What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
 |
2024-05-03 18:23:00 | Webinaire dirigé par des experts - Découvrir les dernières tactiques DDOS et apprendre à riposter Expert-Led Webinar - Uncovering Latest DDoS Tactics and Learn How to Fight Back (lien direct) |
Dans le paysage numérique en évolution rapide d'aujourd'hui, la menace de déni de service distribué (DDOS) est plus importante que jamais.À mesure que ces cybermenaces se développent en sophistication, les comprendre et les contrer devient cruciale pour toute entreprise qui cherche à protéger sa présence en ligne.
Pour répondre à ce besoin urgent, nous sommes ravis d'annoncer notre prochain webinaire, "Découvrir la contemporaine
In today\'s rapidly evolving digital landscape, the threat of Distributed Denial of Service (DDoS) attacks looms more significant than ever. As these cyber threats grow in sophistication, understanding and countering them becomes crucial for any business seeking to protect its online presence. To address this urgent need, we are thrilled to announce our upcoming webinar, "Uncovering Contemporary |
Threat | ★★★ | |
|
2024-05-03 18:05:00 | Les pirates abusent de plus en plus de l'API de graphe Microsoft pour les communications de logiciels malveillants furtifs Hackers Increasingly Abusing Microsoft Graph API for Stealthy Malware Communications (lien direct) |
Les acteurs de la menace ont de plus en plus armé et NBSP; Microsoft Graph API & nbsp; à des fins malveillantes & nbsp; dans le but de l'évasion & nbsp; détection.
Cet & nbsp; est fait & nbsp; pour "faciliter les communications avec l'infrastructure de commandement et de contrôle (C & c) hébergé sur Microsoft Cloud Services", l'équipe de chasseurs de menace Symantec, qui fait partie de Broadcom, & nbsp; dit & nbsp; dans un rapport partagé avec le Hacker News Hacker New.
Threat actors have been increasingly weaponizing Microsoft Graph API for malicious purposes with the aim of evading detection. This is done to "facilitate communications with command-and-control (C&C) infrastructure hosted on Microsoft cloud services," the Symantec Threat Hunter Team, part of Broadcom, said in a report shared with The Hacker News. |
Malware Threat Cloud | ★★★ | |
 |
2024-05-03 16:19:34 | Le bogue Gitlab Critical sous Exploit permet la prise de contrôle du compte, avertit CISA Critical GitLab Bug Under Exploit Enables Account Takeover, CISA Warns (lien direct) |
Patch maintenant: les cyberattaques exploitent le CVE-2023-7028 (CVSS 10) pour retirer et verrouiller les utilisateurs des comptes GitLab, voler le code source, etc.
Patch now: Cyberattackers are exploiting CVE-2023-7028 (CVSS 10) to take over and lock users out of GitLab accounts, steal source code, and more. |
Threat | ★★★ | |
|
2024-05-03 15:07:00 | NSA, alerte du FBI sur les pirates coréens de N. coréens usurpés des e-mails provenant de sources de confiance NSA, FBI Alert on N. Korean Hackers Spoofing Emails from Trusted Sources (lien direct) |
Le gouvernement américain a publié jeudi un nouvel avertissement de conseil en cybersécurité des acteurs de la menace nord-coréenne \\ 'tentatives d'envoyer des courriels et NBSP; d'une manière qui les fait paraître comme ils sont & nbsp; des parties légitimes et fiables.
Le & nbsp; Joint Bulletin & nbsp; a été publié & nbsp; par la National Security Agency (NSA), le & NBSP; Federal Bureau of Investigation (FBI) et le Département d'État.
"Le
The U.S. government on Thursday published a new cybersecurity advisory warning of North Korean threat actors\' attempts to send emails in a manner that makes them appear like they are from legitimate and trusted parties. The joint bulletin was published by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Department of State. "The |
Threat | ★★ | |
 |
2024-05-03 11:47:35 | L'OTAN et l'UE condamnent les cyberattaques de la Russie contre l'Allemagne, la Tchéche NATO and EU condemn Russia\\'s cyberattacks against Germany, Czechia (lien direct) |
L'OTAN et l'Union européenne, avec des partenaires internationaux, ont officiellement condamné une campagne de cyber-espionnage à long terme contre les pays européens menés par le groupe de menaces russes APT28.[...]
NATO and the European Union, with international partners, formally condemned a long-term cyber espionage campaign against European countries conducted by the Russian threat group APT28. [...] |
Threat | APT 28 | ★★★ |
 |
2024-05-02 21:51:39 | Microsoft confirme qu'il ne peut pas corriger Windows 10 KB5034441 & # 8220; 0x80070643 Erreur Microsoft Confirms It Cannot Fix Windows 10 KB5034441 “0x80070643 Error (lien direct) |
Le 9 janvier 2024, Microsoft avait informé qu'une vulnérabilité de contournement de démarrage bitlocker sécurisé suivie sous ID & # 8220; CVE-2024-20666 »pourrait permettre aux acteurs de menace de contourner le chiffrement BitLocker pour accéder aux données cryptées, à condition qu'ils obtiennentAccès physique à un PC non corrigé.
Pour y remédier, la société a ensuite publié des mises à jour cumulatives, KB503441 (sur Windows 10) et kb5034440 (sur Windows 11) Dans l'environnement de récupération de Windows (winre).
Cependant, l'installation de la mise à jour KB5034441 a commencé à afficher le message d'erreur & # 8220; 0x80070643 & # 8211;Error_install_failure & # 8221;, qui indiquait une taille de partition Winre insuffisante.
Les appareils & # 8220; tentant d'installer la mise à jour de l'environnement de récupération de Windows de janvier 2024 (KB5034441) peuvent afficher une erreur liée à la taille de la partition de l'environnement de récupération.Nous travaillons sur une résolution et fournirons une mise à jour dans une version à venir, & # 8221;Microsoft a déclaré dans une mise à jour du tableau de bord Health Windows en janvier 2024.
La société a même confirmé que les appareils Windows sans environnement de récupération configurés n'ont pas besoin d'installer la mise à jour KB5034441 et peuvent ignorer l'erreur.
Cependant, Microsoft a maintenant reconnu que, au moins sur Windows 10, une résolution automatique pour ce problème n'a pas été disponible dans une future mise à jour Windows, et la seule façon de résoudre ce problème est de terminer l'installation manuellement.
Dans une mise à jour du tableau de bord Health Windows, Microsoft.-2024-windows-re-update-might-fail-to-install "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> dit :
Résolution : La résolution automatique de ce numéro sera disponible dans une future mise à jour Windows.Des étapes manuelles sont nécessaires pour terminer l'installation de cette mise à jour sur les appareils qui connaissent cette erreur.
La partition Winre nécessite 250 mégaoctets d'espace libre.Les appareils qui n'ont pas d'espace libre suffisant devront augmenter la taille de la partition via une action manuelle.Pour obtenir des conseils sur la réalisation de ce changement, passez en revue les ressources suivantes:
Un script de code peut être utilisé pour étendre la taille de partition.Un exemple de script a été fourni dans la documentation pour ajouter un package de mise à jour à Winre.Voir étendez la partition de Windows re .
Les conseils pour modifier manuellement la taille de la partition Winre peuvent en outre être trouvés dans KB5028997: Instructions pour redimensionner manuellement votre partition pour installer la mise à jour Winre.
L'achèvement de ces étapes manuelles permettra à l'installation de cette mise à jour de réussir.
On January |
Vulnerability Threat | TYPEFRAME | ★★ |
|
2024-05-02 19:30:20 | Un opérateur rusé: le grand pare-feu de Metring Meerkat et China \\ A Cunning Operator: Muddling Meerkat and China\\'s Great Firewall (lien direct) |
## Instantané
InfoBlox a publié une analyse d'un groupe d'acteur de menace surnommé Mouddling Meerkat, soupçonné d'être un acteur de l'État-nation affilié à la Chine, menant des opérations sophistiquées et de longue date via le système de noms de domaine (DNS).
## Description
L'approche de Muddling Meerkat \\ se concentre sur le détournement du trafic Internet grâce à des techniques de manipulation DNS sophistiquées, principalement en générant un vaste volume de requêtes DNS largement distribuées via des résolveurs DNS ouverts.Cette tactique leur permet d'exercer un contrôle sur le trafic Internet, en le dirigeant en fonction de leurs objectifs.Contrairement aux attaques conventionnelles sur le déni de service visant à provoquer des perturbations de service, l'objectif principal de Meerkat \\ en boucle semble être la manipulation et la redirection du trafic Internet, mettant en évidence un motif stratégique plutôt que perturbateur.
Leurs activités, qui ont commencé au moins dès octobre 2019, démontrent une approche soutenue et méthodique du groupe.Le niveau d'expertise affiché dans la manipulation du DNS indique une compréhension profonde de l'infrastructure réseau et des protocoles DNS, reflétant une opération sophistiquée et bien ressourcée.Cette évolution soulève des préoccupations importantes concernant les perturbations potentielles des infrastructures Internet et souligne l'importance de mettre en œuvre des mesures de sécurité robustes pour contrer efficacement de telles menaces.
En tirant parti de la manipulation du DNS, en embroutant Meerkat peut potentiellement relancer le trafic Internet pour atteindre divers objectifs, tels que la surveillance, la collecte d'informations ou même la censure.Cette capacité constitue une menace significative non seulement pour les utilisateurs individuels, mais aussi pour les organisations et même les réseaux entiers.La nature complexe de leurs opérations suggère un adversaire bien organisé et hautement qualifié, capable d'exécuter des cyber campagnes complexes avec précision et persistance.
## Recommandations
InfoBlox note que les indicateurs de domaine inclus dans leur publication ne sont pas des indicateurs de compromis;Ce sont plutôt des indicateurs d'activité et ne sont pas nécessairement malveillants.Bien que l'étendue des domaines ciblées par Mouddling Meerkat soit probablement beaucoup plus importante, les domaines indicateurs notés n'organisent aucun site Web, n'hébergez pas de contenu illégal ou sont garés.Par conséquent, ils peuvent probablement être bloqués sans impact.
## Les références
[Un opérateur rusé: Moue Meerkat et China \'s Great Firewall] (https://blogs.infoblox.com/thereat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall/).InfoBlox (consulté le 05-02-2024)
## Snapshot Infoblox published an analysis of a threat actor group dubbed Muddling Meerkat, suspected to be a nation-state actor affiliated with China, conducting sophisticated and long-running operations through the Domain Name System (DNS). ## Description Muddling Meerkat\'s approach centers around hijacking internet traffic through sophisticated DNS manipulation techniques, primarily by generating an extensive volume of DNS queries distributed widely via open DNS resolvers. This tactic allows them to exert control over internet traffic, directing it according to their objectives. Unlike conventional denial-of-service attacks aimed at causing service disruptions, Muddling Meerkat\'s primary goal appears to be the manipulation and redirection of internet traffic, highlighting a strategic rather than disruptive motive. Their activities, which began at least as early as October 2019, demonstrate a sustained and methodical approach by the group. The level of expertise displayed in DNS manipulation indicates a profound understanding of network infrastructure and DNS protocols, reflecting a sophisticated and well-re |
Threat | ★★★ | |
|
2024-05-02 19:13:15 | Les pirates peuvent réinitialiser votre mot de passe gitlab et le remettre sur leur e-mail Hackers Can Reset Your Gitlab Password and Get It On Their Email (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de vulnérabilités exploité connu sur la base de preuves d'exploitation active trouvées dans la plate-forme DevOps Gitlab. La vulnérabilité a été suivie comme cve-2023-7028 (Score CVSS: 10) permet à un acteur de menace de déclencher des e-mails de réinitialisation du mot de passe à envoyer des adresses e-mail arbitraires et non vérifiées, en fin de compte de reprise du compte sans interaction utilisateur. De plus, l'exploitation réussie de la vulnérabilité pourrait également conduire à des attaques de chaîne d'approvisionnement en insérant du code malveillant dans des environnements CI / CD (intégration continue / déploiement continu). Bien que ceux qui ont l'authentification à deux facteurs (2FA) activé sont vulnérables à la réinitialisation du mot de passe, ils ne sont cependant pas vulnérables à la prise de contrôle des comptes, car leur deuxième facteur d'authentification est requis pour se connecter. Par conséquent, il est essentiel de patcher les systèmes où les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire. Le bogue CVE-2023-7028 découvert dans Gitlab Community Edition (CE) et Enterprise Edition (EE) affectent toutes les versions de 16.1 avant 16.1.6, 16.2 avant 16.2.9, 16.3 avant 16.3.7, 16.4Avant 16.4.5, 16.5 avant 16.5.6, 16.6 avant 16.6.4 et 16.7 avant 16.7.2. La faille a été traitée dans les versions Gitlab 16.7.2, 16.6.4 et 16.5.6, et les correctifs ont été recouverts aux versions 16.1.6, 16.2.9 et 16.3.7. gitLab a a dit Il n'a détecté aucun abus de vulnérabilité CVE-2023-7028 sur les plateformes gérées parGitLab, y compris Gitlab.com et GitLab Dédié des instances. Cependant, le service de surveillance des menaces, la ShadowServer Foundation, a trouvé plus de 5 300 cas de serveurs Gitlab exposés à des attaques de rachat de compte zéro clique en janvier (les correctifs de sécurité de la semaine ont été publiés), un nombre qui n'a diminué que de 55 seulement 55% à partir de mardi. La CISA a confirmé que la vulnérabilité CVE-2023-7028 était activement exploitée dans les attaques et a demandé aux agences fédérales américaines de sécuriser leurs systèmes jusqu'au 22 mai 2024, ou de supprimer l'utilisation du produit si les atténuations ne sont pas disponibles. | Ransomware Vulnerability Threat | ★★★ | |
 |
2024-05-02 18:28:56 | Gardz s'associe à Superops Guardz Partners with SuperOps (lien direct) |
Guardz s'associe à Superops pour offrir une cybersécurité optimisée par MSPS pour leurs clients SMB
Superops et Guardz protègent les MSP et les entreprises fortifiantes au milieu de la montée de la menace de cybersécurité alarmante
-
nouvelles commerciales
Guardz Partners with SuperOps to Offer MSPs Optimized Cybersecurity for their SMB Clients SuperOps and Guardz are safeguarding MSPs and fortifying businesses amidst the alarming cybersecurity threat surge - Business News |
Threat | ★ | |
|
2024-05-02 18:05:03 | Dropbox Breach expose les informations d'identification des clients, les données d'authentification Dropbox Breach Exposes Customer Credentials, Authentication Data (lien direct) |
L'acteur de menace est passé dans l'environnement de production de signes Dropbox et a accédé aux e-mails, aux mots de passe et autres PII, ainsi qu'aux informations API, OAuth et MFA.
Threat actor dropped in to Dropbox Sign production environment and accessed emails, passwords, and other PII, along with APIs, OAuth, and MFA info. |
Threat | ★★ | |
|
2024-05-02 15:49:00 | Dropbox révèle la violation du service de signature numérique affectant tous les utilisateurs Dropbox Discloses Breach of Digital Signature Service Affecting All Users (lien direct) |
Le fournisseur de services de stockage cloud Dropbox & nbsp; mercredi divulgué & nbsp; que le panneau Dropbox (anciennement Hellosign) a été violé par des acteurs de menace non identifiés, qui & nbsp; accédé les courriels, les noms d'utilisateur et les paramètres de compte général associés à tous les utilisateurs du produit de signature numérique.
La société, dans & nbsp; un dépôt auprès de la Securities and Exchange Commission des États-Unis, a déclaré qu'elle avait pris connaissance du "
Cloud storage services provider Dropbox on Wednesday disclosed that Dropbox Sign (formerly HelloSign) was breached by unidentified threat actors, who accessed emails, usernames, and general account settings associated with all users of the digital signature product. The company, in a filing with the U.S. Securities and Exchange Commission (SEC), said it became aware of the " |
Threat Cloud | ★★★ | |
 |
2024-05-02 15:24:21 | La violation d'une entreprise de reconnaissance faciale révèle un danger caché de biométrie The Breach of a Face Recognition Firm Reveals a Hidden Danger of Biometrics (lien direct) |
Outabox, une entreprise australienne qui a scanné des visages pour les bars et les clubs, a subi une violation qui montre les problèmes de don de donner aux entreprises vos données biométriques.
Outabox, an Australian firm that scanned faces for bars and clubs, suffered a breach that shows the problems with giving companies your biometric data. |
Threat | ★★★★ | |
 |
2024-05-02 12:18:16 | Les agences mondiales de cybersécurité émettent une alerte sur la menace des systèmes OT d'activité hacktiviste pro-russe Global cybersecurity agencies issue alert on threat to OT systems from pro-Russia hacktivist activity (lien direct) |
> Les agences mondiales de cybersécurité émettent une alerte critique concernant la menace immédiate pour les systèmes de technologie opérationnelle (OT) posés par ...
>Global cybersecurity agencies issue a critical alert regarding the immediate threat to operational technology (OT) systems posed by... |
Threat Industrial | ★★★★ | |
 |
2024-05-02 11:03:00 | Podcast Spotlight: comment l'IA est de remodeler le paysage cyber-menace Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape (lien direct) |
L'animateur Paul Roberts parle avec Jim Broome, le CTO et président de DirectDefense sur l'évolution des menaces de cybersécurité et comment les technologies comme l'IA remodeler le paysage de la cybersécurité et le travail des défenseurs et des prestataires de services de sécurité gérés (MSSP).
Le post Cliquez sur l'icône ci-dessous pour écouter.
Host Paul Roberts speaks with Jim Broome, the CTO and President of DirectDefense about the evolution of cybersecurity threats and how technologies like AI are reshaping the cybersecurity landscape and the work of defenders and Managed Security Service Providers (MSSPs). The post Spotlight Podcast: How AI Is Reshaping The Cyber Threat Landscape...Read the whole entry... »Click the icon below to listen. 
|
Threat | ★★ | |
 |
2024-05-02 03:20:36 | Cybersécurité: la bataille des esprits Cybersecurity: The Battle of Wits (lien direct) |
Avec la cybersécurité, les champs de bataille numériques s'étendent sur la vaste étendue d'Internet.D'un côté, nous avons des adversaires de plus en plus sophistiqués et rusés.De l'autre, des praticiens de cybersécurité qualifiés qui sont désespérés de protéger à tout prix leurs entreprises.Une vérité fondamentale sonne claire: c'est une bataille d'esprit continue et implacable.Tout comme les mercenaires modernes, les mauvais acteurs sont armés d'un arsenal d'outils et de menaces sophistiqués, à la recherche continue de tout bink dans l'armure de sécurité à exploiter.Leurs objectifs vont du gain financier et de la fraude ...
With cybersecurity, the digital battlegrounds stretch across the vast expanse of the internet. On the one side, we have increasingly sophisticated and cunning adversaries. On the other, skilled cybersecurity practitioners who are desperate to protect their companies\' assets at all costs. One fundamental truth rings clear: it\'s an ongoing and relentless battle of wits. Much like modern-day mercenaries, bad actors are armed with an arsenal of sophisticated tools and threats , continually looking for any chinks in the security armor to exploit. Their objectives range from financial gain and fraud... |
Tool Threat | ★★ | |
|
2024-05-01 23:25:26 | Les logiciels malveillants ciblent les routeurs pour voler les mots de passe des demandes Web Malware Targets Routers To Steal Passwords From Web Requests (lien direct) |
Les chercheurs ont récemment suivi un nouveau malware, "Sweetfish", qui cible les équipements de mise en réseau, en particulier les petits routeurs de bureau / bureau à domicile (SOHO), pour voler le matériel d'authentification trouvé dans les demandes Web qui transitent le routeur de la locale adjacenteréseau régional (LAN). Lumen Technologies & # 8217;Black Lotus Labs, qui a examiné les logiciels malveillants, a déclaré que la seiche crée un tunnel proxy ou VPN via un routeur compromis pour exfiltrer les données en contournant l'analyse basée sur la connexion anormale, puis utilise des informations d'identification volées pour accéder aux ressources ciblées. Le malware a également la capacité d'effectuer un détournement HTTP et DNS pour les connexions aux adresses IP privées, qui sont normalement associées aux communications dans un réseau interne. Les chercheurs déclarent que la plate-forme de logiciels malveillants de secteur offre une approche zéro clique pour capturer les données des utilisateurs et des appareils derrière le bord du réseau ciblé. «Toutes les données envoyées sur les équipements réseau infiltrés par ce malware sont potentiellement exposés.Ce qui rend cette famille de logiciels malveillants si insidie-the-cuttlefish-malware / "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> avertir dans un article de blog . «La seiche est en attente, reniflant passivement les paquets, n'agissant que lorsqu'il est déclenché par un ensemble de règles prédéfini.Le renifleur de paquets utilisé par la seiche a été conçu pour acquérir du matériel d'authentification, en mettant l'accent sur les services publics basés sur le cloud. » | Malware Threat Cloud Technical | APT 32 | ★★★★ |
 |
2024-05-01 21:59:02 | Impacts offensants et défensifs de l'Ai \\ AI\\'s Offensive & Defensive Impacts (lien direct) |
Michael Sikorski, qui dirige les renseignements et l'ingénierie des menaces, partage des prédictions sur les implications à proximité et à long terme de l'AI \\ pour les cyberattaques et la défense.
Michael Sikorski, who leads Threat Intelligence and Engineering, shares predictions on AI\'s near and long-term implications for cyberattacks and defense. |
Threat | ★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-05-01 20:17:03 | Google augmente la prime jusqu'à 450 000 $ pour les bogues RCE dans certaines applications Android Google Increases Bounty Up To $450,000 For RCE Bugs In Some Android Apps (lien direct) |
Google propose désormais une prime allant jusqu'à 450 000 $ pour signaler les vulnérabilités d'exécution du code distant (RCE) dans certaines applications Android. Pour ceux qui ne le savent pas, RCE est une cyberattaque par laquelle un attaquant peut exécuter à distance du code malveillant sur un ordinateur cible, peu importe où il est situé, afin de déployer des logiciels malveillants supplémentaires ou de voler des données sensibles. Auparavant, la récompense pour la déclaration des vulnérabilités RCE dans l'application de niveau 1 était de 30 000 $, ce qui a maintenant augmenté jusqu'à 10 fois à 300 000 $ Ces modifications ont été apportées au programme de récompenses de vulnérabilité mobile (Mobile VRP) lancée en 2023, qui se concentre sur les applications Android de premier parti développées ou entretenues par Google. L'objectif de ce programme est «d'atténuer les vulnérabilités dans les applications Android de première partie, et ainsi protéger les utilisateurs et leurs données» en «reconnaissant les contributions et le travail acharné des chercheurs qui aident Google à améliorer la posture de sécurité de notre premier-des applications Android de fête. » Depuis le lancement du VRP mobile, Google a reçu plus de 40 rapports de bogues de sécurité valides, pour lesquels il a payé près de 100 000 $ en récompenses aux chercheurs en sécurité. En arrivant au niveau 1, la liste des applications dans SCOPE comprend Google Play Services, l'Android Google Search App (AGSA), Google Cloud et Gmail. Google souhaite désormais également que les chercheurs en sécurité accordent une attention particulière aux défauts qui pourraient conduire au vol de données sensibles.Pour les exploits qui nécessitent une interaction à distance ou sans utilisateur, les chercheurs seraient payés 75 000 $ De plus, le géant de la technologie paiera 1,5 fois le montant total de récompense pour des rapports de qualité exceptionnels qui incluent un patch proposé ou une atténuation efficace de la vulnérabilité, ainsi qu'une analyse de cause profonde qui aide à trouver d'autres variantes similaires du problème.Cela permettrait aux chercheurs de gagner jusqu'à 450 000 $ pour un exploit RCE dans une application Android de niveau 1 Cependant, les chercheurs obtiendraient la moitié de la récompense des rapports de bogues de faible qualité que ne fournissent pas: Une description précise et détaillée du problème Un exploit de preuve de concept Un exemple d'application sous la forme d'un apk Une explication étape par étape de la façon de reproduire la vulnérabilité de manière fiable Une analyse claire et une démonstration de l'impact de la vulnérabilité Catégorie 1) Remote / pas d'interaction utilisateur 2) L'utilisateur doit suivre un lien qui exploite l'application vulnérable 3) L'utilisateur doit installer une application malveillante ou une application de victime est configurée de manière non défaut 4) L'attaquant doit être sur le même réseau (par exemple MITM) a) Exécution de code arbitraire 300 000 $ 150 000 $ 15 000 $ 9 000 $ b) Vol de données sensibles * 75 000 $ 37 500 $ 9 000 $ 6 000 $ c) Autres vulnérabilités 24 000 $ 9 000 $ 4 500 $ 2 400 $ & nbsp; «Quelques modifications supplémentaires et plus petites ont également été apportées à nos règles.Par exemple, le modificateur 2x pour les SDK est désormais cuit dans les récompenses régulières.Cela devrait augmenter les récompenses globales et rendre les décisions de panel plus faciles », a déclaré l'ingénieur de la sécuri | Malware Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-05-01 19:46:49 | Attaque "Stream Dirty": découvrir et atténuer un modèle de vulnérabilité commun dans les applications Android “Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps (lien direct) |
## Snapshot Microsoft discovered a path traversal-affiliated vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application\'s home directory. The implications of this vulnerability pattern include arbitrary code execution and token theft, depending on an application\'s implementation. Arbitrary code execution can provide a threat actor with full control over an application\'s behavior. Meanwhile, token theft can provide a threat actor with access to the user\'s accounts and sensitive data. We identified several vulnerable applications in the Google Play Store that represented over four billion installations. We anticipate that the vulnerability pattern could be found in other applications. We\'re sharing this research so developers and publishers can check their apps for similar issues, fix as appropriate, and prevent introducing such vulnerabilities into new apps or releases. As threats across all platforms continue to evolve, industry collaboration among security researchers, security vendors, and the broader security community is essential in improving security for all. Microsoft remains committed to working with the security community to share vulnerability discoveries and threat intelligence to protect users across platforms. After discovering this issue, we identified several vulnerable applications. As part of our responsible disclosure policy, we notified application developers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) and worked with them to address the issue. We would like to thank the Xiaomi, Inc. and WPS Office security teams for investigating and fixing the issue. As of February 2024, fixes have been deployed for the aforementioned apps, and users are advised to keep their device and installed applications up to date. Recognizing that more applications could be affected, we acted to increase developer awareness of the issue by collaborating with Google to publish an article on the Android Developers website, providing guidance in a high-visibility location to help developers avoid introducing this vulnerability pattern into their applications. We also wish to thank Google\'s Android Application Security Research team for their partnership in resolving this issue. In this post, we continue to raise developer and user awareness by giving a general overview of the vulnerability pattern, and then focusing on Android share targets, as they are the most prone to these types of attacks. We go through an actual code execution case study where we demonstrate impact that extends beyond the mobile device\'s scope and could even affect a local network. Finally, we provide guidance to users and application developers and illustrate the importance of collaboration to improve security for all. ## Activity Overview ### Data and file sharing on Android The Android operating system enforces isolation by assigning each application its own dedicated data and memory space. To facilitate data and file sharing, Android provides a component called a content provider, which acts as an interface for managing and exposing data to the rest of the installed applications in a secure manner. When used correctly, a content provider provides a reliable solution. However, improper implementation can introduce vulnerabilities that could enable bypassing of read/write restrictions within an application\'s home directory. The Android software development kit (SDK) includes the [FileProvider](https://developer.android.com/reference/androidx/core/content/FileProvider) class, a subclass of ContentProvider that enables file sharing between installed applications. An application that needs to share its files with other applications can declare a FileProvider in its app manifest and declare the specific paths to share. Every file provider has a property called authority, which identifies it system-wide, and can b | Tool Vulnerability Threat Studies Mobile Technical | ★★★ | |
|
2024-05-01 19:01:06 | Muddywater Campaign abuse d'agents Atera MuddyWater Campaign Abusing Atera Agents (lien direct) |
#### Targeted Geolocations - Israel - India - Algeria - Italy - Egypt - Türkiye #### Targeted Industries - Transportation Systems - Aviation - Information Technology - Healthcare & Public Health - Government Agencies & Services - General Public Services - Federal ## Snapshot Researchers at HarfangLab have been monitoring a campaign by Iran-based threat group MuddyWater, tracked by Microsoft as [Mango Sandstorm](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340), characterized by the use of Remote Monitoring and Management (RMM) tools. Microsoft tracks this actor as Mango Sandstorm, [read more about them here](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340). ## Description According to HarfangLab, MuddyWater has been utilizing legitimate RMM software in its attacks since at least 2021, but has been monitoring this campaign using Atera Agent since October 2023. Leveraging Atera\'s free trial offers, the agents seen in this campaign have been registered using both compromised enterprise and personal email accounts. The infection chain in this campaign begins with the deployment of spearphishing emails. These emails are highly tailored to the victim organization and contain malicious attachments or links. Upon interaction, MuddyWater leverages free file sharing sites to host the RMM software, in this case Atera Agent, giving the group remote access and control over compromised systems. The group likely does not rely on the Subsequently, the group is able to execute commands, conduct reconnaissance, and move laterally across the network facilitating the deployment of additional malware payloads enabling the group to maintain persistence and exfiltrate sensitive data. ## Microsoft Analysis Microsoft Threat Intelligence has identified that this campaign is likely attributed to the actor Microsoft tracks as Mango Sandstorm, an Iranian nation-state actor with ties to Iran\'s Ministry of Intelligence and Security (MOIS). In past operations, Mango Sandstorm has primarily, but not exclusively, sought to collect information assessed to have strategic value, typically from organizations in the aviation, education, defense, energy, government, and telecommunications sectors in the Middle East and North Africa. Mango Sandstorm tends to favor spearphishing attacks. In this and prior campaigns, the group has been observed using commercial RMM tools to achieve persistence in a target environment. Mango Sandstorm has been identified attempting to deliver Atera, SimpleHelp, RPort, N-able Advanced Monitoring Agent, Splashtop, Syncro, and AnyConnect. ## Detections As tools used in these types of campaigns might have legitimate uses, they are not typically detected as malicious, and proactive hunting is recommended. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of activity associated with Mango Sandstorm\'s operations. - Use the Attack Simulator in Microsoft Defender for Office 365 to organize realistic, yet safe, simulated phishing and password attack campaigns in your organization by training end users against clicking URLs in unsolicited messages and disclosing their credentials. Training should include checking for poor spelling and grammar in phishing emails or the application\'s consent screen as well as spoofed app names, logos and domain URLs appearing to originate from legitimate applications or companies. Note: Attack Simulator testing currently only supports phishing emails containing links. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that contain exploits and host malware. - Harden internet-facing assets and identify and se | Malware Tool Threat Medical Commercial | ★★★ | |
 |
2024-05-01 17:57:24 | Les acteurs de la menace nord-coréenne ciblent les développeurs de logiciels avec des entretiens d'embauche de faux North Korean Threat Actors Target Software Developers With Phony Job Interviews (lien direct) |
|
Threat | ★★ | |
|
2024-05-01 17:16:01 | Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine Muddling Meerkat Group Suspected of Espionage via Great Firewall of China (lien direct) |
> Par deeba ahmed
découvre le "Mouddling Meerkat", un acteur de menace lié à la Chine manipulant le DNS.InfoBlox Research révèle un groupe sophistiqué avec une expertise DNS profonde et des liens potentiels avec le grand pare-feu.Apprenez leurs tactiques et comment rester protégés.
Ceci est un article de HackRead.com Lire le post original: Groupe de meerkat embrouillé soupçonné d'espionnage via un grand pare-feu de Chine
>By Deeba Ahmed Uncover the "Muddling Meerkat," a China-linked threat actor manipulating the DNS. Infoblox research reveals a sophisticated group with deep DNS expertise and potential ties to the Great Firewall. Learn their tactics and how to stay protected. This is a post from HackRead.com Read the original post: Muddling Meerkat Group Suspected of Espionage via Great Firewall of China |
Threat | ★★★ | |
|
2024-05-01 17:11:23 | Nord Security présente Nordstellar Nord Security introduces NordStellar (lien direct) |
Les créateurs de NordVPN lance Nordstellar, une nouvelle plateforme de gestion de l'exposition aux menaces pour les entreprises
● Nordstellar permet aux entreprises de réduire les temps de détection des fuites de données et de minimiser les risques pour une organisation
● Pendant plusieurs années, la plate-forme a été utilisée et testée comme un outil interne, désormais mis à la disposition du public
● C'est la troisième solution B2B par Nord Security, y compris un gestionnaire de mots de passe pour les entreprises - Nordpass, et une solution de sécurité d'accès au réseau - Nordlayer
● Cette année, la société a également lancé Saily - un service ESIM
-
revues de produits
The creators of NordVPN launches NordStellar, a new threat exposure management platform for businesses ● NordStellar allows companies to cut down on data leak detection times and minimize risk to an organization ● For several years, the platform was used and tested as an internal tool, now made available to the public ● It\'s the third B2B solution by Nord Security, including a password manager for businesses - NordPass, and a network access security solution - NordLayer ● This year, the company also launched Saily - an eSIM service - Product Reviews |
Tool Threat | ★★ | |
 |
2024-05-01 13:00:45 | Prolonger la protection des sases au navigateur Extending SASE Protection Into the Browser (lien direct) |
> Si vous souhaitez protéger vos travailleurs distants, l'un des meilleurs endroits pour démarrer est le navigateur Web.C'est le portail principal vers notre journée de travail pour accéder à tout, des fichiers aux applications SaaS ou simplement à parcourir le Web.C'est pourquoi nous avons récemment ajouté une protection significative de navigateur à l'accès à l'harmonie sur Internet.Que vous cherchiez à empêcher les attaques de phishing, la réutilisation des mots de passe d'entreprise ou des fuites numériques, nous vous sommes couverts.Soutenu par ThreatCloud AI, la technologie de prévention des menaces de Check Point \\, la sécurité du navigateur d'accès Internet, la sécurité des navigateurs améliore la sécurité de votre main-d'œuvre à distance et à bureau.Fonctionnalités principales de sécurité du navigateur Prise en charge de la sécurité du navigateur [& # 8230;]
>If you want to protect your remote workers one of the best places to start is the web browser. It\'s the primary portal to our workday for accessing everything from files to SaaS applications or just browsing the web. That\'s why we recently added significant browser protection to Harmony SASE Internet Access. Whether you\'re looking to prevent phishing attacks, reuse of corporate passwords, or digital leaks, we\'ve got you covered. Backed by ThreatCloud AI, Check Point\'s industry-leading threat prevention technology, Internet Access Browser Security improves the security of your remote and in-office workforce. Browser Security Main Features Browser Security supports […] |
Threat Cloud | ★★★ | |
 |
2024-05-01 10:00:00 | Histoires du SOC & # 8211;Combattre les escroqueries «alertes de sécurité» Stories from the SOC – Combating “Security Alert” Scams (lien direct) |
Executive Summary
The “Security Alert” scam is a prevalent tech-support fraud that threatens both Windows and Apple users. It exploits the trust of users by masquerading as an official support site, using fake pop-up warnings to lure users into dialing scam phone numbers by conveying a sense of urgency. The ultimate goal is gaining remote access to the user’s system and pilfering personal data to extort money.
Combating a “Security Alert” scam is difficult on many fronts because most of the time attackers leverage newly registered domains, which means there is a lack of malicious OSINT (open-source intelligence), and they are able to bypass traditional detection methods. To gain remote access, attackers need the end user to call into a fraudulent support team to install a Remote Desktop Protocol (RDP) tool. An endpoint detection and response (EDR) tool might not catch the initial intrusion as such tools are also used for legitimate business reasons. The most successful way to combat phishing/scams is by end-user education and communication with the IT department.
In a recent incident, a fake “Microsoft Security Alert” domain targeted one of our Managed Endpoint Security with SentinelOne customers, causing alarm for the end users and IT staff, but fortunately, the end user did not fall into the trap of calling the fraudulent number.
The customer immediately contacted their assigned Threat Hunter for support and guidance, and the Threat Hunter was able to quickly utilize the security measures in place, locate multiple domains, and report them to the Alien Labs threat intelligence team.
AT&T Cybersecurity was one of the first cybersecurity companies to alert on the domains and share the information via the Open Threat Exchange (OTX) threat intelligence sharing community, helping other organizations protect against it.
Investigation
Initial Alarm Review
Indicators of Compromise (IOCs)
The initial security layers failed to raise alarms for several reasons. First, the firewalls did not block the domain because it was newly registered and therefore not yet on any known block lists. Second, the platform did not create any alarms because the domain’s SSL certificates were properly configured. Finally, the EDR tool did not alert because no downloads were initiated from the website. The first indication of an issue came from an end user who feared a hack and reported it to the internal IT team.
Utilizing the information provided by the end user, the Threat Hunter was able to locate the user\'s asset. Sniffing the URL data revealed a deceptive “Microsoft Security Alert” domain and a counterfeit McAfee website. These were detected largely because of improvements recommended during the customer\'s monthly meetings with the Threat Hunter, including a recommendation to activate the SentinelOne Deep Visibility browser extension, which is the tool that was instrumental in capturing URL information with greater accuracy after all the redirects.
Figure I – Fake Microsoft Support page
Figure 2 – Fake McAfee page
Artifact (Indicator of Compromise) IOC Fake McAfee Page bavareafastrak[.]org Website Hosting Scam Pages Galaxytracke[.]com Zip file hash Tizer.zip - 43fb8fb69d5cbb8d8651af075059a8d96735a0d5
Figure 3 – Indicators of compromise
Expanded Investigation
Events Search
With the understanding that the e |
Hack Tool Threat | ★★ | |
|
2024-05-01 01:13:37 | Les acteurs de la menace nord-coréenne utilisent de faux entretiens d'embauche pour cibler les développeurs North Korean Threat Actors Use Fake Job Interviews to Target Developers (lien direct) |
#### Industries ciblées
- Informatique
## Instantané
L'équipe de recherche sur les menaces de Securonix a surveillé une nouvelle campagne d'attaque en génie social en cours (Dev # Popper), probablement associée aux acteurs de la menace nord-coréenne qui ciblent les développeurs utilisant de fausses interviews pour livrer un rat à base de python.Les attaquants se présentent en tant qu'enquêteurs d'emploi légitimes et ont mis en place de faux entretiens d'embauche pour les développeurs.Au cours des entretiens, les acteurs de la menace demandent aux développeurs d'effectuer des tâches qui impliquent le téléchargement et l'exécution de logiciels à partir de sources qui semblent légitimes, comme Github.
## Description
Les attaquants adaptent leur approche pour apparaître aussi crédible que possible, souvent en imitant les entreprises réelles et en reproduisant les processus d'entretien réels, en exploitant l'engagement et la confiance professionnels du développeur dans le processus de demande d'emploi.Le logiciel contenait une charge utile JS de nœud malveillant qui, une fois exécuté, a compromis le système du développeur \\.L'attaque implique plusieurs étapes, y compris l'utilisation d'un package NPM malveillant, l'exécution de la commande, le téléchargement de la charge utile et l'exécution du code Python, permettant finalement à l'attaquant d'interagir à distance avec la machine de la victime.
## Recommandations
La source recommande:
- sensibiliser au fait que les gens sont des cibles d'attaques d'ingénierie sociale tout comme la technologie est l'exploitation.Rester plus vigilant et la sécurité continue, même dans des situations à forte stress, est essentiel pour prévenir complètement le problème.
- Surveillez l'utilisation de langages de script non défaut tels que Python sur les points de terminaison et les serveurs qui ne devraient normalement pas l'exécuter.Pour aider à cela, tirez parti de l'exploitation de l'exploitation supplémentaire au niveau du processus tel que Sysmon et PowerShell Logging pour une couverture de détection de journaux supplémentaire.
Les clients de Microsoft 365 Defender peuvent également activer [Réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference#block-execuable-files-À partir de l'intervalle à moins, ils-meet-a-prévalence-âge ou de la liste-critère) des règles pour durcir leurs environnements contre des techniques comme celles utilisées dans cette attaque.Ces règles peuvent être configurées par tous les clients Microsoft Defender Antivirus et pas seulement ceux qui utilisent la solution EDR.
- [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de fiducie.Référence # Block-Execuable-Files de running-inless-they-meet-a-prévalence-âge-ou-trusted-list-criterion)
- [Block JavaScript ou VBScript en lançant du contenu exécutable téléchargé.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=O365 Worldwide # Block-Javascript-Or-Vbscript-From-Launching-Downed-Téléchargé-Contant)
- [Exécution de blocs de scripts potentiellement obscurcis.] (Https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide# Block-Exécution-Obfuscated-Scripts)
## Les références
[https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associated-with-north-korean-thereat-ctors//www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-develovers-likely-associed-with-north-korean-threat-acteurs/)
#### Targeted Industries - Information Technology ## Snapshot The Securonix Threat Research Team has been monitoring a new ongoing social engineeri |
Threat | ★★ | |
|
2024-04-30 19:22:43 | ALERTE NOUVELLES: Cybersixgill dévoile \\ 'Intelligence tierce \\' pour livrer une menace spécifique au fournisseur Intel News alert: Cybersixgill unveils \\'Third-Party Intelligence\\' to deliver vendor-specific threat intel (lien direct) |
Tel Aviv, Israël & # 8211;30 avril 2024 & # 8211; Cybersixgill, Le fournisseur de données mondiales de cyber-menace, casséNouveau terrain aujourd'hui en introduisant son module d'intelligence tiers.
 LeUn nouveau module fournit une cybersécurité et des menaces spécifiques aux fournisseurs pour les organisations \\ 'Teams de sécurité, permettant & # 8230;(Plus…)
Tel Aviv, Israel – April 30, 2024 – Cybersixgill, the global cyber threat intelligence data provider, broke new ground today by introducing its Third-Party Intelligence module.  The new module delivers vendor-specific cybersecurity and threat intelligence to organizations\' security teams, enabling … (more…) |
Threat | ★★ | |
 |
2024-04-30 16:17:33 | CrowdStrike a nommé le seul choix des clients \\ 'en 2024 Gartner & Reg;«Voix du client» pour la gestion de la surface d'attaque externe CrowdStrike Named the Only Customers\\' Choice in 2024 Gartner® “Voice of the Customer” for External Attack Surface Management (lien direct) |
À mesure que les adversaires deviennent plus rapides et plus furtifs, ils recherchent sans relâche des actifs vulnérables à exploiter.Pendant ce temps, votre empreinte numérique se développe, ce qui rend de plus en plus difficile de suivre tous vos actifs.Il n'est pas étonnant que 76% des violations en 2023 ne soient dues à des actifs inconnus et non gérés par Internet.Dans ce contexte, il est plus critique que [& # 8230;]
As adversaries become faster and stealthier, they relentlessly search for vulnerable assets to exploit. Meanwhile, your digital footprint is expanding, making it increasingly challenging to keep track of all of your assets. It\'s no wonder 76% of breaches in 2023 were due to unknown and unmanaged internet-facing assets. Against this backdrop, it’s more critical than […] |
Threat | ★★ | |
|
2024-04-30 13:23:45 | BlackBerry présente Cylance Assistant, le niveau supérieur de cybersécurité avec des capacités d\'IA générative (lien direct) | Des informations faciles à comprendre livrées à la demande pour renforcer la cyber-résilience. BlackBerry Limited annonce la mise à disposition générale de Cylance Assistant, véritable conseiller en cybersécurité basé sur l'IA générative qui a pour objectif d'aider les organisations à accélérer la prise de décision et à arrêter plus de menaces plus rapidement avec moins de ressources. Cylance Assistant regroupe un ensemble de fonctionnalités avancées exploitant la puissance de l'IA de Cylance pour en faire (...) - Produits | Threat | ★★★ | |
 |
2024-04-30 12:14:48 | Détection du vol de données du navigateur à l'aide des journaux d'événements Windows Detecting browser data theft using Windows Event Logs (lien direct) |
Publié par Will Harris, Chrome Security Team Le modèle de processus sandboxé de Chrome \\ de se défend bien contre le contenu Web malveillant, mais il existe des limites à la façon dont l'application peut se protéger des logiciels malveillants déjà sur l'ordinateur.Les cookies et autres informations d'identification restent un objectif de grande valeur pour les attaquants, et nous essayons de lutter contre cette menace continue de plusieurs manières, notamment en travaillant sur des normes Web comme dbsc Cela aidera à perturber l'industrie du vol de cookies car l'exfiltration de ces cookies n'aura plus de valeur. Lorsqu'il n'est pas possible d'éviter le vol d'identification et de cookies par malware, la prochaine meilleure chose est de rendre l'attaque plus observable par antivirus, d'agents de détection de terminaux ou d'administrateurs d'entreprise avec des outils d'analyse de journaux de base. Ce blog décrit un ensemble de signaux à utiliser par les administrateurs système ou les agents de détection de point de terminaison qui devraient signaler de manière fiable tout accès aux données protégées du navigateur d'une autre application sur le système.En augmentant la probabilité d'une attaque détectée, cela modifie le calcul pour les attaquants qui pourraient avoir un fort désir de rester furtif et pourraient les amener à repenser ces types d'attaques contre nos utilisateurs. arrière-plan Les navigateurs basés sur le chrome sur Windows utilisent le DPAPI (API de protection des données) pour sécuriser les secrets locaux tels que les cookies, le mot de passe, etc.La protection DPAPI est basée sur une clé dérivée des informations d'identification de connexion de l'utilisateur et est conçue pour se protéger contre l'accès non autorisé aux secrets des autres utilisateurs du système ou lorsque le système est éteint.Étant donné que le secret DPAPI est lié à l'utilisateur connecté, il ne peut pas protéger contre les attaques de logiciels malveillants locaux - l'exécution de logiciels malveillants en tant qu'utilisateur ou à un niveau de privilège plus élevé peut simplement appeler les mêmes API que le navigateur pour obtenir le secret DPAPI. Depuis 2013, Chromium applique l'indicateur CryptProtect_Audit aux appels DPAPI pour demander qu'un journal d'audit soit généré lorsque le décryptage se produit, ainsi que le marquage des données en tant que détenue par le navigateur.Parce que tout le stockage de données crypté de Chromium \\ est soutenu par une clé sécurisée DPAPI, toute application qui souhaite décrypter ces données, y compris les logiciels malveillants, devrait toujours générer de manière fiable un journal d'événements clairement observable, qui peut être utilisé pour détecter ces typesd'attaques. Il y a trois étapes principales impliquées dans le profit de ce journal: Activer la connexion sur l'ordinateur exécutant Google Chrome, ou tout autre navigateur basé sur le chrome. Exporter les journaux des événements vers votre système backend. Créer une logique de détection pour détecter le vol. Ce blog montrera également comment la journalisation fonctionne dans la pratique en la testant contre un voleur de mot de passe Python. Étape 1: Activer la connexion sur le système Les événements DPAPI sont connectés à deux endroits du système.Premièrement, il y a le 4693 Événement qui peut être connecté au journal de sécurité.Cet événement peut être activé en activant "Audit l'activité DPAPI" et les étapes pour ce faire sont d | Malware Tool Threat | ★★ | |
|
2024-04-30 12:05:17 | Semperis prolonge la détection des attaques basée sur la ML avec une orientation spécialisée sur les risques d'identité Semperis Extends ML-Based Attack Detection with Specialised Identity Risk Focus (lien direct) |
Identity Runtime Protection (IRP), la première offre de la plate-forme Semperis Lightning ™, fusionne l'apprentissage automatique avec une expertise de sécurité d'identité inégalée pour détecter et arrêter les techniques d'attaque les plus réussies Semperis annonce leLibération de Lightning Identity Runtime Protection (IRP), une nouvelle offre de détection et de réponse des menaces d'identité (ITDR) qui utilise des modèles d'apprentissage automatique développés par des experts en sécurité d'identité pour détecter les modèles d'attaque généralisés et réussis tels que (...)
-
revues de produits
Identity Runtime Protection (IRP), the first offering in the Semperis Lightning™ platform, merges deep machine learning with unmatched identity security expertise to detect and stop the most successful attack techniques Semperis announce the release of Lightning Identity Runtime Protection (IRP), a new identity threat detection and response (ITDR) offering that uses machine learning models developed by identity security experts to detect widespread and successful attack patterns such as (...) - Product Reviews |
Threat | ★★★ | |
 |
2024-04-30 10:03:21 | Ruviki – Quand le Kremlin réécrit Wikipedia à sa sauce (lien direct) | La Russie a remplacé Wikipedia par une encyclopédie sous contrôle de l'État, clone de la version russe originale mais lourdement censurée. Ruwiki, l'encyclopédie libre, a été bannie au profit de Ruviki, sa copie expurgée de tout contenu dérangeant pour le gouvernement. | Threat | ★★★★ | |
|
2024-04-30 09:10:30 | CrowdStrike nommé le premier rapport du leader dans l'industrie \\ de l'INDUST CrowdStrike Named Overall Leader in Industry\\'s First ITDR Comparative Report (lien direct) |
Les rapports d'analystes de la première détection et de la réponse de l'identité de l'industrie (ITDR) nomment CrowdStrike un leader global et une «force de cyber industrie».Dans KuppingerCole Leadership Compass, la détection et la réponse des menaces d'identité (ITDR) 2024: IAM rencontre le SOC, Crowdstrike a été nommé leader dans chaque catégorie - produit, innovation, marché et classement global - et positionné le plus haut [& # 8230;]
The industry\'s first identity detection and response (ITDR) analyst report names CrowdStrike an Overall Leader and a “cyber industry force.” In KuppingerCole Leadership Compass, Identity Threat Detection and Response (ITDR) 2024: IAM Meets the SOC, CrowdStrike was named a Leader in every category - Product, Innovation, Market and Overall Ranking - and positioned the highest […] |
Threat Commercial | ★★★ | |
 |
2024-04-30 09:00:40 | Détection et réponse gérées en 2023 Managed Detection and Response in 2023 (lien direct) |
Le rapport couvre les tactiques, les techniques et les outils le plus souvent déployés par les acteurs de la menace, la nature des incidents détectés et leur distribution entre les clients MDR.
The report covers the tactics, techniques and tools most commonly deployed by threat actors, the nature of incidents detected and their distribution among MDR customers. |
Tool Threat | ★★ | |
|
2024-04-30 08:46:45 | Sentinélone révolutionne la cybersécurité avec Purple Ai SentinelOne Revolutionizes Cybersecurity with Purple AI (lien direct) |
L'analyste de la sécurité de l'IA transforme radicalement les enquêtes et la réponse aux menaces avec une chasse simple, en un clic, des requêtes suggérées et des rapports générés en auto, permettant aux équipes de sécurité de fournir de nouveaux niveaux de défense, d'épargne et d'efficacité Il y a un an, Sentinelone a présenté la première plate-forme générative alimentée par AI pour la cybersécurité.Maintenant, la société innove à nouveau avec la disponibilité générale de l'IA violette, un analyste de sécurité transformateur de l'IA conçu pour déverrouiller le complet (...)
-
revues de produits
AI security analyst radically transforms threat investigations and response with simple, one-click hunting, suggested queries, and auto-generated reports, empowering security teams to deliver new levels of defense, savings, and efficiencies A year ago, SentinelOne introduced the first generative AI-powered platform for cybersecurity. Now the company is again breaking new ground with the general availability of Purple AI, a transformative AI security analyst designed to unlock the full (...) - Product Reviews |
Threat | ★★ | |
|
2024-04-30 08:36:49 | Petites entreprises, grands risques : la protection des mots de passe doit être une priorité (lien direct) | Dans le monde interconnecté d'aujourd'hui, les petites entreprises sont de plus en plus ciblées par des cyberattaques. Avec une expertise et des ressources limitées, ces structures ont souvent du mal à se défendre contre les menaces complexes. Cependant, en intégrant dans leur organisation des process de protection des mots de passe plus forts, elles peuvent améliorer leur sécurité de façon significative et protéger leurs données sensibles. A l'occasion de la journée mondiale du mot de passe le 2 mai (...) - Points de Vue | Threat | ★★ | |
 |
2024-04-30 08:33:11 | Découvrez le côté obscur des DLL (Dynamic Link Library) (lien direct) | >En bref :Le chargement latéral de DLL (Dynamic Link Library) est une technique permettant d'exécuter des charges virales malveillantes dans une DLL masquée en exploitant le processus d'exécution d'une application légitime.Des groupes de malware, tels que les groupes APT chinois et les malwares Darkgate, exploitent sur le terrain une vulnérabilité de chargement latéral de DLL Zero-Day [...] | Malware Vulnerability Threat | ★★★ | |
|
2024-04-30 07:28:52 | SilobReaker améliore les offres avec collection et alerte en AI-A-A-Alect pour SEC 8-K 1.05 Silobreaker enhances offerings with AI-enhanced collection and alerting for SEC 8-K 1.05 filings (lien direct) |
La source de données nouvellement ajoutée et l'intelligence étendue permettent aux utilisateurs d'avoir un aperçu opportun des dépôts clés des incidents de cybersécurité. société de technologie de sécurité et de renseignement sur les menaces, Silobreaker a annoncé aujourd'hui l'ajout de collecte automatique, d'analyse améliorée par l'IA et d'alerte sur les dépôts d'incident de cybersécurité 8-K effectués à la Securities and Exchange Commission américaine (SEC).Cette amélioration de la plate-forme de silobreaker permet aux organisations de rester informés de la cybersécurité critique (...)
-
revues de produits
Newly added data source and expanded intelligence empowers users with timely insight into key cybersecurity incident filings. Security and threat intelligence technology company, Silobreaker today announced the addition of automatic collection, AI-enhanced analysis, and alerting on 8-K cybersecurity incident filings made to the US Securities and Exchange Commission (SEC). This enhancement to the Silobreaker platform empowers organisations to stay informed about critical cybersecurity (...) - Product Reviews |
Threat | ★★ | |
|
2024-04-30 03:02:43 | Défendre contre l'usurpation de la chaîne d'approvisionnement dans la fabrication critique Defending Against Supply Chain Spoofing in Critical Manufacturing (lien direct) |
Les attaques de la chaîne d'approvisionnement sont une menace grave et croissante pour les entreprises de toutes les industries.Cependant, ces attaques présentent un risque encore plus grand pour les fabricants dans les secteurs des infrastructures critiques.Une forme pernicieuse d'attaques de la chaîne d'approvisionnement est l'usurpation, où les attaquants se font passer pour les fournisseurs légitimes pour faufiler du code ou des composants malveillants en produits.La recherche montre que 2023 avait le plus grand nombre (2769 aux États-Unis seulement) des entités touchées par l'usurpation de la chaîne d'approvisionnement.Ce chiffre est presque deux fois plus élevé que le nombre enregistré en 2017. Les organisations de différentes industries doivent mettre en œuvre de toute urgence ...
Supply chain attacks are a serious and growing threat to businesses across all industries. However, these attacks pose an even greater risk for manufacturers in critical infrastructure sectors. One pernicious form of supply chain attack is spoofing, where attackers impersonate legitimate suppliers to sneak malicious code or components into products. Research shows that 2023 had the highest number (2769 in the US alone) of entities affected by supply chain spoofing. This figure is nearly twice as high as the number recorded in 2017. Organizations in different industries must urgently implement... |
Threat | ★★ | |
|
2024-04-29 22:16:27 | La vulnérabilité critique dans la programmation R permet des attaques de chaîne d'approvisionnement Critical Vulnerability In R Programming Allows Supply Chain Attacks (lien direct) |
Les chercheurs en sécurité de HiddenLayer ont découvert une vulnérabilité dans le langage de programmation R qui permet l'exécution de code arbitraire en désérialisant les données non fiables. Cette vulnérabilité peut avoir des implications importantes pour les grandes organisations dans les industries de la santé, des finances et du gouvernement. Pour ceux qui ne le savent pas, R est un langage de programmation open source et un environnement logiciel pour l'informatique statistique, la visualisation des données et l'apprentissage automatique. La vulnérabilité, attribuée à l'identifiant CVE CVE-2024-27322, & # 8220; implique l'utilisation d'objets de promesse et d'évaluation paresseuse dans R, & # 8221;HiddenLayer, le principal fournisseur de sécurité pour les modèles et actifs de l'intelligence artificielle (AI), a déclaré dans un Rapport Partagé avec les nouvelles du pirate . De plus, la vulnérabilité peut être exploitée par le chargement des fichiers RDS (R Data Serialization) ou des packages R, qui sont souvent partagés entre les développeurs et les scientifiques des données. Selon les chercheurs, un attaquant peut créer des fichiers RDS malveillants ou des packages R contenant du code R arbitraire intégré qui s'exécute sur le dispositif cible de la victime sur l'interaction.En d'autres termes, la vulnérabilité permet à un attaquant d'élaborer un fichier RDS (R Data Serialization) malveillant qui effectue du code arbitraire lorsqu'il est chargé et référencé. Plusieurs fonctions au sein de R peuvent être utilisées pour sérialiser et désérialiser les données, qui diffèrent les unes des autres dans une certaine mesure mais tirent finalement le même code interne. par exemple, le processus de sérialisation & # 8211;serialize () ou saverds () & # 8211;et désérialisation & # 8211;Unserialize () et readrds () & # 8211;est également exploité lors de l'enregistrement et du chargement des packages R, laissant ainsi les utilisateurs exposés aux attaques de la chaîne d'approvisionnement. & nbsp; Les packages & # 8220; R sont vulnérables à cet exploit et peuvent donc être utilisés dans le cadre d'une attaque de chaîne d'approvisionnement via des référentiels de package.Pour qu'un attaquant reprenne un package R, il ne suffit pas de remplacer le fichier rdx La société a déclaré. Compte tenu de l'utilisation généralisée de R, HiddenLayer a révélé la vulnérabilité de sécurité à l'équipe de R, après quoi le problème a été résolu dans version 4.4.0 publié le 24 avril 2024. & # 8220; Un attaquant peut exploiter ce [défaut] en fabriquant un fichier au format RDS qui contient une instruction de promesse définissant la valeur sur unbound_value et l'expression de contenir du code arbitraire.En raison de l'évaluation paresseuse, l'expression ne sera évaluée et exécutée que lorsque le symbole associé au fichier RDS sera accessible, & # 8221;HiddenLayer ajouté. & # 8220; Par co | Vulnerability Threat Medical | ★★ | |
|
2024-04-29 22:01:20 | Android malware hacks bancs comptes bancs avec de fausses invites à la mise à jour chromée Android Malware Hacks Bank Accounts With Fake Chrome Update Prompts (lien direct) |
Security researchers have discovered a new Android banking trojan that can steal users’ sensitive information and allow attackers to remotely control infected devices. “Brokewell is a typical modern banking malware equipped with both data-stealing and remote-control capabilities built into the malware,” Dutch security firm ThreatFabric said in an analysis published on Thursday. According to ThreatFabric, Brokewell poses a significant threat to the banking industry, providing attackers with remote access to all assets available through mobile banking. The malware was discovered by the researchers while investigating a fake Google Chrome web browser “update” page, commonly used by cybercriminals to lure victims into downloading and installing malware. Looking at prior campaigns, the researchers found that Brokewell was used to target a popular “buy now, pay later” financial service and an Austrian digital authentication application. The malware is said to be in active development, with new commands added almost daily to capture every event on the device, from keystrokes and information displayed on screen to text entries and apps launched by the victim. Once downloaded, Brokewell creates an overlay screen on a targeted application to capture user credentials. It can also steal browser cookies by launching its own WebView, overriding the onPageFinished method, and dumping the session cookies after the user completes the login process. “Brokewell is equipped with “accessibility logging,” capturing every event happening on the device: touches, swipes, information displayed, text input, and applications opened. All actions are logged and sent to the command-and-control server, effectively stealing any confidential data displayed or entered on the compromised device,” the ThreatFabric researchers point out. “It\'s important to highlight that, in this case, any application is at risk of data compromise: Brokewell logs every event, posing a threat to all applications installed on the device. This piece of malware also supports a variety of “spyware” functionalities: it can collect information about the device, call history, geolocation, and record audio.” After stealing the credentials, the attackers can initiate a Device Takeover attack using remote control capabilities to perform screen streaming. It also provides the threat actor with a range of various commands that can be executed on the controlled device, such as touches, swipes, and clicks on specified elements. ThreatFabric discovered that one of the servers used as a command and control (C2) point for Brokewell was also used to host a repository called “Brokewell Cyber Labs,” created by a threat actor called “Baron Samedit.” This repository comprised the source code for the “Brokewell Android Loader,” another tool from the same developer designed to bypass restrictions Google introduced in Android 13 and later to prevent exploitation of Accessibility Service for side-loaded apps (APKs). According to ThreatFabric, Baron Samedit has been active for at least two years, providing tools to other cybercriminals to check stolen accounts from multiple services, which could still be improved to support a malware-as-a-service operation. “We anticipate further evolution of this malware family, as we’ve already observed almost daily updates to the malware. Brokewell will likely be promoted on underground channels as a rental service, attracting the interest of other cybercriminals and sparking new campaigns targeting different regions,” the researchers conclude. Hence, the only way to effectively identify and prevent potential fraud from malware families like the newly discovered Brokewell is to use a comprehensive | Malware Tool Threat Mobile | ★★ | |
|
2024-04-29 20:07:15 | De ransomware icedid à Dagon Locker en 29 jours From IcedID to Dagon Locker Ransomware in 29 Days (lien direct) |
## Instantané
Le rapport DFIR fournit un compte rendu détaillé d'une intrusion sophistiquée qui a commencé avec une campagne de phishing utilisant PromEthEustDS pour distribuer des logiciels malveillants icedid en août 2023.
## Description
Le malware icedid a établi la persistance, communiqué avec les serveurs C2 et a abandonné une balise de frappe de cobalt, qui a été utilisée pour le mouvement latéral, l'exfiltration des données et le déploiement des ransomwares.L'acteur de menace a également utilisé une suite d'outils tels que Rclone, NetScan, NBTScan, Anydesk, Seatt Libt, Sharefinder et Adfinind.L'intrusion a abouti au déploiement de ransomwares Dagon Locker après 29 jours.
Les acteurs de la menace ont utilisé diverses techniques pour obscurcir le fichier JavaScript et le coquille de cobalt grève, échapper à la détection, maintenir la persistance et effectuer des activités d'énumération du réseau.Les activités de l'acteur de menace comprenaient l'abus de fonctionnalités de mouvement latérale telles que le psexec et le protocole de bureau à distance (RDP), l'exfiltration des fichiers, le dumping et l'exfiltration des journaux d'événements de sécurité Windows et l'utilisation des commandes PowerShell exécutées à partir de la grève de Cobaltbalise.
De plus, l'acteur de menace a utilisé plusieurs techniques d'exfiltration, y compris l'utilisation de RClone et AWS CLI pour exfiltrer les données de l'infrastructure compromise.Le déploiement du ransomware Dagon Locker a été facilité par l'utilisation d'un script PowerShell personnalisé, AWScollector et un module Locker, avec une commande PowerShell spécifique exécutée à partir d'un contrôleur de domaine pour déployer le ransomware à différents systèmes.L'impact de cet incident a permis à tous les systèmes d'être affectés par les ransomwares Dagon Locker.
## Les références
[https://thedfirreport.com/2024/04/29/from-iced-to-dagon-locker-ransomware-in-29 days/-IDIDID-to-dagon-locker-ransomware en 29 jours /)
## Snapshot The DFIR report provides a detailed account of a sophisticated intrusion that began with a phishing campaign using PrometheusTDS to distribute IcedID malware in August 2023. ## Description The IcedID malware established persistence, communicated with C2 servers, and dropped a Cobalt Strike beacon, which was used for lateral movement, data exfiltration, and ransomware deployment. The threat actor also utilized a suite of tools such as Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder, and AdFind. The intrusion culminated in the deployment of Dagon Locker ransomware after 29 days. The threat actors employed various techniques to obfuscate the JavaScript file and the Cobalt Strike shellcode, evade detection, maintain persistence, and perform network enumeration activities. The threat actor\'s activities included the abuse of lateral movement functionalities such as PsExec and Remote Desktop Protocol (RDP), exfiltration of files, dumping and exfiltration of Windows Security event logs, and the use of PowerShell commands executed from the Cobalt Strike beacon. Additionally, the threat actor employed multiple exfiltration techniques, including the use of Rclone and AWS CLI to exfiltrate data from the compromised infrastructure. The deployment of the Dagon Locker ransomware was facilitated through the use of a custom PowerShell script, AWScollector, and a locker module, with a specific PowerShell command run from a domain controller to deploy the ransomware to different systems. The impact of this incident resulted in all systems being affected by the Dagon Locker ransomware. ## References [https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/](https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/) |
Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-04-29 19:16:00 | Linée en porcelaine \\ 'brouillant Meerkat \\' détourne DNS pour mapper Internet à l'échelle mondiale China-Linked \\'Muddling Meerkat\\' Hijacks DNS to Map Internet on Global Scale (lien direct) |
Une cyber-menace auparavant sans papiers surnommée & nbsp; Muddling Meerkat & nbsp; a & nbsp; a été observé & nbsp; entreprendre des activités sophistiquées de noms de domaine (DNS) dans un effort probable pour échapper aux mesures de sécurité et à la conduite et nbsp; Recondissance & nbsp; des réseaux & nbsp; dans le monde & nbsp; depuis octobre 2019.
La société de sécurité du cloud InfoBlox a décrit l'acteur de menace comme probablement affilié à
A previously undocumented cyber threat dubbed Muddling Meerkat has been observed undertaking sophisticated domain name system (DNS) activities in a likely effort to evade security measures and conduct reconnaissance of networks across the world since October 2019. Cloud security firm Infoblox described the threat actor as likely affiliated with the |
Threat | ★★★★ | |
|
2024-04-29 16:24:00 | Naviguer dans le paysage des menaces: comprendre la gestion de l'exposition, le pentisting, l'équipe rouge et le RBVM Navigating the Threat Landscape: Understanding Exposure Management, Pentesting, Red Teaming and RBVM (lien direct) |
Il & nbsp; vient en tant que & nbsp; pas une surprise que les cybermenaces d'aujourd'hui soient des ordres de grandeur plus complexes que ceux du passé.Pour répondre à cela & nbsp; non-stop & nbsp; défi.Les équipes de sécurité recherchent constamment des moyens de réduire les risques tout en améliorant la posture de sécurité, mais beaucoup
It comes as no surprise that today\'s cyber threats are orders of magnitude more complex than those of the past. And the ever-evolving tactics that attackers use demand the adoption of better, more holistic and consolidated ways to meet this non-stop challenge. Security teams constantly look for ways to reduce risk while improving security posture, but many |
Threat | ★★ | |
|
2024-04-29 16:20:00 | La nouvelle vulnérabilité de la programmation R expose les projets aux attaques de chaîne d'approvisionnement New R Programming Vulnerability Exposes Projects to Supply Chain Attacks (lien direct) |
Une vulnérabilité de sécurité a & nbsp; a été découverte & nbsp; dans le langage de programmation R qui pourrait être exploité par un acteur de menace pour créer un fichier RDS (R Data Serialisation) malveillant, de sorte qu'il entraîne une exécution de code lorsqu'il est chargé et référencé.
La faille, attribuée à l'identificateur CVE & NBSP; CVE-2024-27322, "implique l'utilisation d'objets prometteurs et d'évaluation paresseuse dans R"
A security vulnerability has been discovered in the R programming language that could be exploited by a threat actor to create a malicious RDS (R Data Serialization) file such that it results in code execution when loaded and referenced. The flaw, assigned the CVE identifier CVE-2024-27322, "involves the use of promise objects and lazy evaluation in R," AI application security |
Vulnerability Threat | ★★ | |
|
2024-04-29 16:14:30 | Cybersixgill dévoile des renseignements tiers, exposant des menaces aux organisations.Résultant de leur chaîne d'approvisionnement Cybersixgill Unveils Third-Party Intelligence, Exposing Threats to Organizations. Stemming from Their Supply Chain (lien direct) |
Une nouvelle extension puissante tient et améliore le renseignement complet des menaces de Cybersixgill \\ avec des données de posture de sécurité spécifiques aux fournisseurs, permettant aux opérations de sécurité de préempter les menaces provenant de fournisseurs tiers CybersixGill, le tiersLe fournisseur mondial de données de renseignement sur le cyber-menace, a innové aujourd'hui en introduisant son module de renseignement tiers.Le nouveau module fournit des services de cybersécurité et de menace spécifiques aux fournisseurs pour les équipes de sécurité des organisations, leur permettant de (...)
-
produits
Powerful, New Extension Curates and Enhances Cybersixgill\'s Comprehensive Threat Intelligence with Vendor-Specific Security Posture Data, Enabling Security Operations to Preempt Threats Originating from Third-Party Suppliers Cybersixgill, the global cyber threat intelligence data provider, broke new ground today by introducing its Third-Party Intelligence module. The new module delivers vendor-specific cybersecurity and threat intelligence to organizations\' security teams, enabling them to (...) - Produits |
Threat | ★★ | |
|
2024-04-29 16:05:58 | Faits saillants hebdomadaires, 29 avril 2024 Weekly OSINT Highlights, 29 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a diverse range of cyber threats targeting organizations globally. The articles highlight various attack vectors, including phishing emails with malware payloads (SSLoad, [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)), ransomware variants (KageNoHitobito, DoNex), and mobile banking malware (Brokewell) distributed through fake domain schemes and overlay attacks. Threat actors behind these campaigns range from financially motivated ransomware groups to sophisticated state-sponsored actors like Sandworm ([Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)) and UAT4356 ([Storm-1849](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)). Targetted organizations span Europe, Asia, and the Americas and targetted industries include critical infrastructure and IT. ## Description 1. **[Ongoing FROZEN#SHADOW Phishing Campaign](https://security.microsoft.com/intel-explorer/articles/e39d9bb3)**: The FROZEN#SHADOW campaign utilizes phishing emails to distribute SSLoad malware, alongside [Cobalt Strike](https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) and ConnectWise ScreenConnect for extensive persistence and remote access. The victim organizations, predominantly in Europe, Asia, and the Americas, are targeted via JavaScript file downloads and MSI installers connecting to attacker-controlled domains. 2. **[Insights on KageNoHitobito and DoNex Ransomware](https://security.microsoft.com/intel-explorer/articles/ff848e92)**: KageNoHitobito and DoNex are ransomware variants with distinct encryption methods and ransom note presentations. While KageNoHitobito prompts victims to negotiate through a TOR site, DoNex terminates specific services and processes, deletes shadow copies, and may be linked to DarkRace ransomware. 3. **[Brokewell Mobile Banking Malware](https://security.microsoft.com/intel-explorer/articles/99a5deee)**: Brokewell poses a significant threat to the banking industry, utilizing overlay attacks, spyware functionalities, and remote control capabilities to steal credentials and device information. The malware\'s active development and promotion on underground channels indicate a growing interest among cybercriminals targeting different regions. 4. **[Malvertising Campaign Targeting IT Teams with MadMxShell](https://security.microsoft.com/intel-explorer/articles/ffa6ca10)**: A sophisticated threat actor distributes the MadMxShell backdoor through fake domains, using Google Ads to push them to the top of search results. MadMxShell employs complex evasion techniques, including multi-stage injection and DNS tunneling for C2 communication, indicating an interest in targeting IT professionals for unauthorized access. 5. **[ArcaneDoor Campaign by UAT4356 (Storm-1849)](https://security.microsoft.com/intel-explorer/articles/a0cf0328)**: UAT4356 (tracked by Microsoft as [Storm-1949](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5)) targets perimeter network devices like Cisco Adaptive Security Appliances (ASA) with backdoors "Line Runner" and "Line Dancer" for reconnaissance and malicious actions. The campaign showcases a state-sponsored actor\'s advanced tradecraft, with deliberate efforts to evade forensics and exploit 0-day vulnerabilities. The initial access vector used in this campaign remains unidentified, but two vulnerabilities ([CVE-2024-20353](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20353/description) and[CVE-2024-20359](https://security.microsoft.com/intel-explorer/cves/CVE-2024-20359/description)) were exploited. 6. **[Kapeka Backdoor Linked to Sandworm (Seashell Blizzard)](https://security.microsoft.com/intel-explorer/articles/364efa92)**: Kapeka (tracked by Microsoft as K | Ransomware Malware Tool Vulnerability Threat Mobile Industrial | ★★★ | |
 |
2024-04-29 15:00:00 | Les nouvelles capacités FortixDR offrent une couverture élargie New FortiXDR Capabilities Offer Expanded Coverage (lien direct) |
Nous sommes ravis d'annoncer plusieurs améliorations à FortixDR, y compris le support pour les appareils mobiles iOS et Android et la chasse aux récipients.En savoir plus.
We\'re pleased to announce several enhancements to FortiXDR, including support for iOS and Android mobile devices and threat hunting for containers. Read more. |
Threat Mobile | ★★ |
To see everything:
Our RSS (filtrered)
