (Excluding public services).The data used includes breach events reported up to end of Q2 2022It is this area where the cyber reporting requirements are highest, there is a high level of data available. It is important to note that this will not be all events which occur, only those disclosed, but by looking for changes in the behavior we can look at the potential causes.Overall Breach CountAs of the end of Q2 2022, we have seen 18 breach reports of events occurring in 2022 compared to the 160 cyber events reported from 2021, and 292 from 2020. While we are only 50% through 2022, the number of events reported so far from the first half is 25% of the 2021 total reported at the same point through 2021. To fully compare 2022 against prior years we need to take into account a number of factors:Events not yet reported: some events have occurred but have not yet been reported either because they have not yet been discovered, or because the have been discovered but not publicly disclosedEvents not yet occurred: events which have yet to occur, in the second half of 2022 (and have not yet been reported)âââHow the year unfoldsTo explore how 2022 is emerging, we can look at the rate at which events are being reported. That is to show not just the total report to date, but how the total number of events reported in a year has emerged from the start of the year. To do this we plot the cumulative number of events reported vs the number of days from the start of each incident year.What we see is an indication of how many incidents have been reported from each year have been reported after the same number of days. A steep curve indicates a greater number of incidents reported per month.** Note that the event counts are lower because we do not have exact disclosure dates for all events.ââFrom the chart we can see that the number of reported cyber incidents after 6 months (180 days) of experience is low for 2022 compared with all other years since 2015. This leads us to believe that 2022 is on track to have a very low number of overall incidents reported.There could be a few explanations for thisReporting Delay: The time taken to report incidents has increased in 2022, and there will be a correction in the later part of the yearCybersecurity Investment: The overall number of incidents reported will be lower due to improvements in security postureRegulatory Action: the overall number of incidents reported will be lower due to changes in how the events are reported (or required to be reported)âReporting DelayTo consider if the low reported number of events in 2022 is being driven by an increase in a delay between a cyber event starting and it being reported, we have looked at the trend over the last 10 yearsThe chart below shows the trend over the last 10 years.âââThere has been a steady reduction in median reporting delay from 204 days in 2017 to 63 days | Data Breach Prediction Cloud | ★★★ | |
|
2022-07-24 13:53:53 | Is APT28 behind the STIFF#BIZON attacks attributed to North Korea-linked APT37? (lien direct) | >North Korea-linked APT37 group targets high-value organizations in the Czech Republic, Poland, and other countries. Researchers from the Securonix Threat Research (STR) team have uncovered a new attack campaign, tracked as STIFF#BIZON, targeting high-value organizations in multiple countries, including Czech Republic, and Poland. The researchers attribute this campaign to the North Korea-linked APT37 group, aka […] | Threat Cloud | APT 37 APT 28 | |
|
2022-07-23 12:08:04 | North Korean hackers attack EU targets with Konni RAT malware (lien direct) | Threat analysts have uncovered a new campaign attributed to APT37, a North Korean group of hackers, targeting high-value organizations in the Czech Republic, Poland, and other European countries. [...] | Malware Threat Cloud | APT 37 | |
|
2022-07-09 16:53:07 | Apple Lockdown Mode will protect users against highly targeted cyberattacks (lien direct) | >Apple plans to introduce a security feature, called Lockdown Mode, to protect its users against “highly targeted cyberattacks.” The recent wave of sophisticated attacks against Apple users (i.e. Pegasus, DevilsTongue, and Hermit) urged the tech giant to develop a new security feature, called Lockdown Mode, to protect its users against highly targeted cyberattacks. The new feature will be implemented in iOS 16, iPadOS […] | Cloud | APT 37 | |
 |
2022-06-29 10:03:54 | Hermit spyware is deployed with the help of a victim\'s ISP (lien direct) | A new commercial spyware for governments, called Hermit, has spotted in the wild. It affects iOS and all Android versions. | Cloud | APT 37 | |
 |
2022-06-24 15:00:00 | What is iOS Hermit spyware? (lien direct) | >iOS Hermit spyware is a commercial-grade surveillance tool derived from a known Android surveillance tool. Learn more + how to stay safe. | Tool Cloud | APT 37 | |
 |
2022-06-24 12:37:15 | Google details commercial spyware that targets both Android and iOS devices (lien direct) | Hermit highlights a wider issue concerning our privacy and freedom. | Cloud | APT 37 | |
|
2022-06-24 03:40:50 | Google Says ISPs Helped Attackers Infect Targeted Smartphones with Hermit Spyware (lien direct) | A week after it emerged that sophisticated mobile spyware dubbed Hermit was used by the government of Kazakhstan within its borders, Google said it has notified Android users of infected devices. Additionally, necessary changes have been implemented in Google Play Protect - Android's built-in malware defense service - to protect all users, Benoit Sevens and Clement Lecigne of Google Threat | Malware Cloud | APT 37 | |
 |
2022-06-21 08:58:07 | Lookout Discovers Android Spyware Deployed in Kazakhstan (lien direct) | Lookout has announced the discovery of an enterprise-grade Android surveillanceware currently used by the government of Kazakhstan within its borders. Lookout researchers also found evidence of deployment of the spyware – which Lookout researchers have named “Hermit” – in Italy and in northeastern Syria. Hermit is likely developed by Italian spyware vendor RCS Lab S.p.A. […] | Cloud | APT 37 | |
|
2022-06-17 20:00:33 | Experts link Hermit spyware to Italian surveillance firm RCS Lab and a front company (lien direct) | >Experts uncovered an enterprise-grade surveillance malware dubbed Hermit used to target individuals in Kazakhstan, Syria, and Italy since 2019. Lookout Threat Lab researchers uncovered enterprise-grade Android surveillance spyware, named Hermit, used by the government of Kazakhstan to track individuals within the country. The latest samples of this spyware were detected by the researchers in April 2022, four […] | Malware Threat Cloud | APT 37 | |
|
2022-06-17 06:12:54 | Researchers Uncover \'Hermit\' Android Spyware Used in Kazakhstan, Syria, and Italy (lien direct) | An enterprise-grade surveillanceware dubbed Hermit has been put to use by entities operating from within Kazakhstan, Syria, and Italy over the years since 2019, new research has revealed. Lookout attributed the spy software, which is equipped to target both Android and iOS, to an Italian company named RCS Lab S.p.A and Tykelab Srl, a telecom services provider which it suspects to be a front | Cloud | APT 37 | |
|
2022-06-16 12:45:37 | Lookout découvre un logiciel espion Android déployé au Kazakhstan (lien direct) | Lookout annonce la découverte d'un logiciel de surveillance Android de niveau enterprise actuellement utilisé par le gouvernement du Kazakhstan à l'intérieur de ses frontières. Les chercheurs de Lookout ont également trouvé des preuves du déploiement du logiciel espion - que les chercheurs de Lookout ont nommé " Hermit " - en Italie et dans le nord-est de la Syrie. Hermit est probablement développé par le vendeur italien de logiciels espions RCS Lab S.p.A. et Tykelab Srl, une société de solutions de (...) - Malwares | Cloud | APT 37 | |
|
2022-05-04 09:00:00 | Anciennes services, nouvelles astuces: abus de métadonnées du cloud par UNC2903 Old Services, New Tricks: Cloud Metadata Abuse by UNC2903 (lien direct) |
Depuis juillet 2021, Mandiant a identifié l'exploitation des applications Web accessibles au public par UNC2903 pour récolter et abuser des informations d'identification à l'aide du service d'instance d'Amazon \\ (IMD).Mandiant Tracked Access Tumps by UNC2903 pour accéder à des seaux S3 et des ressources cloud supplémentaires à l'aide des informations d'identification volées.Cet article de blog couvre comment UNC2903 a effectué l'exploitation et les abus IMD, ainsi que les meilleures pratiques connexes sur les techniques de durcissement du cloud.
Bien que les environnements de services Web Amazon Web ciblés UNC2903 (AWS), de nombreuses autres plates-formes cloud proposent des services de métadonnées similaires qui pourraient être à risque de
Since July 2021, Mandiant identified exploitation of public-facing web applications by UNC2903 to harvest and abuse credentials using Amazon\'s Instance Metadata Service (IMDS). Mandiant tracked access attempts by UNC2903 to access S3 buckets and additional cloud resources using the stolen credentials. This blog post covers how UNC2903 performed exploitation and IMDS abuse, as well as related best practices on cloud hardening techniques. Although UNC2903 targeted Amazon Web Services (AWS) environments, many other cloud platforms offer similar metadata services that could be at risk of |
Cloud | ★★★ | |
|
2022-05-03 16:31:00 | Anomali Cyber Watch: Time-to-Ransom Under Four Hours, Mustang Panda Spies on Russia, Ricochet Chollima Sends Goldbackdoor to Journalists, and More (lien direct) | The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, China, Cyberespionage, LNK files, Malspam, North Korea, Phishing, Ransomware, and Vulnerabilities. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity.
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
A Lookback Under the TA410 Umbrella: Its Cyberespionage TTPs and Activity
(published: April 28, 2022)
ESET researchers found three different teams under China-sponsored umbrella cyberespionage group TA410, which is loosely linked to Stone Panda (APT10, Chinese Ministry of State Security). ESET named these teams FlowingFrog, JollyFrog, and LookingFrog. FlowingFrog uses the Royal Road RTF weaponizer described by Anomali in 2019. Infection has two stages: the Tendyron implant followed by a very complex FlowCloud backdoor. JollyFrog uses generic malware such as PlugX and QuasarRAT. LookingFrog’s infection stages feature the X4 backdoor followed by the LookBack backdoor. Besides using different backdoors and exiting from IP addresses located in three different districts, the three teams use similar tools and similar tactics, techniques, and procedures (TTPs).
Analyst Comment: Organizations should keep their web-facing applications such as Microsoft Exchange or SharePoint secured and updated. Educate your employees on handling suspected spearphishing attempts. Defense-in-depth (layering of security mechanisms, redundancy, fail-safe defense processes) is the best way to ensure safety from APTs, including a focus on both network and host-based security. Prevention and detection capabilities should also be in place.
MITRE ATT&CK: [MITRE ATT&CK] Exploit Public-Facing Application - T1190 | [MITRE ATT&CK] Phishing - T1566 | [MITRE ATT&CK] Native API - T1106 | [MITRE ATT&CK] Shared Modules - T1129 | [MITRE ATT&CK] Exploitation for Client Execution - T1203 | [MITRE ATT&CK] Inter-Process Communication - T1559 | [MITRE ATT&CK] Windows Management Instrumentation - T1047 | [MITRE ATT&CK] Scheduled Task - T1053 | [MITRE ATT&CK] Server Software Component - T1505 | [MITRE ATT&CK] Create or Modify System Process - T1543 | [MITRE ATT&CK] Obfuscated Files or Information - T1027 | [MITRE ATT&CK] Masquerading - T1036 | [MITRE ATT&CK] Masquerading - T1036 | [MITRE ATT&CK] Rootkit - T1014 | [MITRE ATT&CK] Process Injection - T1055 | |
Ransomware Malware Tool Vulnerability Threat Guideline Cloud | APT 37 APT 10 APT 10 | |
 |
2022-04-28 17:15:39 | CVE-2022-29412 (lien direct) | Multiple Cross-Site Request Forgery (CSRF) vulnerabilities in Hermit ????? plugin | Cloud | APT 37 |
To see everything:
Our RSS (filtrered)
