What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-29 20:28:00 | Banques brésiliennes ciblées par la nouvelle variante de rat Allakore appelé Allasenha Brazilian Banks Targeted by New AllaKore RAT Variant Called AllaSenha (lien direct) |
Les institutions bancaires brésiliennes sont la cible d'une nouvelle campagne qui distribue une variante personnalisée de la Trojan (RAT) à l'accès à distance d'Allakore basé à Windows appelé Allasenha.
Le malware est "spécifiquement destiné à voler des informations d'identification qui sont nécessaires pour accéder aux comptes bancaires brésiliens, [et] exploite le cloud Azure comme une infrastructure de commandement (C2)", la société française de cybersécurité HarfangLab
Brazilian banking institutions are the target of a new campaign that distributes a custom variant of the Windows-based AllaKore remote access trojan (RAT) called AllaSenha. The malware is "specifically aimed at stealing credentials that are required to access Brazilian bank accounts, [and] leverages Azure cloud as command-and-control (C2) infrastructure," French cybersecurity company HarfangLab |
Malware Cloud | ★★★ | |
 |
2024-05-29 20:27:37 | Fichiers avec une extension TXZ utilisée comme pièces jointes Malspam Files with TXZ extension used as malspam attachments (lien direct) |
#### Géolocations ciblées - Croatie - Espagne - Slovaquie - Tchéchie ## Instantané Des chercheurs du SANS Internet Storm Center ont découvert que les acteurs de la menace utilisent des fichiers avec TXZ Extension comme pièces jointes Malspam dans des campagnes ciblées régionalement. ## Description L'utilisation de l'extension TXZ est relativement inhabituelle et les chercheurs en sécurité ont révélé que les fichiers malveillants étaient en fait renommés des archives RAR.Microsoft a ajouté la prise en charge native à Windows 11 pour les fichiers TXZ et RAR à la fin de l'année dernière, ce qui peut avoir facilité les destinataires potentiels des messages malveillants pour ouvrir les pièces jointes à l'aide de l'explorateur de fichiers Windows standard, même si l'extension et le type de fichier ont été incompatibles. Les messages malveillants faisaient partie de deux campagnes, l'une contenant des textes dans les langues espagnols et slovaques et distribuant un fichier de 464 kb PE avec Guloder Maleware, et l'autre contenant des textes dans les langues croate et tchèque et distribuant un téléchargement de fichiers par lots de 4 kb pour le Formbook Micware et la distribution d'un fichier de fichiers de 4 kb pour le FormBook Micware Formbook et la distribution d'un téléchargement de fichiers par lots de 4 kb pour le FormBook Micware FormBook. ## Analyse supplémentaire Guloader est un téléchargeur de shellcode proéminent qui a été utilisé dans un grand nombre d'attaques pour fournir une large gamme de logiciels malveillants.Découvert en 2019, Guloader a commencé comme une famille de logiciels malveillants écrite dans Visual Basic 6 (VB6), selon la sécurité [chercheurs de CrowdStrike] (https://security.microsoft.com/intel-explorer/articles/49c83a74).In 2023, [Researchers at CheckPoint](https://security.microsoft.com/intel-explorer/articles/661847be) discovered that more recent versions of GuLoader integrated new anti-analysis techniques and a payload that is fully encrypted, including PEen-têtes.Cela permet aux acteurs de la menace de stocker des charges utiles à l'aide de services de cloud public bien connues, de contourner les protections antivirus et de conserver les charges utiles disponibles en téléchargement pendant une longue période. FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Ces dernières années, [Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d6d6).Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maltraités. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: MSIL / Formbook] (Https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojandownloher: MSIL / Formbook.kan! Mtb & - [Trojan: Win32 / Guloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?n?Ame = Trojan: Win32 / Guloader.ss! Mtb) ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le cent | Threat Malware Cloud Tool | ||
 |
2024-05-29 20:04:06 | Microsoft: \\ 'Moonstone Sheet \\' APT MELDS ESPIONAGE, OBJECTIFS FINANCIERS Microsoft: \\'Moonstone Sleet\\' APT Melds Espionage, Financial Goals (lien direct) |
Le plus récent acteur de menace de la Corée du Nord utilise chaque astuce du livre de jeu de l'État-nation, et la plupart des astuces de la cybercriminalité.Il a également développé une entreprise de jeux vidéo entière pour masquer les logiciels malveillants.
North Korea\'s newest threat actor uses every trick in the nation-state APT playbook, and most of cybercrime\'s tricks, too. It also developed a whole video game company to hide malware. |
Threat Malware | ||
 |
2024-05-29 19:15:22 | National chinois a arrêté pour exploiter un service proxy lié à des milliards de cybercriminaux Chinese national arrested for operating proxy service linked to billions in cybercrime (lien direct) |
> Yunhe Wang et deux associés ont également été sanctionnés par le département du Trésor pour installer des logiciels malveillants sur les utilisateurs \\ 'ordinateurs.
>YunHe Wang and two associates were also sanctioned by the Treasury Department in operation to install malware on users\' computers. |
Malware | ||
|
2024-05-29 17:09:34 | Security Brief: Sing Us a Song You\'re the Piano Scam (lien direct) | #### Géolocations ciblées
- Amérique du Nord
#### Industries ciblées
- Éducation
- L'enseignement supérieur
- Santé et santé publique
## Instantané
Proofpoint a récemment découvert une série de campagnes de courrier électronique malveillantes qui utilisent des messages sur le thème du piano pour attirer les victimes des escroqueries à la fraude aux frais (AFF).
## Description
Ces campagnes, actives depuis au moins janvier 2024, ciblent principalement les étudiants et les professeurs des collèges et universités nord-américains, bien que d'autres secteurs tels que les services de santé et de nourriture et de boissons aient également été affectés.À ce jour, au moins 125 000 e-mails d'escroquerie associés à ce thème de piano ont été observés par Proofpoint.
Les acteurs de la menace offrent généralement des cibles un piano gratuit, citant des raisons comme un décès dans la famille.Lorsque l'objectif répond, ils sont dirigés vers une compagnie maritime frauduleuse gérée par les acteurs de la menace, qui exige le paiement des frais d'expédition avant de livrer le piano.Les méthodes de paiement demandées incluent Zelle, Cash App, PayPal, Apple Pay ou la crypto-monnaie.De plus, les acteurs de la menace tentent de collecter des informations personnellement identifiables (PII) des victimes.
Proofpoint a identifié un portefeuille Bitcoin associé à ces escroqueries, qui a accumulé plus de 900 000 $ en transactions.Le volume et la variété des transactions suggèrent que les acteurs de menaces multiples peuvent utiliser le même portefeuille pour diverses escroqueries.Les e-mails varient dans le contenu et les adresses de l'expéditeur, mais utilisent souvent des comptes Freemail avec des combinaisons de noms et de numéros.
Pour recueillir plus d'informations, les chercheurs de PROVEPPOINT ont interagi avec les acteurs de la menace et ont pu identifier au moins une adresse IP d'un acteur et des informations sur l'appareil.À partir de cela, les chercheurs évaluent avec une grande confiance qu'au moins une partie de l'opération est basée au Nigéria.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- Allumez [Paramètres d'identité dans les politiques anti-phishing dans Defender for Office 365.] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#impersonation-settings-in-antti-Phishing-polices-in-microsoft-défender-for-office-365) Cette atténuation peut être utile dans les scénarios où les acteurs de menace utilisent un domaine de look pour usurper l'identité des expéditeurs que vos utilisateurs peuvent savoir.
- Allumez [SAFE LINKS] (https://learn.microsoft.com/defenderofice-365/safe-links-about) et [les pièces jointes de sécurité] (https://learn.microsoft.com/defenderofo-office-365 / Safe-Aattachments-About) Politiques dans Defender for Office 365 pour empêcher le compromis de compte initial.
- Augmenter [Seuil de phishing avancé] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#advanced-phishing-thresholds-in-ant-phishing-policies-in-microsoft-Defender-for-office-365) à 2 - agressif ou 3 - plus agressif.
- Allumez [Zero-Hour Auto Purge (ZAP)] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge) dans Defender for Office 365 à Quarantine SendMail en réponse à l'intelligence de menace nouvellement acquise et neutralise rétroactivement des messages de phishing, de spam ou de logiciels malveillants qui ont déjà été livrés dans des boîtes aux lettres.
## Les références
[Mémoire de sécurité: Chantez-nous une chanson que vous \\ 're the piano Scam] (https://www.proofpoint.com/us/blog/thereat-insight/security-brief-sing-us-song-youre-piano-arnaque).Proofpoint (consulté 2024-05-29)
#### Targeted Geolocations - North America #### Targeted Industries - Education - |
Threat Spam Malware Medical | ★★ | |
|
2024-05-29 16:05:00 | Microsoft Uncovers \\ 'Moonstone Sheet \\' - Nouveau groupe de pirates nord Microsoft Uncovers \\'Moonstone Sleet\\' - New North Korean Hacker Group (lien direct) |
Un acteur de menace nord-coréen jamais vu auparavant, le nom de manche de Moonstone Sleet a été attribué comme derrière les cyberattaques ciblant les individus et les organisations dans les secteurs de base industrielle des technologies et des technologies de l'information, de l'éducation et de la défense avec un ransomware et un malware sur mesure auparavant associé au célèbre groupe Lazarus Lazare.
"On observe que le grésil de la pierre de lune installe de fausses entreprises et
A never-before-seen North Korean threat actor codenamed Moonstone Sleet has been attributed as behind cyber attacks targeting individuals and organizations in the software and information technology, education, and defense industrial base sectors with ransomware and bespoke malware previously associated with the infamous Lazarus Group. "Moonstone Sleet is observed to set up fake companies and |
Threat Ransomware Malware Industrial | APT 38 | ★★ |
 |
2024-05-29 15:36:38 | Surge in Discord Malware Attacks as 50,000 Malicious Links Uncovered (lien direct) | > Par waqas
Les chercheurs en cybersécurité de Bitdefender ont trouvé une augmentation des logiciels malveillants et des attaques de phishing contre la discorde, notant 50 000 malveillants & # 8230;
Ceci est un article de HackRead.com Lire le post original: La surtension des attaques de logiciels malveillants Discord comme 50 000 liens malveillants découverts
>By Waqas Cybersecurity researchers at Bitdefender have found a surge in malware and phishing attacks on Discord, noting 50,000 malicious… This is a post from HackRead.com Read the original post: Surge in Discord Malware Attacks as 50,000 Malicious Links Uncovered |
Malware | ||
|
2024-05-29 15:36:38 | La surtension des attaques de logiciels malveillants Discord comme 50 000 liens malveillants découverts Surge in Discord Malware Attacks as 50,000 Malicious Links Uncovered (lien direct) |
> Par waqas
Les chercheurs en cybersécurité de Bitdefender ont trouvé une augmentation des logiciels malveillants et des attaques de phishing contre la discorde, notant 50 000 malveillants & # 8230;
Ceci est un article de HackRead.com Lire le post original: La montée en puissance des attaques de logiciels malveillants Discord comme 50 000 liens malveillants découverts
>By Waqas Cybersecurity researchers at Bitdefender have found a surge in malware and phishing attacks on Discord, noting 50,000 malicious… This is a post from HackRead.com Read the original post: Surge in Discord Malware Attacks as 50,000 Malicious Links Uncovered |
Malware | ★★★ | |
 |
2024-05-29 15:15:00 | Le nouveau PYPI Malware «Pytoileur» vole la crypto et échappe à la détection New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection (lien direct) |
Le package se faisait passer pour un outil de gestion de l'API et des binaires Windows Trojanisés téléchargés
The package posed as an API management tool and downloaded trojanized Windows binaries |
Malware Tool | ★★ | |
 |
2024-05-29 13:00:09 | Corée du Nord pour construire des réserves de trésorerie utilisant des ransomwares, jeux vidéo North Korea building cash reserves using ransomware, video games (lien direct) |
Microsoft dit que l'hermite de Kim \\ pivote les derniers outils à mesure qu'il évolue dans le cyberespace un tout nouveau groupe de cybercriminalité que Microsoft lie avec la Corée du Nord trompe des cibles en utilisant de fausses opportunités d'emploi à lancermalware et ransomware, le tout pour un gain financier…
Microsoft says Kim\'s hermit nation is pivoting to latest tools as it evolves in cyberspace A brand-new cybercrime group that Microsoft ties to North Korea is tricking targets using fake job opportunities to launch malware and ransomware, all for financial gain.… |
Ransomware Malware Tool | APT 37 | ★★ |
 |
2024-05-29 10:00:00 | Acquisition de données volatiles sur les systèmes Linux à l'aide de FMEM Volatile Data Acquisition on Linux Systems Using fmem (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article.
Memory forensics is a critical aspect of digital forensics, allowing investigators to analyze the volatile memory of a system to uncover evidence of malicious activity, detect hidden malware, and reconstruct system events. In this blog, we\'ll explore the world of memory forensics using two powerful tools: Fmem and LiME. We\'ll delve into the basics of memory forensics, explore the features and capabilities of Fmem and LiME, and provide a step-by-step guide on how to use these tools to analyze a memory dump.
What is Memory Forensics?
Memory forensics involves the analysis of a system\'s volatile memory to extract valuable information about system state, running processes, and network connections. This type of analysis is crucial in incident response, malware analysis, and digital forensics investigations. By analysing memory, investigators can:
1. Detect Hidden Malware and Rootkits:
Memory forensics enables investigators to uncover hidden malware and rootkits that may be actively running in a system\'s memory. Unlike traditional antivirus software that primarily scans the file system, memory forensics tools can identify malicious code and processes that attempt to evade detection by residing solely in memory.
2. Identify Malicious Processes and Network Connections:
By analyzing the contents of a system\'s memory, forensic analysts can identify suspicious processes and network connections. This includes processes that may be performing malicious activities such as data exfiltration, privilege escalation, or network reconnaissance. Identifying these malicious entities is crucial for understanding the scope and impact of a security incident.
3. Reconstruct System Events and Timelines:
Memory forensics allows investigators to reconstruct the sequence of events that occurred on a system leading up to and during a security incident. By analyzing memory artifacts such as process creation timestamps, network connection logs, and registry modifications stored in memory, investigators can create a detailed timeline of activities, which aids in understanding the tactics and techniques employed by attackers.
4. Extract Sensitive Data:
Volatile data, such as passwords, encryption keys, and other sensitive information, may be present in a system\'s memory during normal operation. Memory forensics tools can extract this data from memory dumps, providing valuable evidence for digital investigations. This information can be crucial for understanding how attackers gained access to sensitive resources and for mitigating potential security risks.
Using fmem for Memory Capture:
fmem is a kernel module that creates a virtual device, /dev/fmem, which allows direct access to the physical memory of a system. This module is particularly useful for acquiring memory dumps of a compromised system, even if the system is protected by Secure Boot or has disabled the ability to read physical memory directly.
Follow these steps to capture memory using fmem: Download the fmem source code from the official repository or package manager. The same can be found here.
Once cloned into the repository, change directory to fmem using cd command. You can use ls command to list the contents of the directory.
Compile and install fmem on the target Linux system:
Once you are i |
Malware Tool | ★★ | |
 |
2024-05-29 08:23:04 | DigitalOcean Holdings, Inc. a annoncé la disponibilité de Cloudways \\ 'NOUVEAUX-ADD-ORD-on de la protection contre les logiciels malveillants DigitalOcean Holdings, Inc. announced the availability of Cloudways\\' new Malware Protection add-on (lien direct) |
Les Cloudways DigitalOcean \\ lance un module complémentaire de protection contre les logiciels malveillants au combat des attaques de logiciels malveillants accrus
Le module complémentaire de protection contre les logiciels malveillants nouvellement lancée fournira la tranquillité d'esprit aux PME
-
revues de produits
DigitalOcean\'s Cloudways launches Malware Protection add-on to combat increased malware attacks The newly launched malware protection add-on will provide peace of mind for SMBs - Product Reviews |
Malware | ★★★ | |
|
2024-05-28 20:51:27 | Arc Browsers Windows Lancez ciblé par Google Ads Malvertising Arc Browsers Windows Launch Targeted by Google Ads Malvertising (lien direct) |
## Instantané Le navigateur ARC, un nouveau navigateur Web qui a récemment été publié, a été la cible d'une campagne de malvertising. ## Description Les cybercriminels ont créé une fausse campagne publicitaire qui imite le navigateur Arc, en utilisant des logos et des sites Web officiels pour inciter les utilisateurs à télécharger des logiciels malveillants.Le malware est emballé de manière unique, le programme d'installation principal contenant deux autres exécutables.L'un de ces exécutables récupère un installateur Windows pour le logiciel Arc légitime, tandis que l'autre contacte la plate-forme cloud méga via l'API de son développeur \\.En raison de l'installation du navigateur ARC comme prévu sur la machine de la victime et des fichiers malveillants exécutés furtivement en arrière-plan, il est peu probable que la victime se rendait à la victime qu'elles sont maintenant infectées par des logiciels malveillants. Les acteurs de la menace capitalisent sur le battage médiatique entourant les nouveaux lancements logiciels / jeux ne sont pas nouveaux, mais continue d'être une méthode efficace pour distribuer des logiciels malveillants. Les utilisateurs qui cherchent à télécharger des logiciels devraient ignorer tous les résultats promus sur Google Search, utiliser des bloqueurs d'annonces qui masquent ces résultats et mettant en signet les sites Web officiels du projet pour une utilisation future. ## Recommandations # Recommandations pour protéger contre la malvertising Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection par les logiciels malveillants.Utilisez [Formation de la simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'installation de rats et d'autres applications indésirables. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-Microsoft-Defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) et échantillon automatiqueSoumission sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Allumez [Fonctionnalités de protection contre les alcool% 3eta% 3C / EM% 3ELEARNDOC) Pour empêcher les attaquants d'empêcher les services de sécurité. Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti%3CEM%3ETA%3C/EM% | Threat Ransomware Malware Cloud | ★★ | |
 |
2024-05-28 17:48:07 | Plus de 90 applications Android malveillantes avec 5,5 millions d'installations trouvées sur Google Play Over 90 malicious Android apps with 5.5M installs found on Google Play (lien direct) |
Plus de 90 applications Android malveillantes ont été trouvées installées plus de 5,5 millions de fois via Google Play pour livrer des logiciels malveillants et des logiciels publicitaires, le cheval de Troie bancaire Anatsa voyant une récente augmentation de l'activité.[...]
Over 90 malicious Android apps were found installed over 5.5 million times through Google Play to deliver malware and adware, with the Anatsa banking trojan seeing a recent surge in activity. [...] |
Malware Mobile | ★★ | |
|
2024-05-28 17:37:40 | Faits saillants hebdomadaires, 28 mai 2024 Weekly OSINT Highlights, 28 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse array of sophisticated cyber threats targeting various sectors, including financial institutions, government entities, and academic organizations. The reports highlight a variety of attack types such as banking trojans, stealers, crypto mining malware, ransomware, and remote access trojans (RATs). Attack vectors include malspam campaigns, spear-phishing emails, search engine advertisements, and trojanized software packages. Threat actors range from financially motivated groups like UAC-0006 and Ikaruz Red Team to state-sponsored entities such as the Chinese-linked "Unfading Sea Haze" and the Iranian Void Manticore. These actors employ advanced techniques like fileless malware, DLL sideloading, and custom keyloggers to achieve persistence and data exfiltration. The targets of these attacks are geographically widespread, encompassing North and South America, the South China Sea region, the Philippines, and South Korea, underscoring the global reach and impact of these threats. ## Description 1. **[Metamorfo Banking Trojan Targets North and South America](https://security.microsoft.com/intel-explorer/articles/72f52370)**: Forcepoint reports that the Metamorfo (Casbaneiro) banking trojan spreads through malspam campaigns, using HTML attachments to initiate system metadata collection and steal user data. This malware targets banking users in North and South America by employing PowerShell commands and various persistence mechanisms. 2. **[Unfading Sea Haze Targets South China Sea Military and Government Entities](https://security.microsoft.com/intel-explorer/articles/c95e7fd5)**: Bitdefender Labs identified a Chinese-linked threat actor, "Unfading Sea Haze," using spear-phishing emails and fileless malware to target military and government entities in the South China Sea region. The campaign employs tools like SerialPktdoor and Gh0stRAT to exfiltrate data and maintain persistence. 3. **[Acrid, ScarletStealer, and Sys01 Stealers](https://security.microsoft.com/intel-explorer/articles/8ca39741)**: Kaspersky describes three stealers-Acrid, ScarletStealer, and Sys01-targeting various global regions. These stealers focus on stealing browser data, cryptocurrency wallets, and credentials, posing significant financial risks by exfiltrating sensitive user information. 4. **[REF4578 Crypto Mining Campaign](https://security.microsoft.com/intel-explorer/articles/c2420a77)**: Elastic Security Labs reports on REF4578, an intrusion set leveraging vulnerable drivers to disable EDRs for deploying Monero crypto miners. The campaign\'s GHOSTENGINE module ensures persistence and termination of security agents, targeting systems for crypto mining. 5. **[SmokeLoader Malware Campaign in Ukraine](https://security.microsoft.com/intel-explorer/articles/7bef5f52)**: CERT-UA observed the UAC-0006 threat actor distributing SmokeLoader malware via phishing emails in Ukraine. The campaign downloads additional malware like Taleshot and RMS, targeting remote banking systems and increasing fraud schemes. 6. **[Ikaruz Red Team Targets Philippines with Modified Ransomware](https://security.microsoft.com/intel-explorer/articles/624f5ce1)**: The hacktivist group Ikaruz Red Team uses leaked LockBit 3 ransomware builders to attack Philippine organizations, aligning with other hacktivist groups like Turk Hack Team. The group engages in politically motivated data leaks and destructive actions. 7. **[Grandoreiro Banking Trojan Campaign](https://security.microsoft.com/intel-explorer/articles/bc072613)**: IBM X-Force tracks the Grandoreiro banking trojan, which operates as Malware-as-a-Service (MaaS) and targets over 1500 global banks. The malware uses advanced evasion techniques and spreads through phishing emails, aiming to commit banking fraud worldwide. 8. **[Void Manticore\'s Destructive Wiping Attacks](https://security.microsoft.com/intel-explorer/articles/d5d5c07f)**: Check Point Research analyzes the Iranian threat actor Void Manticore, conducting destructive wip | Threat Ransomware Malware Hack Tool | APT 34 | ★★★ |
|
2024-05-28 15:45:00 | Les chercheurs mettent en garde contre la technique d'attaque DDOS Catddos Botnet et DNSBomb DDOS Researchers Warn of CatDDoS Botnet and DNSBomb DDoS Attack Technique (lien direct) |
Les acteurs de la menace derrière le botnet malware Catddos ont exploité sur 80 défauts de sécurité connus dans divers logiciels au cours des trois derniers mois pour infiltrer des appareils vulnérables et les coopter dans un botnet pour mener des attaques de déni de service distribué (DDOS).
"Les échantillons de gangs liés à Catddos ont utilisé un grand nombre de vulnérabilités connues pour livrer des échantillons", l'équipe Qianxin XLAB & NBSP;
The threat actors behind the CatDDoS malware botnet have exploited over 80 known security flaws in various software over the past three months to infiltrate vulnerable devices and co-opt them into a botnet for conducting distributed denial-of-service (DDoS) attacks. "CatDDoS-related gangs\' samples have used a large number of known vulnerabilities to deliver samples," the QiAnXin XLab team |
Threat Malware Vulnerability | ★★★ | |
|
2024-05-28 14:20:51 | 90+ applications malveillantes totalisant 5,5 millions de téléchargements se cachent sur google play 90+ Malicious Apps Totaling 5.5M Downloads Lurk on Google Play (lien direct) |
Le dangereux Anatsa Banking Trojan fait partie des logiciels malveillants répartis aux utilisateurs d'Android via des applications mobiles leurres ces derniers mois.
The dangerous Anatsa banking Trojan is among the malware being spread to Android users via decoy mobile apps in recent months. |
Malware Mobile | ★★ | |
|
2024-05-28 12:02:18 | Fake Antivirus Sites Spread Malware Disguised as Avast, Malwarebytes, Bitdefender (lien direct) | > Par deeba ahmed
Trellix Research expose les dangers des faux sites Web antivirus déguisés en logiciels de sécurité légitimes mais hébergeant des logiciels malveillants.Apprendre & # 8230;
Ceci est un article de HackRead.com Lire le post original: Les faux sites antivirus répartissent les logiciels malveillants déguisés en avast, malwarebytes, bitdefender
>By Deeba Ahmed Trellix research exposes the dangers of fake antivirus websites disguised as legitimate security software but harbouring malware. Learn… This is a post from HackRead.com Read the original post: Fake Antivirus Sites Spread Malware Disguised as Avast, Malwarebytes, Bitdefender |
Malware | ||
|
2024-05-28 12:02:18 | Les faux sites antivirus se propagent des logiciels malveillants déguisés en avast, malwarebytes, bitdefender Fake Antivirus Sites Spread Malware Disguised as Avast, Malwarebytes, Bitdefender (lien direct) |
> Par deeba ahmed
Trellix Research expose les dangers des faux sites Web antivirus déguisés en logiciels de sécurité légitimes mais hébergeant des logiciels malveillants.Apprendre & # 8230;
Ceci est un article de HackRead.com Lire la publication originale: Les faux sites antivirus répartissent les logiciels malveillants déguisés en avast, malwarebytes, bitdefender
>By Deeba Ahmed Trellix research exposes the dangers of fake antivirus websites disguised as legitimate security software but harbouring malware. Learn… This is a post from HackRead.com Read the original post: Fake Antivirus Sites Spread Malware Disguised as Avast, Malwarebytes, Bitdefender |
Malware | ★★★ | |
|
2024-05-28 11:40:00 | Logiciel d'enregistrement de la salle d'audience vulnérable aux attaques de porte dérobée Courtroom Recording Software Vulnerable to Backdoor Attacks (lien direct) |
Rapid7 warned that users of Justice AV Solutions (JAVS) Viewer v8.3.7 recording software are at high risk of stolen credentials and having malware installed
Rapid7 warned that users of Justice AV Solutions (JAVS) Viewer v8.3.7 recording software are at high risk of stolen credentials and having malware installed |
Malware | ★★★★ | |
|
2024-05-28 10:00:00 | L'évolution des cybermenaces à l'ère de l'IA: défis et réponses The Evolution of Cyber Threats in the Age of AI: Challenges and Responses (lien direct) |
"In war, the importance of speed cannot be overstated. Swift and decisive actions often determine the outcome of battles, as delays can provide the enemy with opportunities to exploit weaknesses and gain advantages." - General Patton, "Leadership and Strategy in Warfare," Military Journal, 1945. Cybersecurity has become a battlefield where defenders and attackers engage in a constant struggle, mirroring the dynamics of traditional warfare. In this modern cyber conflict, the emergence of artificial intelligence (AI) has revolutionized the capabilities of traditionally asymmetric cyber attackers and threats, enabling them to pose challenges akin to those posed by near-peer adversaries.[1] This evolution in cyber threats demands a strategic response from organizations leveraging AI to ensure speed and intelligence in countering increasingly sophisticated attacks. AI provides force multiplication factors to both attackers and defenders. To wit, which ever side neglects the use of this new technology does so at its own peril. AI-Driven Evolution of Cyber Threats AI is playing a pivotal role in empowering cyber attackers and bridging the gap towards near-peer status with organizations in terms of cyber threats which, historically have been asymmetric in nature. The advancements in AI technologies have provided attackers with sophisticated tools and techniques that rival the defenses of many organizations. Several key areas highlight how AI is enabling the evolution of cyber threats: Sophisticated Attack Automation: AI-powered tools allow attackers to automate various stages of the attack lifecycle, from reconnaissance to exploitation.[2] This level of automation enables attackers to launch coordinated and sophisticated attacks at scale, putting organizations at risk of facing near-peer level threats in terms of attack complexity and coordination. Adaptive and Evolving Tactics: AI algorithms can analyze data and adapt attack tactics in real-time based on the defender\'s responses.[3] This adaptability makes it challenging for defenders to predict and defend against evolving attack strategies, mirroring the dynamic nature of near-peer adversaries who constantly adjust their tactics to overcome defenses. AI-Driven Social Engineering: AI algorithms can analyze vast amounts of data to craft highly convincing social engineering attacks, such as phishing emails or messages.[4] These AI-driven social engineering techniques exploit human vulnerabilities effectively, making it difficult for organizations to defend against such personalized and convincing attacks. AI-Powered Malware: Malware developers leverage AI to create sophisticated and polymorphic malware that can evade detection by traditional security solutions.[5] This level of sophistication in malware design and evasion techniques puts organizations at risk of facing near-peer level threats in terms of malware sophistication and stealthiness. AI-Enhanced Targeting: AI algorithms can analyze large datasets to identify specific targets within organizations, such as high-value assets or individuals with sensitive information.[6] This targeted approach allows attackers to focus their efforts on critical areas, increasing the effectiveness of their attacks and approaching the level of precision seen in near-peer threat actor operations. The combination of these AI-driven capabilities empowers cyber attackers to launch sophisticated, automated, and adaptive attacks that challenge organizations in ways previously seen only with near-peer adversaries in nation state attacks and warfare. Today, a single person, harnessing the power of AI can create a veritable army and provides force multiplication to the attackers. This puts organizations at an even greater defensive disadvantage than in years prior to the introduction of AI. AI\'s Role in Defenders\' Responses "Defense is not just about fortifying positions but also about reac | Threat Malware Tool Conference Prediction Vulnerability | ★★★ | |
|
2024-05-27 12:01:00 | Les pirates liés au Pakistan déploient des logiciels malveillants Python, Golang et Rust sur les cibles indiennes Pakistan-linked Hackers Deploy Python, Golang, and Rust Malware on Indian Targets (lien direct) |
Le Pakistan-Nexus & NBSP; Transparent Tribe & NBSP; Actor a été lié à un nouvel ensemble d'attaques ciblant le gouvernement indien, la défense et les secteurs aérospatiaux en utilisant un malware multiplateforme écrit en Python, Golang et Rust.
"Cet groupe d'activités s'est étendu de la fin 2023 à avril 2024 et devrait persister", l'équipe de recherche et de renseignement Blackberry et NBSP; Said & NBSP; dans un rapport technique
The Pakistan-nexus Transparent Tribe actor has been linked to a new set of attacks targeting Indian government, defense, and aerospace sectors using cross-platform malware written in Python, Golang, and Rust. "This cluster of activity spanned from late 2023 to April 2024 and is anticipated to persist," the BlackBerry Research and Intelligence Team said in a technical report |
Malware Technical | ★★★ | |
|
2024-05-25 11:17:34 | Le lancement Windows du navigateur d'arc \\ est ciblé par Google Ads Malvertising Arc browser\\'s Windows launch targeted by Google ads malvertising (lien direct) |
Une nouvelle campagne Google Ads Malvertizing, coïncidant avec le lancement du navigateur Web Arc pour Windows, a incité les gens à télécharger des installateurs de troie qui les infectent par des charges utiles de logiciels malveillants.[...]
A new Google Ads malvertising campaign, coinciding with the launch of the Arc web browser for Windows, was tricking people into downloading trojanized installers that infect them with malware payloads. [...] |
Malware | ★★★ | |
|
2024-05-24 19:09:46 | Explorer le Troie bancaire Metamorfo Exploring the Metamorfo Banking Trojan (lien direct) |
#### Géolocations ciblées
- Amérique du Nord
- Amérique du Sud
## Instantané
Forcepoint rapporte sur Metamorfo Banking Trojan, également connu sous le nom de Casbaneiro, qui est un cheval de Troie bancaire qui cible l'Amérique du Nord et du Sud.
## Description
Il se répand malveillant via des campagnes de Malspam, incitant les utilisateurs à cliquer sur les pièces jointes HTML.Une fois cliqué, une série d'activités est lancée, toutes axées sur la collecte des métadonnées du système.Le malware est distribué par e-mail et la pièce jointe contient des codes malveillants qui conduisent à un compromis de données.Les commandes PowerShell sont utilisées pour supprimer les fichiers à divers emplacements suspects, arrêter le système et provoquer la persistance de voler des données utilisateur telles que les noms d'ordinateur, la modification des paramètres du système, les paramètres des utilisateurs, les keylogging et l'envoi à des systèmes compromis.Les clients de ForcePoint sont protégés contre cette menace à divers stades d'attaque.
## Les références
["Explorer le troie bancaire Metamorfo"] (https://www.forcepoint.com/blog/x-labs/exploration-metamorfo-banking-malware) ForcePoint (consulté en 2024-05-24)
#### Targeted Geolocations - North America - South America ## Snapshot Forcepoint reports on Metamorfo Banking Trojan, also known as Casbaneiro, that is a banking trojan that targets North and South America. ## Description he malware spreads through malspam campaigns, enticing users to click on HTML attachments. Once clicked, a series of activities are initiated, all focused on gathering system metadata. The malware is distributed via email and the attachment contains malicious codes that lead to data compromise. The PowerShell commands are utilized to drop the files at various suspicious locations, shutdown the system, and cause persistence to steal user data such as computer names, modifying system settings, user settings, keylogging, and sending it to compromised systems. Forcepoint customers are protected against this threat at various stages of attack. ## References ["Exploring the Metamorfo Banking Trojan"](https://www.forcepoint.com/blog/x-labs/exploring-metamorfo-banking-malware) Forcepoint (Accessed 2024-05-24) |
Threat Malware | ★★★ | |
|
2024-05-24 18:42:00 | (Déjà vu) Les pirates chinois se cachent sur les réseaux militaires et gouvernementaux pendant 6 ans Chinese hackers hide on military and govt networks for 6 years (lien direct) |
#### Targeted Industries - Government Agencies & Services ## Snapshot A previously unknown threat actor, Bitdefender Labs designated as "Unfading Sea Haze", has been targeting military and government entities in the South China Sea region since 2018, undetected until recently. Bitdefender researchers link its operations to Chinese geopolitical interests. ## Description "Unfading Sea Haze" attacks start with spear-phishing emails containing malicious ZIP archives and LNK files, deploying fileless malware via MSBuild. This fileless malware, named \'SerialPktdoor,\' serves as a backdoor program that provides the attackers with remote control over the compromised system. Additionally, the attackers employ scheduled tasks, local administrator account manipulation, and commercial Remote Monitoring and Management (RMM) tools like the Itarian RMM to gain a foothold on the compromised network. Once access is established, Unfading Sea Haze utilizes various tools such as a custom keylogger, info-stealer targeting data stored in web browsers, and Gh0stRAT malware variants to capture keystrokes, steal information, and maintain persistence. The threat actor also utilizes tools like Ps2dllLoader, \'SharpJSHandler,\' and a custom tool for monitoring and exfiltrating data from breached systems. More recent attacks have shown a shift to using the curl utility and the FTP protocol for data exfiltration, along with dynamically generated credentials that are changed frequently. ## Recommendations Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authenticati | Threat Ransomware Spam Malware Tool Commercial | ★★★ | |
|
2024-05-24 18:20:00 | Les faux sites Web antivirus fournissent des logiciels malveillants aux appareils Android et Windows Fake Antivirus Websites Deliver Malware to Android and Windows Devices (lien direct) |
Les acteurs de la menace ont été observés en utilisant de faux sites Web déguisés en solutions antivirus légitimes de Avast, Bitdefender et MalwareBytes pour propager des logiciels malveillants capables de voler des informations sensibles aux appareils Android et Windows.
"Héberger des logiciels malveillants via des sites qui semblent légitimes sont prédateurs pour les consommateurs généraux, en particulier ceux qui cherchent à protéger leurs appareils
Threat actors have been observed making use of fake websites masquerading as legitimate antivirus solutions from Avast, Bitdefender, and Malwarebytes to propagate malware capable of stealing sensitive information from Android and Windows devices. "Hosting malicious software through sites which look legitimate is predatory to general consumers, especially those who look to protect their devices |
Threat Malware Mobile | ★★ | |
|
2024-05-24 17:21:20 | Application de générateur de voix AI utilisé pour déposer des logiciels malveillants Gipy AI Voice Generator App Used to Drop Gipy Malware (lien direct) |
Les utilisateurs sont dupés dans le téléchargement de fichiers malveillants déguisés pour ressembler à une application qui utilise l'intelligence artificielle pour modifier les voix.
Users get duped into downloading malicious files disguised to look like an application that uses artificial intelligence to alter voices. |
Malware | ★★★ | |
|
2024-05-24 17:17:36 | Longe de lune en utilisant un jeu de chars malveillant pour infecter les appareils Moonstone Sleet using malicious tank game to infect devices (lien direct) |
## Snapshot Since February 2024, Microsoft has observed Moonstone Sleet infecting devices using a malicious tank game called DeTankWar. In some cases, after gaining initial access via the tank game, Moonstone Sleet conducted lateral movement and extensive exfiltration of data from impacted organizations. The actor has shared the DeTankWar malware extensively via social media and through directly contacting organizations in the gaming, education, and software development sectors, suggesting the actor is putting intense effort behind this campaign. Customers can use Microsoft Defender XDR to detect activity related to this threat actor in their environments. Microsoft Defender for Endpoint detects many components of this activity, such as *Moonstone Sleet actor activity detected*, and Microsoft Defender Antivirus detects the malware execution with behavioral signatures. ## Activity Overview Since February 2024, Microsoft observed Moonstone Sleet infecting devices using a malicious tank game it developed. Moonstone Sleet sent the game to targets through messaging platforms such as LinkedIn and Telegram, phishing emails, and also spoofed the website of a well-known game maker to act as a download site. Once the ZIP file is downloaded, multiple malicious DLLs included in it are run upon launch of the game leading to connection to command-and-control (C2) infrastructure using Moonstone Sleet\'s YouieLoad, which is decrypted from one of the DLLs and in some cases subsequent hands-on-keyboard activity. Observed targets include employees of blockchain, trading, game development, and technology companies, as well as academics. These targets are globally located. #### Attack chain **Initial access** Moonstone Sleet often approaches its targets either through messaging platforms or by email. We have observed the threat actor presenting itself as a game developer seeking either investment or developer support. In these emails, Moonstone Sleet masquerades as a legitimate blockchain company or uses fake companies. Moonstone Sleet presents DeTankWar as a nonfungible token (NFT)-enabled, play-to-earn game available on Windows, Mac, and Linux.  *Figure 1. Example of a Moonstone Sleet DeTankWar spear phishing email* To bolster its superficial legitimacy, Moonstone Sleet has created a robust public campaign that includes the websites *detankwar\[.\]com* and *defitankzone\[.\]com*, Twitter accounts for the personas it uses to approach targets, and the game itself, which is alternately referred to as DeTankWar, DeFiTankWar, TankWarsZone, and DeTankLand.   *Figures 2 and 3. DeTankWar Twitter accounts*   *Figures 4 and 5. Pages from the DeTankWar website* In mid-March, Microsoft observed a homoglyph domain created by Moonstone Sleet to spoof a well-known game developer. This website offered a page on DeTankWar with both a download link and a link to the @detankwar1 X (Twitter) account.  *Figure 6. Elements on the page for DeTankWar on spoofed website* **Launch** Visitors to the DeTankWar website are prompted to download a compressed ZIP archive. When the user launches the game, the malicious payload *delfi-tank-unity.exe* or *DeTankWar.exe* also launches. The payload is cu | Threat Malware Tool | ★★★ | |
|
2024-05-24 15:18:00 | Backdoor du logiciel de la salle d'audience pour offrir des logiciels malveillants Rustdoor dans l'attaque de la chaîne d'approvisionnement Courtroom Software Backdoored to Deliver RustDoor Malware in Supply Chain Attack (lien direct) |
Les acteurs malveillants ont une arrière-oorceuse associée à un logiciel d'enregistrement vidéo en salle d'audience développé par Justice AV Solutions (Javs) pour fournir des logiciels malveillants associés à une porte dérobée connue appelée Rustdoor.
L'attaque de la chaîne d'approvisionnement du logiciel, suivie en tant que & nbsp; CVE-2024-4978, a un impact sur Javs Viewer V8.3.7, un composant de la & nbsp; Javs Suite 8 & NBSP; qui permet aux utilisateurs de créer, de gérer, de publier,
Malicious actors have backdoored the installer associated with courtroom video recording software developed by Justice AV Solutions (JAVS) to deliver malware that\'s associated with a known backdoor called RustDoor. The software supply chain attack, tracked as CVE-2024-4978, impacts JAVS Viewer v8.3.7, a component of the JAVS Suite 8 that allows users to create, manage, publish, |
Malware | ★★ | |
|
2024-05-24 14:43:00 | Les experts japonais mettent en garde contre les logiciels malveillants sanguins ciblant les agences gouvernementales Japanese Experts Warn of BLOODALCHEMY Malware Targeting Government Agencies (lien direct) |
Les chercheurs en cybersécurité ont découvert que les logiciels malveillants connus sous le nom de & nbsp; Bloodalchemy & nbsp; utilisé dans des attaques ciblant les organisations gouvernementales en Asie du Sud et du Sud-Est est & nbsp; en fait & nbsp; une version mise à jour de Deed Rat, qui serait un successeur de ShadowPad.
"L'origine du rat de sang et de rat d'acte est de Shadowpad et compte tenu de l'histoire de Shadowpad utilisée dans de nombreux apt
Cybersecurity researchers have discovered that the malware known as BLOODALCHEMY used in attacks targeting government organizations in Southern and Southeastern Asia is in fact an updated version of Deed RAT, which is believed to be a successor to ShadowPad. "The origin of BLOODALCHEMY and Deed RAT is ShadowPad and given the history of ShadowPad being utilized in numerous APT |
Malware | ★★★ | |
|
2024-05-24 11:43:29 | Les pirates russes changent de tactique, ciblent plus de victimes avec des logiciels malveillants payés Russian Hackers Shift Tactics, Target More Victims with Paid Malware (lien direct) |
> Par deeba ahmed
Les pirates russes et les groupes APT augmentent les cyberattaques, tirent parti des logiciels malveillants facilement disponibles et élargissent leurs cibles au-delà des gouvernements. & # 8230;
Ceci est un article de HackRead.com Lire le post original: Les pirates russes changent de tactique, ciblent plus de victimes avec des logiciels malveillants payés
>By Deeba Ahmed Russian hackers and APT groups are escalating cyberattacks, leveraging readily available malware and broadening their targets beyond governments.… This is a post from HackRead.com Read the original post: Russian Hackers Shift Tactics, Target More Victims with Paid Malware |
Malware | ||
|
2024-05-24 01:09:17 | Rapport de CrimeWare: Acred, Scarletsaler et SYS01 Stealers Crimeware Report: Acrid, ScarletStealer, and Sys01 Stealers (lien direct) |
## Snapshot Kaspersky security researchers provide details on three distinct stealers: Acrid, ScarletStealer, and Sys01. These stealers exhibit varying levels of sophistication and global targeting, with specific geographic concentrations for each. ## Description Acrid is a new stealer that was found in December 2023. It is written in C++ for the 32-bit system and uses the "Heaven\'s Gate" technique to bypass certain security controls. ScarletStealer is a rather unique stealer as most of its stealing functionality is contained in other binaries that it downloads. ScarletStealer victims are mostly located in Brazil, Turkey, Indonesia, Algeria, Egypt, India, Vietnam, the USA, South Africa and Portugal. Sys01 (also known as “Album Stealer” or “S1deload Stealer”) is a relatively unknown stealer that has been around since at least 2022. Victims of this campaign were found all over the world, but most of them were located in Algeria. The stealer is distributed through a long chain of downloaders, where the last one is the Penguish downloader, and signed with a digital certificate. Unlike previous publicly disclosed versions of Sys01, the latest version of the stealer has split functionality. It now specifically steals Facebook-related data and sends stolen browser data to the C2. All three stealers have the typical functionality one might expect from a stealer, such as stealing browser data, stealing local cryptocurrency wallets, stealing files with specific names, and stealing credentials from installed applications. The danger posed by stealers lies in the consequences. This malware steals passwords and other sensitive information, which later can be used for further malicious activities causing great financial losses among other things. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. Typically, once the user downloads and launches the malicious payload, it establishes command and control (C2) connections with suspicious domains. Once infected, the infostealer attempts to collect and ultimately exfiltrate information from the system including files, browsers, internet-facing devices and applications to the C2 servers. ## Detections ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network. These alerts, however, can be triggered by unrelated threat activity. - Information stealing malware activity - An executable loaded an unexpected dll - DLL search order hijack - Possible S1deload stealer activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use Microsoft Defender for Office 365 for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learn | Threat Ransomware Spam Malware Tool | ★★ | |
|
2024-05-23 22:33:00 | Les attaques de ransomware exploitent les vulnérabilités VMware Esxi dans le modèle alarmant Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern (lien direct) |
Ransomware attaque le ciblage de l'infrastructure VMware ESXi & nbsp; suivi & nbsp; un modèle établi, indépendamment du déploiement de logiciels malveillants qui résidait au fichier.
"Les plates-formes de virtualisation sont une composante essentielle de l'infrastructure informatique organisationnelle, mais elles souffrent souvent de erreurs de configuration et de vulnérations inhérentes, ce qui en fait un objectif lucratif et très efficace pour les acteurs de menace à abuser", "
Ransomware attacks targeting VMware ESXi infrastructure following an established pattern regardless of the file-encrypting malware deployed. "Virtualization platforms are a core component of organizational IT infrastructure, yet they often suffer from inherent misconfigurations and vulnerabilities, making them a lucrative and highly effective target for threat actors to abuse," |
Threat Ransomware Malware Vulnerability | ★★ | |
|
2024-05-23 21:02:25 | GhostEngine mining attacks kill EDR security using vulnerable drivers (lien direct) | ## Instantané
Elastic Security Labs a identifié un ensemble d'intrusion, REF4578, qui intègre plusieurs modules malveillants et exploite les conducteurs vulnérables pour désactiver les solutions de sécurité connues (EDR) pour l'exploitation cryptographique.
## Description
La charge utile principale de cet ensemble d'intrusion est GhostEngine, qui est responsable de la récupération et de l'exécution de modules sur la machine.GhostEngine utilise principalement HTTP pour télécharger des fichiers à partir d'un domaine configuré, avec une IP de sauvegarde dans le cas où les domaines ne sont pas disponibles.De plus, il utilise FTP comme protocole secondaire avec des références intégrées.
L'objectif ultime de l'ensemble d'intrusion Ref4578 était d'avoir accès à un environnement et de déployer un mineur de cryptographie Monero persistant, XMRIG.Les auteurs de logiciels malveillants ont incorporé de nombreux mécanismes de contingence et de duplication, et GhostEngine exploite les conducteurs vulnérables pour terminer et supprimer les agents EDR connus qui interfèrent probablement avec le mineur de pièces de monnaie déployé et bien connu.Cette campagne impliquait une quantité rare de complexité pour assurer à la fois l'installation et la persistance du mineur XMRIG.Le malware analyse et compare tous les processus en cours d'exécution avec une liste codée en dur d'agents EDR connus.S'il y a des correspondances, il met d'abord mis fin à l'agent de sécurité, puis supprime le binaire de l'agent de sécurité avec un autre pilote vulnérable.
## Recommandations
Appliquez ces atténuations pour réduire l'impact de cette menace.
- [Allumez la protection PUA] (https://docs.microsoft.com/windows/security/thereat-potection/microsoft-defender-antivirus/detect-block-potential-unwanted-apps-microsoft-defender-asvirus).Les applications potentiellement indésirables (PUA) peuvent avoir un impact négatif sur la performance des machines et la productivité des employés.Dans les environnements d'entreprise, la protection PUA peut arrêter les logiciels publicitaires, les téléchargeurs torrent et les mineurs de pièces.
- Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les mineurs de pièces de monnaie.
## Les références
[GhostEngine Mining Attacks tue la sécurité EDR en utilisant des conducteurs vulnérables] (https://www.ellastic.co/security-labs/invisible-miners-unveiling-ghostengine).Elastic Security Labs (consulté le 22-22-2024)
## Snapshot Elastic Security Labs has identified an intrusion set, REF4578, that incorporates several malicious modules and leverages vulnerable drivers to disable known security solutions (EDRs) for crypto mining. ## Description The primary payload of this intrusion set is GHOSTENGINE, which is responsible for retrieving and executing modules on the machine. GHOSTENGINE primarily uses HTTP to download files from a configured domain, with a backup IP in case domains are unavailable. Additionally, it employs FTP as a secondary protocol with embedded credentials. The ultimate goal of the REF4578 intrusion set was to gain access to an environment and deploy a persistent Monero crypto miner, XMRig. The malware authors incorporated many contingency and duplication mechanisms, and GHOSTENGINE leverages vulnerable drivers to terminate and delete known EDR agents that would likely interfere with the deployed and well-known coin miner. This campaign involved an uncommon amount of complexity to ensure both the installation and persistence of the XMRIG miner. The malware scans and compares all the running processes with a hardcoded list of known EDR agents. If there are any matches, it first terminates the security agent and then deletes the security agent binary with another vulnerable |
Threat Malware | ★★ | |
 |
2024-05-23 18:34:07 | Rapport IBM X-FORCE: Le malware de Grandoreiro cible plus de 1 500 banques dans 60 pays IBM X-Force Report: Grandoreiro Malware Targets More Than 1,500 Banks in 60 Countries (lien direct) |
Découvrez comment fonctionnent les campagnes de Troie Banking Grandoreiro et les pays ciblés, ainsi que comment atténuer cette menace malveillante.
Find out how Grandoreiro banking trojan campaigns work and the countries targeted, as well as how to mitigate this malware threat. |
Threat Malware | ★★ | |
|
2024-05-23 17:17:24 | Javs Courtroom Enregistrement du logiciel d'enregistrement arrière dans l'attaque de la chaîne d'approvisionnement JAVS courtroom recording software backdoored in supply chain attack (lien direct) |
Les attaquants ont des dossiers d'installation d'un logiciel d'enregistrement vidéo en salle d'audience AV Solutions (Javs) largement utilisé avec malware qui leur permet de prendre les systèmes compromis.[...]
Attackers have backdoored the installer of widely used Justice AV Solutions (JAVS) courtroom video recording software with malware that lets them take over compromised systems. [...] |
Malware | ★★ | |
 |
2024-05-23 13:00:00 | Phishing avec les travailleurs de Cloudflare: phishing transparent et contrebande de HTML Phishing with Cloudflare Workers: Transparent Phishing and HTML Smuggling (lien direct) |
> Résumé Netskope Threat Labs suit plusieurs campagnes de phishing qui abusent des travailleurs de CloudFlare.Les campagnes sont probablement le travail de différents attaquants car ils utilisent deux techniques très différentes.Une campagne (similaire à la campagne Azorult précédemment divulguée) utilise HTML debout, une technique d'évasion de détection souvent utilisée pour télécharger des logiciels malveillants, pour masquer le contenu de phishing [& # 8230;]
>Summary Netskope Threat Labs is tracking multiple phishing campaigns that abuse Cloudflare Workers. The campaigns are likely the work of different attackers since they use two very different techniques. One campaign (similar to the previously disclosed Azorult campaign) uses HTML smuggling, a detection evasion technique often used for downloading malware, to hide the phishing content […] |
Threat Malware | ★★★ | |
|
2024-05-23 10:00:00 | La Chine APT a volé des secrets géopolitiques du Moyen-Orient, Afrique et amp; AMP;Asie China APT Stole Geopolitical Secrets From Middle East, Africa & Asia (lien direct) |
L'une des plus grandes opérations d'espionnage de la Chine doit son succès aux bogues de longue date de Microsoft Exchange, aux outils open source et aux vieux logiciels malveillants.
One of China's biggest espionage operations owes its success to longstanding Microsoft Exchange bugs, open source tools, and old malware. |
Malware Tool | ★★★ | |
 |
2024-05-23 08:02:17 | Proofpoint vs sécurité anormale: une entreprise Fortune 500 explique pourquoi on est meilleur Proofpoint vs. Abnormal Security: A Fortune 500 Company Explains Why One Is Better (lien direct) |
Businesses that choose Proofpoint tend to stay with us. In fact, while many start by using our email threat detection tools, over time they often consolidate their other cybersecurity tools with us. They end up using Proofpoint for their other attack surfaces, like identity threats and information protection. But what happens if they\'re forced to adopt Abnormal Security by senior management? That\'s what happened to the Fortune 500 financial services corporation discussed in this blog post. They wanted to share their story but requested anonymity. As a customer of both Proofpoint and Abnormal, they have some key insights about what makes Proofpoint stand out from the competition. A defense-in-depth approach An existing Microsoft 365 E5 customer, the company deployed a defense-in-depth security approach because the native and Microsoft Defender email security capabilities were not good enough to detect and block phishing, malware and ransomware. They also used CrowdStrike and complemented these tools with Proofpoint Threat Protection. Proofpoint ensured that they could detect and block more sophisticated email threats like: Socially engineered attacks Business email compromise (BEC) Advanced credential phishing By combining Microsoft, Proofpoint and CrowdStrike, the customer had powerful email security. It could detect and block email threats and automate remediation across its offices worldwide. And it had a strong continuous detection model (predelivery, post-delivery and click-time) throughout its entire email delivery flow. End-to-end protection is why 87% of Fortune 100 companies trust Proofpoint to protect their people and business. Because the customer\'s senior executive management team truly believed in the defense-in-depth approach, it decided to add Abnormal Security as an additional layer of defense. Abnormal is an API-based, post-delivery, remediation-only tool that\'s positioned as easy to use. Featuring behavioral AI, it\'s sold as a “set it and forget it” tool that can detect and remediate email threats faster while improving operational efficiency. The company soon integrated Abnormal with its existing Microsoft 365 APIs so that Abnormal could receive emails from Microsoft. At the same time, the customer deactivated automated remediation in Proofpoint Threat Response Auto-Pull. The Abnormal tool was now in charge of analyzing emails post-delivery. “We were told it would be \'set it and forget it\' with Abnormal but found it couldn\'t be further from the truth.” - IT director, data security, Fortune 500 financial services company A head-to-head comparison: Proofpoint vs. Abnormal Once they started using Abnormal, the cybersecurity team watched what it could do and assessed how the company\'s new defense-in-depth approach was going. Here\'s what they observed. Predelivery efficacy: Proofpoint wins Unlike Proofpoint, Abnormal does not provide any predelivery detection or analysis capabilities; it has a 0% predelivery efficacy rate. Compare that to Proofpoint predelivery detection, which stops known and emerging threats before they are delivered to users\' inboxes. This prevents users from engaging with threats and reduces the downstream burden on security teams. Proofpoint uses a multilayered detection stack to accurately identify and catch the widest array of threats. Our broad set of detection technology means that we can apply the right technique for the right threat. This includes QR code scams, URL-based threats and BEC attacks. By combining our existing attachment defense with our new predelivery hold and sandboxing of suspicious messages with URLs, Proofpoint ensures that fewer malicious URLs and dangerous payloads are delivered to users\' inboxes. This includes QR codes or any malicious files that are attached to emails. And thanks to our new predelivery large language model (L | Threat Ransomware Malware Tool | ★★★ | |
|
2024-05-22 20:16:56 | UAC-0006 Cyberattaques augmentées UAC-0006 Increased Cyberattacks (lien direct) |
## Instantané
L'équipe gouvernementale de réponse d'urgence informatique de l'Ukraine (CER-UA) a observé une activité accrue d'un acteur de menace financièrement déplacé qu'ils suivent en tant que UAC-0006.Depuis le 20 mai 2024, le groupe a mené au moins deux campagnes de distribution de logiciels malveillants distinctes.
## Description
CERT-UA rapporte que ces campagnes distribuent un malware SmokeLoader via des e-mails de phishing.Ces e-mails contiennent des archives zip avec des fichiers malveillants, y compris des fichiers .IMG avec des fichiers exécutables (.exe) et des documents Microsoft Access (.ACCDB) avec des macros intégrés.Ces macros exécutent des commandes PowerShell pour télécharger et exécuter les fichiers exécutables.
Après le compromis initial du système, des logiciels malveillants supplémentaires tels que TALESHOT et RMS sont téléchargés et installés.Actuellement, le botnet comprend plusieurs centaines d'ordinateurs infectés.À la suite de cette activité accrue, CERT-UA s'attend à une augmentation des régimes de fraude ciblant les systèmes bancaires à distance dans un avenir proche.
## Détections
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant:
- [* Trojan: Win32 / SmokeLoader *] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=trojan:win32/SmokeLoader&threatid=-2147238753)
- * [Trojan: win64 / smokeloader] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/smokeloader& ;threatid=-2147113809) *
## Les références
[UAC-0006 Cyberattaques augmentées] (https://cert.gov.ua/article/6279366).Équipe d'intervention d'urgence informatique d'Ukraine (consultée en 2024-05-22)
## Snapshot The Governmental Computer Emergency Reponse Team of Ukraine (CERT-UA) has observed increased activity from a financially movtivated threat actor they track as UAC-0006. Since May 20, 2024, the group has conducted at least two distinct malware distribution campaigns. ## Description CERT-UA reports that these campaigns are distributing SmokeLoader malware via phishing emails. These emails contain ZIP archives with malicious files, including .IMG files with executable (.exe) files and Microsoft Access (.ACCDB) documents with embedded macros. These macros execute PowerShell commands to download and run the executable files. After initial system compromise, additional malware such as Taleshot and RMS are downloaded and installed. Currently, the botnet comprises several hundred infected computers. As a result of this increased activity, CERT-UA expects an increase in fraud schemes targeting remote banking systems in the near future. ## Detections **Microsoft Defender Antivirus** Microsoft Defender Antivirus detects threat components as the following malware: - [*Trojan:Win32/SmokeLoader*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/SmokeLoader&threatId=-2147238753) - *[Trojan:Win64/Smokeloader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Smokeloader&threatId=-2147113809)* ## References [UAC-0006 Increased Cyberattacks](https://cert.gov.ua/article/6279366). Computer Emergency Response Team of Ukraine (accessed 2024-05-22) |
Threat Malware | ★★★ | |
|
2024-05-22 16:31:26 | Grandoreiro Banking Trojan Resurfaces dans Global Campaign Grandoreiro Banking Trojan Resurfaces in Global Campaign (lien direct) |
## Instantané Depuis mars 2024, IBM X-Force a suivi des campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, considéré comme un logiciel malveillant en tant que service (MAAS). Lisez la rédaction de Microsoft \\ sur Grandoreiro [ici] (https://security.microsoft.com/intel-explorer/articles/f07d1d16). ## Description Grandoreiro a connu des mises à jour importantes, notamment le décryptage amélioré des chaînes et un nouvel algorithme générateur de domaine (DGA).Le malware exploite également les clients Microsoft Outlook sur les hôtes infectés pour diffuser des e-mails de phishing. Historiquement, les campagnes ont été principalement limitées à l'Amérique latine, à l'Espagne et au Portugal.Mais la dernière variante est conçue pour cibler spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de commettre une fraude bancaire dans plus de 60 pays, élargissant la portée du malware à des régions comme l'Amérique centrale et du Sud, l'Afrique, l'Europe et l'Indo-Pacifique.Selon IBM, les logiciels malveillants évolués et le ciblage élargi peuvent être en réponse à des mesures d'application de la loi contre Grandoreiro. La chaîne d'infection de Grandoreiro \\ commence par un chargeur personnalisé, qui vérifie si la victime est une cible légitime et non un chercheur ou dans un bac à sable.Il rassemble des données de base de la victime, l'envoie au serveur de commandement et de contrôle (C2) et télécharge le Trojan.La variante récente du Malware \\ comprend un mécanisme de décryptage de chaîne retravaillé, en utilisant un processus complexe et en plusieurs étapes impliquant le cryptage Base64 et AES. Le Troie profil les victimes pour adapter les attaques, ciblant des applications bancaires spécifiques et des portefeuilles de crypto-monnaie.Son algorithme DGA avancé génère plusieurs domaines C2 quotidiennement, améliorant sa résilience.Grandoreiro peut exécuter un large éventail de commandes, de la télécommande et de la gestion des fichiers aux campagnes de spam de keylogging et d'Outlook.Cette capacité à envoyer des e-mails de phishing des clients Infected Outlook contribue à sa propagation. ## Microsoft Intelligence En plus de suivre l'activité de Grandoreiro en Europe, en Afrique et en Amérique latine, Microsoft Threat Intelligence a observé un ciblage de Grandoreiro aux États-Unis. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - * [Trojanspy: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojanspy:win32/grandoreiro& ;TheRatid=-2147235291) * - * [Trojan: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Grandoreiro.MBJr!Mtb& ;heterid=-2147060695) * - * [Trojandownloader: VBS / Grandoreiro] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-Description?name=trojandownOader:win32/grandoreiro.zy!SMS& ;Thereatid=-2147059024) * - * [Trojan: Win64 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win64/grandoreiro.psye!mtb& ;theatid=-2147128454)* - * [Comportement: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/grandoreiro.f & menaceId = -2147139055) * - * [Spyware: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-dercription?naME = Spyware: Win32 / Grandoreiro! Mclg & menaceID = 325649) * ** Microsoft Defender pour le point de terminaison ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Grandoreiro * ## Recommandations Microsoft recommande les atténuations sui | Threat Spam Malware Tool Legislation | ★★ | |
|
2024-05-22 15:21:21 | Bad Karma, No Justice: Void Manticore Destructive Activities in Israel (lien direct) | #### Géolocations ciblées - Israël ## Instantané Check Point Research a publié une analyse de l'acteur de menace iranien Void Manticore, l'acteur Microsoft suit en tant que Storm-0842.Affilié au ministère des Intelligences et de la Sécurité (MOIS), le vide Manticore effectue des attaques d'essuyage destructrices combinées à des opérations d'influence.L'acteur de menace exploite plusieurs personnages en ligne, les plus importants d'entre eux étant la justice de la patrie pour des attaques en Albanie et au Karma pour des attaques menées en Israël. ## Description Il y a des chevauchements clairs entre les cibles de vide manticore et de marminé marqué (aka Storm-0861), avec des indications de remise systématique des cibles entre ces deux groupes lorsqu'ils décident de mener des activités destructrices contre les victimes existantes de Manticore marqué.Les procédures de transfert documentées entre ces groupes suggèrent un niveau de planification cohérent et permettent à un accès vide de manticore à un ensemble plus large d'objectifs, facilité par leurs homologues \\ 'avancés.Les postes de collaboration ont annulé Manticore en tant qu'acteur exceptionnellement dangereux dans le paysage des menaces iraniennes. Void Manticore utilise cinq méthodes différentes pour mener des opérations perturbatrices contre ses victimes.Cela comprend plusieurs essuie-glaces personnalisés pour Windows et Linux, ainsi que la suppression manuelle de fichiers et de lecteurs partagés.Dans leurs dernières attaques, Void Manticore a utilisé un essuie-glace personnalisé appelé Bibi Wiper, faisant référence au surnom du Premier ministre d'Israël, Benjamin Netanyahu.L'essorage a été déployé dans plusieurs campagnes contre plusieurs entités en Israël et dispose de variantes pour Linux et Windows. ## Analyse Microsoft Microsoft Threat Intelligence Tracks void Manticore comme [Storm-0842] (https://security.microsoft.com/intel-profiles/0c1349b0f2bd0e545d4f741eeae18dd89888d3c0fbf99540b7cf623ff5bb2bf5) ministère du renseignement et de la sécurité (MOIS).Depuis 2022, Microsoft a observé plusieurs cas où Storm-0842 a déployé un outil destructeur dans un environnement précédemment compromis par [Storm-0861] (https://security.microsoft.com 8DE00), un autre groupe avec des liens avecLes Mois. Depuis 2022, Microsoft a observé que la majorité des opérations impliquant Storm-0842 ont affecté les organisations en [Albanie] (https://security.microsoft.com/intel-explorer/articles/5491ec4b) et en Israël.En particulier, Microsoft a observé des opérateurs associés à Storm-0842 de manière opportuniste [déploiez l'essuie-glace de Bibi en réponse à la guerre d'Israël-Hamas.] (Https://security.microsoft.com/intel-explorer/articles/cf205f30) ## Détections Microsoft Defender Antivirus détecte plusieurs variantes (Windows et Linux) de l'essuie-glace Bibi comme le malware suivant: - [DOS: WIN32 / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=dos:win32/wprblightre.b!dha& ;theratid=-2147072872)(Les fenêtres) - [dos: lINUX / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=dos:linux/wprblightre.a& ;threatid = -2147072991) (Linux) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sigh | Threat Ransomware Malware Tool | APT 34 | ★★★ |
|
2024-05-22 14:11:54 | Novel Edr-killing & apos; GhosenEngine & apos;Les logiciels malveillants sont conçus pour la furtivité Novel EDR-Killing 'GhostEngine' Malware Is Built for Stealth (lien direct) |
Le logiciel malveillant précédemment inconnu (alias Hidden Shovel) est un fantôme dans la machine: il attaque silencieusement les pilotes de noyau pour arrêter les systèmes de défense de sécurité et ainsi échapper à la détection.
The previously unknown malware (aka Hidden Shovel) is a ghost in the machine: It silently attacks kernel drivers to shut down security defense systems and thus evade detection. |
Malware | ★★★ | |
 |
2024-05-22 14:00:00 | Extinction de l'IOC?Les acteurs de cyber-espionnage de Chine-Nexus utilisent des réseaux orbes pour augmenter les coûts des défenseurs IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders (lien direct) |
Written by: Michael Raggi
Mandiant Intelligence is tracking a growing trend among China-nexus cyber espionage operations where advanced persistent threat (APT) actors utilize proxy networks known as “ORB networks” (operational relay box networks) to gain an advantage when conducting espionage operations. ORB networks are akin to botnets and are made up of virtual private servers (VPS), as well as compromised Internet of Things (IoT) devices, smart devices, and routers that are often end of life or unsupported by their manufacturers. Building networks of compromised devices allows ORB network administrators to easily grow the size of their ORB network with little effort and create a constantly evolving mesh network that can be used to conceal espionage operations. By using these mesh networks to conduct espionage operations, actors can disguise external traffic between command and control (C2) infrastructure and victim environments including vulnerable edge devices that are being exploited via zero-day vulnerabilities. These networks often use both rented VPS nodes in combination with malware designed to target routers so they can grow the number of devices capable of relaying traffic within compromised networks. Mandiant assesses with moderate confidence that this is an effort to raise the cost of defending an enterprise\'s network and shift the advantage toward espionage operators by evading detection and complicating attribution. Mandiant believes that if network defenders can shift the current enterprise defense paradigm away from treating adversary infrastructure like indicators of compromise (IOCs) and instead toward tracking ORB networks like evolving entities akin to APT groups, enterprises can contend with the rising challenge of ORB networks in the threat landscape. IOC Extinction and the Rise of ORB Networks The cybersecurity industry has reported on the APT practice of ORB network usage in the past as well as on the functional implementation of these networks. Less discussed are the implications of broad ORB network usage by a multitude of China-nexus espionage actors, which has become more common over recent years. The following are three key points and paradigm shifting implications about ORB networks that require enterprise network defenders to adapt the way they think about China-nexus espionage actors: ORB networks undermine the idea of “Actor-Controlled Infrastructure”: ORB networks are infrastructure networks administered by independent entities, contractors, or administrators within the People\'s Republic of China (PRC). They are not controlled by a single APT actor. ORB networks create a network interface, administer a network of compromised nodes, and contract access to those networks to multiple APT actors that will use the ORB networks to carry out their own distinct espionage and reconnaissance. These networks are not controlled by APT actors using them, but rather are temporarily used by these APT actors often to deploy custom tooling more conventionally attributable to known China-nexus adversaries. ORB network infrastructure has a short lifesp |
Threat Malware Cloud Tool Prediction Commercial Vulnerability | APT 15 APT 5 APT 31 | ★★★ |
|
2024-05-22 13:11:00 | Flaws MS Exchange Server exploité pour déployer Keylogger dans des attaques ciblées MS Exchange Server Flaws Exploited to Deploy Keylogger in Targeted Attacks (lien direct) |
Un acteur de menace inconnu exploite les défauts de sécurité connus de Microsoft Exchange Server pour déployer un logiciel malveillant Keylogger dans les attaques ciblant les entités en Afrique et au Moyen-Orient.
La société russe de cybersécurité Positive Technologies a déclaré avoir identifié plus de 30 victimes couvrant les agences gouvernementales, les banques, les sociétés informatiques et les établissements d'enseignement.Le tout premier compromis remonte à 2021.
"Ce
An unknown threat actor is exploiting known security flaws in Microsoft Exchange Server to deploy a keylogger malware in attacks targeting entities in Africa and the Middle East. Russian cybersecurity firm Positive Technologies said it identified over 30 victims spanning government agencies, banks, IT companies, and educational institutions. The first-ever compromise dates back to 2021. "This |
Threat Malware | ★★★ | |
 |
2024-05-22 12:35:58 | (Déjà vu) Cybermenace : TEHTRIS alerte sur le retour du malware Mirai (lien direct) | >Après avoir créé de graves perturbations sur des sites web majeurs en 2016 – Twitter, Reddit, Netflix ou encore GitHub, TEHTRIS révèle que le source du malware Mirai a été utilisé pour créer des variantes plus puissantes, visant à lancer de nouvelles attaques DDoS massives. Tribune – TEHTRIS, entreprise leader dans la neutralisation automatique en […] The post Cybermenace : TEHTRIS alerte sur le retour du malware Mirai first appeared on UnderNews. | Malware | ★★★ | |
|
2024-05-22 08:01:25 | TEHTRIS alerte sur le retour du malware Mirai (lien direct) | TEHTRIS alerte sur le retour du malware Mirai Après avoir créé de graves perturbations sur des sites web majeurs en 2016 – Twitter, Reddit, Netflix ou encore GitHub, TEHTRIS révèle que le source du malware Mirai a été utilisé pour créer des variantes plus puissantes, visant à lancer de nouvelles attaques DDoS massives. - Malwares | Malware | ★★ | |
|
2024-05-21 20:24:42 | YouTube devient le dernier front de bataille pour le phishing, Deepfakes YouTube Becomes Latest Battlefront for Phishing, Deepfakes (lien direct) |
Les e-mails de phishing personnalisés avec de fausses opportunités de collaboration et des descriptions de vidéos compromises liées aux logiciels malveillants ne sont que quelques-unes des nouvelles astuces.
Personalized phishing emails with fake collaboration opportunities and compromised video descriptions linking to malware are just some of the new tricks. |
Malware | ★★ | |
|
2024-05-21 19:49:00 | La livraison de logiciels malveillants via les services cloud exploite une astuce Unicode pour tromper les utilisateurs Malware Delivery via Cloud Services Exploits Unicode Trick to Deceive Users (lien direct) |
Une nouvelle campagne d'attaque surnommée & nbsp; cloud # reverser & nbsp; a été observée en tirant parti des services de stockage cloud légitimes comme Google Drive et Dropbox pour mettre en scène des charges utiles malveillantes.
"Les scripts VBScript et PowerShell dans le Cloud # Reverser impliquent intrinsèquement des activités de type commandement et de contrôle en utilisant Google Drive et Dropbox comme stadification pour gérer les téléchargements et les téléchargements de fichiers", Securonix
A new attack campaign dubbed CLOUD#REVERSER has been observed leveraging legitimate cloud storage services like Google Drive and Dropbox to stage malicious payloads. "The VBScript and PowerShell scripts in the CLOUD#REVERSER inherently involves command-and-control-like activities by using Google Drive and Dropbox as staging platforms to manage file uploads and downloads," Securonix |
Malware Cloud | ★★ | |
|
2024-05-21 18:37:00 | Le malware solarmarker évolue pour résister aux tentatives de retrait avec une infrastructure à plusieurs niveaux SolarMarker Malware Evolves to Resist Takedown Attempts with Multi-Tiered Infrastructure (lien direct) |
Les acteurs de menace persistants derrière le & nbsp; solarmarker & nbsp; malware de volet de l'information ont établi une infrastructure à plusieurs niveaux pour compliquer les efforts de démontage des forces de l'ordre, de nouvelles conclusions de Future Show enregistré.
"Le cœur des opérations de Solarmarker est son infrastructure en couches, qui se compose d'au moins deux clusters: un primaire pour les opérations actives et un secondaire probable
The persistent threat actors behind the SolarMarker information-stealing malware have established a multi-tiered infrastructure to complicate law enforcement takedown efforts, new findings from Recorded Future show. "The core of SolarMarker\'s operations is its layered infrastructure, which consists of at least two clusters: a primary one for active operations and a secondary one likely |
Threat Malware Legislation | ★★ |
To see everything:
Our RSS (filtrered)
