SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-02-14 16:43:26	Le malware de Bumblebee bourdonne sur la scène après une interruption de 4 mois BumbleBee Malware Buzzes Back on the Scene After 4-Month Hiatus (lien direct)	Les cyberattaques ciblant des milliers d'organisations américaines exercent un nouveau vecteur d'attaque pour livrer le chargeur d'accès initial polyvalent - et est un signe avant-coureur d'une vague d'activité de menace. Cyberattacks targeting thousands of US organizations wields a new attack vector to deliver the versatile initial-access loader - and is a harbinger of a surge in threat activity.	Malware Threat		★★
	2024-02-14 16:00:00	Tictactoe Troper TicTacToe Dropper (lien direct)	Fortiguard a identifié un regroupement de gouttes de logiciels malveillants utilisés pour livrer diverses charges utiles à un stade final tout au long de 2023. En savoir plus. FortiGuard has identified a grouping of malware droppers used to deliver various final-stage payloads throughout 2023. Learn more.	Malware		★★
	2024-02-14 13:03:00	DarkMe Malware cible les traders DarkMe Malware Targets Traders Using Microsoft SmartScreen Zero-Day Vulnerability (lien direct)	Une faille de sécurité nouvellement divulguée dans le Microsoft Defender SmartScreen a été exploitée comme un jour zéro par un acteur avancé de menace persistante appelée & nbsp; Water Hydra & nbsp; (aka darkcasino) ciblant les commerçants de marchés financiers. Trend Micro, qui a commencé à suivre la campagne fin décembre 2023, a déclaré qu'elle impliquait l'exploitation de CVE-2024-21412, une vulnérabilité de contournement de sécurité liée à Internet A newly disclosed security flaw in the Microsoft Defender SmartScreen has been exploited as a zero-day by an advanced persistent threat actor called Water Hydra (aka DarkCasino) targeting financial market traders. Trend Micro, which began tracking the campaign in late December 2023, said it entails the exploitation of CVE-2024-21412, a security bypass vulnerability related to Internet	Malware Vulnerability Threat		★★
	2024-02-14 11:00:14	Ubuntu \\ 'Command-Not-Found \\' L'outil peut être maltraité pour répandre les logiciels malveillants Ubuntu \\'command-not-found\\' tool can be abused to spread malware (lien direct)	Un défaut logique entre le système de suggestions de package Ubuntu \\ 'S \' Command-Not-Found et le référentiel de package SNAP pourrait permettre aux attaquants de promouvoir des packages Linux malveillants aux utilisateurs sans méfiance.[...] A logic flaw between Ubuntu\'s \'command-not-found\' package suggestion system and the snap package repository could enable attackers to promote malicious Linux packages to unsuspecting users. [...]	Malware Tool Vulnerability		★★★
	2024-02-14 10:57:14	Bumblebee Malware se réveille de l'hibernation, oublie quelle année elle est, attaque avec des macros Bumblebee malware wakes from hibernation, forgets what year it is, attacks with macros (lien direct)	Vous essayez de pénétrer avec des documents de mots malveillants?Comment 2015 d'entre vous Le chargeur de logiciels malveillants Bumblebee a apparemment disparu d'Internet en octobre dernier, mais il est de retour et - curieusement - en s'appuyant sur un vecteur vintage pour essayer d'y accéder.…	Malware		★★
	2024-02-14 10:08:17	La recherche annuelle sur le paysage de la menace par e-mail de la sécurité de la sécurité de Vipre met en lumière les méthodes avancées nécessaires pour sécuriser l'environnement de messagerie d'entreprise en 2024 VIPRE Security Group\\'s Annual Email Threat Landscape Research Shines Light on the Advanced Methods Needed to Secure Corporate Email Environment in 2024 (lien direct)	VIPRE SECURITY GROUP \'s Courriel de la recherche de paysage de la menace par courrier électronique met en lumière les méthodes avancées nécessaires pour sécuriser l'environnement de messagerie d'entreprise en 2024 L'analyse de plus de 7 milliards de courriels montre que des liens propres dupent les utilisateurs, les pièces jointes MALICIEUX EML ont augmenté de 10 fois au quatrième trimestre, la famille d'agenttesla malware a gagné la première place et les attaques d'ingénierie sociale restent constamment à un sommet de tous les temps. - rapports spéciaux VIPRE Security Group\'s Annual Email Threat Landscape Research Shines Light on the Advanced Methods Needed to Secure Corporate Email Environment in 2024 Analysis of over 7 billion emails shows clean links are duping users, malicious EML attachments increased 10-fold in Q4, AgentTesla malware family has gained the top spot, and social engineering attacks persistently remain at an all-time high. - Special Reports	Malware Threat Studies		★★★★
	2024-02-13 21:30:15	GLUPTEBA BOTNET Ajoute UEFI Bootkit à Cyberattack Toolbox Glupteba Botnet Adds UEFI Bootkit to Cyberattack Toolbox (lien direct)	Un malware avec chaque fonctionnalité malveillante du livre ajoute de nouvelles pages, avec une nouvelle capacité à envahir les niveaux les plus bas d'une machine Windows. A malware with every malicious feature in the book is adding new pages, with a fresh ability to invade the lowest levels of a Windows machine.	Malware		★★
	2024-02-13 20:14:39	Piloter de nouvelles façons de protéger les utilisateurs d'Android contre la fraude financière Piloting new ways of protecting Android users from financial fraud (lien direct)	Posted by Eugene Liderman, Director of Mobile Security Strategy, Google From its founding, Android has been guided by principles of openness, transparency, safety, and choice. Android gives you the freedom to choose which device best fits your needs, while also providing the flexibility to download apps from a variety of sources, including preloaded app stores such as the Google Play Store or the Galaxy Store; third-party app stores; and direct downloads from the Internet.Keeping users safe in an open ecosystem takes sophisticated defenses. That\'s why Android provides multiple layers of protections, powered by AI and backed by a large dedicated security & privacy team, to help to protect our users from security threats while continually making the platform more resilient. We also provide our users with numerous built-in protections like Google Play Protect, the world\'s most widely deployed threat detection service, which actively scans over 125 billion apps on devices every day to monitor for harmful behavior. That said, our data shows that a disproportionate amount of bad actors take advantage of select APIs and distribution channels in this open ecosystem. Elevating app security in an open ecosystem While users have the flexibility to download apps from many sources, the safety of an app can vary depending on the download source. Google Play, for example, carries out rigorous operational reviews to ensure app safety, including proper high-risk API use and permissions handling. Other app stores may also follow established policies and procedures that help reduce risks to users and their data. These protections often include requirements for developers to declare which permissions their apps use and how developers plan to use app data. Conversely, standalone app distribution sources like web browsers, messaging apps or file managers – which we commonly refer to as Internet-sideloading – do not offer the same rigorous requirements and operational reviews. Our data demonstrates that users who download from these sources today face unusually high security risks due to these missing protections. We recently launched enhanced Google Play Protect real-time scanning to help better protect users against novel malicious Internet-sideloaded apps. This enhancement is designed to address malicious apps that leverage various methods, such as AI, to avoid detection. This feature, now deployed on Android devices with Google Play Services in India, Thailand, Singapore and Brazil, has already made a significant impact on user safety. As a result of the real-time scanning enhancement, Play Protect has identified 515,000 new malicious apps and issued more than 3.1 million warnings or blocks of those apps. Play Protect is constantly improving its detection capabilities with each identified app, allowing us to strengthen our protections for the entire Android ecosystem. A new pilot to combat financial fraud Cybercriminals continue to invest in advanced financial fraud scams, costing consumers more than $1 trillion in losses. According to the 2023 Global State of Scams Report by the Global Anti-Scam Alliance, 78 percent of mobile users surveyed experienced at least one scam in the last year. Of those surveyed, 45 percent said they\'re experiencing more scams in the last 12 months. The Global Scam Report also found that scams were most often initia	Malware Threat Mobile		★★
	2024-02-13 20:07:00	GLUPTEBA BOTNET ÉVALATE Glupteba Botnet Evades Detection with Undocumented UEFI Bootkit (lien direct)	Le & nbsp; GlupTeba & nbsp; Botnet a été constaté pour incorporer une fonction de bootkit extensible unifiée auparavant sans papiers (UEFI), ajoutant une autre couche de sophistication et de furtivité au malware. "Ce bootkit peut intervenir et contrôler le processus de démarrage [du système d'exploitation], permettant à Glupteba de se cacher et de créer une persistance furtive qui peut être extrêmement difficile à The Glupteba botnet has been found to incorporate a previously undocumented Unified Extensible Firmware Interface (UEFI) bootkit feature, adding another layer of sophistication and stealth to the malware. "This bootkit can intervene and control the [operating system] boot process, enabling Glupteba to hide itself and create a stealthy persistence that can be extremely difficult to	Malware		★★
	2024-02-13 19:37:00	Pikabot refait surface avec du code rationalisé et des tactiques trompeuses PikaBot Resurfaces with Streamlined Code and Deceptive Tactics (lien direct)	Les acteurs de la menace derrière les logiciels malveillants Pikabot ont apporté des modifications importantes au malware dans ce qui a été décrit comme un cas de «dévolution». "Bien qu'il semble être dans un nouveau cycle de développement et une phase de test, les développeurs ont réduit la complexité du code en supprimant les techniques avancées d'obfuscation et en modifiant les communications du réseau", le chercheur Zscaler KenenceLabz Nikolaos The threat actors behind the PikaBot malware have made significant changes to the malware in what has been described as a case of "devolution." "Although it appears to be in a new development cycle and testing phase, the developers have reduced the complexity of the code by removing advanced obfuscation techniques and changing the network communications," Zscaler ThreatLabz researcher Nikolaos	Malware Threat		★★★
	2024-02-13 15:52:54	Les pirates ont utilisé le nouveau défenseur Windows Zero-Day pour déposer des logiciels malveillants Darkme Hackers used new Windows Defender zero-day to drop DarkMe malware (lien direct)	Microsoft a corrigé aujourd'hui un jour SmartScreen de Windows SmartScreen exploité dans la nature par un groupe de menaces motivés financièrement pour déployer le troin à l'accès à distance Darkme (RAT).[...] Microsoft has patched today a Windows Defender SmartScreen zero-day exploited in the wild by a financially motivated threat group to deploy the DarkMe remote access trojan (RAT). [...]	Malware Vulnerability Threat		★★
	2024-02-13 14:41:50	Classement Top malware de janvier 2024 : Lockbit3 en tête du classement des menaces de ransomware (lien direct)	Check Point® Software Technologies Ltd.- Classement Top malware de janvier 2024 : Lockbit3 en tête du classement des menaces de ransomware Les chercheurs ont identifié un important fournisseur de menaces en ligne appelé VexTrio, un intermédiaire clé pour les criminels du cyberespace. Parallèlement, LockBit3 est arrivé en tête du classement des groupes actifs de ransomware après une série d'attaques majeures en janvier. En France, Qbot est le malware le plus répandu. - Malwares	Ransomware Malware Threat		★★
	2024-02-13 14:23:00	Nouvelles variantes de logiciels malveillants Qakbot en cours de développement New variants of Qakbot malware under development (lien direct)	Check Point® Software Technologies Ltd.- Classement Top malware de janvier 2024 : Lockbit3 en tête du classement des menaces de ransomware Les chercheurs ont identifié un important fournisseur de menaces en ligne appelé VexTrio, un intermédiaire clé pour les criminels du cyberespace. Parallèlement, LockBit3 est arrivé en tête du classement des groupes actifs de ransomware après une série d'attaques majeures en janvier. En France, Qbot est le malware le plus répandu. - Malwares	Malware		★★
	2024-02-13 14:05:00	Notorious Bumblebee Malware réémerge avec de nouvelles méthodes d'attaque Notorious Bumblebee Malware Re-emerges with New Attack Methods (lien direct)	Les chercheurs de ProofPoint ont observé une nouvelle campagne de bourdons en génie social en février à la suite d'une absence de quatre mois Proofpoint researchers observed a new Bumblebee social engineering campaign in February following a four-month absence	Malware		★★★
	2024-02-13 10:41:46	Les attaques de logiciels malveillants de Bumblebee sont de retour après 4 mois de pause Bumblebee malware attacks are back after 4-month break (lien direct)	Le malware de Bumblebee est revenu après des vacances de quatre mois, ciblant des milliers d'organisations aux États-Unis dans des campagnes de phishing.[...] The Bumblebee malware has returned after a four-month vacation, targeting thousands of organizations in the United States in phishing campaigns. [...]	Malware		★★
	2024-02-13 10:20:06	January 2024\'s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats (lien direct)	janvier 2024 \'s MALWOWIRS MORTS: Opération du courtier Vextrio majeur découvert et Lockbit3 est en tête des menaces de ransomware Équipe de point Bycheck - mise à jour malveillant / / affiche January 2024\'s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats ByCheck Point Team - Malware Update / affiche	Ransomware Malware		★★
	2024-02-13 10:15:00	Volumes de logiciels malveillants de chasseur-tueur vu Hunter-killer malware volumes seen surging (lien direct)	janvier 2024 \'s MALWOWIRS MORTS: Opération du courtier Vextrio majeur découvert et Lockbit3 est en tête des menaces de ransomware Équipe de point Bycheck - mise à jour malveillant / / affiche January 2024\'s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats ByCheck Point Team - Malware Update / affiche	Malware		★★
	2024-02-13 09:56:30	Le PICUS Red Report 2024 révèle une augmentation de 333% des logiciels malveillants qui cible et désactive les contrôles de sécurité The Picus Red Report 2024 reveals 333% increase in malware that targets and disables security controls (lien direct)	Surge dans les logiciels malveillants «Hunter-Killer» découverts par Picus Security Le rapport PICUS Red 2024 révèle une augmentation de 333% des logiciels malveillants qui cible et désactive les contrôles de sécurité - rapports spéciaux Surge in “Hunter-killer” Malware Uncovered by Picus Security The Picus Red Report 2024 reveals 333% increase in malware that targets and disables security controls - Special Reports	Malware Studies		★★★★
	2024-02-13 09:35:00	Les détections furtives «Hunter-Killer» malveillantes augmentent 333% par an Stealthy “Hunter-Killer” Malware Detections Surge 333% Annually (lien direct)	Picus Security voit une énorme augmentation des logiciels malveillants conçus pour détecter et perturber l'outillage de sécurité Picus Security sees huge uptick in malware designed to detect and disrupt security tooling	Malware		★★
	2024-02-13 07:32:08	Bumblebee bourdonne en noir Bumblebee Buzzes Back in Black (lien direct)	What happened Proofpoint researchers identified the return of Bumblebee malware to the cybercriminal threat landscape on 8 February 2024 after a four-month absence from Proofpoint threat data. Bumblebee is a sophisticated downloader used by multiple cybercriminal threat actors and was a favored payload from its first appearance in March 2022 through October 2023 before disappearing. In the February campaign, Proofpoint observed several thousand emails targeting organizations in the United States with the subject "Voicemail February" from the sender "info@quarlesaa[.]com" that contained OneDrive URLs. The URLs led to a Word file with names such as "ReleaseEvans#96.docm" (the digits before the file extension varied). The Word document spoofed the consumer electronics company Humane. Screenshot of the voicemail-themed email lure. Screenshot of the malicious Word document. The document used macros to create a script in the Windows temporary directory, for example "%TEMP%/radD7A21.tmp", using the contents of CustomDocumentProperties SpecialProps, SpecialProps1, SpecialProps2 and SpecialProps3. The macro then executed the dropped file using "wscript". Inside the dropped temporary file was a PowerShell command that downloads and executes the next stage from a remote server, stored in file “update_ver”: The next stage was another PowerShell command which in turn downloaded and ran the Bumblebee DLL. The Bumblebee configuration included: Campaign ID: dcc3 RC4 Key: NEW_BLACK It is notable that the actor is using VBA macro-enabled documents in the attack chain, as most cybercriminal threat actors have nearly stopped using them, especially those delivering payloads that can act as initial access facilitators for follow-on ransomware activity. In 2022, Microsoft began blocking macros by default, causing a massive shift in the landscape to attack chains that began using more unusual filetypes, vulnerability exploitation, combining URLs and attachments, chaining scripting files, and much more. Another noteworthy feature of this campaign is that the attack chain is significantly different from previously observed Bumblebee campaigns. Examples used in prior campaigns that distributed Bumblebee with the “NEW_BLACK” configuration included: Emails that contained URLs leading to the download of a DLL which, if executed, started Bumblebee. Emails with HTML attachments that leveraged HTML smuggling to drop a RAR file. If executed, it exploited the WinRAR vulnerability CVE-2023-38831 to install Bumblebee. Emails with zipped, password-protected VBS attachments which, if executed, used PowerShell to download and execute Bumblebee. Emails that contained zipped LNK files to download an executable file. If executed, the .exe started Bumblebee. Out of the nearly 230 Bumblebee campaigns identified since March 2022, only five used any macro-laden content; four campaigns used XL4 macros, and one used VBA macros. Attribution At this time Proofpoint does not attribute the activity to a tracked threat actor. The voicemail lure theme, use of OneDrive URLs, and sender address appear to align with previous TA579 activities. Proofpoint will continue to investigate and may attribute this activity to a known threat actor in the future. Proofpoint assesses with high confidence Bumblebee loader can be used as an initial access facilitator to deliver follow-on payloads such as ransomware. Why it matters Bumblebee\'s return to the threat landscape aligns with a surge of cybercriminal threat activity after a notable absence of many threat actors and malware. Recently, two threat actors-tax-themed actor TA576 and the sophisticated TA866-appeared once again in email campaign data after months-long gaps in activity. Post-exploitation operator TA582 and aviation and aerospace targeting ecrime actor TA2541 both reappeared in the threat landscape in late January after being absent since the end of November. Additionally, DarkGate malware reappeared	Ransomware Malware Vulnerability Threat		★★
	2024-02-13 05:01:00	Hunter-Killer Malware Tactic Growing: furtif, persistant et agressif Hunter-Killer Malware Tactic Growing: Stealthy, Persistent and Aggressive (lien direct)	> Une tactique de logiciels malveillants surnommée \\ 'Hunter-Killer \' augmente, sur la base d'une analyse de plus de 600 000 échantillons de logiciels malveillants.Cela peut devenir l'approche standard des attaques avancées. >A malware tactic dubbed \'hunter-killer\' is growing, based on an analysis of more than 600,000 malware samples. This may become the standard approach for advanced attacks.	Malware		★★
	2024-02-13 03:52:20	Malware de revanche de vengeance sans fichier Fileless Revenge RAT Malware (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de Revenge Rat qui avaient été développés en fonction deOutils légitimes.Il semble que les attaquants aient utilisé des outils tels que & # 8216; SMTP-Validator & # 8217;et & # 8216; e-mail à SMS & # 8217;.Au moment de l'exécution, le logiciel malveillant crée et exécute à la fois un outil légitime et un fichier malveillant, ce qui rend difficile pour les utilisateurs de réaliser qu'une activité malveillante s'est produite.Comme indiqué dans le code ci-dessous, l'acteur de menace crée et exécute setup.exe ... AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of Revenge RAT malware that had been developed based on legitimate tools. It appears that the attackers have used tools such as ‘smtp-validator’ and ‘Email To Sms’. At the time of execution, the malware creates and runs both a legitimate tool and a malicious file, making it difficult for users to realize that a malicious activity has occurred. As shown in the code below, the threat actor creates and runs Setup.exe...	Malware Tool Threat		★★
	2024-02-12 22:19:34	Les États-Unis éliminent le fonctionnement malveillant des logiciels malveillants notoire, arrête 2 US Takes Down Notorious Warzone RAT Malware Operation, Arrests 2 (lien direct)	> Par waqas Le fonctionnement notoire du rat de Warzone a été actif de 2018 jusqu'à son démontage. Ceci est un article de HackRead.com Lire la publication originale: Us élimine le fonctionnement malveillant des logiciels malveillants notoire, arrête 2 >By Waqas The notorious Warzone Rat operation was active from 2018 until its takedown. This is a post from HackRead.com Read the original post: US Takes Down Notorious Warzone RAT Malware Operation, Arrests 2	Malware		★★
	2024-02-12 18:09:55	Le FBI saisit l'infrastructure de rat Warzone, arrête le vendeur de logiciels malveillants FBI seizes Warzone RAT infrastructure, arrests malware vendor (lien direct)	Le FBI a démantelé le fonctionnement malveillant des rats de warzone, saisissant l'infrastructure et arrêtant deux individus associés à l'opération de cybercriminalité.[...] The FBI dismantled the Warzone RAT malware operation, seizing infrastructure and arresting two individuals associated with the cybercrime operation. [...]	Malware Legislation		★★★
	2024-02-12 17:00:00	La cyberattaque sophistiquée frappe la charité islamique en Arabie saoudite Sophisticated Cyber-Attack Hits Islamic Charity in Saudi Arabia (lien direct)	Talos a déclaré que l'attaquant a utilisé de nouveaux logiciels malveillants «zardoor» pour établir la persistance Talos said the attacker utilized new “Zardoor” malware to establish persistence	Malware		★★★
	2024-02-12 16:37:24	De Cracked à piraté: les logiciels malveillants se propagent via des vidéos YouTube From Cracked to Hacked: Malware Spread via YouTube Videos (lien direct)	Ce rapport d'analyse des menaces se plongera dans les comptes YouTube compromis utilisés comme vecteur pour la propagation des logiciels malveillants.Il décrira comment ce vecteur d'attaque est exploité pour les campagnes à faible combustion et à faible coût, mettant en évidence les stratégies utilisées par les acteurs de la menace et comment les défenseurs peuvent détecter et prévenir ces attaques. & NBSP; This Threat Analysis Report will delve into compromised YouTube accounts being used as a vector for the spread of malware. It will outline how this attack vector is exploited for low-burn, low-cost campaigns, highlighting strategies used by threat actors and how defenders can detect and prevent these attacks.	Malware Threat		★★★
	2024-02-12 10:30:00	US DÉMANCHE FONCTIONNEMENT DE MALWORED WARZONE RAT US Dismantles Warzone RAT Malware Operation (lien direct)	Les autorités américaines ont saisi des domaines et arrêté des individus en relation avec le rat de Warzone US authorities have seized domains and arrested individuals in connection with the Warzone RAT	Malware		★★★
	2024-02-12 08:02:39	4 étapes pour empêcher le compromis des e-mails des fournisseurs dans votre chaîne d'approvisionnement 4 Steps to Prevent Vendor Email Compromise in Your Supply Chain (lien direct)	Supply chains have become a focal point for cyberattacks in a world where business ecosystems are increasingly connected. Email threats are a significant risk factor, as threat actors are keen to use compromised email accounts to their advantage. Every month, a staggering 80% of Proofpoint customers face attacks that originate from compromised vendor, third-party or supplier email accounts. Known as supplier account compromise, or vendor email compromise, these attacks involve threat actors infiltrating business communications between trusted partners so that they can launch internal and external attacks. Their ultimate goal might be to steal money, steal data, distribute malware or simply cause havoc. In this blog post, we\'ll explain how vendor emails are compromised and how you can stop these attacks. Finally, we\'ll tell you how Proofpoint can help. What\'s at stake Supply chain compromise attacks can be costly for businesses. IBM, in its latest Cost of a Data Breach Report, says that the average total cost of a cyberattack that involves supply chain compromise is $4.76 million. That is almost 12% higher than the cost of an incident that doesn\'t involve the supply chain. In addition to the financial implications, compromised accounts can lead to: Phishing scams that result in even more compromised accounts Reputational and brand damage Complex legal liabilities between business partners How does vendor email compromise occur? Supply chain compromise attacks are highly targeted. They can stretch out over several months. And typically, they are structured as a multistep process. The bad actor initiates the assault by gaining access to the email account of a vendor or supplier through various means. Phishing attacks are one example. Once the attacker gains access, they will lay low for an extended period to observe the vendor\'s email communications. During this time, the adversary will study the language and context of messages so that they can blend in well and avoid detection. Attackers might also use this observation period to establish persistence. They will create mail rules and infrastructure so that they can continue to receive and send messages even after the vendor has regained control of the account. Once they establish access and persistence, the attackers will begin to insert themselves into conversations within the supplier\'s company as well as with external partners and customers. By posing as the sender, the attacker takes advantage of established trust between parties to increase their chances of success. Overview of a vendor email compromise attack. Proofpoint has observed a growing trend of attackers targeting accounts within smaller businesses and using them to gain entry into larger companies. Threat actors often assume that small businesses have less protection than large companies. They see them as targets that can help them achieve a bigger payday. How to stop vendor email compromise If you want to defend against these attacks, it\'s critical to understand the methods behind them. Such a formidable problem requires a strategic and multilayered solution. The four broad steps below can help. Step 1: Know your suppliers Your first line of defense against these email attacks sounds simple, but it\'s challenging. It is the ability to intimately “know your supplier” and understand their security strategy. This requires more than a one-time vendor assessment. Your security teams will need to prioritize continuous monitoring of your company\'s business partnerships. On top of that knowledge, you need a thorough understanding of the access and privileges that your business grants to each vendor. Compromised accounts that have uncontrolled access may be able to exfiltrate sensitive data or upload malware like ransomware. So, when you know what your suppliers can (and can\'t) access, you can identify a data breach faster. Other steps, like requiring multifactor authentication (MFA) for vendor accounts, can	Ransomware Data Breach Malware Tool Threat Studies Prediction Cloud		★★★
	2024-02-12 07:37:05	Alerte communautaire: campagne malveillante en cours impactant les environnements cloud Azure Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments (lien direct)	Over the past weeks, Proofpoint researchers have been monitoring an ongoing cloud account takeover campaign impacting dozens of Microsoft Azure environments and compromising hundreds of user accounts, including senior executives. This post serves as a community warning regarding the attack and offers suggestions that affected organizations can implement to protect themselves from it. What are we seeing? In late November 2023, Proofpoint researchers detected a new malicious campaign, integrating credential phishing and cloud account takeover (ATO) techniques. As part of this campaign, which is still active, threat actors target users with individualized phishing lures within shared documents. For example, some weaponized documents include embedded links to “View document” which, in turn, redirect users to a malicious phishing webpage upon clicking the URL. Threat actors seemingly direct their focus toward a wide range of individuals holding diverse titles across different organizations, impacting hundreds of users globally. The affected user base encompasses a wide spectrum of positions, with frequent targets including Sales Directors, Account Managers, and Finance Managers. Individuals holding executive positions such as “Vice President, Operations”, "Chief Financial Officer & Treasurer" and "President & CEO" were also among those targeted. The varied selection of targeted roles indicates a practical strategy by threat actors, aiming to compromise accounts with various levels of access to valuable resources and responsibilities across organizational functions. Following the attack\'s behavioral patterns and techniques, our threat analysts identified specific indicators of compromise (IOCs) associated with this campaign. Namely, the use of a specific Linux user-agent utilized by attackers during the access phase of the attack chain: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Attackers predominantly utilize this user-agent to access the \'OfficeHome\' sign-in application along with unauthorized access to additional native Microsoft365 apps, such as: \'Office365 Shell WCSS-Client\' (indicative of browser access to Office365 applications) \'Office 365 Exchange Online\' (indicative of post-compromise mailbox abuse, data exfiltration and email threats proliferation) \'My Signins\' (used by attackers for MFA manipulation; for more info about this technique, see our recent Cybersecurity Stop of the Month blog) \'My Apps\' \'My Profile\' Post compromise risks Successful initial access often leads to a sequence of unauthorized post-compromise activities, including: MFA manipulation. Attackers register their own MFA methods to maintain persistent access. We have observed attackers choosing different authentication methods, including the registration of alternative phone numbers for authentication via SMS or phone call. However, in most MFA manipulation instances, attackers preferred to add an authenticator app with notification and code. Examples of MFA manipulation events, executed by attackers in a compromised cloud tenant. Data exfiltration. Attackers access and download sensitive files, including financial assets, internal security protocols, and user credentials. Internal and external phishing. Mailbox access is leveraged to conduct lateral movement within impacted organizations and to target specific user accounts with personalized phishing threats. Financial fraud. In an effort to perpetrate financial fraud, internal email messages are dispatched to target Human Resources and Financial departments within affected organizations. Mailbox rules. Attackers create dedicated obfuscation rules, intended to cover their tracks and erase all evidence of malicious activity from victims\' mailboxes. Examples of obfuscation mailbox rules created by attackers following successful account takeover. Operational infrastructure Our forensic analysis of the attack has surfaced several proxies,	Malware Tool Threat Cloud		★★★
	2024-02-11 17:26:11	Nouveau malware souligne l\'intérêt continu pour les appareils edge (lien direct)	Découverte par les Services de Renseignements, cette menace souligne l'importance de sécuriser les périphéries du réseau.	Malware		★★★
	2024-02-11 16:24:00	Le DOJ américain démantèle l'infrastructure de rat Warzone, arrête les opérateurs clés U.S. DoJ Dismantles Warzone RAT Infrastructure, Arrests Key Operators (lien direct)	Vendredi, le ministère américain de la Justice (DOJ) a annoncé la crise des infrastructures en ligne qui a été utilisée pour vendre un cheval de Troie (rat) à distance appelé & NBSP; Warzone Rat. Les domaines & # 8211; & nbsp; www.warzone [.] WS & nbsp; et trois autres & # 8211;ont été "utilisés pour vendre des logiciels malveillants informatiques utilisés par les cybercriminels pour accéder secrètement et voler des données aux ordinateurs victimes", a déclaré le DOJ & NBSP. À côté du retrait, le The U.S. Justice Department (DoJ) on Friday announced the seizure of online infrastructure that was used to sell a remote access trojan (RAT) called Warzone RAT. The domains – www.warzone[.]ws and three others – were "used to sell computer malware used by cybercriminals to secretly access and steal data from victims\' computers," the DoJ said. Alongside the takedown, the	Malware Legislation		★★★
	2024-02-10 22:35:42	Ce malware Android s'exécute automatiquement et peut voler des données sensibles This Android Malware Runs Automatically And Can Steal Sensitive Data (lien direct)	Les chercheurs en cybersécurité de McAfee ont découvert qu'une version mise à jour du malware Android, Xloader, peut se lancer automatiquement sur les smartphones Android infectés après l'installation sans avoir besoin d'une interaction utilisateur. xloader, également connu sous le nom de Moqhao, est une souche malveillante qui est probablement créée par un acteur de menace motivé financièrement appelé & # 8216; Roaming Mantis \\ '. Ce malware est principalement distribué via des liens URL raccourcis dans les messages texte sur les appareils Android, qui, lorsqu'il est cliqué, vous redirige vers un site Web pour télécharger un fichier d'installation Android APK pour une application mobile. Cela permet aux logiciels malveillants de s'exécuter silencieusement en arrière-plan et d'extraire des informations personnelles et privées à partir d'appareils compromis, y compris des métadonnées de l'appareil, des photos, des messages texte, des listes de contacts, des numéros spécifiques d'appel avec un mode silencieux et des informations potentiellement bancaires, entre autres choses. & # 8220; Moqhao typique oblige les utilisateurs à installer et à lancer l'application pour obtenir leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution.Pendant que l'application est installée, leur activité malveillante commence automatiquement, & # 8221;Explique McAfee, un partenaire Android App App Defence Alliance, Dans un rapport publié cette semaine . & # 8220; Nous avons déjà signalé cette technique à Google et ils travaillent déjà sur la mise en œuvre d'atténuations pour empêcher ce type d'exécution automatique dans une future version Android. & # 8221; Afin de tromper l'utilisateur, le malware se déguise en application légitime, faisant souvent semblant d'être le navigateur Web Google Chrome.Il utilise des chaînes Unicode dans les noms d'applications pour l'obscurcissement, qui lui permet ensuite de rechercher des autorisations risquées sur l'appareil, comme l'envoi et l'accès au contenu SMS, et pour toujours s'exécuter en arrière. De plus, la fausse application Chrome demande également aux utilisateurs s'ils souhaitent le définir en tant qu'application SMS par défaut sous le prétexte que cela aidera à empêcher le spam. En outre, le malware utilise également des messages de phishing, dont le contenu est extrait du champ bio (ou description) à partir de profils frauduleux Pinterest, qui sont ensuite envoyés aux smartphones infectés pour échapper à la détection par le logiciel antivirus. Si le malware n'est pas en mesure d'accéder à Pinterest, il utilise alors des messages de phishing codés en dur qui informent les victimes potentielles qu'il y a quelque chose de louche avec leur compte bancaire et qu'ils doivent prendre des mesures immédiates. Les chercheurs de McAfee \\ ont noté que certains messages contextuels malveillants demandaient des autorisations en anglais, coréen, français, japonais, allemand et hindi, ce qui indique également des cibles actuelles de Xloader.Ils croient qu'en plus du Japon, le malware cible également les utilisateurs d'Android en Corée du Sud, en France, en Allemagne et en Inde. Pour rester protégé contre les logiciels malveillants Xloader, il est conseillé aux utilisateurs de ne pas lacharger les applications ou d'ouvrir des URL courtes dans les messages texte et d'être très prudents tout en accordant des autorisations aux applications qu'ils installent.Limitez également le nombre d'applications installées sur votre téléphone Android et installez les applications uniquement à partir de développeurs réputés. En outre, activez Google Play Protect sur votre smartphone Android afin	Spam Malware Threat Mobile		★★★
	2024-02-10 10:11:12	Les logiciels malveillants de Raspberry Robin évoluent avec un accès précoce aux exploits Windows Raspberry Robin malware evolves with early access to Windows exploits (lien direct)	Les versions récentes du malware de Raspberry Robin sont plus furtives et mettent en œuvre des exploits d'une journée qui sont déployés uniquement sur des systèmes susceptibles d'y être sensibles.[...] Recent versions of the Raspberry Robin malware are stealthier and implement one-day exploits that are deployed only on systems that are susceptible to them. [...]	Malware		★★★
	2024-02-10 03:31:06	Rencontrez Vextrio, un réseau de sites Web détournés de 70 000 Meet VexTrio, a network of 70K hijacked websites crooks use to sling malware, fraud (lien direct)	Certains indicateurs utiles de compromis ici Plus de 70 000 sites Web légitimes ont été détournés et rédigés dans un réseau que les escrocs utilisent pour distribuer des logiciels malveillants, servir des pages de phishing et partager d'autres trucs douteux, selon leschercheurs.… Some useful indicators of compromise right here More than 70,000 presumably legit websites have been hijacked and drafted into a network that crooks use to distribute malware, serve phishing pages, and share other dodgy stuff, according to researchers.…	Malware		★★
	2024-02-09 22:02:00	Mises à niveau des logiciels malveillants de Raspberry Robin avec dispersion et nouveaux exploits Raspberry Robin Malware Upgrades with Discord Spread and New Exploits (lien direct)	Les opérateurs de & nbsp; Raspberry Robin & nbsp; utilisent désormais deux nouveaux exploits d'une journée pour réaliser l'escalade des privilèges locaux, même si les logiciels malveillants continuent d'être affinés et améliorés pour le rendre plus furtif qu'auparavant. Cela signifie que "Raspberry Robin a accès à un vendeur d'exploit ou ses auteurs développent les exploits eux-mêmes en peu de temps" The operators of Raspberry Robin are now using two new one-day exploits to achieve local privilege escalation, even as the malware continues to be refined and improved to make it stealthier than before. This means that "Raspberry Robin has access to an exploit seller or its authors develop the exploits themselves in a short period of time," Check Point said in a report this	Malware Threat		★★
	2024-02-09 21:48:11	MacOS ciblé par une nouvelle porte dérobée liée au ransomware Alphv MacOS Targeted by New Backdoor Linked to ALPHV Ransomware (lien direct)	MacOS Data Exfiltration Malware fait la mise à jour de l'éditeur de code Visual Studio. MacOS data exfiltration malware poses as an update for Visual Studio code editor.	Ransomware Malware		★★★
	2024-02-09 19:04:00	Moqhao Android Malware évolue avec une capacité d'exécution automatique MoqHao Android Malware Evolves with Auto-Execution Capability (lien direct)	Les chasseurs de menaces ont identifié une nouvelle variante de logiciels malveillants Android appelés & nbsp; moqhao & nbsp; qui s'exécute automatiquement sur les appareils infectés sans nécessiter d'interaction utilisateur. "Moqhao typique oblige les utilisateurs à installer et à lancer l'application pour obtenir leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution", McAfee Labs & NBSP; Said & NBSP; dans un rapport publié cette semaine."Pendant que l'application est Threat hunters have identified a new variant of Android malware called MoqHao that automatically executes on infected devices without requiring any user interaction. "Typical MoqHao requires users to install and launch the app to get their desired purpose, but this new variant requires no execution," McAfee Labs said in a report published this week. "While the app is	Malware Threat Mobile		★★
	2024-02-09 16:12:53	Mémo sur les menaces cloud: Retour aux bases: New Darkgate Campaign Exploite Microsoft Teams Cloud Threats Memo: Back to the Basics: New DarkGate Campaign Exploiting Microsoft Teams (lien direct)	> Darkgate est un logiciel malveillant de marchandise avec plusieurs fonctionnalités, notamment la possibilité de télécharger et d'exécuter des fichiers en mémoire, un module de calcul réseau virtuel caché (HVNC), de keylogging, de capacités de vol d'information et d'escalade de privilège.Ce malware a été livré dans plusieurs campagnes au cours des derniers mois depuis au moins septembre 2023, et l'une des caractéristiques communes [& # 8230;] >DarkGate is a commodity malware with multiple features including the ability to download and execute files to memory, a hidden virtual network computing (HVNC) module, keylogging, information-stealing capabilities, and privilege escalation. This malware has been delivered in multiple campaigns over the past few months since at least September 2023, and one of the common characteristics […]	Malware Cloud		★★★
	2024-02-09 15:58:00	New Coyote Trojan cible 61 banques brésiliennes avec attaque propulsée par NIM New Coyote Trojan Targets 61 Brazilian Banks with Nim-Powered Attack (lien direct)	Soixante et une institutions bancaires, toutes originaires du Brésil, sont la cible d'un nouveau chevalier bancaire appelé & nbsp; coyote. "Ce logiciel malveillant utilise le programme d'installation de l'écureuil pour la distribution, tirant parti de Node.js et un langage de programmation relativement nouveau multi-plateforme appelé NIM comme un chargeur pour terminer son infection", la société russe de cybersécurité Kaspersky & nbsp; a dit & nbsp; dans un rapport de jeudi. Quoi Sixty-one banking institutions, all of them originating from Brazil, are the target of a new banking trojan called Coyote. "This malware utilizes the Squirrel installer for distribution, leveraging Node.js and a relatively new multi-platform programming language called Nim as a loader to complete its infection," Russian cybersecurity firm Kaspersky said in a Thursday report. What	Malware		★★★
	2024-02-09 14:00:23	InfoBlox dit que les pros manquent cette méga-menace des cybercriminels mondiaux organisés Infoblox says IT Pros Are Missing This Mega-Threat From Organised Global Cyber Criminals (lien direct)	L'acteur des menaces de cybersécurité Vextrio vole sous le radar pour la plupart des professionnels de la cybersécurité de la région de l'APAC, car il s'agit d'un homme intermédiaire de distribution du trafic Web plutôt que d'une source de logiciels malveillants. Cyber security threat actor VexTrio is flying under the radar for most APAC region cyber security professionals because it is a web traffic distribution middle man rather than an endpoint source of malware.	Malware Threat		★★★
	2024-02-09 13:00:56	Janvier 2024 \\’s MALWWare le plus recherché: Opération du courtier Vextrio majeur découvert et Lockbit3 est en tête des menaces de ransomware January 2024\\'s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats (lien direct)	> Les chercheurs ont découvert un grand distributeur de cyber-menaces connu sous le nom de Vextrio, qui sert de courtier de trafic majeur pour les cybercriminels afin de distribuer un contenu malveillant.Pendant ce temps, Lockbit3 est en tête de la liste des groupes de ransomware actifs et de l'éducation était l'industrie la plus touchée dans le monde entier, notre dernier indice de menace mondial pour le janvier 2024, les chercheurs ont identifié un nouveau système de distribution de trafic omniprésent nommé Vextrio, qui a aidé plus de 60 affiliés via un réseau (TDS)de plus de 70 000 sites compromis.Pendant ce temps, Lockbit3 a été nommé le groupe de ransomware le plus répandu dans un classement nouvellement introduit dans l'indice, et l'éducation est restée l'industrie la plus touchée dans le monde.[& # 8230;] >Researchers uncovered a large cyber threat distributor known as VexTrio, which serves as a major traffic broker for cybercriminals to distribute malicious content. Meanwhile, LockBit3 topped the list of active ransomware groups and Education was the most impacted industry worldwide Our latest Global Threat Index for January 2024 saw researchers identified a new pervasive traffic distribution system (TDS) named VexTrio, which has aided over 60 affiliates through a network of more than 70,000 compromised sites. Meanwhile, LockBit3 was named the most prevalent ransomware group in a newly introduced ranking in the Index, and Education remained the most impacted industry worldwide. […]	Ransomware Malware Threat		★★★
	2024-02-09 10:53:35	New Rustdoor MacOS malware usurpersion Visual Studio Update New RustDoor macOS malware impersonates Visual Studio update (lien direct)	Une nouvelle mise à jour de malware MacOS basée sur la rouille en tant que mise à jour Visual Studio pour fournir un accès de porte dérobée aux systèmes compromis utilise une infrastructure liée au tristement célèbre gang de ransomware AlphV / BlackCat.[...] A new Rust-based macOS malware spreading as a Visual Studio update to provide backdoor access to compromised systems uses infrastructure linked to the infamous ALPHV/BlackCat ransomware gang. [...]	Ransomware Malware		★★
	2024-02-09 06:00:24	Offensif et défensif: renforcer la sensibilisation à la sécurité avec deux approches d'apprentissage puissantes Offensive and Defensive: Build Security Awareness with Two Powerful Learning Approaches (lien direct)	“Offensive” security awareness and “defensive” security awareness are two learning approaches that you can use to build a robust security culture in your company. They involve applying different strategies to educate your employees about threats and how they can respond to them safely. You may have heard the terms “offensive cybersecurity” and “defensive cybersecurity.” You use defensive tools and techniques to strengthen security vulnerabilities. And with offensive tools and techniques, you focus on identifying those vulnerabilities before attackers find them first. How do defensive and offensive approaches apply to security awareness? Here\'s a quick overview: With a defensive approach, users learn the fundamentals of security. With an offensive approach, users learn how to protect themselves and the business against future threats. Let\'s use a sports analogy here. You can actively learn to be a defensive goalie and block threats. Then, you can take your skills up a level and learn to score points with protective techniques. With Proofpoint Security Awareness, our industry-leading threat intelligence informs both approaches. We help people learn how to defend against current threats. And we give them the tools for taking offensive action against future threats. Live-action series about Insider Threats. (play video) Defensive security awareness: set the foundation We all have to start with the basics, right? With defensive security awareness, you teach people the fundamentals of security and set the stage for safe behavior. This training is often reactive. It enables people to respond to immediate threats and incidents as they arise. At Proofpoint, we believe in using behavioral science methodologies, like adaptive learning and contextual nudges. We combine this with a threat-driven approach, weaving trend analysis and insights about recent security breaches into our training. A personalized adaptive framework The adaptive learning framework is a personalized defensive approach to training. It recognizes that everyone learns differently; it is the opposite of a one-size-fits-all approach. You can teach security fundamentals in a way that is meaningful for each person based on what they know, what they might do and what they believe. This framework lets you drive behavior change with education that is tailored to each person\'s needs. That can include their professional role, industry, content style and native language. The learner can engage with a wide variety of styles and materials. And each training is tied to a specific learning objective. Adaptive learning recognizes that people learn best in short bursts that are spread over time. Our microlearning video modules are under three minutes, and our nano-learning videos are under one minute. These formats give people the flexibility to learn at their own pace. For instance, our “You\'re Now a Little Wiser” nano series offers bite-size training on topics such as data protection to help users learn about specific threats. Screenshots from a one-minute nano-learning video. Contextual nudges and positive reinforcement Training is essential if you want to build a robust security culture. But it is not enough to change behavior fully. Here is where contextual nudges play a vital role in helping to reinforce positive behavior habits once they are formed. These deliberate interventions are designed to shape how people behave. Nudges are rooted in a deep understanding of human behavior. They can move people toward making better decisions, often without them realizing it. They are gentle reminders that can guide people toward creating optimal outcomes. That, in turn, helps to foster a defensive security-conscious culture in your company. It is important to find the respectful balance of nudging people toward secure behaviors without being too intrusive or complex. For example, when a user fails a phishing simulation exercise, Proofpoint Security Awareness offers “Tea	Ransomware Malware Tool Vulnerability Threat Prediction		★★★
	2024-02-08 21:14:16	\\ 'coyote \\' Le malware commence sa chasse, s'attaquant à 61 applications bancaires \\'Coyote\\' Malware Begins Its Hunt, Preying on 61 Banking Apps (lien direct)	Le Brésil, le Center for Banking Trojan malware du monde, a produit l'un de ses outils les plus avancés à ce jour.Et comme le montre l'histoire, Coyote pourrait bientôt étendre son territoire. Brazil, the world\'s center for banking Trojan malware, has produced one of its most advanced tools yet. And as history shows, Coyote may soon expand its territory.	Malware Tool		★★★
	2024-02-08 20:42:07	The Nine Lives of Commando Cat: Analyser une nouvelle campagne de logiciels malveillants ciblant Docker The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker (lien direct)	#### Description Les chercheurs de CADO ont découvert une nouvelle campagne de logiciels malveillants appelée "Commando Cat" qui cible les points de terminaison API Docker exposés.La campagne est une campagne de cryptojacking qui exploite Docker comme vecteur d'accès initial et monte le système de fichiers de l'hôte \\ avant d'exécuter une série de charges utiles interdépendantes directement sur l'hôte.Les charges utiles sont livrées aux instances API Docker exposées sur Internet. L'attaquant demande à Docker de baisser une image Docker appelée cmd.cat/chattr.Le projet CMD.cat "génère des images Docker à la demande avec toutes les commandes dont vous avez besoin et les pointer simplement par nom dans la commande docker run."Il est probablement utilisé par l'attaquant pour ressembler à un outil bénin et non à susciter des soupçons. L'attaquant crée ensuite le conteneur avec une commande personnalisée à exécuter.L'objectif principal de la charge utile user.sh est de créer une porte dérobée dans le système en ajoutant une clé SSH au compte racine, ainsi qu'en ajoutant un utilisateur avec un mot de passe connu de l'attaquant.Le script tshd.sh est responsable du déploiement de Tinyshell (TSH), une porte dérobée Unix open source écrite en C. Le script GSC.Sh est responsable du déploiement d'une porte dérobée appelée GS-Netcat, une version gonflée de Netcat qui peut perforerà travers Nat et les pare-feu.Le script AWS.SH est un créneau d'identification qui tire des informations d'identification à partir d'un certain nombre de fichiers sur le disque, ainsi que des IMD et des variables d'environnement.La charge utile finale est livrée en tant que script codé de base64 plutôt que dans la méthode traditionnelle de Curl-Into-bash utilisée précédemment par le malware.Cette base64 est repris dans Base64 -D, puis a tué dans le bash. #### URL de référence (s) 1. https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker/ #### Date de publication 1er février 2024 #### Auteurs) Nate Bill Matt Muir #### Description Cado researchers have discovered a new malware campaign called "Commando Cat" that targets exposed Docker API endpoints. The campaign is a cryptojacking campaign that leverages Docker as an initial access vector and mounts the host\'s filesystem before running a series of interdependent payloads directly on the host. The payloads are delivered to exposed Docker API instances over the internet. The attacker instructs Docker to pull down a Docker image called cmd.cat/chattr. The cmd.cat project "generates Docker images on-demand with all the commands you need and simply point them by name in the docker run command." It is likely used by the attacker to seem like a benign tool and not arouse suspicion. The attacker then creates the container with a custom command to execute. The primary purpose of the user.sh payload is to create a backdoor in the system by adding an SSH key to the root account, as well as adding a user with an attacker-known password. The tshd.sh script is responsible for deploying TinyShell (tsh), an open-source Unix backdoor written in C. The gsc.sh script is responsible for deploying a backdoor called gs-netcat, a souped-up version of netcat that can punch through NAT and firewalls. The aws.sh script is a credential grabber that pulls credentials from a number of files on disk, as well as IMDS, and environment variables. The final payload is delivered as a base64 encoded script rather than in the traditional curl-into-bash method used previously by the malware. This base64 is echoed into base64 -d, and then piped into bash. #### Reference URL(s) 1. https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker/ #### Publication Date February 1, 2024 #### Author(s) Nate Bill Matt Muir	Malware Tool		★★★
	2024-02-08 17:15:11	Les développeurs de Raspberry Robin achètent des exploits pour des attaques plus rapides Raspberry Robin devs are buying exploits for faster attacks (lien direct)	L'un des chargeurs de logiciels malveillants les plus importants pour les cybercrims qui sautent sur les vulnérabilités plus rapidement que jamais Les chercheurs soupçonnent que les criminels derrière les logiciels malveillants de Raspberry Robin achètent maintenant des exploits pour des cyberattaques plus rapides.… One of most important malware loaders to cybercrims who are jumping on vulnerabilities faster than ever Researchers suspect the criminals behind the Raspberry Robin malware are now buying exploits for speedier cyberattacks.…	Malware Vulnerability		★★★
	2024-02-08 16:34:52	\Ret \\'Ov3r_Stealer\\' Malware Spreads Through Facebook to Steal Crates of Info (lien direct)	Un réseau d'attaquants enchevêtrée utilise diverses tactiques de médias sociaux pour propager la nouvelle menace, qui a plusieurs méthodes d'exécution et exfiltre des données à télégramme. A tangled web of attackers use various social media tactics to propagate the novel threat, which has several execution methods and exfiltrates data to Telegram.	Malware Threat		★★
	2024-02-08 16:30:00	Les développeurs Linux se précipitent pour corriger la vulnérabilité critique dans la cale Linux Devs Rush to Patch Critical Vulnerability in Shim (lien direct)	Le défaut permet l'installation de logiciels malveillants qui fonctionnent au niveau du micrologiciel The flaw allows the installation of malware that operates at the firmware level	Malware Vulnerability		★★
	2024-02-08 15:58:00	Hijackloader évolue: les chercheurs décodent les dernières méthodes d'évasion HijackLoader Evolves: Researchers Decode the Latest Evasion Methods (lien direct)	Les acteurs de la menace derrière un logiciel malveillant de chargeur appelé & nbsp; hijackloader & nbsp; ont ajouté de nouvelles techniques pour l'évasion de la défense, car le malware continue d'être de plus en plus utilisé par d'autres acteurs de la menace pour fournir des charges utiles et des outils supplémentaires. "Le développeur de logiciels malveillants a utilisé une technique de creux de processus standard couplée à un déclencheur supplémentaire qui a été activé par le processus parent qui écrit sur un tuyau" " The threat actors behind a loader malware called HijackLoader have added new techniques for defense evasion, as the malware continues to be increasingly used by other threat actors to deliver additional payloads and tooling. "The malware developer used a standard process hollowing technique coupled with an additional trigger that was activated by the parent process writing to a pipe,"	Malware Threat		★★★
	2024-02-08 14:00:00	La Chine a attrapé le rat en laisse conçu pour les appareils FortiGate China Caught Dropping RAT Designed for FortiGate Devices (lien direct)	Le renseignement militaire néerlandais prévient que de nouveaux logiciels malveillants, appelés «Coathanger», ont été trouvés dans plusieurs dispositifs de Fortigate lors d'une réponse aux incidents, et que les acteurs de l'État chinois utilisent le rat persistant pour l'espionnage. Dutch military intelligence warns that new malware, called "Coathanger," was found in multiple FortiGate devices during an incident response, and that Chinese-state actors are using the persistent RAT for espionage.	Malware		★★★

Last update at: 2024-05-08 18:08:23
See our sources.

To see everything: Our RSS (filtrered)