What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-05-05 15:49:00 | N. Corée des pirates de Kimsuky utilisant un nouvel outil Recon Reonshark dans les dernières cyberattaques N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks (lien direct) |
L'acteur de menace nord-coréen parrainé par l'État connu sous le nom de Kimsuky a été découvert à l'aide d'un nouvel outil de reconnaissance appelé Reonshark dans le cadre d'une campagne mondiale en cours.
"[Reonshark] est activement livré à des individus spécifiquement ciblés par le biais de courriels de lance-phishing, des liens OneDrive menant à des téléchargements de documents et à l'exécution de macros malveillants", cherche aux chercheurs de Sentinélone Tom Hegel
The North Korean state-sponsored threat actor known as Kimsuky has been discovered using a new reconnaissance tool called ReconShark as part of an ongoing global campaign. "[ReconShark] is actively delivered to specifically targeted individuals through spear-phishing emails, OneDrive links leading to document downloads, and the execution of malicious macros," SentinelOne researchers Tom Hegel |
Tool Threat | APT 43 | ★★★ |
 |
2023-05-05 14:00:25 | APTS cible l'accès MSP aux réseaux clients & # 8211;Semaine en sécurité avec Tony Anscombe APTs target MSP access to customer networks – Week in security with Tony Anscombe (lien direct) |
> Le récent compromis des réseaux de plusieurs sociétés via l'abus d'un outil d'accès à distance utilisé par MSPS illustre pourquoi les acteurs de menace alignés par l'État devraient être sur les radars des fournisseurs de services informatiques
>The recent compromise of the networks of several companies via the abuse of a remote access tool used by MSPs exemplifies why state-aligned threat actors should be on the radars of IT service providers |
Tool Threat | ★★ | |
 |
2023-05-04 21:15:11 | CVE-2023-30328 (lien direct) | Un problème dans l'outil d'aide de MailButler GmbH SHIMO VPN Client pour MacOS V5.0.4 permet aux attaquants de contourner l'authentification via la réutilisation de PID.
An issue in the helper tool of Mailbutler GmbH Shimo VPN Client for macOS v5.0.4 allows attackers to bypass authentication via PID re-use. |
Tool | ||
 |
2023-05-04 15:28:11 | Satori Unveils Universal Data Permissions Scanner, A Free Open-Source Tool that Sheds Light on Data Access Authorization (lien direct) | Satori dévoile un scanner d'autorisations de données universels, un outil libre open-source qui met en lumière l'autorisation d'accès aux données
Adommagent les pointslits d'accès aux données communément confrontés par les entreprises, le leader de la sécurité des données lance le premier outil d'analyse d'autorisation open source pour fournir une visibilité universelle dans les autorisations d'accès aux données dans plusieurs magasins de données
-
revues de produits
Satori Unveils Universal Data Permissions Scanner, A Free Open-Source Tool that Sheds Light on Data Access Authorization Addressing data access blindspots commonly faced by enterprises, data security leader launches the first open-source authorization analysis tool to provide universal visibility into data access permissions across multiple data stores - Product Reviews |
Tool | Satori Satori | ★★ |
|
2023-05-04 14:15:11 | CVE-2023-30619 (lien direct) | Tuleap Open ALM est un outil de libre et open source pour la traçabilité de bout en bout des développements d'application et de système.Le titre d'un artefact n'est pas correctement échappé dans l'info-bulle.Un utilisateur malveillant ayant la capacité de créer un artefact ou de modifier un titre de terrain pourrait forcer la victime à exécuter du code incontrôlé.Ce problème a été corrigé dans la version 14.7.99.143.
Tuleap Open ALM is a Libre and Open Source tool for end to end traceability of application and system developments. The title of an artifact is not properly escaped in the tooltip. A malicious user with the capability to create an artifact or to edit a field title could force victim to execute uncontrolled code. This issue has been patched in version 14.7.99.143. |
Tool | ||
 |
2023-05-04 13:55:19 | Kimsuky évolue les capacités de reconnaissance dans la nouvelle campagne mondiale Kimsuky Evolves Reconnaissance Capabilities in New Global Campaign (lien direct) |
L'acteur de menace lié à la RPDR déploie un outil de reconnaissance précédemment invisible \\ 'Reonshark \' dans la vague d'attaques en cours.
DPRK-linked threat actor deploys previously unseen reconnaissance tool \'ReconShark\' in wave of ongoing attacks. |
Tool Threat | ★★★ | |
 |
2023-05-04 09:30:00 | Nouvelles intégrations d'intelligence de menace mandiante pour MISP, Splunk Siem et Soar, et Cortex Xsoar par Palo Alto Networks New Mandiant Threat Intelligence Integrations for MISP, Splunk SIEM and SOAR, and Cortex XSOAR by Palo Alto Networks (lien direct) |
Les professionnels de la sécurité sont souvent submergés par le nombre de consoles de gestion ou de plates-formes dont ils ont besoin pour sauter un jour donné.L'automatisation et le partage d'informations sur les flux de travail existants peuvent décharger ces équipes en éliminant les tâches banales et en réduisant l'erreur humaine.
Les intégrations SaaS mandiant gagnent du temps et aident à rendre les équipes de sécurité plus proactives.L'API de renseignement Mandiant Threat permet aux équipes de sécurité d'intégrer Intelligence de menace mandiante Données directement dans leurs outils de sécurité et flux de travail existants.
dans le cadre de notre engagement en cours à aider les équipes de sécurité à travailler
Security professionals are often overwhelmed by the number of management consoles or platforms they need to jump between on any given day. Automating and sharing information into existing workflows can unburden these teams by eliminating mundane tasks and reducing human error. Mandiant SaaS integrations save time and help make security teams more proactive. The Mandiant Threat Intelligence API allows security teams to integrate Mandiant Threat Intelligence data directly into their existing security tools and workflows. As part of our ongoing commitment to helping security teams work |
Tool Threat Cloud | ★★ | |
 |
2023-05-03 10:00:00 | En regardant un test de pénétration à travers les yeux d'une cible Looking at a penetration test through the eyes of a target (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Analyzing an organization’s security posture through the prism of a potential intruder’s tactics, techniques, and procedures (TTPs) provides actionable insights into the exploitable attack surface. This visibility is key to stepping up the defenses of the entire digital ecosystem or its layers so that the chance of a data breach is reduced to a minimum. Penetration testing (pentesting) is one of the fundamental mechanisms in this area. The need to probe the architecture of a network for weak links through offensive methods co-occurred with the emergence of the “perimeter security” philosophy. Whereas pentesting has largely bridged the gap, the effectiveness of this approach is often hampered by a crude understanding of its goals and the working principles of ethical hackers, which skews companies’ expectations and leads to frustration down the line. The following considerations will give you the big picture in terms of prerequisites for mounting a simulated cyber incursion that yields positive security dividends rather than being a waste of time and resources. Eliminating confusion with the terminology Some corporate security teams may find it hard to distinguish a penetration test from related approaches such as red teaming, vulnerability testing, bug bounty programs, as well as emerging breach and attack simulation (BAS) services. They do overlap in quite a few ways, but each has its unique hallmarks. Essentially, a pentest is a manual process that boils down to mimicking an attacker’s actions. Its purpose is to find the shortest and most effective way into a target network through the perimeter and different tiers of the internal infrastructure. The outcome is a snapshot of the system’s protections at a specific point in time. In contrast to this, red teaming focuses on exploiting a segment of a network or an information / operational technology (IT/OT) system over an extended period. It is performed more covertly, which is exactly how things go during real-world compromises. This method is an extremely important prerequisite for maintaining OT cybersecurity, an emerging area geared toward safeguarding industrial control systems (ICS) at the core of critical infrastructure entities. Vulnerability testing, in turn, aims to pinpoint flaws in software and helps understand how to address them. Bug bounty programs are usually limited to mobile or web applications and may or may not match a real intruder’s behavior model. In addition, the objective of a bug bounty hunter is to find a vulnerability and submit a report as quickly as possible to get a reward rather than investigating the problem in depth. BAS is the newest technique on the list. It follows a “scan, exploit, and repeat” logic and pushes a deeper automation agenda, relying on tools that execute the testing with little to no human involvement. These projects are continuous by nature and generate results dynamically as changes occur across the network. By and large, there are two things that set pentesting aside from adjacent security activities. Firstly, it is done by humans and hinges on manual offensive tactics, for the most part. Secondly, it always presupposes a comprehensive assessment of the discovered security imperfections and prioritization of the fixes based on how critical the vulnerable infrastructure components are. Choosing a penetration testing team worth its salt Let’s zoom into what factors to consider when approaching companies in this area, how to find professionals amid eye-catching marketing claims, and what pitfalls this process may entail. As a rule, the following criteria are the name of t | Data Breach Tool Vulnerability Threat Industrial | ★★ | |
 |
2023-05-02 22:37:26 | Astuces d'ingénierie inverse: identifier les protocoles de réseau opaques Reverse engineering tricks: identifying opaque network protocols (lien direct) |
Lately, I\'ve been reverse engineering a reasonably complex network protocol, and I ran into a mystery - while the protocol is generally an unencrypted binary protocol, one of the messages was large and random. In an otherwise unencrypted protocol, why is one of the messages unreadable? It took me a few hours to accomplish what should have been a couple minutes of effort, and I wanted to share the trick I ultimately used! I\'m going to be intentionally vague on the software, and even modify a few things to make it harder to identify; I\'ll probably publish a lot more on my work blog once I\'m finished this project! Binary protocols Let\'s take a look at the binary protocol! If you\'re familiar with protocols and just want to see the “good stuff”, feel free to skip down to the next header. A “binary protocol” is a network protocol that uses unprintable characters (as opposed to a protocol like HTTP, which is something you can type on your keyboard). Often, you\'ll use a tool like Wireshark to grab a sample of network traffic (a “packet capture”, or “PCAP”) and, if it\'s not encrypted, you can start drawing conclusions about what the client and server expect. In a PCAP, you might see requests / responses that look like this: Outbound: 08 00 00 00 2c 00 00 00 ....,... Inbound: 40 00 00 00 2c 00 00 00 55 53 52 53 05 00 00 00 @...,... USRS.... 2c 00 00 00 02 00 00 00 55 38 f9 ed 21 59 47 f5 ,....... U8..!YG. 8f 9d 43 59 33 5c 2e 92 00 00 00 00 c4 54 f4 01 ..CY3\.. .....T.. 8d b4 43 e7 9e 9f ea db 4e 76 1a 7a 00 00 00 00 ..C..... Nv.z.... I don\'t want to get too buried in the weeds on how this protocol actually works, but when you work with unknown binary protocols a lot, certain things start to stand out. First, let\'s talk about endianness! The way integers are encoded into protocols vary based on the protocol, but a very common way to encode a 4-byte (32-bit) number is either big endian (8 => 00 00 00 08) or little endian (8 => 08 00 00 00). There are historic reasons both exist, and both are common to see, but based on the structure of those messages, we can guess that the first 4 bytes are either a big-endian integer with the value 0x08000000 or a little-endian integer with the value 0x00000008. The latter seems more likely, because that would make a great length value; speaking of lengths… Second, let\'s talk about TCP - TCP is a streaming protocol, which means there is no guarantee that if you send 100 bytes, the receiver will receive those 100 bytes all at once. You ARE guaranteed that if you received data, it\'ll be the correct bytes in the correct order; however, you might get 50 now and 50 later, or 99 now and 1 later, or maybe the next 50 bytes will be attached and you\'ll get 150 bytes all at once. As a result, TCP-based services nearly always encode a length value near the start, allowing protocols to unambiguously receive complete messages. Because of all that, one of the first things I do when approaching a new protocol is try to identify the length field. In this case, you\'ll note that the packet that starts with 0x08 is 8 bytes long, and the packet that starts with 0x40 is 0x40 bytes long. That looks promising! And, as it turns out, is correct. Once we have a length field, the next thing to consider is how the client and server multiplex messages. In an HTTP protocol, there\'s a URI, which tells the server where to direct the request. In a binary protocol, there isn\'t typical | Tool | ★★★ | |
|
2023-05-02 17:26:00 | BouldSpy Android Spyware: Tool présumé du gouvernement iranien pour espionner des groupes minoritaires BouldSpy Android Spyware: Iranian Government\\'s Alleged Tool for Spying on Minority Groups (lien direct) |
Un nouveau logiciel de surveillance Android éventuellement utilisé par le gouvernement iranien a été utilisé pour espionner plus de 300 personnes appartenant à des groupes minoritaires.
Le logiciel malveillant, surnommé Bouldspy, a été attribué à une confiance modérée au commandement des forces de l'ordre de la République islamique d'Iran (Faraja).Les victimes ciblées comprennent les Kurdes iraniens, les Baluchis, les Azéris et les groupes chrétiens arméniens.
"Le logiciel espion
A new Android surveillanceware possibly used by the Iranian government has been used to spy on over 300 individuals belonging to minority groups. The malware, dubbed BouldSpy, has been attributed with moderate confidence to the Law Enforcement Command of the Islamic Republic of Iran (FARAJA). Targeted victims include Iranian Kurds, Baluchis, Azeris, and Armenian Christian groups. "The spyware |
Tool | ★★ | |
 |
2023-05-02 07:30:00 | UK Cyber Security Council lance un outil de cartographie de certification UK Cyber Security Council launches certification mapping tool (lien direct) |
Un nouveau logiciel de surveillance Android éventuellement utilisé par le gouvernement iranien a été utilisé pour espionner plus de 300 personnes appartenant à des groupes minoritaires.
Le logiciel malveillant, surnommé Bouldspy, a été attribué à une confiance modérée au commandement des forces de l'ordre de la République islamique d'Iran (Faraja).Les victimes ciblées comprennent les Kurdes iraniens, les Baluchis, les Azéris et les groupes chrétiens arméniens.
"Le logiciel espion
A new Android surveillanceware possibly used by the Iranian government has been used to spy on over 300 individuals belonging to minority groups. The malware, dubbed BouldSpy, has been attributed with moderate confidence to the Law Enforcement Command of the Islamic Republic of Iran (FARAJA). Targeted victims include Iranian Kurds, Baluchis, Azeris, and Armenian Christian groups. "The spyware |
Tool | ★★ | |
 |
2023-05-01 23:16:00 | Anomali Cyber Watch: APT37 adopte les fichiers LNK, Charming Kitten utilise le bordereau d'implant Bellaciao, le cryptage de remappage d'octet unique Vipersoftx InfostEaler Anomali Cyber Watch: APT37 Adopts LNK Files, Charming Kitten Uses BellaCiao Implant-Dropper, ViperSoftX Infostealer Unique Byte Remapping Encryption (lien direct) |
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, Remapping, Cloud C2s, Infostalers, Iran, Corée du Nord, Rats, et vulnérabilités .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
Réaction en chaîne: Rokrat & rsquo; s.Lien manquant
(Publié: 1er mai 2023)
Depuis 2022, le groupe parrainé par le Nord-Korea APT37 (Group123, Ricochet Chollima) a principalement changé ses méthodes de livraison de Maldocs pour cacher des charges utiles à l'intérieur des fichiers LNK surdimensionnés.Vérifier les chercheurs a identifié plusieurs chaînes d'infection utilisées par le groupe de juillet 2022 à avril 2023. Celles-ci ont été utilisées pour livrer l'un des outils personnalisés de l'APT37 (Goldbackdoor et Rokrat), ou le malware de marchandises Amadey.Tous les leurres étudiés semblent cibler des personnes coréennes avec des sujets liés à la Corée du Sud.
Commentaire de l'analyste: Le passage aux chaînes d'infection basées sur LNK permet à APT37 de l'interaction utilisateur moins requise car la chaîne peut être déclenchée par un simple double clic.Le groupe continue l'utilisation de Rokrat bien triés qui reste un outil furtif avec ses couches supplémentaires de cryptage, le cloud C2 et l'exécution en mémoire.Les indicateurs associés à cette campagne sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquerleur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1059.001: Powershell | [mitre att & amp; ck] t1055 - injection de processus | [mitre att & amp; ck] t1027 - fichiers ou informations obscurcis | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1204.002 - Exécution des utilisateurs: fichier malveillant | [mitre att & amp; ck] t1059.005 - commande et script interprète: visuel basique | [mitre att & amp; ck] t1140 - désobfuscate / décode ou informations | [mitre att & amp; ck] T1218.011 - Exécution par proxy binaire signée: Rundll32
Tags: malware: Rokrat, mitre-software-id: s0240, malware-Type: Rat, acteur: Groupe123, mitre-groupe: APT37, acteur: Ricochet Chollima, Country source: Corée du Nord, Country source: KP, Cible-Country: Corée du Sud, Cible-Country: KR, Type de fichier: Zip, déposer-Type: Doc, Fichier-Type: ISO, Fichier-Type: LNK, File-Type: Bat, File-Type: EXE, Fichier-Type: VBS, malware: Amadey,MALWARE: Goldbackdoor, Type de logiciels malveillants: porte dérobée, abusée: Pcloud, abusé: Cloud Yandex, abusé: OneDrive, abusé: & # 8203; & # 8203; Processeur de mots Hangul, abusé: themida, système cible: Windows
|
Ransomware Malware Tool Vulnerability Threat Prediction Cloud | APT 37 APT 37 APT 35 | ★★ |
 |
2023-04-30 07:08:18 | La pertinence des invites dans l'IA et la cybersécurité The Relevance of Prompts in AI and Cybersecurity (lien direct) |
L'introduction à l'incitation à l'intelligence artificielle (IA) est devenue un sujet de plus en plus populaire ces dernières années en raison de son potentiel à révolutionner diverses industries.La capacité d'automatiser les tâches, d'analyser de grandes quantités de données et de faire des prédictions a fait de l'IA un outil précieux pour les entreprises et les chercheurs.Cependant, le développement de systèmes d'IA efficaces peut être un [& # 8230;]
Introduction to Prompting Artificial Intelligence (AI) has become an increasingly popular topic in recent years due to its potential to revolutionize various industries. The ability to automate tasks, analyze vast amounts of data, and make predictions has made AI a valuable tool for businesses and researchers alike. However, developing effective AI systems can be a […] |
Tool | ★★ | |
|
2023-04-28 16:15:10 | CVE-2023-30853 (lien direct) | Gradle Build Action permet aux utilisateurs d'exécuter une génération Gradle dans leur flux de travail GitHub Actions.Une vulnérabilité a un impact sur les workflows GitHub à l'aide de l'action Gradle Build avant la version 2.4.2 qui ont exécuté l'outil Gradle Build avec le cache de configuration activé, exposant potentiellement des secrets configurés pour le référentiel.
Les secrets configurés pour les actions GitHub sont normalement transmis à l'outil Gradle Build via des variables d'environnement.En raison de la façon dont l'outil Gradle Build enregistre ces variables d'environnement, ils peuvent être persistés dans une entrée dans le cache GitHub Actions.Ces données stockées dans le cache GitHub Actions peuvent être lues par un flux de travail GitHub Actions exécutant dans un contexte non fiable, tel que celui exécutant pour une demande de traction soumise par un développeur via une fourche de référentiel.
Cette vulnérabilité a été découverte en interne par le biais de la revue du code, et nous n'avons vu aucune preuve de son exploitation dans la nature.Cependant, en plus de mettre à niveau l'action Gradle Build, les utilisateurs affectés doivent supprimer toutes les entrées de cache potentiellement vulnérables et peuvent choisir de faire pivoter tous les secrets potentiellement affectés.
Gradle Build Action V2.4.2 et plus récent n'enregistrent plus ces données sensibles pour une utilisation ultérieure, empêchant une fuite continue des secrets via le cache GitHub Actions.
Bien que la mise à niveau vers la dernière version de l'action Gradle Build empêchera la fuite de secrets à l'avenir, des actions supplémentaires peuvent être nécessaires en raison des entrées de cache GitHub actuelles ou précédentes contenant ces informations.
Les entrées de cache actuelles resteront vulnérables jusqu'à ce qu'elles soient supprimées de force ou qu'elles expirent naturellement après 7 jours de ne pas être utilisés.Les entrées potentiellement vulnérables peuvent être facilement identifiées dans l'interface utilisateur GitHub en recherchant une entrée de cache avec la clé correspondant à `Configuration-cache- *`.Les responsables recommandent que les utilisateurs de l'action Gradle Build inspectent leur liste des entrées de cache et suppriment manuellement tout ce qui correspond à ce modèle.
Bien que les responsables n'ont vu aucune preuve de cette vulnérabilité exploitée, ils recommandent de faire du vélo de secrets de référentiel si vous ne pouvez pas être certain que ceux-ci n'ont pas été compromis.Un compromis pourrait se produire si un utilisateur exécute un workflow GitHub Actions pour une demande de traction tentant d'exploiter ces données.
Les panneaux d'avertissement à rechercher dans une demande de traction comprennent:
- apporter des modifications aux fichiers de flux de travail des actions GitHub d'une manière qui peut tenter de lire / extraire les données de la maison de Gradle User Home ou des répertoires ` /. Gradle`.
- Apporter des modifications à Gradle Build Files ou à d'autres fichiers exécutables qui peuvent être invoqués par un flux de travail GitHub Actions, d'une manière qui pourrait tenter de lire / extraire des informations de ces emplacements.
Certaines solutions de contournement pour limiter l'impact de cette vulnérabilité sont disponibles:
- Si le projet Gradle ne se optait pas à utiliser le cache de configuration, il n'est pas vulnérable.
- Si le projet Gradle opt à utiliser le Cabined-Cache par défaut, alors l'argument de ligne de commande `--configuration-cache` peut être utilisé pour désactiver cette fonctionnalité dans un flux de travail GitHub Actions.
Dans tous les cas, nous recommandons que les utilisateurs inspectent soigneusement toute demande de traction avant d'approuver l'exécution des workflows GitHub Actions.Il peut être prudent d'exiger l'approbation de tous les RP des contributeurs externes.
Gradle Build Action allows users to execute a Gradle Bui |
Tool Vulnerability | ||
 |
2023-04-28 01:30:56 | (Déjà vu) Chaton charmant utilisant de nouveaux logiciels malveillants dans des attaques multi-pays Charming Kitten Using New Malware in Multi-Country Attacks (lien direct) |
Charming Kitten, le tristement célèbre groupe iranien de l'État-nation, vise activement les victimes à travers l'Europe, les États-Unis, l'Inde et le Moyen-Orient avec un nouveau logiciel malveillant surnommé Bellaciao.Le malware est le dernier de leur vaste trousse à outils personnalisée.Bellaciao a été découverte par Bitdefender, qui décrivent le malware comme a & # 8220; compte-gouttes personnalisé & # 8221;C'est capable de fournir des charges utiles de logiciels malveillants sur [& # 8230;]
Charming Kitten, the infamous Iranian nation-state group, is actively targeting victims across Europe, U.S., India and Middle East with a new malware dubbed BellaCiao. The malware is the latest in their expansive custom tool kit. BellaCiao was discovered by Bitdefender, who describe the malware as a “personalised dropper” that’s capable of delivering malware payloads onto […] |
Malware Tool | APT 35 APT 35 | ★★ |
|
2023-04-26 21:01:00 | Des pirates chinois repérés en utilisant la variante Linux de Pingpull dans les cyberattaques ciblées Chinese Hackers Spotted Using Linux Variant of PingPull in Targeted Cyberattacks (lien direct) |
Le groupe chinois de l'État national surnommé Alloy Taurus utilise une variante Linux d'une porte dérobée appelée Pingpull ainsi qu'un nouvel outil sans papiers nommé Sword2033.
Cela \\ est selon les résultats de l'unité 42 de Palo Alto Networks, qui a découvert une récentes activités malveillantes menées par le groupe ciblant l'Afrique du Sud et le Népal.
Le taureau en alliage est le surnom de constellation affecté à un
The Chinese nation-state group dubbed Alloy Taurus is using a Linux variant of a backdoor called PingPull as well as a new undocumented tool codenamed Sword2033. That\'s according to findings from Palo Alto Networks Unit 42, which discovered recent malicious cyber activity carried out by the group targeting South Africa and Nepal. Alloy Taurus is the constellation-themed moniker assigned to a |
Tool | ★★ | |
 |
2023-04-26 11:00:21 | Célébrer SLSA v1.0: sécuriser la chaîne d'approvisionnement des logiciels pour tout le monde Celebrating SLSA v1.0: securing the software supply chain for everyone (lien direct) |
Bob Callaway, Staff Security Engineer, Google Open Source Security team Last week the Open Source Security Foundation (OpenSSF) announced the release of SLSA v1.0, a framework that helps secure the software supply chain. Ten years of using an internal version of SLSA at Google has shown that it\'s crucial to warding off tampering and keeping software secure. It\'s especially gratifying to see SLSA reaching v1.0 as an open source project-contributors have come together to produce solutions that will benefit everyone. SLSA for safer supply chains Developers and organizations that adopt SLSA will be protecting themselves against a variety of supply chain attacks, which have continued rising since Google first donated SLSA to OpenSSF in 2021. In that time, the industry has also seen a U.S. Executive Order on Cybersecurity and the associated NIST Secure Software Development Framework (SSDF) to guide national standards for software used by the U.S. government, as well as the Network and Information Security (NIS2) Directive in the European Union. SLSA offers not only an onramp to meeting these standards, but also a way to prepare for a climate of increased scrutiny on software development practices. As organizations benefit from using SLSA, it\'s also up to them to shoulder part of the burden of spreading these benefits to open source projects. Many maintainers of the critical open source projects that underpin the internet are volunteers; they cannot be expected to do all the work when so many of the rewards of adopting SLSA roll out across the supply chain to benefit everyone. Supply chain security for all That\'s why beyond contributing to SLSA, we\'ve also been laying the foundation to integrate supply chain solutions directly into the ecosystems and platforms used to create open source projects. We\'re also directly supporting open source maintainers, who often cite lack of time or resources as limiting factors when making security improvements to their projects. Our Open Source Security Upstream Team consists of developers who spend 100% of their time contributing to critical open source projects to make security improvements. For open source developers who choose to adopt SLSA on their own, we\'ve funded the Secure Open Source Rewards Program, which pays developers directly for these types of security improvements. Currently, open source developers who want to secure their builds can use the free SLSA L3 GitHub Builder, which requires only a one-time adjustment to the traditional build process implemented through GitHub actions. There\'s also the SLSA Verifier tool for software consumers. Users of npm-or Node Package Manager, the world\'s largest software repository-can take advantage of their recently released beta SLSA integration, which streamlines the process of creating and verifying SLSA provenance through the npm command line interface. We\'re also supporting the integration of Sigstore into many major | Tool Patching | ★★ | |
|
2023-04-25 18:22:00 | Anomali Cyber Watch: Deux attaques de la chaîne d'approvisionnement enchaînées, leurre de communication DNS furtive de chien, Evilextractor exfiltrates sur le serveur FTP Anomali Cyber Watch: Two Supply-Chain Attacks Chained Together, Decoy Dog Stealthy DNS Communication, EvilExtractor Exfiltrates to FTP Server (lien direct) |
The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, Cryptomining, Infostealers, Malvertising, North Korea, Phishing, Ransomware, and Supply-chain attacks. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity. 
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
First-Ever Attack Leveraging Kubernetes RBAC to Backdoor Clusters
(published: April 21, 2023)
A new Monero cryptocurrency-mining campaign is the first recorded case of gaining persistence via Kubernetes (K8s) Role-Based Access Control (RBAC), according to Aquasec researchers. The recorded honeypot attack started with exploiting a misconfigured API server. The attackers preceded by gathering information about the cluster, checking if their cluster was already deployed, and deleting some existing deployments. They used RBAC to gain persistence by creating a new ClusterRole and a new ClusterRole binding. The attackers then created a DaemonSet to use a single API request to target all nodes for deployment. The deployed malicious image from the public registry Docker Hub was named to impersonate a legitimate account and a popular legitimate image. It has been pulled 14,399 times and 60 exposed K8s clusters have been found with signs of exploitation by this campaign.
Analyst Comment: Your company should have protocols in place to ensure that all cluster management and cloud storage systems are properly configured and patched. K8s buckets are too often misconfigured and threat actors realize there is potential for malicious activity. A defense-in-depth (layering of security mechanisms, redundancy, fail-safe defense processes) approach is a good mitigation step to help prevent actors from highly-active threat groups.
MITRE ATT&CK: [MITRE ATT&CK] T1190 - Exploit Public-Facing Application | [MITRE ATT&CK] T1496 - Resource Hijacking | [MITRE ATT&CK] T1036 - Masquerading | [MITRE ATT&CK] T1489 - Service Stop
Tags: Monero, malware-type:Cryptominer, detection:PUA.Linux.XMRMiner, file-type:ELF, abused:Docker Hub, technique:RBAC Buster, technique:Create ClusterRoleBinding, technique:Deploy DaemonSet, target-system:Linux, target:K8s, target:Kubernetes RBAC
3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible
(published: April 20, 2023)
Investigation of the previously-reported 3CX supply chain compromise (March 2023) allowed Mandiant researchers to detect it was a result of prior software supply chain attack using a trojanized installer for X_TRADER, a software package provided by Trading Technologies. The attack involved the publicly-available tool SigFlip decrypting RC4 stream-cipher and starting publicly-available DaveShell shellcode for reflective loading. It led to installation of the custom, modular VeiledSignal backdoor. VeiledSignal additional modules inject the C2 module in a browser process instance, create a Windows named pipe and |
Ransomware Spam Malware Tool Threat Cloud | Uber APT 38 ChatGPT APT 43 | ★★ |
 |
2023-04-25 13:41:53 | Apiiro lance l'outil d'exploration de surface d'attaque d'application Apiiro Launches Application Attack Surface Exploration Tool (lien direct) |
Explorateur de graphiques à risque APIIRO \\ aide les équipes de sécurité à comprendre la surface d'attaque de leur application.
Apiiro\'s Risk Graph Explorer helps security teams to understand their application attack surface. |
Tool | ★★ | |
 |
2023-04-24 21:05:35 | Comment les démons abusent d'un pilote de Microsoft Windows hors de jour pour infecter les victimes How fiends abuse an out-of-date Microsoft Windows driver to infect victims (lien direct) |
C'est comme ces téléfilms où un espion coupe un fil et toute la sécurité du bâtiment \\ sort Les épandeurs de ransomware ont construit un outil pratique qui abuse d'un hors de-Date du pilote Microsoft Windows pour désactiver les défenses de sécurité avant de déposer des logiciels malveillants dans les systèmes ciblés.… | Malware Tool | ★★ | |
|
2023-04-24 19:14:00 | Ransomware hackers utilisant l'outil Aukill pour désactiver le logiciel EDR à l'aide de l'attaque BYOVD Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack (lien direct) |
Les acteurs de la menace utilisent un "outil d'évasion de défense" sans papiers auparavant surnommé Aukill qui a conçu pour désactiver le logiciel de détection et de réponse (EDR) au moyen d'une propre attaque de conducteur vulnérable (BYOVD).
"L'outil Aukill abuse d'une version obsolète du pilote utilisé par la version 16.32 de l'utilitaire Microsoft, Process Explorer, pour désactiver les processus EDR avant le déploiement
Threat actors are employing a previously undocumented "defense evasion tool" dubbed AuKill that\'s designed to disable endpoint detection and response (EDR) software by means of a Bring Your Own Vulnerable Driver (BYOVD) attack. "The AuKill tool abuses an outdated version of the driver used by version 16.32 of the Microsoft utility, Process Explorer, to disable EDR processes before deploying |
Ransomware Tool Threat | ★★ | |
|
2023-04-24 18:15:09 | CVE-2023-26059 (lien direct) | Un problème a été découvert à Nokia Netact avant 22 SP1037.Dans l'onglet outil de configuration du site, les attaquants peuvent télécharger un fichier zip qui, lorsqu'il est traité, exploite XSS stockée.L'option de téléchargement de l'outil de configuration du site ne valide pas le contenu du fichier.L'application est dans une zone démilitarisée derrière un pare-feu de périmètre et sans exposition à Internet.L'attaque ne peut être effectuée que par un utilisateur interne.
An issue was discovered in Nokia NetAct before 22 SP1037. On the Site Configuration Tool tab, attackers can upload a ZIP file which, when processed, exploits Stored XSS. The upload option of the Site Configuration tool does not validate the file contents. The application is in a demilitarised zone behind a perimeter firewall and without exposure to the internet. The attack can only be performed by an internal user. |
Tool | ||
|
2023-04-24 11:30:09 | Si vous ne avez pas correctement corrigé Microsoft Process Explorer, préparez-vous à être pwned If you haven\\'t patched Microsoft Process Explorer, prepare to get pwned (lien direct) |
Aukill abuse d'un outil obsolète pour désactiver les processus de sécurité avant l'attaque Les gangs ransomwares abusent d'un pilote logiciel Microsoft à l'attention pour désactiver les défenses de sécurité avant de déposer des logiciels malveillants dans les systèmes ciblés.… | Malware Tool | ★★★★ | |
|
2023-04-24 00:08:44 | BSIDESSF 2023 Écritures: Too-Latte (exploitation Java de difficulté moyenne) BSidesSF 2023 Writeups: too-latte (medium-difficulty Java exploitation) (lien direct) |
too-latte is a challenge I wrote based on CVE-2023-0669, which is an unsafe deserialization vulnerability in Fortra\'s GoAnywhere MFT software. I modeled all the vulnerable code off, as much as I could, that codebase. It\'s obviously themed quite differently. Write-up If you use a tool like jadx to unpack the servlets, you\'ll find, through some layers of indirection, this code in TokenWorker.java (that operates on the token parameter): public static String unbundle(String token, KeyConfig keyConfig) throws Exception { token = token.substring(0, token.indexOf("$")); return new String(decompress(verify(decrypt(decode(token.getBytes(StandardCharsets.UTF_8)), keyConfig.getVersion()), keyConfig)), StandardCharsets.UTF_8); } The decode function decodes the token parameter from Base64. The decrypt function decrypts the token with a static key. The actual decryption code is under several layers of indirection, because Java is Java, but the TokenEncryptor class has a key, IV, and algorithm: private static final byte[] IV = {1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12 | Tool Vulnerability | ★★ | |
|
2023-04-24 00:08:44 | BSIDESSF 2023 Écritures: ROP TEPTING ZOO (Défi de l'éducation!) BSidesSF 2023 Writeups: ROP Petting Zoo (educational challenge!) (lien direct) |
ROP Petting Zoo is a challenge designed to teach the principles of return-oriented programming. It\'s mostly written in Javascript, with a backend powered by a Ruby web server, along with a tool I wrote called Mandrake. Source code is shared between the three parts of the challenge, and is available here. Mandrake is a debugger / tracer I wrote that executes a binary and traces all code run between two points. It will show registers, memory, all the good stuff. ROP Petting Zoo is kind of a wrapper around that. Basically, you have a list of potential ROP gadgets and libc calls. You build a stack from all the ROP gadgets, hit Execute!, and the harness will return to the first address on the stack. Everything is running forreal in a container, so you get to see what would actually happen if this is a real exploit! The challenges are very guided / on-rails, with tutorials that show the exact steps you will need to take, but here are the solutions I wrote. It\'s helpful to remember that when a function is called, the arguments are, in order, passed in the registers rdi, rsi, rdx, and rcx. Level 1 print_flag() -> Immediately return to print_flag pop rdi / ret -> Pop the next value into register rdi 0 -> This is what\'s popped into rdi exit -> Return to exit(rdi) aka exit(0) Level 2 return_flag() -> Returns the flag in rax mov rdi, rax / ret -> Moves the flag pointer into rdi puts -> Return to puts(rdi) or puts(flag) pop rdi / ret -> Pop the next value into rdi 0 -> This is what\'s popped into rdi exit -> Return to exit(rdi) aka exit(0) Level 3 This part unfortunately ran a lot slower than I\'d intended, but hopefully it\'s educational enough: write_flag_to_file() -> Writes the flag to a file, returns the name in rax mov rdi, rax / ret -> Moves the filename to rdi, the first param | Tool | ★★★ | |
 |
2023-04-23 23:23:00 | CISA ajoute un problème de bug d'imprimante, de chrome zéro-jour et de chatppt pour exploiter le catalogue des vulnérabilités CISA adds printer bug, Chrome zero-day and ChatGPT issue to exploited vulnerabilities catalog (lien direct) |
L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté un problème affectant un outil de logiciel de gestion d'impression populaire à sa liste de vulnérabilités exploitées vendredi.Papercut est une société de logiciels qui produit des logiciels de gestion d'impression pour Canon, Epson, Xerox, Brother et presque toutes les autres grandes marques d'imprimantes.Leurs outils sont largement utilisés au sein des agences des gouvernements,
The Cybersecurity and Infrastructure Security Agency (CISA) added an issue affecting a popular print management software tool to its list of exploited vulnerabilities on Friday. PaperCut is a software company that produces printing management software for Canon, Epson, Xerox, Brother and almost every other major printer brand. Their tools are widely used within governments agencies, |
Tool | ChatGPT ChatGPT | ★★★ |
|
2023-04-22 03:15:10 | CVE-2023-25510 (lien direct) | Nvidia Cuda Toolkit SDK pour Linux et Windows contient une déréférence du pointeur nul à Cuobjdump, où un utilisateur local exécutant l'outil contre un binaire mal formé peut entraîner un déni de service limité.
NVIDIA CUDA Toolkit SDK for Linux and Windows contains a NULL pointer dereference in cuobjdump, where a local user running the tool against a malformed binary may cause a limited denial of service. |
Tool | ||
 |
2023-04-21 23:49:48 | Utilisation de détecter facile à… détecter facilement Using Detect It Easy to… detect it easy (lien direct) |
J'adore le détecter facilement.Il est mon outil de prédilection en ce qui concerne les échantillons malveillants et dépasse continuellement mes attentes & # 8230;Sauf les moments où j'ai oublié d'utiliser [& # 8230;]
I love Detect It Easy. It’s my go-to tool when it comes to triaging malicious samples and it continuously exceeds my expectations… Except the times when I forgot to use […] |
Tool | ★★ | |
|
2023-04-20 17:15:07 | CVE-2023-23938 (lien direct) | Tuleap est un libre & amp;Outil source pour la traçabilité de bout en bout des développements d'application et de système.Les versions affectées sont soumises à une attaque de script de site croisé qui peut être injectée au nom d'une couleur de sélection de valeurs de boîte d'un tracker, puis reflétée dans l'administration du tracker.Un privilège administratif est requis, mais un attaquant avec des droits d'administration des trackers pourrait utiliser cette vulnérabilité pour forcer une victime à exécuter du code incontrôlé dans le contexte de son navigateur.Ce problème a été résolu dans la version 14.5.99.4 dans l'édition communautaire de Tuleap.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème.
Tuleap is a Free & Source tool for end to end traceability of application and system developments. Affected versions are subject to a cross site scripting attack which can be injected in the name of a color of select box values of a tracker and then reflected in the tracker administration. Administrative privilege is required, but an attacker with tracker administration rights could use this vulnerability to force a victim to execute uncontrolled code in the context of their browser. This issue has been addressed in Tuleap Community Edition version 14.5.99.4. Users are advised to upgrade. There are no known workarounds for this issue. |
Tool Vulnerability | ||
|
2023-04-20 16:52:00 | Fortra met en lumière Goanywhere MFT Zero-Day Exploit utilisé dans les attaques de ransomwares Fortra Sheds Light on GoAnywhere MFT Zero-Day Exploit Used in Ransomware Attacks (lien direct) |
Fortra, l'entreprise derrière Cobalt Strike, a mis en lumière une vulnérabilité d'exécution de code à distance (RCE) zéro-jour dans son outil GOANYWORD MFT qui a été soumis à une exploitation active par les acteurs du ransomware pour voler des données sensibles.
Le défaut de haute sévérité, suivi sous le nom de CVE-2023-0669 (score CVSS: 7.2), concerne un cas d'injection de commande pré-authentifiée qui pourrait être abusée pour réaliser l'exécution du code.Le
Fortra, the company behind Cobalt Strike, shed light on a zero-day remote code execution (RCE) vulnerability in its GoAnywhere MFT tool that has come under active exploitation by ransomware actors to steal sensitive data. The high-severity flaw, tracked as CVE-2023-0669 (CVSS score: 7.2), concerns a case of pre-authenticated command injection that could be abused to achieve code execution. The |
Ransomware Tool Vulnerability | ★★ | |
|
2023-04-19 16:58:00 | Les pirates pakistanais utilisent le poseidon de logiciels malveillants Linux pour cibler les agences gouvernementales indiennes Pakistani Hackers Use Linux Malware Poseidon to Target Indian Government Agencies (lien direct) |
L'acteur avancé de menace persistante (APT) basée au Pakistan connu sous le nom de Tribe Transparent a utilisé un outil d'authentification à deux facteurs (2FA) utilisé par les agences gouvernementales indiennes comme ruse pour livrer une nouvelle porte dérobée Linux appelée Poséidon.
"Poséidon est un logiciel malveillant en charge utile de deuxième étape associé à la tribu transparente", a déclaré le chercheur en sécurité UptyCS Tejaswini Sandapolla dans un rapport technique publié cette semaine.
The Pakistan-based advanced persistent threat (APT) actor known as Transparent Tribe used a two-factor authentication (2FA) tool used by Indian government agencies as a ruse to deliver a new Linux backdoor called Poseidon. "Poseidon is a second-stage payload malware associated with Transparent Tribe," Uptycs security researcher Tejaswini Sandapolla said in a technical report published this week. |
Malware Tool Threat | APT 36 | ★★ |
 |
2023-04-19 10:07:14 | EFF sur le traité de cybercriminalité des Nations Unies EFF on the UN Cybercrime Treaty (lien direct) |
EFF a un bon explicateur sur les problèmes avec le nouveau traité de cybercrimes de l'ONU,En cours de négociation à Vienne.
Le projet de traité a le potentiel de réécrire des lois pénales dans le monde, ajoutant peut-être plus de 30 infractions criminelles et de nouveaux pouvoirs de police étendus pour les enquêtes pénales nationales et internationales.
[& # 8230;]
Bien que nous ne pensons pas que le traité de cybercriminalité des Nations Unies est nécessaire, nous avons examiné de près le processus et fournissant une analyse constructive.Nous & # 8217; ve a précisé que les droits de l'homme doivent être cuits dans le traité proposé afin qu'il ne devienne pas un outil pour ...
EFF has a good explainer on the problems with the new UN Cybercrime Treaty, currently being negotiated in Vienna. The draft treaty has the potential to rewrite criminal laws around the world, possibly adding over 30 criminal offenses and new expansive police powers for both domestic and international criminal investigations. […] While we don’t think the U.N. Cybercrime Treaty is necessary, we’ve been closely scrutinizing the process and providing constructive analysis. We’ve made clear that human rights must be baked into the proposed treaty so that it doesn’t become a tool to ... |
Tool | ★★ | |
 |
2023-04-18 17:58:00 | APT41 Taps Google Red Teaming Tool dans les attaques de vol d'informations ciblées APT41 Taps Google Red Teaming Tool in Targeted Info-Stealing Attacks (lien direct) |
Le groupe APT41 lié à la Chine a ciblé une organisation médiatique taïwanaise et une agence d'emploi italienne avec des outils de test de pénétration standard et open source, dans un changement de stratégie.
China-linked APT41 group targeted a Taiwanese media organization and an Italian job agency with standard, open source penetration test tools, in a change in strategy. |
Tool | APT 41 APT 41 | ★★★ |
|
2023-04-18 17:14:00 | Anomali Cyber Watch: Cozy Bear utilise de nouveaux téléchargeurs, RTM Locker Ransomware cherche une vie privée, vice Society Automated Selective Exfiltration Anomali Cyber Watch: Cozy Bear Employs New Downloaders, RTM Locker Ransomware Seeks Privacy, Vice Society Automated Selective Exfiltration (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, clicker, détournement de conversation, exfiltration de données, callpam, phishing, ransomware, russie, et chaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
banquier QBOT livré par correspondance commerciale
(Publié: 17 avril 2023)
Début avril 2023, un volume accru de Malspam en utilisant le détournement de fil commercial-imail a été détecté pour fournir le troin bancaire QBOT (QAKBOT, Quackbot, Pinkslipbot).Les leurres observés en anglais, en allemand, en italien et en français visaient divers pays, les trois premiers étant l'Allemagne, l'Argentine et l'Italie, dans cet ordre.Les attaquants usurpaient un nom dans la conversation détournée pour inciter la cible à ouvrir un fichier PDF ci-joint.La cible est ensuite confrontée à un bouton, à un mot de passe et à une instruction pour télécharger, déballer et exécuter un fichier de script Windows malveillant (WSF) dans une archive protégée par mot de passe.L'exécution des utilisateurs est suivie d'une désobfuscation automatisée d'un JScript contenu produisant un script PowerShell codé visant à télécharger une DLL QBOT à partir d'un site Web compromis et à l'exécuter à l'aide de RunDLL32.QBOT vole les informations d'identification, profil les systèmes pour identifier les perspectives de ciblage supplémentaire de grande valeur et vole des e-mails stockés localement pour une prolifération supplémentaire via le détournement de fil calspam.
Commentaire de l'analyste: L'usurpation du nom de l'expéditeur des lettres précédentes du & lsquo; from & rsquo;Le champ peut être identifié dans cette campagne car il utilise une adresse e-mail frauduleuse de l'expéditeur différent de celle du véritable correspondant.Les utilisateurs doivent être prudents avec des archives protégées par mot de passe et des types de fichiers suspects tels que WSF.Les indicateurs de réseau et d'hôtes associés à cette campagne QBOT sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitreAtt & amp; ck: [mitre att & amp; ck] t1566 - phishing | [mitre att & amp; ck] t1204 - exécution des utilisateurs | [mitre att & amp; ck] t1207 - contrôleur de domaine voyou | [mitre att & amp; ck] t1140 - déobfuscate /Décoder des fichiers ou des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1218.011 - Exécution par proxy binaire signée: rundll32 | [mitre att & amp; ck] t1090 - proxy | [mitre att & amp; ck] t1114.001 - collection de courriels: collection de message |
Ransomware Malware Tool Threat | APT 29 APT 29 | ★★ |
|
2023-04-17 17:16:00 | Google découvre l'utilisation par APT41 \\ de l'outil GC2 open source pour cibler les médias et les sites d'emploi Google Uncovers APT41\\'s Use of Open Source GC2 Tool to Target Media and Job Sites (lien direct) |
Un groupe chinois de l'État-nation a ciblé une organisation médiatique taïwanaise anonyme pour fournir un outil d'association rouge open source connu sous le nom de Google Command and Control (GC2) au milieu d'une abus plus large de l'infrastructure de Google \\ pour les fins malveillantes.
Le groupe d'analyse des menaces du géant de la technologie (TAG) a attribué la campagne à un acteur de menace qu'il suit en vertu du hoodoo de surnom géologique et géographique, qui est
A Chinese nation-state group targeted an unnamed Taiwanese media organization to deliver an open source red teaming tool known as Google Command and Control (GC2) amid broader abuse of Google\'s infrastructure for malicious ends. The tech giant\'s Threat Analysis Group (TAG) attributed the campaign to a threat actor it tracks under the geological and geographical-themed moniker HOODOO, which is |
Tool Threat | APT 41 APT 41 | ★★★ |
|
2023-04-17 13:31:00 | Ransomware de la vice Society Utilisation de l'outil PowerShell furtif pour l'exfiltration des données Vice Society Ransomware Using Stealthy PowerShell Tool for Data Exfiltration (lien direct) |
Les acteurs de menace associés au gang de ransomware de la vice Society ont été observés à l'aide d'un outil basé sur PowerShell sur mesure pour voler sous le radar et automatiser le processus d'exfiltration de données à partir de réseaux compromis.
«Les acteurs de menace (TAS) utilisant des méthodes d'exfiltration de données intégrées comme [vivre des binaires et scripts terrestres] annulent la nécessité de faire appel à des outils externes qui pourraient être signalés par
Threat actors associated with the Vice Society ransomware gang have been observed using a bespoke PowerShell-based tool to fly under the radar and automate the process of exfiltrating data from compromised networks. "Threat actors (TAs) using built-in data exfiltration methods like [living off the land binaries and scripts] negate the need to bring in external tools that might be flagged by |
Ransomware Tool Threat | ★★ | |
|
2023-04-16 08:15:07 | CVE-2023-30474 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Kilian Evang Ultimate NOINDEX NOfollow Tool II | Tool Vulnerability | ||
|
2023-04-14 19:21:03 | Les données de dépendance des logiciels offrent une sécurité aux développeurs Software-Dependency Data Delivers Security to Developers (lien direct) |
Google a ouvert sa base de données de dépendance logicielle, ajoutant aux données de sécurité disponibles pour les développeurs et les fabricants d'outils.Maintenant, les développeurs doivent l'utiliser.
Google has opened up its software-dependency database, adding to the security data available to developers and tool makers. Now developers need to use it. |
Tool | ★★ | |
 |
2023-04-14 16:14:07 | Présentation: moniteur Mac Red Canary Introducing: Red Canary Mac Monitor (lien direct) |
Mac Monitor est l'outil nouvellement disponible de Red Canary \\ pour la collecte et l'analyse des menaces système dynamique sur les points de terminaison MACOS.
Mac Monitor is Red Canary\'s newly available tool for collection and dynamic system threat analysis on macOS endpoints. |
Tool Threat | ★★★ | |
 |
2023-04-14 15:46:58 | Le ransomware de la vice Society utilise un nouvel outil de vol de données PowerShell dans les attaques Vice Society ransomware uses new PowerShell data theft tool in attacks (lien direct) |
Le gang de ransomware de la vice Society déploie un nouveau script PowerShell plutôt sophistiqué pour automatiser le vol de données à partir de réseaux compromis.[...]
The Vice Society ransomware gang is deploying a new, rather sophisticated PowerShell script to automate data theft from compromised networks. [...] |
Ransomware Tool | ★★ | |
|
2023-04-13 16:40:00 | Le nouvel outil de piratage "Légion" basé sur Python émerge sur Telegram New Python-Based "Legion" Hacking Tool Emerges on Telegram (lien direct) |
Une récolteuse d'identification basée sur Python émergente et un outil de piratage nommé Légion sont commercialisés via Telegram comme moyen pour les acteurs de menace de pénétrer dans divers services en ligne pour une nouvelle exploitation.
La Légion, selon Cado Labs, comprend des modules pour énumérer les serveurs SMTP vulnérables, mener des attaques d'exécution de code distant (RCE), exploiter les versions non corrigées d'Apache et le cpanel brutal et
An emerging Python-based credential harvester and a hacking tool named Legion are being marketed via Telegram as a way for threat actors to break into various online services for further exploitation. Legion, according to Cado Labs, includes modules to enumerate vulnerable SMTP servers, conduct remote code execution (RCE) attacks, exploit unpatched versions of Apache, and brute-force cPanel and |
Tool Threat | ★★ | |
|
2023-04-13 12:04:31 | Sécurité de la chaîne d'approvisionnement pour GO, partie 1: Gestion de la vulnérabilité Supply chain security for Go, Part 1: Vulnerability management (lien direct) |
Posted by Julie Qiu, Go Security & Reliability and Oliver Chang, Google Open Source Security Team High profile open source vulnerabilities have made it clear that securing the supply chains underpinning modern software is an urgent, yet enormous, undertaking. As supply chains get more complicated, enterprise developers need to manage the tidal wave of vulnerabilities that propagate up through dependency trees. Open source maintainers need streamlined ways to vet proposed dependencies and protect their projects. A rise in attacks coupled with increasingly complex supply chains means that supply chain security problems need solutions on the ecosystem level. One way developers can manage this enormous risk is by choosing a more secure language. As part of Google\'s commitment to advancing cybersecurity and securing the software supply chain, Go maintainers are focused this year on hardening supply chain security, streamlining security information to our users, and making it easier than ever to make good security choices in Go. This is the first in a series of blog posts about how developers and enterprises can secure their supply chains with Go. Today\'s post covers how Go helps teams with the tricky problem of managing vulnerabilities in their open source packages. Extensive Package Insights Before adopting a dependency, it\'s important to have high-quality information about the package. Seamless access to comprehensive information can be the difference between an informed choice and a future security incident from a vulnerability in your supply chain. Along with providing package documentation and version history, the Go package discovery site links to Open Source Insights. The Open Source Insights page includes vulnerability information, a dependency tree, and a security score provided by the OpenSSF Scorecard project. Scorecard evaluates projects on more than a dozen security metrics, each backed up with supporting information, and assigns the project an overall score out of ten to help users quickly judge its security stance (example). The Go package discovery site puts all these resources at developers\' fingertips when they need them most-before taking on a potentially risky dependency. Curated Vulnerability Information Large consumers of open source software must manage many packages and a high volume of vulnerabilities. For enterprise teams, filtering out noisy, low quality advisories and false positives from critical vulnerabilities is often the most important task in vulnerability management. If it is difficult to tell which vulnerabilities are important, it is impossible to properly prioritize their remediation. With granular advisory details, the Go vulnerability database removes barriers to vulnerability prioritization and remediation. All vulnerability database entries are reviewed and curated by the Go security team. As a result, entries are accurate and include detailed metadata to improve the quality of vulnerability scans and to make vulnerability information more actionable. This metadata includes information on affected functions, operating systems, and architectures. With this information, vulnerability scanners can reduce the number of false po | Tool Vulnerability | ★★ | |
 |
2023-04-13 12:00:00 | Crackage de mot de passe: ce que ce puissant outil SecureWorks peut faire pour votre organisation Password Cracking: What this Powerful Secureworks Tool Can Do for Your Organization (lien direct) |
Type: Blogs Cracking de mot de passe: ce que cet outil SecureWorks puissant peut faire pour votre organisation avec 1,4 billion de suppositions de mot de passe par seconde, notre machine de craquage de mot de passe défie si de nombreux mots de passe sont vraiment sécurisés. Avec le bon équipement, la fissuration du mot de passe est un jeu d'enfant.Découvrez pourquoi l'unité de contre-menace SecureWorks est le meilleur choix.
Type: BlogsPassword Cracking: What this Powerful Secureworks Tool Can Do for Your OrganizationWith 1.4 trillion password guesses per second, our password cracking machine challenges whether many passwords are truly secure.With the right equipment, password cracking is a breeze. Learn why the Secureworks Counter Threat Unit is the best choice. |
Tool Threat | ★★ | |
 |
2023-04-12 15:30:00 | Emotet grimpe mars 2023 \\ la liste des logiciels malveillants le plus recherché avec la campagne OneNote Emotet Climbs March 2023\\'s Most Wanted Malware List With OneNote Campaign (lien direct) |
L'outil de logiciel malveillant est maintenant deuxième sur la liste, un spot à partir du rapport de février \\
The malicious software tool is now second on the list, one spot up from February\'s report |
Malware Tool | ★★ | |
 |
2023-04-12 13:00:00 | Les attaques russes contre l'infrastructure ukrainienne provoquent des pannes Internet, coupant un précieux outil de guerre Russian attacks on Ukrainian infrastructure cause internet outages, cutting off a valuable wartime tool (lien direct) |
> Avec son effort de guerre vacillant, le Kremlin intensifie ses attaques contre les centrales électriques ukrainiennes, entraînant des échecs Internet en cascade.
>With its war effort faltering, the Kremlin is stepping up its attacks on Ukrainian power plants, resulting in cascading internet failures. |
Tool | ★★★ | |
|
2023-04-11 19:00:00 | Anomali Cyber Watch: Backdoors de mante agressive cibler la Palestine, fauxPackages fissurés inondé NPM, Rorschach Ransomware est nettement plus rapide que Lockbit v.3 Anomali Cyber Watch: Aggressively-Mutating Mantis Backdoors Target Palestine, Fake Cracked Packages Flood NPM, Rorschach Ransomware Is Significantly Faster Than LockBit v.3 (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent des sujets suivants: apt, crypto-monnaie, fuite de données, malvertising, packers, palestine, phishing, ransomware, et logicielchaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
cryptoclippie parle portugais
(Publié: 5 avril 2023)
Depuis au moins au début de 2022, une campagne de clipper de crypto-monnaie opportuniste cible des conférenciers portugais en invitant un téléchargement à partir d'un site Web contrôlé par l'acteur promu via un empoisonnement SEO et malvertiser abusant Google Ads.Le fichier imite WhatsApp Web et fournit des cryptoclippages doublés de logiciels malveillants dans le but de remplacer les adresses de crypto-monnaie dans le presse-papiers Target & Acirc; & euro; & Trade.Les deux premiers fichiers de la chaîne d'infection sont EXE et BAT ou ZIP et LNK.Les acteurs utilisent des techniques d'obscurcissement et de cryptage étendues (RC4 et XOR), la compensation des journaux et des fichiers, et un profilage approfondi des utilisateurs pour un ciblage étroit et une évasion de défense.L'utilisation du type d'obscuscation invoqué-obfuscation peut indiquer un attaquant brésilien.
Commentaire de l'analyste: Les portefeuilles contrôlés par l'acteur observés ont gagné un peu plus de 1 000 dollars américains, mais leurs logiciels malveillants complexes à plusieurs étages peuvent les aider à étendre ces dégâts.Il est conseillé aux utilisateurs de vérifier les informations du destinataire avant d'envoyer une transaction financière.Des indicateurs liés à la cryptoclippie sont disponibles dans la plate-forme Anomali.Les organisations qui publient des applications pour leurs clients sont invitées à utiliser une protection contre les risques numériques anomalie premium pour découvrir des applications malveillantes et malveillantes imitant votre marque que les équipes de sécurité ne recherchent généralement ni ne surveillent.
mitre att & amp; ck: [mitre att & amp; ck] t1204 - exécution de l'utilisateur | [mitre att & amp; ck] t1027 - fichiers obscurcissantsOu des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1140 - déobfuscate / décode les fichiers ou informations | [mitre att & amp; ck] t1620 - chargement de code réfléchissant | [mitreAtt & amp; ck] T1547.001 - Exécution de démarrage ou de connexion Autostart: Registry Run Keys / Startup Folder | [mitre att & amp; ck] t1112: modifier le registre | [mitre att & amp; ck] t1136.001 - Crée |
Ransomware Malware Tool Threat | APT-C-23 | ★★ |
 |
2023-04-11 15:22:39 | Restrictions d'exploitation Java dans les temps JDK modernes Java Exploitation Restrictions in Modern JDK Times (lien direct) |
Java deserialization gadgets have a long history in context of vulnerability research and at least go back to the year 2015. One of the most popular tools providing a large set of different gadgets is ysoserial by Chris Frohoff. Recently, we observed increasing concerns from the community why several gadgets do not seem to work anymore with more recent versions of JDKs. In this blog post we try to summarize certain facts to reenable some capabilities which seemed to be broken. But our journey did not begin with deserialization in the first place but rather looking for alternative ways of executing Java code in recent JDK versions. In this blost post, we\'ll focus on OpenJDK and Oracle implementations. Defenders should therefore adjust their search patterns to these alternative code execution patterns accordingly.ScriptEngineManager - It\'s GoneInitially, our problems began on another exploitation track not related to deserialization. Often code execution payloads in Java end with a final call to java.lang.Runtime.getRuntime().exec(args), at least in a proof-of-concept exploitation phase. But as a Red Team, we always try to maintain a low profile and avoid actions that may raise suspicion like spawing new (child) processes. This is a well-known and still hot topic discussed in the context of C2 frameworks today, especially when it comes to AV/EDR evasion techniques. But this can also be applied to Java exploitation. It is a well-known fact that an attacker has the choice between different approaches to stay within the JVM to execute arbitrary Java code, with new javax.script.ScriptEngineManager().getEngineByName(engineName).eval(scriptCode) probably being the most popular one over the last years. The input code used is usually based on JavaScript being executed by the referenced ScriptEngine available, e.g. Nashorn (or Rhino).But since Nashorn was marked as deprecated in Java 11 (JEP 335), and removed entirely in Java 15 (JEP 372), this means that a target using a JDK version >= 15 won\'t process JavaScript payloads anymore by default. Instead of hoping for other manually added JavaScript engines by developers for a specific target, we could make use of a "new" Java code evaluation API: JShell, a read-eval-print loop (REPL) tool that was introduced with Java 9 (JEP 222). Mainly used in combination with a command line interface (CLI) for testing Java code snippets, it allows programmatic access as well (see JShell API). This new evaluation call reads like jdk.jshell.JShell.create().eval(javaCode), executing Java code snippets (not JavaScript!). Further call variants exist, too. We found this being mentioned already in 2019 used in context of a SpEL Injection payload. This all sounded to good to be true but nevertheless some restrictions seemed to apply. "The input should be exactly one complete snippet of source code, that is, one expression, statement, variable declaration, method declaration, class declaration, or import." So, we started to play with some Java code snippets using the JShell API. First, we realized that it is indeed possible to use import statements within such snippets but interestingly the subsequent statements were not executed anymore. This should have been expected by re | Tool Vulnerability | ★★ | |
 |
2023-04-11 13:16:54 | Cyberheistnews Vol 13 # 15 [Le nouveau visage de la fraude] FTC fait la lumière sur les escroqueries d'urgence familiale améliorées AI-AI CyberheistNews Vol 13 #15 [The New Face of Fraud] FTC Sheds Light on AI-Enhanced Family Emergency Scams (lien direct) |
CyberheistNews Vol 13 #15 | April 11th, 2023
[The New Face of Fraud] FTC Sheds Light on AI-Enhanced Family Emergency Scams
The Federal Trade Commission is alerting consumers about a next-level, more sophisticated family emergency scam that uses AI which imitates the voice of a "family member in distress."
They started out with: "You get a call. There\'s a panicked voice on the line. It\'s your grandson. He says he\'s in deep trouble - he wrecked the car and landed in jail. But you can help by sending money. You take a deep breath and think. You\'ve heard about grandparent scams. But darn, it sounds just like him. How could it be a scam? Voice cloning, that\'s how."
"Don\'t Trust The Voice"
The FTC explains: "Artificial intelligence is no longer a far-fetched idea out of a sci-fi movie. We\'re living with it, here and now. A scammer could use AI to clone the voice of your loved one. All he needs is a short audio clip of your family member\'s voice - which he could get from content posted online - and a voice-cloning program. When the scammer calls you, he\'ll sound just like your loved one.
"So how can you tell if a family member is in trouble or if it\'s a scammer using a cloned voice? Don\'t trust the voice. Call the person who supposedly contacted you and verify the story. Use a phone number you know is theirs. If you can\'t reach your loved one, try to get in touch with them through another family member or their friends."
Full text of the alert is at the FTC website. Share with friends, family and co-workers:https://blog.knowbe4.com/the-new-face-of-fraud-ftc-sheds-light-on-ai-enhanced-family-emergency-scams
A Master Class on IT Security: Roger A. Grimes Teaches Ransomware Mitigation
Cybercriminals have become thoughtful about ransomware attacks; taking time to maximize your organization\'s potential damage and their payoff. Protecting your network from this growing threat is more important than ever. And nobody knows this more than Roger A. Grimes, Data-Driven Defense Evangelist at KnowBe4.
With 30+ years of experience as a computer security consultant, instructor, and award-winning author, Roger has dedicated his life to making |
Ransomware Data Breach Spam Malware Hack Tool Threat | ChatGPT ChatGPT | ★★ |
|
2023-04-11 12:11:33 | Annonce de l'API DEPS.DEV: données de dépendance critiques pour les chaînes d'approvisionnement sécurisées Announcing the deps.dev API: critical dependency data for secure supply chains (lien direct) |
Posted by Jesper Sarnesjo and Nicky Ringland, Google Open Source Security Team Today, we are excited to announce the deps.dev API, which provides free access to the deps.dev dataset of security metadata, including dependencies, licenses, advisories, and other critical health and security signals for more than 50 million open source package versions. Software supply chain attacks are increasingly common and harmful, with high profile incidents such as Log4Shell, Codecov, and the recent 3CX hack. The overwhelming complexity of the software ecosystem causes trouble for even the most diligent and well-resourced developers. We hope the deps.dev API will help the community make sense of complex dependency data that allows them to respond to-or even prevent-these types of attacks. By integrating this data into tools, workflows, and analyses, developers can more easily understand the risks in their software supply chains. The power of dependency data As part of Google\'s ongoing efforts to improve open source security, the Open Source Insights team has built a reliable view of software metadata across 5 packaging ecosystems. The deps.dev data set is continuously updated from a range of sources: package registries, the Open Source Vulnerability database, code hosts such as GitHub and GitLab, and the software artifacts themselves. This includes 5 million packages, more than 50 million versions, from the Go, Maven, PyPI, npm, and Cargo ecosystems-and you\'d better believe we\'re counting them! We collect and aggregate this data and derive transitive dependency graphs, advisory impact reports, OpenSSF Security Scorecard information, and more. Where the deps.dev website allows human exploration and examination, and the BigQuery dataset supports large-scale bulk data analysis, this new API enables programmatic, real-time access to the corpus for integration into tools, workflows, and analyses. The API is used by a number of teams internally at Google to support the security of our own products. One of the first publicly visible uses is the GUAC integration, which uses the deps.dev data to enrich SBOMs. We have more exciting integrations in the works, but we\'re most excited to see what the greater open source community builds! We see the API as being useful for tool builders, researchers, and tinkerers who want to answer questions like: What versions are available for this package? What are the licenses that cover this version of a package-or all the packages in my codebase? How many dependencies does this package have? What are they? Does the latest version of this package include changes to dependencies or licenses? What versions of what packages correspond to this file? Taken together, this information can help answer the most important overarching question: how much risk would this dependency add to my project? The API can help surface critical security information where and when developers can act. This data can be integrated into: IDE Plugins, to make dependency and security information immediately available. CI | Tool Vulnerability | ★★ | |
|
2023-04-11 09:15:07 | CVE-2023-25955 (lien direct) | OUTIL NATIONAL NUMÉRIQUE DES INFORMATIONS DES INFORMATIONS TOUTES les versions restreint inapproprié les références d'entités externes XML (XXE).En traitant un fichier XML spécialement conçu, les fichiers arbitraires sur le PC peuvent être accessibles par un attaquant.
National land numerical information data conversion tool all versions improperly restricts XML external entity references (XXE). By processing a specially crafted XML file, arbitrary files on the PC may be accessed by an attacker. |
Tool |
To see everything:
Our RSS (filtrered)
