What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-17 22:50:00 | Kinsing Hacker Group exploite plus de défauts pour agrandir le botnet pour le cryptojacking Kinsing Hacker Group Exploits More Flaws to Expand Botnet for Cryptojacking (lien direct) |
Le groupe de cryptojacking connu sous le nom de & nbsp; kinsing & nbsp; a démontré sa capacité à évoluer et à s'adapter continuellement, se révélant être une menace persistante en intégrant rapidement les vulnérabilités nouvellement divulguées pour exploiter l'arsenal et étendre son botnet.
Le & nbsp; conclusions & nbsp; proviennent de la société de sécurité de cloud Aqua, qui a décrit l'acteur de menace comme orchestrant activement l'exploitation de crypto-monnaie illicite
The cryptojacking group known as Kinsing has demonstrated its ability to continuously evolve and adapt, proving to be a persistent threat by swiftly integrating newly disclosed vulnerabilities to exploit arsenal and expand its botnet. The findings come from cloud security firm Aqua, which described the threat actor as actively orchestrating illicit cryptocurrency mining |
Vulnerability Threat Cloud | ||
 |
2024-05-17 19:54:33 | La campagne par e-mail distribue Lockbit Black Ransomware via Phorpiex Botnet Email Campaign Distributes LockBit Black Ransomware via Phorpiex Botnet (lien direct) |
## Instantané Les chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomwares noirs Lockbit. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publiée avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Lockbit Black Builder a fourni aux acteurs de la menace un accès à des ransomwares propriétaires et sophistiqués.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender p | Ransomware Tool Threat | ||
|
2024-05-17 19:11:34 | To the Moon and back(doors): Lunar landing in diplomatic missions (lien direct) | #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land | Malware Tool Threat Technical | ||
|
2024-05-17 16:57:23 | Du document au script: à l'intérieur de la campagne de Darkgate \\ From Document to Script: Insides of DarkGate\\'s Campaign (lien direct) |
## Instantané Les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants de Darkgate où les victimes ont reçu des atouts PDF imitant les factures de QuickBooks intuit à partir d'un e-mail compromis. Lire la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Ces e-mails invitent les utilisateurs à installer Java pour afficher la facture, les conduisant à télécharger par inadvertance un fichier archive Java (JAR) malveillant à partir d'une URL géofisée.L'analyse de la campagne de Forcepoint \\ a révélé une structure sophistiquée dans le fichier JAR, qui abrite des commandes pour télécharger des charges utiles supplémentaires, y compris un script AutOIT.Le script utilise des méthodes d'obscuscations pour masquer ses opérations, exécuter le code de shell et établir des connexions avec des serveurs de commande et de contrôle distants (C2). ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Win32 / Darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/darkgate) - [* Trojan: win64 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:wiN64 / Darkgate! Mtb & menaceID = -2147076814) - [* Trojan: vbs / darkgate *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = Trojan: vbs / darkgate.ba! msr & menaceID = -2147075963) - [* Comportement: win32 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.zy& threattid=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Darkgate * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Implémentation de la résistance à l'authentification d'accès conditionnel] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengs?ocid=Magicti_ta_learndoc) pour nécessiter une authentification de phishing-résistante pour les employés et les utilisateurs externespour les applications critiques. - [Spécifiez les organisations de fiducie Microsoft 365] (https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings&mét-365-organisations) pour définir quels domaines externes sont autorisés ou bloqués pour discuter et se rencontrer. - Gardez [Microsoft 365 Audit] (https://learn.microsoft.com/en-us/purview/audit-solutions-overview?ocid=magicti_ta_learndoc) activé afin que les enregistrements d'audit puissent être étudiés si nécessaire. - Comprendre et sélectionner les [meilleurs paramètres d'accès pour la collaboration externe] (https://learn.microsoft.com/en-us/microsoftteams/communicate-with-users-from-other-Organizations?ocid=Magicti_TA_LearnDoc) pour votre organisation. - [Autoriser uniquement les appareils connus] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/howto-conditional-acCess-Policy-Compliant-Device? OCID = magicti_ta_learndoc) qui adhèrent aux bases de base de sécurité recommandées de Microsoft \\.? Ocid = magicti_ta_learndoc) - éduquer les utilisateurs abOut ingénierie sociale et attaques de phishing d'identification, notamment | Malware Threat Cloud | ||
|
2024-05-17 14:16:00 | Kimsuky Apt déploiement de la porte dérobée Linux Gomir dans les cyberattaques sud-coréennes Kimsuky APT Deploying Linux Backdoor Gomir in South Korean Cyber Attacks (lien direct) |
Le & NBSP; Kimsuky & nbsp; (aka Springtail) Advanced Persistance Menace (APT) Group, qui est lié au Bureau général de reconnaissance de la Corée du Nord (RGB), a été observé en déploiement d'une version Linux de son backdoor gobear dans le cadre d'un ciblage de campagne ciblant de campagneOrganisations sud-coréennes.
La porte dérobée, nommé par code et NBSP; Gomir, est "structurellement presque identique à Gobear, avec un partage approfondi de code entre
The Kimsuky (aka Springtail) advanced persistent threat (APT) group, which is linked to North Korea\'s Reconnaissance General Bureau (RGB), has been observed deploying a Linux version of its GoBear backdoor as part of a campaign targeting South Korean organizations. The backdoor, codenamed Gomir, is "structurally almost identical to GoBear, with extensive sharing of code between |
Threat | ★★ | |
 |
2024-05-17 13:07:15 | Plateforme de sécurité des produits de Cybellum \\ 3.0: Risk Edition permet la modélisation des menaces, la gestion des risques et de la conformité à grande échelle Cybellum\\'s Product Security Platform 3.0: Risk Edition enables threat modeling, risk and compliance management at scale (lien direct) |
Cybellum a annoncé la sortie de la plate-forme de sécurité des produits 3.0: Risk Edition, offrant aux équipes la capacité de ...
Cybellum has announced the release of the Product Security Platform 3.0: Risk Edition, offering teams the capability to... |
Threat | ||
 |
2024-05-17 12:19:02 | Une nouvelle vulnérabilité Wi-Fi entraîne une attaque de confusion SSID New Wi-Fi Vulnerability Leads To SSID Confusion Attack (lien direct) |
Les chercheurs de Ku Leuven de Belgique ont découvert une nouvelle vulnérabilité de sécurité qui exploite un défaut de conception dans la norme IEEE 802.11.
Cette vulnérabilité pourrait potentiellement exposer des millions d'utilisateurs à l'interception et à la manipulation du trafic.
L'attaque de confusion SSID, identifiée par l'identifiant CVE-2023-52424, permet aux acteurs de menace de tromper les clients Wi-Fi sur n'importe quel système d'exploitation pour se connecter à un réseau non fiable sans le savoir.
En d'autres termes, cette attaque trompe une victime à se connecter à un autre réseau Wi-Fi autre que celui qu'ils avaient l'intention.
Site de revue VPN Top10VPN, qui a collaboré avec les chercheurs H & Eacute; Lo & iuml; Se Gollier et Mathy VanHoef de Ku Leuven, ont publié le fonctionnement interne de l'attaque de confusion SSID cette semaine, avant sa présentation lors de la conférence Wisec \\ '24 Conference inSéoul, Corée du Sud.
La vulnérabilité CVE-2023-52424 affecte tous les clients Wi-Fi (maison, entreprise, maillage et autres) sur toutes les plateformes et systèmes d'exploitation.
Il a également un impact sur les réseaux Wi-Fi basés sur le protocole WPA3 largement déployé, WEP et 802.11x / eap.
& # 8220; Dans cet article, nous démontrons qu'un client peut être amené à se connecter à un réseau Wi-Fi protégé différent de celui auquel il avait l'intention de se connecter.C'est-à-dire que l'interface utilisateur du client affichera un SSID différent de celui du réseau réel auquel il est connecté, & # 8221;Ku Leuven Researchers Mathy VanHoef et H & eacute; lo & iuml; se Gollier dit dans leur papier.
La cause profonde du nouveau défaut de conception Wi-Fi réside dans la norme IEEE 802.11, qui sous-tend le fonctionnement du Wi-Fi et ne nécessite pas que le nom du réseau (SSID) soit toujours authentifié pendant le processus de connexion.
En conséquence, ce manque d'authentification SSID attire des victimes sans méfiance à se connecter à un réseau moins fiable en usurpant les SSID légitimes, conduisant potentiellement à l'interception des données et à d'autres violations de sécurité.
Selon top10vpn , six universités (y compris les institutions au Royaume-Uni et aux États-Unis) ont été identifiées jusqu'à présent où le personnel et les étudiants sont particulièrement à risque en raison de la réutilisation des diplômes.
Pour se défendre contre l'attaque de confusion SSID, les chercheurs ont proposé plusieurs défenses, telles que toujours, y compris le SSID en dérivation clé pendant la poignée de main à 4 voies lors de la connexion à des réseaux protégés, l'inclusion du SSID en tant que données authentifiées supplémentaires dans le 4-WAYPACHE, Amélioration de la protection de la balise pour aider à empêcher l'usurpation, à mettre à jour la norme Wi-Fi 802.11 pour imposer l'authentification du SSID lors de la connexion à un réseau protégé;et éviter la réutilisation des informations d'identification sur différents SSIDS.
Researchers at Belgium\'s KU Leuven have discovered a new security vulnerability that exploits a design flaw in the IEEE 802.11 standard. This vulnerability could potentially expose millions of users to traffic interception and manipulation. The SSID Confusion Attack, identified under the identifier |
Vulnerability Threat Conference | ★★★★ | |
 |
2024-05-17 12:00:00 | Microsoft n'a pas encore corrigé 7 pwn2own zéro-jours Microsoft Has Yet to Patch 7 Pwn2Own Zero-Days (lien direct) |
Un certain nombre de bogues de fenêtres graves parviennent toujours à faire leur chemin dans les cercles criminels, mais cela ne restera pas le cas pour toujours - et le temps est court avant que les versions de ZDI ne divulguent les détails.
A number of serious Windows bugs still haven't made their way into criminal circles, but that won't remain the case forever - and time is running short before ZDI releases exploit details. |
Threat | ★★★★ | |
 |
2024-05-17 08:49:39 | Palo Alto Networks dévoile un ensemble de nouvelles solutions de sécurité (lien direct) | Palo Alto Networks lance de nouvelles solutions de sécurité basées sur l'IA de précision pour se protéger contre les menaces avancées et adopter l'IA en toute sécurité Les nouvelles solutions AI Access Security, AI-SPM et AI Runtime Security permettent aux entreprises d'adopter l'IA en toute sécurité Résumé de l'actualité : • Precision AI™ est un système d'intelligence artificielle (IA) propriétaire et innovant qui combine la puissance de l'apprentissage automatique (Machine Learning), de l'apprentissage en profondeur (Deep Learning) et de l'IA générative pour garantir une sécurité et une sûreté en temps réel. • La suite de sécurité Precision AI (“Precision AI Security Bundle”) s'appuie sur l'IA en ligne pour prévenir les menaces web sophistiquées, les menaces zero-day, les attaques par commande et contrôle et les attaques par piratage DNS. • Les nouvelles fonctionnalités Code to Cloud™ basées sur l'IA comprennent l'analyse des chemins d'attaque IA, du rayon d'impact et des actions de remédiations. Grâce à l'introduction de nouvelles solutions de sécurité d'accès à l'IA, de gestion de la posture de sécurité de l'IA et de sécurité d'exécution de l'IA, les entreprises peuvent adopter l'IA en toute sécurité. - Produits | Vulnerability Threat | ★★★ | |
|
2024-05-16 21:30:54 | Ebury est vivant mais invisible: 400k serveurs Linux compromis pour le vol de crypto-monnaie et le gain financier Ebury is Alive but Unseen: 400k Linux Servers Compromised for Cryptocurrency Theft and Financial Gain (lien direct) |
## Instantané
Les chercheurs de l'ESET ont publié un rapport sur l'évolution de la campagne de logiciels malveillants Ebury, qui tire parti de logiciels malveillants Linux à des fins financières.
## Description
La campagne s'est diversifiée pour inclure la carte de crédit et le vol de crypto-monnaie.Le logiciel malveillant a été mis à jour avec de nouvelles techniques d'obscurcissement, un nouvel algorithme de génération de domaine et des améliorations de l'utilisateur Rootkit utilisé par Ebury pour se cacher des administrateurs système.Les acteurs de la menace Ebury utilisent différentes méthodes pour compromettre les nouveaux serveurs, y compris l'utilisation de l'adversaire au milieu pour intercepter le trafic SSH de cibles intéressantes dans les centres de données et le rediriger vers un serveur utilisé pour capturer les informations d'identification.
La famille des logiciels malveillants Ebury a été utilisé pour compromettre plus de 400 000 serveurs depuis 2009, et plus de 100 000 sont encore compromis à la fin de 2023. Les acteurs de la menace tirent parti de leur accès aux fournisseurs d'hébergement \\ 'Infrastructure pour installer Ebury sur tous les serveurs louéspar ce fournisseur.Parmi les cibles figurent les nœuds Bitcoin et Ethereum.Les demandes de publication HTTP faites vers et depuis les serveurs sont exploitées pour voler les détails financiers des sites Web transactionnels.
## Les références
["Ebury Botnet Malware a infecté 400 000 serveurs Linux depuis 2009".] (Https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-009/)BleepingComputer (consulté en 2024-05-15)
["Ebury est vivant mais invisible: 400k serveurs Linux compromis pour les cryptoft et le gain financier".] (Https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-Compromis-Cryptotheft-financial-gain /) eset (consulté en 2024-05-15)
## Snapshot ESET researchers have published a report on the evolution of the Ebury malware campaign, which leverages Linux malware for financial gain. ## Description The campaign has diversified to include credit card and cryptocurrency theft. The malware has been updated with new obfuscation techniques, a new domain generation algorithm, and improvements in the userland rootkit used by Ebury to hide itself from system administrators. The Ebury threat actors use different methods to compromise new servers, including the use of adversary in the middle to intercept SSH traffic of interesting targets inside data centers and redirect it to a server used to capture credentials. Ebury malware family has been used to compromise more than 400,000 servers since 2009, with more than 100,000 still compromised as of late 2023. The threat actors leverage their access to hosting providers\' infrastructure to install Ebury on all the servers that are being rented by that provider. Among the targets are Bitcoin and Ethereum nodes. HTTP POST requests made to and from the servers are leveraged to steal financial details from transactional websites. ## References ["Ebury botnet malware infected 400,000 Linux servers since 2009".](https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/) BleepingComputer (Accessed 2024-05-15) ["Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain".](https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain/) ESET (Accessed 2024-05-15) |
Malware Threat | ★★★ | |
|
2024-05-16 20:10:55 | Les pirates abusent du tunneling DNS pour une communication secrète et un pontage de pare-feu Hackers Abuse DNS Tunneling For Covert Communication & Firewall Bypass (lien direct) |
## Instantané
Palo Alto explique comment les pirates utilisent le tunneling DNS comme méthode de communication secrète et pour contourner les mesures de sécurité traditionnelles.
## Description
En incorporant des données malveillantes dans les requêtes et les réponses DNS, les acteurs de la menace peuvent exfiltrer des informations sensibles et communiquer avec les serveurs de commandement et de contrôle sans détection.Cette technique permet aux pirates d'utiliser des protocoles DNS en tant que canaux secrètes d'exfiltration de données, ce qui rend le trafic légitime tout en échappant aux systèmes de sécurité.
De plus, Palo Alto met en évidence des campagnes spécifiques telles que "TrkCDN" et "Secshow" qui exploitent les tunnelings DNS pour suivre les interactions par e-mail, numériser l'infrastructure du réseau et faciliter la commande et le contrôle, permettant finalement aux attaquants de communiquer via Firewalls à l'attaquant contrôlé des servistes.La technique du tunneling DNS est furtive en raison de plusieurs facteurs.Ces facteurs comprennent des pare-feu permettant le trafic DNS, la communication indirecte entre le client et le serveur, et le codage de données qui obscurcit les charges utiles comme trafic légitime.
## Recommandations
Palo Alto recommande:
- Contrôlez la gamme de services des résolveurs pour accepter les requêtes nécessaires uniquement
- Mettez rapidement à jour la version du logiciel Resolver pour éviter les vulnérabilités du jour
[En savoir plus ici sur Microsoft Defender pour DNS] (https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-dns-introduction)
## Les références
[Tiration du tunneling DNS pour le suivi et la numérisation] (https://unit42.paloaltonetworks.com/three-dns-tunneling-campaignes/).Palo Alto (consulté en 2024-05-15)
[Les pirates abusent du tunneling DNS pour la communication secrète et le pontage du pare-feu] (https://gbhackers.com/dns-tunneling-couvert-communication/).GBHACKERS (consulté en 2024-05-15)
## Snapshot Palo Alto discusses how hackers are utilizing DNS tunneling as a covert communication method and for bypassing traditional security measures. ## Description By embedding malicious data within DNS queries and responses, threat actors can exfiltrate sensitive information and communicate with command and control servers without detection. This technique allows hackers to employ DNS protocols as covert channels of data exfiltration, making the traffic appear legitimate while evading security systems. Additionally, Palo Alto highlights specific campaigns such as "TrkCdn" and "SecShow" that leverage DNS tunneling for tracking email interactions, scanning network infrastructure, and facilitating command and control, ultimately enabling attackers to communicate through firewalls to attacker-controlled nameservers. The DNS tunneling technique is stealthy due to multiple factors. These factors include firewalls allowing DNS traffic, indirect communication between the client and the server, and data encoding that obfuscates payloads as legitimate traffic. ## Recommendations Palo Alto recommends: - Control the service range of resolvers to accept necessary queries only - Promptly update the resolver software version to prevent N-day vulnerabilities [Read more here about Microsoft Defender for DNS](https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-dns-introduction) ## References [Leveraging DNS Tunneling for Tracking and Scanning](https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/). Palo Alto (accessed 2024-05-15) [Hackers Abuse DNS Tunneling For Covert Communication & Firewall Bypass](https://gbhackers.com/dns-tunneling-covert-communication/). GBHackers (accessed 2024-05-15) |
Threat | ★★ | |
|
2024-05-16 19:51:14 | (Déjà vu) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct) | ## Instantané Les chercheurs en sécurité AHNLAB ont identifié une nouvelle souche malveillante qui est distribuée par des e-mails de phishing déguisés en avertissements de violation du droit d'auteur. ## Description L'e-mail de phishing contient un hyperlien qui télécharge un fichier compressé.Le fichier compressé téléchargé contient à son tour des fichiers compressés ALZ supplémentaires, qui, lorsqu'ils sont décodés et décompressés, révèlent deux fichiers exécutables - l'infosaler Vidar et le ransomware de la bête. La bête ransomware chiffre les fichiers originaux et ajoute une extension spécifique, tandis que l'infosteller Vidar se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, y compris les données et les fichiers du navigateur Web sur le PC de l'utilisateur \\.La bête ransomware, une évolution du ransomware du monstre, crypte les fichiers originaux et ajoute des extensions spécifiques.Il analyse également les ports de SMB actifs, indiquant une intention de se propager par un mouvement latéral.Le Vidar InfoSteller se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, en utilisant des plateformes publiques pour la communication avec son serveur C2. ## Détections ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / VidaStelleer] (HTtps: //www.microsoft.com/wdsi/therets/malware-encyclopedia-description? name = trojan: win32 / vidarsaler.bm! msr & menaced = -2147194064) ### miCrosoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Informations volant l'activité de logiciels malveillants ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-05-16 19:37:00 | Les acteurs de la menace asiatique utilisent de nouvelles techniques pour attaquer des cibles familières Asian Threat Actors Use New Techniques to Attack Familiar Targets (lien direct) |
Les attaques génératives de la chaîne d'approvisionnement en IA et des logiciels sont exploitées pour perturber, manipuler et voler.
Generative AI and software supply chain attacks are being exploited to disrupt, manipulate, and steal. |
Threat | ★★★ | |
|
2024-05-16 19:18:00 | Les pirates nord-coréens exploitent Facebook Messenger dans une campagne de logiciels malveillants ciblés North Korean Hackers Exploit Facebook Messenger in Targeted Malware Campaign (lien direct) |
Le nord-lié à la Corée du Nord & NBSP; Kimsuky Hacking Group & NBSP; a été attribué à une nouvelle attaque d'ingénierie sociale qui utilise des comptes Facebook fictifs aux cibles via Messenger et, finalement, offre des logiciels malveillants.
"L'acteur de menace a créé un compte Facebook avec une fausse identité déguisée en fonctionnaire de travail dans le domaine nord-coréen des droits de l'homme", génie de la société de cybersécurité sud-coréenne
The North Korea-linked Kimsuky hacking group has been attributed to a new social engineering attack that employs fictitious Facebook accounts to targets via Messenger and ultimately delivers malware. "The threat actor created a Facebook account with a fake identity disguised as a public official working in the North Korean human rights field," South Korean cybersecurity company Genians |
Malware Threat | ★★★ | |
 |
2024-05-16 17:33:48 | La menace croissante des cyberattaques liées à l'identité: aperçu du paysage des menaces The Growing Threat of Identity-Related Cyberattacks: Insights Into the Threat Landscape (lien direct) |
Les 12 derniers mois ont connu une série rapide d'innovation et d'adoption de nouvelles technologies.De nouvelles identités, environnements et méthodes d'attaque puissants façonnent le paysage des menaces de cybersécurité en évolution rapide, le rendant plus complexe ...
The last 12 months have witnessed a rapid-fire round of innovation and adoption of new technologies. Powerful new identities, environments and attack methods are shaping the quickly changing cybersecurity threat landscape, rendering it more complex... |
Threat | ★★ | |
|
2024-05-16 17:32:27 | Google corrige la troisième vulnérabilité chromée zéro en une semaine Google Fixes Third Chrome Zero-day Vulnerability In A Week (lien direct) |
Google a publié lundi une mise à jour de sécurité d'urgence pour son navigateur Chrome afin de réparer un nouveau jour zéro qui a été exploité dans la nature. Il s'agit du troisième défaut chromé zéro-jour exploité qui a été | Vulnerability Threat | ★★★★ | |
|
2024-05-16 13:31:01 | Windows Quick Assist ancre Black Basta Ransomware Gambit Windows Quick Assist Anchors Black Basta Ransomware Gambit (lien direct) |
Lorsqu'ils sont abusés par des acteurs de menace ayant des côtelettes sophistiquées de l'ingénierie sociale, les outils d'accès à distance exigent que les entreprises restent nettes dans la stratégie de défense et la formation à la sensibilisation aux employés.
When abused by threat actors with sophisticated social-engineering chops, remote-access tools demand that enterprises remain sharp in both defense strategy and employee-awareness training. |
Ransomware Tool Threat | ★★ | |
 |
2024-05-16 13:01:32 | Jailbreakez votre PS4 avec une simple TV LG ! (lien direct) | Croyez-le ou non, vous pouvez maintenant jailbreaker votre PS4 en utilisant simplement une TV LG ! Grâce à un nouvel exploit PPLGPwn, débloquez facilement votre console en la connectant à une TV LG rootée. Découvrez comment procéder étape par étape dans cet article. | Threat | ★★★ | |
|
2024-05-16 12:48:06 | Patch maintenant: un autre google zéro-day sous Exploit in the Wild Patch Now: Another Google Zero-Day Under Exploit in the Wild (lien direct) |
Google a lancé un correctif d'urgence pour CVE-2024-4947, le troisième chrome zéro-jour qu'il a traité la semaine dernière.
Google has rolled an emergency patch for CVE-2024-4947, the third Chrome zero-day it\'s addressed in the past week. |
Vulnerability Threat | ★★ | |
|
2024-05-16 12:10:52 | Le sénateur Vance émet un avertissement sur le typhon de volt soutenu par la Chine pour les infrastructures critiques américaines Senator Vance issues warning on China-backed Volt Typhoon threat to US critical infrastructure (lien direct) |
Dans une lettre à la Cybersecurity and Infrastructure Security Agency (CISA), un sénateur américain a mis en garde contre la menace ...
In a letter to the Cybersecurity and Infrastructure Security Agency (CISA), a U.S. Senator warned of the threat... |
Threat | Guam | ★★★ |
 |
2024-05-16 12:03:39 | Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat utilisé pour cibler les experts en intelligence artificielle américaine Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct) |
What happened Proofpoint recently identified a SugarGh0st RAT campaign targeting organizations in the United States involved in artificial intelligence efforts, including those in academia, private industry, and government service. Proofpoint tracks the cluster responsible for this activity as UNK_SweetSpecter. SugarGh0st RAT is a remote access trojan, and is a customized variant of Gh0stRAT, an older commodity trojan typically used by Chinese-speaking threat actors. SugarGh0st RAT has been historically used to target users in Central and East Asia, as first reported by Cisco Talos in November 2023. In the May 2024 campaign, UNK_SweetSpecter used a free email account to send an AI-themed lure enticing the target to open an attached zip archive. Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed enough to receive a numerical TA designation. Lure email Following delivery of the zip file, the infection chain mimicked “Infection Chain 2” as reported by Cisco Talos. The attached zip file dropped an LNK shortcut file that deployed a JavaScript dropper. The LNK was nearly identical to the publicly available LNK files from Talos\' research and contained many of the same metadata artifacts and spoofed timestamps in the LNK header. The JavaScript dropper contained a decoy document, an ActiveX tool that was registered then abused for sideloading, and an encrypted binary, all encoded in base64. While the decoy document was displayed to the recipient, the JavaScript dropper installed the library, which was used to run Windows APIs directly from the JavaScript. This allowed subsequent JavaScript to run a multi-stage shellcode derived from DllToShellCode to XOR decrypt, and aplib decompress the SugarGh0st payload. The payload had the same keylogging, command and control (C2) heartbeat protocol, and data exfiltration methods. The main functional differences in the infection chain Proofpoint observed compared to the initial Talos report were a slightly modified registry key name for persistence, CTFM0N.exe, a reduced number of commands the SugarGh0st payload could run, and a different C2 server. The analyzed sample contained the internal version number of 2024.2. Network analysis Threat Research analysis demonstrated UNK_SweetSpecter had shifted C2 communications from previously observed domains to account.gommask[.]online. This domain briefly shared hosting on 103.148.245[.]235 with previously reported UNK_SweetSpecter domain account.drive-google-com[.]tk. Our investigation identified 43.242.203[.]115 hosting the new C2 domain. All identified UNK_SweetSpecter infrastructure appears to be hosted on AS142032. Context Since SugarGh0st RAT was originally reported in November 2023, Proofpoint has observed only a handful of campaigns. Targeting in these campaigns included a U.S. telecommunications company, an international media organization, and a South Asian government organization. Almost all of the recipient email addresses appeared to be publicly available. While the campaigns do not leverage technically sophisticated malware or attack chains, Proofpoint\'s telemetry supports the assessment that the identified campaigns are extremely targeted. The May 2024 campaign appeared to target less than 10 individuals, all of whom appear to have a direct connection to a single leading US-based artificial intelligence organization according to open source research. Attribution Initial analysis by Cisco Talos suggested SugarGh0st RAT was used by Chinese language operators. Analysis of earlier UNK_SweetSpecter campaigns in Proofpoint visibility confirmed these language artifacts. At this time, Proofpoint does not have any additional intelligence to strengthen this attribution. While Proofpoint cannot attribute the campaigns with high confidence to a specific state objective, the lure theme specifically referencing an AI too | Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-05-16 12:02:58 | Caméras IoT exposées par des exploits chaînables, des millions touchés IoT Cameras Exposed by Chainable Exploits, Millions Affected (lien direct) |
> Par deeba ahmed
Une découverte récente de 4 défauts de sécurité dans la plate-forme Kalay de Bytek \\ laisse des millions de dispositifs IoT exposés.Cet article explore les risques de sécurité à votre maison connectée et la menace plus large pour les appareils IoT.Agir maintenant & # 8211;Sécurisez vos appareils intelligents!
Ceci est un article de HackRead.com Lire le post original: Caméras IoT exposées par des exploits chaînables, millions affectés
>By Deeba Ahmed A recent discovery of 4 security flaws in ThroughTek\'s Kalay platform leaves millions of IoT devices exposed. This article explores the security risks to your connected home and the broader threat to IoT devices. Act now – secure your smart devices! This is a post from HackRead.com Read the original post: IoT Cameras Exposed by Chainable Exploits, Millions Affected |
Threat | ★★★ | |
 |
2024-05-16 12:00:38 | Sécurité par e-mail réinventée: comment l'IA révolutionne la défense numérique Email Security Reinvented: How AI is Revolutionizing Digital Defense (lien direct) |
Explorez les nombreuses façons dont la défense de la menace par e-mail sécurisée exploite une AI et ML sophistiquées pour protéger contre les menaces avancées. 
Explore the many ways that Secure Email Threat Defense leverages sophisticated AI and ML to protect against advanced threats. |
Threat | ★★★ | |
 |
2024-05-16 11:09:41 | Android 15 apporte une amélioration des fraudes et des protections de logiciels malveillants Android 15 Brings Improved Fraud and Malware Protections (lien direct) |
> Google stimule les protections de fraude et de logiciels malveillants dans Android 15 avec une détection de menace en direct et des paramètres restreints élargis.
>Google is boosting fraud and malware protections in Android 15 with live threat detection and expanded restricted settings. |
Malware Threat Mobile | ★★★ | |
 |
2024-05-16 09:27:27 | La guerre invisible : les enjeux du Cyber Command Belge dans la lutte contre les manipulations électroniques (lien direct) | Le général-major Michel Van Strythem, à la tête du nouveau Cyber Command de l'armée belge, a récemment révélé dans une interview accordée au journal De Morgen les nombreuses menaces insidieuses qui se cachent derrière nos écrans de smartphone.... | Threat | ★★ | |
|
2024-05-16 08:46:00 | Cybercriminels exploitant la fonction d'assistance rapide de Microsoft \\ dans les attaques de ransomware Cybercriminals Exploiting Microsoft\\'s Quick Assist Feature in Ransomware Attacks (lien direct) |
L'équipe de Microsoft Threat Intelligence a déclaré qu'elle avait observé une menace qu'elle suit sous & nbsp; le nom & nbsp; Storm-1811 & nbsp; abuser de l'outil de gestion de la clientèle aide rapide aux utilisateurs cibler les attaques d'ingénierie sociale.
"Storm-1811 est un groupe cybercriminal motivé financièrement connu pour déployer & nbsp; Black Basta & nbsp; ransomware", la société & nbsp; dit & nbsp; dans un rapport publié le 15 mai 2024.
Le
The Microsoft Threat Intelligence team said it has observed a threat it tracks under the name Storm-1811 abusing the client management tool Quick Assist to target users in social engineering attacks. "Storm-1811 is a financially motivated cybercriminal group known to deploy Black Basta ransomware," the company said in a report published on May 15, 2024. The |
Ransomware Tool Threat | ★★ | |
|
2024-05-16 08:31:00 | Google patchs encore une autre vulnérabilité chromée chromée activement Google Patches Yet Another Actively Exploited Chrome Zero-Day Vulnerability (lien direct) |
Google a déployé des correctifs pour aborder & nbsp; un ensemble de & nbsp; neuf problèmes de sécurité dans son navigateur Chrome, y compris un nouveau jour zéro qui a & nbsp; a été exploité & nbsp; à l'état sauvage.
Affecté l'identifiant CVE & NBSP; CVE-2024-4947, la vulnérabilité se rapporte à un bug de confusion de type dans le moteur V8 JavaScript et WebAssembly.Il & nbsp; a été signalé & nbsp; par les chercheurs de Kaspersky Vasily Berdnikov et Boris
Google has rolled out fixes to address a set of nine security issues in its Chrome browser, including a new zero-day that has been exploited in the wild. Assigned the CVE identifier CVE-2024-4947, the vulnerability relates to a type confusion bug in the V8 JavaScript and WebAssembly engine. It was reported by Kaspersky researchers Vasily Berdnikov and Boris |
Vulnerability Threat | ★★★ | |
 |
2024-05-16 08:26:42 | Google Chrome corrige sa deuxième vulnérabilité exploitable de 2024 (lien direct) | Google a publié une mise à jour de Chrome pour corriger une nouvelle vulnérabilité Zero Day. Selon la société, cette faille est activement exploitée dans des cyberattaques. | Threat | ★★ | |
|
2024-05-16 06:00:32 | De nouvelles informations sur les menaces révèlent que les cybercriminels ciblent de plus en plus le secteur de la pharmacie New Threat Insights Reveal That Cybercriminals Increasingly Target the Pharmacy Sector (lien direct) |
La dernière fois que j'ai discuté de l'efficacité de la cybersécurité dans les soins de santé, j'ai détaillé l'importance de suivre la surface de l'attaque humaine.Cela est essentiel car cela vous aide à concentrer les efforts de sécurité sur ce qui se passe vraiment dans le paysage des menaces.Lorsque vous connaissez les attaquants \\ 'cibles réelles et pourquoi elles sont intéressées par eux, vous pouvez adopter une stratégie de sécurité centrée sur l'homme et mieux utiliser vos ressources limitées. & NBSP; Ces éléments sont essentiels à ce type d'approche: & nbsp; Une base de référence des données centrées sur l'homme à suivre & nbsp; La capacité de surveiller les écarts qui signalent un changement dans le paysage de la menace et le NBSP; La possibilité de s'adapter aux conditions et NBSP; Il est maintenant temps de regarder les tendances plus importantes dans l'industrie des soins de santé.Ce blog entre en détail sur ce que les recherches récentes de la preuve ont découvertes sur l'endroit où les attaquants concentrent leurs efforts. & NBSP; Analyser nos données et NBSP; Pour nos recherches sur l'industrie des soins de santé en 2023, Proofpoint a créé un groupe de pairs de soins de santé de plus de 50 systèmes hospitaliers similaires à suivre dans la plate-forme de protection contre les attaques ciblées (TAP).Nous avons méticuleusement analysé les «données des personnes» de ces systèmes.Notre objectif était d'identifier les schémas et les tendances de la cyberattaque.Voici ce que nous avons suivi: & nbsp; Index d'attaque et NBSP; Cliquez sur les taux et NBSP; Volume de messages malveillants et NBSP; Clics totaux sur divers départements et NBSP; Après avoir analysé les données, nous avons appris que les attaquants ont tendance à cibler les personnes dans des rôles d'emploi liés aux finances et VIP.Leur intérêt pour ces utilisateurs avait du sens, ce qui est devenu notre ligne de base. & NBSP; Lorsque nous avons examiné les données des groupes de pairs des soins de santé du premier trimestre de 2024, nous avons vu un excellent exemple d'écart par rapport à cette base de référence.Cela a également mis en évidence un éventuel changement dans les attaquants \\ 'focus dans l'industrie des soins de santé. & Nbsp; & nbsp; Les données: les attaques contre certains rôles ont augmenté et NBSP; Au niveau du département de la taxonomie, les rôles d'emploi «pharmacie» ont progressé du rang de 35 dans la moyenne de l'indice d'attaque par utilisateur en 2023 à la première place de la moyenne de l'indice d'attaque par utilisateur au premier trimestre 2024. Les rôles de travail VIP se classent en deuxième position, tandis queLes rôles de services financiers se classent quatrième. & NBSP; Les quatre départements les plus élevés par indice d'attaque moyen et le taux de clics en 2023 contre T1 2024. & nbsp; & nbsp; & nbsp; Les données que nous avons collectées au T1 2024 montrent une augmentation spectaculaire de tous les indicateurs suivis pour le rôle de travail de pharmacie.Voici quelques-unes de nos principales conclusions. & NBSP; Augmentation de 80% sur le volume de messages malveillants et NBSP; Augmentation de 46% de l'indice d'attaque d'un trimestre moyen et NBSP; Augmentation de 35% des clics totaux par rapport au pic trimestriel en 2023 & nbsp; & nbsp; Si l'indice d'attaque mesure ce qu'il est conçu pour mesurer, alors les rôles de travail en pharmacie viennent de considérablement plus spécifiques, sophistiqués et graves jusqu'à présent cette année. & NBSP; Tendance de l'indice d'attaque moyen de la pharmacie, Q4 2022 au premier trimestre 2024. & NBSP; Pharmacie Tendance de volume de messages malveillants, Q4 2022 à T1 2024. & NBSP; La tendance des clics totaux de pharmacie, Q4 2022 & # 8211;Q1 2024. & NBSP; Le début d'une tendance émergente? & Nbsp; Le changement dramatique dans les attaquants \\ 'focus que nous avons observé au T1 2024 est unique aux titres de pharmacie et aux rôles de trav | Threat Prediction Medical | ★★★ | |
 |
2024-05-15 23:17:39 | Les smins sophistiqués compromettent les comptes des employés, accède aux systèmes de cartes-cadeaux d'entreprise Sophisticated Smishing Compromises Employee Accounts, Accesses Corporate Gift Card Systems (lien direct) |
> Chez Slashnext, nous souhaitons attirer l'attention sur la tendance alarmante des cybercriminels exploitant des techniques avancées pour cibler les sociétés de vente au détail, comme le souligne la récente notification de l'industrie privée du FBI (PIN).Le groupe d'acteurs de menace connu sous le nom de Storm-0539 a mené des campagnes sophistiquées de smirs pour compromettre les comptes des employés et obtenir un accès non autorisé à la carte-cadeau d'entreprise [& # 8230;]
Le post sophistiqué les compromis pour les employés, accède aux systèmes de cartes-cadeaux d'entreprise. est apparu pour la première fois sur slashnext .
>We at SlashNext want to draw attention to the alarming trend of cybercriminals exploiting advanced techniques to target retail corporations, as highlighted in the recent FBI Private Industry Notification (PIN). The threat actor group known as STORM-0539 has been conducting sophisticated smishing campaigns to compromise employee accounts and gain unauthorized access to corporate gift card […] The post Sophisticated Smishing Compromises Employee Accounts, Accesses Corporate Gift Card Systems first appeared on SlashNext. |
Threat Prediction | ★★★★ | |
|
2024-05-15 21:32:04 | La faille dans la norme Wi-Fi peut permettre des attaques de confusion SSID Flaw in Wi-Fi Standard Can Enable SSID Confusion Attacks (lien direct) |
Les attaquants peuvent exploiter le problème pour inciter les utilisateurs à se connecter aux réseaux sans sécurité, mais cela ne fonctionne que dans des conditions spécifiques.
Attackers can exploit the issue to trick users into connecting to insecure networks, but it works only under specific conditions. |
Threat | ★★★ | |
|
2024-05-15 20:41:19 | Gitcaught: l'acteur de menace exploite le référentiel Github pour les infrastructures malveillantes GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure (lien direct) |
## Instantané Le groupe insikt de l'avenir enregistré a découvert une campagne cybercriminale sophistiquée dirigée par des acteurs de menace russophone du Commonwealth des États indépendants (CIS), en utilisant un profil GitHub pour distribuer des logiciels malveillants sous couvert d'applications logicielles légitimes. ## Description Les applications logicielles comme 1Password, Bartender 5 et Pixelmator Pro ont été usurpées, entre autres.Les variantes de logiciels malveillants observées dans cette campagne comprenaient le voleur de macOS atomique (AMOS) et le vidar.Ils ont été fabriqués pour infiltrer les systèmes et voler des données sensibles, présentant les acteurs en profondeur de la compréhension du développement logiciel et de la confiance des utilisateurs dans ces plateformes.L'analyse de Insikt Group \\ a dévoilé une infrastructure partagée de commandement et de contrôle (C2) parmi ces variantes, indiquant un effort coordonné par un groupe de menaces bien ressourcé capable de lancer des cyberattaques soutenues dans divers systèmes et dispositifs d'exploitation. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-enDPoint / Configure-Block-at-First-Sight-Microsoft-Dender-Antivirus? OCID = MAGICTI_TA_LELARNDOC) dans Microsoft DefEnder Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et STRictly [nécessite MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs cliquant sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un exemple. - Rappeler aux employés que l'entreprise ou les informations d'identification en milieu de travail ne doivent pas être stockées dans des navigateurs ou des coffres de mot de passe garantis avec des informations d'identification personnelles.Les organisations peuvent désactiver la synchronisation des mots de passe dans le navigat | Ransomware Malware Tool Threat | ★★★ | |
|
2024-05-15 20:23:43 | FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads (lien direct) |
## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic | Malware Tool Threat Prediction | ★★★ | |
 |
2024-05-15 19:26:50 | Détection du compromis de CVE-2024-3400 sur les appareils GlobalProtect de Palo Alto Networks Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices (lien direct) |
> Le mois dernier, Volexity a rendu compte de sa découverte de l'exploitation zéro-jour dans la fenêtre du CVE-2024-3400 dans la fonctionnalité GlobalProtect de Palo Alto Networks Pan-OS par une volexité d'acteur de menace suit la volexité comme UTA0218.Palo Alto Networks a publié une signature de conseil et de protection contre les menaces pour la vulnérabilité dans les 48 heures suivant la divulgation par Volexity \\ du problème aux réseaux Palo Alto, avec des correctifs et des correctifs officiels qui suivent peu de temps après.Volexity a mené plusieurs enquêtes supplémentaires sur la réponse aux incidents et des analyses proactives des appareils de pare-feu Palo Alto Networks depuis les deux premiers cas décrits dans le blog de volexity \\.Ces enquêtes récentes ont été basées principalement sur des données collectées auprès des clients générant un fichier de support technologique (TSF) à partir de leurs appareils et leur fournissant au volexité.À partir de ces investigations et analyses, le volexité a observé ce qui suit: Peu de temps après la libération de l'avis de CVE-2024-3400, la numérisation et l'exploitation de la vulnérabilité ont immédiatement augmenté.La hausse de l'exploitation semble avoir été associée [& # 8230;]
>Last month, Volexity reported on its discovery of zero-day, in-the-wild exploitation of CVE-2024-3400 in the GlobalProtect feature of Palo Alto Networks PAN-OS by a threat actor Volexity tracks as UTA0218. Palo Alto Networks released an advisory and threat protection signature for the vulnerability within 48 hours of Volexity\'s disclosure of the issue to Palo Alto Networks, with official patches and fixes following soon after. Volexity has conducted several additional incident response investigations and proactive analyses of Palo Alto Networks firewall devices since the initial two cases described in Volexity\'s blog post. These recent investigations were based primarily on data collected from customers generating a tech support file (TSF) from their devices and providing them to Volexity. From these investigations and analyses, Volexity has observed the following: Shortly after the advisory for CVE-2024-3400 was released, scanning and exploitation of the vulnerability immediately increased. The uptick in exploitation appears to have been associated […] |
Vulnerability Threat | ★★★ | |
|
2024-05-15 16:01:17 | Microsoft Patches 2 exploite activement des jours zéro, 61 défauts Microsoft Patches 2 Actively Exploited Zero-Days, 61 Flaws (lien direct) |
Microsoft a publié mardi son patch de mai 2024 mardi, qui comprend des correctifs pour 61 vulnérabilités. Ce patch mardi corrige deux vulnérabilités zéro jour affectant Windows MSHTML (CVE-2024-30040) et la bibliothèque de base de la fenêtre de bureau (DWM) (CVE-2024-30051). Il corrige également une vulnérabilité critique de code distant (RCE) affectant le serveur Microsoft SharePoint (CVE-2024-30044). Les deux vulnérabilités activement exploitées zéro-jours que Microsoft adresse dans la mise à jour du patch de mai 2024 est: | Vulnerability Threat | ★★★ | |
|
2024-05-15 15:42:28 | Routeurs D-Link vulnérables à la prise de contrôle via l'exploit pour zéro jour D-Link Routers Vulnerable to Takeover Via Exploit for Zero-Day (lien direct) |
Une vulnérabilité dans le protocole de demande de connexion HNAP qui affecte une famille de périphériques donne un accès racine non authentifié pour l'exécution des commandes.
A vulnerability in the HNAP login request protocol that affects a family of devices gives unauthenticated users root access for command execution. |
Vulnerability Threat | ★★★ | |
 |
2024-05-15 15:32:22 | Nissan Amérique du Nord Les violations des données ont un impact sur 53 000 employés Nissan North America data breach impacts over 53,000 employees (lien direct) |
Nissan North America (Nissan) a subi une violation de données l'année dernière lorsqu'un acteur de menace a ciblé le VPN externe de la société et a fermé des systèmes pour recevoir une rançon.[...]
Nissan North America (Nissan) suffered a data breach last year when a threat actor targeted the company\'s external VPN and shut down systems to receive a ransom. [...] |
Data Breach Threat | ★★ | |
 |
2024-05-15 15:30:00 | L'exploitation PDF cible les utilisateurs du lecteur Foxit PDF Exploitation Targets Foxit Reader Users (lien direct) |
La RCR a déclaré que les constructeurs d'exploitation de .NET et Python ont été utilisés pour déployer ce malware
CPR said exploit builders in .NET and Python have been employed to deploy this malware |
Malware Threat | ★★★ | |
|
2024-05-15 15:24:40 | Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises (lien direct) | Recherche de cyber-menaces: les mauvaises pratiques de correction et les protocoles non cryptés continuent de hanter les entreprises
Cato Networks a dévoilé les résultats de son inaugural Rapport de menace Cato Ctrl Sase pour le premier trimestre 2024.
Les analyses du rapport Cato Cyber Threat Labs (CTRL) inaugurales analysent 1,26 billion de flux de réseaux pour identifier les risques de sécurité d'entreprise d'aujourd'hui
-
rapports spéciaux
Cyber Threat Research: Poor Patching Practices and Unencrypted Protocols Continue to Haunt Enterprises Cato Networks unveiled the findings of its inaugural Cato CTRL SASE Threat Report for Q1 2024. Inaugural Cato Cyber Threat Research Labs (CTRL) Report Analyzes 1.26 Trillion Network Flows to Identify Today\'s Enterprise Security Risks - Special Reports |
Threat Studies Patching | ★★★ | |
|
2024-05-15 13:47:14 | NCSC s'unit avec une grande assurance \\ pour lutter contre la menace des ransomwares NCSC unites with major insurance org\\'s to fight ransomware threat (lien direct) |
NCSC s'unit avec les grandes organisations d'assurance pour lutter contre la menace des ransomwares.Le Dr Darren Williams, PDG et fondateur de Blackfog, loue l'initiative, notant le problème avec les ransomwares…
-
mise à jour malveillant
NCSC unites with major insurance org\'s to fight ransomware threat. Dr Darren Williams, CEO and Founder of Blackfog, praises the initiative, noting the trouble with ransomware payments… - Malware Update |
Ransomware Threat | ★★★ | |
|
2024-05-15 13:38:29 | Avast : Youtube, nouveau terrain de jeu des hackers ? (lien direct) | Intelligence artificielle : deepfakes, synchronisation audio et piratage des réseaux sociaux, les dangers en ligne explosent en 2024 Le nouveau rapport d'Avast sur les menaces indique que près de 90 % des cybermenaces reposent actuellement sur la manipulation humaine. - Investigations | Threat | ★★★ | |
 |
2024-05-15 13:00:04 | Menaces par e-mail basées sur le PDF en augmentation: ripostez avec la prévention alimentée par l'IA PDF-Based Email Threats On the Rise: Fight Back with AI-Powered Prevention (lien direct) |
> Résumé de l'exécutif: les PDF sont devenus le vecteur dominant des pièces jointes malveillantes, représentant près de 3/4 de tous les fichiers malveillants au cours du dernier mois, cela marque une augmentation stupéfiante par rapport à 2023, lorsqu'elle a représenté 20%, car 83% de tous les fichiers malveillants sont des PDF.Le courrier électronique reste le vecteur de menace le plus élevé des cyberattaques, avec environ 90% de toutes les attaques à commencer par le courrier électronique.Selon les statistiques de Check Point Research, les e-mails malveillants se présentent sous toutes des formes, mais une grande quantité se produit avec des fichiers ou des pièces jointes malveillantes.En fait, 1 pièce jointe sur 246 et 1 [& # 8230;]
>Executive Summary: PDFs have become the dominant vector for malicious attachments, accounting for nearly 3/4th of all malicious files in the last month This marks a staggering rise from 2023, when it accounted for 20% Healthcare is hit the hardest, as 83% of all malicious files are PDFs. Email remains the top threat vector for cyberattacks, with about 90% of all attacks starting with email. According to statistics from Check Point Research, malicious emails come in all different forms, but a large amount occur with malicious files or attachments. In fact, 1 out of every 246 email attachments and 1 […] |
Threat Medical | ★★★ | |
 |
2024-05-15 13:00:00 | Bataille de chaque industrie: la menace des logiciels malveillants mobiles sur l'entreprise Every Industry\\'s Battle: The Threat of Mobile Malware on the Enterprise (lien direct) |
Nos recherches montrent également que les 29 familles de logiciels malveillants que nous avons soulignées dans le rapport de cambriolage ciblent également 478 applications mobiles non bancaires dans 32 catégories.
Our research also shows that the 29 malware families we highlighted in the Heist report also target 478 non-banking mobile applications across 32 categories. |
Malware Threat Mobile | ★★★ | |
 |
2024-05-15 12:59:21 | E / S 2024: Ce qui est nouveau dans la sécurité et la confidentialité d'Android I/O 2024: What\\'s new in Android security and privacy (lien direct) |
Posted by Dave Kleidermacher, VP Engineering, Android Security and Privacy
Our commitment to user safety is a top priority for Android. We\'ve been consistently working to stay ahead of the world\'s scammers, fraudsters and bad actors. And as their tactics evolve in sophistication and scale, we continually adapt and enhance our advanced security features and AI-powered protections to help keep Android users safe.
In addition to our new suite of advanced theft protection features to help keep your device and data safe in the case of theft, we\'re also focusing increasingly on providing additional protections against mobile financial fraud and scams.
Today, we\'re announcing more new fraud and scam protection features coming in Android 15 and Google Play services updates later this year to help better protect users around the world. We\'re also sharing new tools and policies to help developers build safer apps and keep their users safe.
Google Play Protect live threat detection
Google Play Protect now scans 200 billion Android apps daily, helping keep more than 3 billion users safe from malware. We are expanding Play Protect\'s on-device AI capabilities with Google Play Protect live threat detection to improve fraud and abuse detection against apps that try to cloak their actions.
With live threat detection, Google Play Protect\'s on-device AI will analyze additional behavioral signals related to the use of sensitive permissions and interactions with other apps and services. If suspicious behavior is discovered, Google Play Protect can send the app to Google for additional review and then warn users or disable the app if malicious behavior is confirmed. The detection of suspicious behavior is done on device in a privacy preserving way through Private Compute Core, which allows us to protect users without collecting data. Google Pixel, Honor, Lenovo, Nothing, OnePlus, Oppo, Sharp, Transsion, and other manufacturers are deploying live threat detection later this year.
Stronger protections against fraud and scams
We\'re also bringing additional protections to fight fraud and scams in Android 15 with two key enhancements to safeguard your information and privacy from bad apps:
Protecting One-time Passwords from Malware: With the exception of a few types of apps, such as wearable companion apps, one-time passwords are now hidden from notifications, closing a common attack vector for fraud and spyware.
Expanded Restricted Settings: To help protect more sensitive permissions that are commonly abused by fraudsters, we\'re expanding Android 13\'s restricted settings, which require additional user approval to enable permissions when installing an app from an Internet-sideloading source (web browsers, messaging apps or file managers).
We are continuing to develop new, AI-powered protections, |
Malware Tool Threat Mobile Cloud | ★★ | |
 |
2024-05-15 10:00:00 | Horizons en expansion: LevelBlue améliore les offres MSSP avec le support du cloud gouvernemental Expanding Horizons: LevelBlue Enhances MSSP Offerings with Government Cloud Support (lien direct) |
Dans le paysage numérique d'aujourd'hui, la cybersécurité est primordiale, en particulier pour les agences gouvernementales chargées de sauvegarder des données sensibles et des infrastructures critiques.Reconnaissant ce besoin, LevelBlue est fier d'annoncer la disponibilité de sa dernière offre: support pour les fournisseurs de services de sécurité gérés (MSSP) dans le cloud gouvernemental. Nouvelle disponibilité dans le cloud Gov pour MSSPS Cette nouvelle offre marque une progression importante dans les solutions de cybersécurité adaptées aux MSSP.Avec le soutien de la plate-forme du cloud gouvernemental, les MSSP ont désormais accès à des fonctionnalités de sécurité et de conformité améliorées, les permettant de mieux servir leurs clients dans les secteurs gouvernementaux. Certification FedRamp et conformité multi-trame L'engagement de NivedBlue \\ envers les normes de sécurité rigoureuses est évidente dans sa certification modérée FedRamp.Cette certification, qui implique l'adhésion à environ 325 contrôles de cybersécurité, garantit que les solutions de niveauBlue \\ répondent aux normes les plus élevées d'évaluation, d'autorisation et de surveillance continue.En plus de FedRamp, LevelBlue s'aligne avec plusieurs autres cadres de sécurité, offrant une couverture de conformité complète aux MSSP et à leurs clients. Central Management and FIPS Compliance L'un des principaux avantages de cette nouvelle offre est la possibilité pour les MSSP de gérer de manière centralisée leurs clients de sécurité dans le cloud gouvernemental.Avec des fonctionnalités telles que la gestion centralisée des alarmes et la conformité FIPS, les MSSP peuvent rationaliser leurs opérations tout en garantissant les niveaux de protection des données les plus élevés. Améliorations sur USM n'importe où Tout en s'appuyant sur les bases de la plate-forme USM Anyme existante de niveau \\, l'offre du cloud gouvernemental introduit de nouvelles détections adaptées explicitement au secteur du cloud Gov.Ces améliorations incluent l'intelligence avancée des menaces, ce qui permet aux MSSPS de rester en avance sur l'évolution des cyber-menaces. Intégration avec les environnements cloud La solution de niveau ne s'intègre pas parfaitement à divers environnements de cloud gouvernementaux, notamment AWS GovCloud et Microsoft Azure Government.Cette flexibilité permet aux MSSP de déployer et de gérer des solutions de sécurité dans diverses infrastructures cloud, assurant une protection complète pour leurs clients. Soutenir les contraintes de transformation numérique et budgétaire À une époque de transformation numérique et de contraintes budgétaires, les agences gouvernementales sont confrontées à une pression croissante pour moderniser leurs défenses de cybersécurité.Les offres de cloud GovernmentBlue \\ de LevelBlue offrent une solution de compétition et de NBSP; prix et évolutif qui aide les agences à atténuer les risques numériques tout en optimisant l'allocation des ressources des analystes de sécurité. Conseil et support NIVEALBLUE & NBSP; Le conseil joue un rôle crucial dans la prise en charge des MSSP avec la mise en œuvre et la gestion des services de sécurité.De la réponse des incidents à l'aide de conformité, l'équipe d'experts de niveauBlue \\ garantit que les MSSP ont le soutien dont ils ont besoin pour fournir des services de cybersécurité exceptionnels à leurs clients. Contrat Gagits and Future Directions Le contrat récent gagne avec des organisations prestigieuses comme le ministère des Transports souligne la fiabilité et l'efficacité des solutions de cybersécurité de niveauBlue.À l'avenir, LevelBlue s'engage à obtenir des certifications supplémentaires, telles que | Threat Cloud | ★★★ | |
|
2024-05-15 08:23:07 | SentinelOne® lance une plateforme de protection des applications Cloud Natives (lien direct) | l \\ '& eacute; diteur lance une forme de protection des applications indigènes cloud (cnapp) r & eacute;volutionnaire dotée d\'un moteur de sécurité offensive unique (Offensive Security Engine™) qui raisonne tel un hacker pour aller au-delà de la théorie et proposer des chemins d\'exploitation vérifiés (Verified Exploit Paths™).
-
Produits
L\'éditeur lance une plateforme de protection des applications Cloud Natives (CNAPP) révolutionnaire dotée d\'un moteur de sécurité offensive unique (Offensive Security Engine™) qui raisonne tel un hacker pour aller au-delà de la théorie et proposer des chemins d\'exploitation vérifiés (Verified Exploit Paths™). - Produits |
Threat Cloud | ★★ | |
 |
2024-05-15 03:16:32 | Comprendre les principales différences entre FIM et EDR Understanding the Key Differences Between FIM and EDR (lien direct) |
La surveillance de l'intégrité des fichiers (FIM) et la détection et la réponse des points finaux (EDR) sont deux solutions de cybersécurité qui sont souvent des aspects fondamentaux des organisations \\ 'Stratégies de sécurité.EDR est mis en œuvre afin d'arrêter les menaces connues et inconnues aux critères de terminaison, souvent avec des fonctions avancées telles que la surveillance et l'analyse comportementales, la protection des antivirus et les capacités de réponse aux menaces.FIM peut surveiller les fichiers, les serveurs, les systèmes d'exploitation et les réseaux pour des modifications potentiellement suspectes et donne un aperçu des modifications apportées et par qui dans le but de permettre la restauration des fichiers après ...
File integrity monitoring (FIM) and endpoint detection and response (EDR) are two cybersecurity solutions that are often foundational aspects of organizations\' security strategies. EDR is implemented in order to stop known and unknown threats at endpoints, often with advanced functions such as behavioral monitoring and analysis, antivirus protection, and threat response capabilities. FIM can monitor files, servers, operating systems, and networks for potentially suspicious changes and provides insight into what changes are made and by whom in an effort to enable the restoration of files after... |
Threat | ★★ | |
|
2024-05-14 23:43:54 | Top 5 les cyber-menaces les plus dangereuses en 2024 Top 5 Most Dangerous Cyber Threats in 2024 (lien direct) |
Les experts de l'Institut SANS pèsent sur les vecteurs de menace supérieurs auxquels sont confrontés les entreprises et le public dans son ensemble.
SANS Institute experts weigh in on the top threat vectors faced by enterprises and the public at large. |
Threat | ★★★ | |
 |
2024-05-14 23:15:24 | Mai 2024 Patch mardi: deux jours zéro parmi 61 vulnérabilités abordées May 2024 Patch Tuesday: Two Zero-Days Among 61 Vulnerabilities Addressed (lien direct) |
Microsoft a publié des mises à jour de sécurité pour 61 vulnérabilités dans son déploiement du patch de mai 2024.Il y a deux vulnérabilités de zéro-jour corrigées, affectant Windows MSHTML (CVE-2024-30040) et la bibliothèque de base du gestionnaire de fenêtres de bureau (DWM) (CVE-2024-30051), et une vulnérabilité critique affectant Microsoft SharePoint Server (CVE-2024-30044).Mai 2024 Analyse des risques ce mois-ci, le type de risque principal est le code distant [& # 8230;]
Microsoft has released security updates for 61 vulnerabilities in its May 2024 Patch Tuesday rollout. There are two zero-day vulnerabilities patched, affecting Windows MSHTML (CVE-2024-30040) and Desktop Window Manager (DWM) Core Library (CVE-2024-30051), and one Critical vulnerability patched affecting Microsoft SharePoint Server (CVE-2024-30044). May 2024 Risk Analysis This month\'s leading risk type is remote code […] |
Vulnerability Threat | ||
|
2024-05-14 22:38:41 | Microsoft Windows DWM Zero-Day Posé pour l'exploit de masse Microsoft Windows DWM Zero-Day Poised for Mass Exploit (lien direct) |
Le CVE-2024-30051, sous Exploit actif, est le plus concernant les offres du mardi \\ de ce mois-ci, et déjà maltraitée par plusieurs acteurs de Qakbot.
CVE-2024-30051, under active exploit, is the most concerning out of this month\'s Patch Tuesday offerings, and already being abused by several QakBot actors. |
Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
