What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-18 19:00:00 | Les cybercriminels exploitent des leurres logiciels libres pour déployer le chargeur de hivers et le voleur Vidar Cybercriminals Exploit Free Software Lures to Deploy Hijack Loader and Vidar Stealer (lien direct) |
Les acteurs de la menace attirent les utilisateurs sans méfiance avec des versions gratuites ou piratées de logiciels commerciaux pour livrer un chargeur de logiciels malveillants appelée Hijack Loader, qui déploie ensuite un voleur d'informations connu sous le nom de voleur Vidar.
"Les adversaires avaient réussi à inciter les utilisateurs à télécharger des fichiers d'archives protégés par mot de passe contenant des copies trojanisées d'une application de réunions Cisco WebEx (PTService.exe)"
Threat actors are luring unsuspecting users with free or pirated versions of commercial software to deliver a malware loader called Hijack Loader, which then deploys an information stealer known as Vidar Stealer. "Adversaries had managed to trick users into downloading password-protected archive files containing trojanized copies of a Cisco Webex Meetings App (ptService.exe)," Trellix security |
Malware Threat Commercial | ||
 |
2024-06-18 17:58:40 | Entités brésiliennes de plus en plus ciblées par les attaques de phishing de l'État-nation Brazilian Entities Increasingly Targeted by Nation-State Phishing Attacks (lien direct) |
Phishing provient d'acteurs de menace basés en Chine, en Corée du Nord et en Russie.
Mandiant has published a report looking at cyber threats targeting Brazil, finding that more than 85% of government-backed phishing activity comes from threat actors based in China, North Korea and Russia. |
Threat | ||
 |
2024-06-18 14:00:00 | Couchée et secrète: Découvrir les opérations d'espionnage UNC3886 Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) |
Written by: Punsaen Boonyakarn, Shawn Chew, Logeswaran Nadarajan, Mathew Potaczek, Jakub Jozwiak, Alex Marvi
Following the discovery of malware residing within ESXi hypervisors in September 2022, Mandiant began investigating numerous intrusions conducted by UNC3886, a suspected China-nexus cyber espionage actor that has targeted prominent strategic organizations on a global scale. In January 2023, Mandiant provided detailed analysis of the exploitation of a now-patched vulnerability in FortiOS employed by a threat actor suspected to be UNC3886. In March 2023, we provided details surrounding a custom malware ecosystem utilized on affected Fortinet devices. Furthermore, the investigation uncovered the compromise of VMware technologies, which facilitated access to guest virtual machines. Investigations into more recent operations in 2023 following fixes from the vendors involved in the investigation have corroborated Mandiant\'s initial observations that the actor operates in a sophisticated, cautious, and evasive nature. Mandiant has observed that UNC3886 employed several layers of organized persistence for redundancy to maintain access to compromised environments over time. Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available even if the primary layer is detected and eliminated. This blog post discusses UNC3886\'s intrusion path and subsequent actions that were performed in the environments after compromising the guest virtual machines to achieve access to the critical systems, including: The use of publicly available rootkits for long-term persistence Deployment of malware that leveraged trusted third-party services for command and control (C2 or C&C) Subverting access and collecting credentials with Secure Shell (SSH) backdoors Extracting credentials from TACACS+ authentication using custom malware Mandiant has published detection and hardening guidelines for ESXi hypervisors and attack techniques employed by UNC3886. For Google SecOps Enterprise+ customer |
Malware Tool Vulnerability Threat Cloud Technical | APT 41 | |
 |
2024-06-18 12:56:24 | Les pivots d'araignée dispersés vers les attaques d'application SaaS Scattered Spider Pivots to SaaS Application Attacks (lien direct) |
L'année dernière, Microsoft a décrit l'acteur de menace - connu sous le nom de UNC3944, araignée dispersée, porcs dispersés, octo tempest et 0ktapus - comme l'un des adversaires actuels les plus dangereux.
Microsoft last year described the threat actor - known as UNC3944, Scattered Spider, Scatter Swine, Octo Tempest, and 0ktapus - as one of the most dangerous current adversaries. |
Threat Cloud | ||
 |
2024-06-18 12:00:00 | Comment surveiller le trafic du réseau: Résultats du rapport Cisco Cyber Threat Tendances How to Monitor Network Traffic: Findings from the Cisco Cyber Threat Trends Report (lien direct) |
Le rapport sur les tendances des cyber-menaces Cisco examine les domaines malveillants pour les tendances et les modèles.Voyez ce que les données nous indiquent le paysage des menaces. 
The Cisco Cyber Threat Trends report examines malicious domains for trends and patterns. See what the data tells us about the threat landscape. |
Threat | ||
 |
2024-06-18 05:00:00 | BlackBerry efficace contre Blackcat / AlphV et Menupass dans les évaluations de Mitre ATT & CK BlackBerry Effective Against BlackCat/ALPHV and menuPass in MITRE ATT&CK Evaluations (lien direct) |
BlackBerry a récemment participé aux évaluations d'atténuité d'Engenuity ATT & CK pour les services gérés.Cette série de tests indépendants a émulé les groupes BlackCat / AlphV et Menupass, soulignant la nécessité de solutions de sécurité robustes et adaptatives face à des adversaires sophistiqués.
BlackBerry recently participated in the MITRE Engenuity ATT&CK Evaluations for Managed Services. This round of independent testing emulated the BlackCat/ALPHV and menuPass threat groups, highlighting the need for robust, adaptive security solutions in the face of sophisticated adversaries. |
Threat | APT 10 | |
 |
2024-06-18 00:00:00 | Le président de la cybersécurité Donna O \\ 'Shea remporte le prestigieux innovationward. MTU Chair of Cyber Security Donna O\\'Shea Wins Prestigious InnovationAward. (lien direct) |
L'équipe Cyber Skills de Munster Technological University (MTU) est ravie de mettre en lumière une réalisation significative de notre chaire de cybersécurité, Dr Donna O \\ 'Shea.Donna a reçu le prestigieux Innovator Achievement Award 2024, présenté par Maggie Cusack, présidente de MTU, Josette O \\ 'Mullane, gestionnaire d'innovation et d'entreprise chez MTU et Michael Loftus, vice-président des affaires extérieures chez MTU.Ce prix reconnaît les contributions exceptionnelles de Donna à l'innovation et son dévouement à faire progresser la cybersécurité en MTU et au-delà.
Parlant du prix, le Dr Donna O \\ 'Shea a déclaré: «Je suis ravi de recevoir ce prix en reconnaissance du leadership éclairé de la cybersécurité, de l'innovation et de l'entrepreneuriat de Mtu \\.Cet impact que nous avons atteint est dû à l'engagement de l'équipe de recherche Cyber Explore que j'ai le privilège de diriger, et le soutien et le leadership de la fonction d'innovation et d'entreprise de MTU \\ ».Elle a ensuite expliqué comment l'innovation de cybersécurité est d'une importance cruciale.En raison du paysage de menace de plus en plus complexe et en expansion, nous avons besoin de cyber capacités indigènes développées.Cela offrira des opportunités pour engager des talents de main-d'œuvre existants.Par conséquent, cela soutient la création de nouvelles start-ups, emplois et investissements tout en développant simultanément des capacités de cybersécurité à l'intérieur de nos propres frontières.
La cérémonie de remise des prix a eu lieu aux Third Innovation Awards de Munster Technological University, organisé au Nimbus Research Center sur le campus de Bishopstown.Cet événement annuel célèbre le travail et les efforts que le personnel a mis dans leurs inventions et leurs collaborations de l'industrie de la recherche au cours de l'année.Cette année, les catégories de prix de cette année comprenaient:
• Prix du formulaire de divulgation d'invention (IDF) • Prix de collaboration de recherche sur l'industrie • Prix de réalisation de l'innovation
La cérémonie a commencé avec des présentations des nominés présentant leurs projets de formulaire de divulgation d'invention (IDF) de l'année écoulée.C'était fantastique de voir certaines des fabuleuses inventions divulguées par le personnel en 2023.
Les prix des juges pour le formulaire de divulgation d'invention (FDI) comprenaient David Corkery de l'University College Cork et Paul Dillon de l'Université de Limerick.David a souligné l'importance de ces récompenses pour reconnaître à la fois les individus et les opportunités, faisant remarquer que la concurrence est une entreprise collaborative.Il a discuté de l'importance d'apprendre les uns des autres et de s'efforcer de s'améliorer en tant que collectif et en tant qu'individus.
Nous avons été ravis d'apprendre que le Science Foundation Ireland Connect Center a honoré Donna O \\ 'Shea avec son prestigieux prix EPE lors de leur plénière annuel.Cette distinction reconnaît ses contributions exceptionnelles à la formation d'une vision de cybersécurité unifiée pour l'Irlande, qu'elle a présentée au comité conjoint des transports et des communications.Il a également reconnu son leadership dans le développement du service de contrôle de l'Irlande \\ (www.checkmylink.ie), visant à améliorer la cyber-résilience des citoyens de tous les jours.Gagner deux prix en une semaine est une réalisation remarquable.
The Cyber Skills team at Munster Technological University (MTU) is thrilled to spotlight a significant achievement by our Chair of Cybersecurity, Dr Donna O\'Shea. Donna has been awarded the prestigious Innovator Achievement Award 2024, presented by Maggie Cusack, President of MTU, Josette O\'Mullane, Innovation and Enterprise Manager at MTU and Michael Loftus, Vice President for External Affairs at MTU. This award acknowledges Donna\'s outstanding contributions to innovation and her dedication to advancing cybersecurit |
Threat | ||
|
2024-06-17 20:44:39 | Databee lance des innovations pour une surveillance améliorée des menaces et une implémentation de confiance zéro DataBee Launches Innovations for Enhanced Threat Monitoring and Zero Trust Implementation (lien direct) |
Pas de details / No more details | Threat | ||
 |
2024-06-17 20:40:46 | CVE-2024-4577: exploitation continue d'une vulnérabilité de PHP critique CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability (lien direct) |
## Instantané
Cyble Global Sensor Intelligence (CGSI) a détecté plusieurs tentatives de balayage liées à [CVE-2024-4577] (https://security.microsoft.com/intel-explorer/cves/cve-2024-4577/) provenant de divers emplacements.La vulnérabilité découle des erreurs dans les conversions de codage des caractères, affectant en particulier la fonction «la meilleure ajustement» sur les systèmes d'exploitation Windows.L'exploitation de cette faille pourrait potentiellement permettre aux acteurs de menace d'exécuter à distance du code arbitraire, posant des risques de sécurité importants aux installations PHP sur toutes les versions exécutées sur les plates-formes Windows.
## Description
Le 7 juin, PHP a publié un patch officiel pour aborder la vulnérabilité.Le lendemain, Watchtowr Labs a publié un code d'exploitation de preuve de concept (POC) pour le CVE-2024-4577 et les acteurs de la menace ont ensuite utilisé la vulnérabilité au déploiement du ransomware sur les systèmes vulnérables.CGSI rapporte plusieurs campagnes de logiciels malveillants associées à cette nouvelle vulnérabilité, inculant la campagne Ransomware de TellyouthPass et Muhstik malware.
Le CVE-2024-4577 a un impact explicitement sur le mode CGI de PHP \\, où le serveur Web interprète HTTP demande et les transmet à un script PHP pour le traitement.Si un personnage comme un trait d'union doux (0xad) est utilisé dans un paramètre URL, le gestionnaire CGI sur Windows, après sa cartographie de la meilleure ajustement, peut interpréter ce caractère différemment que prévu.Cette mauvaise interprétation permet à un attaquant d'exécuter du code arbitraire sur le serveur PHP vulnérable.
CGSI rapporte que l'exposition des instances de PHP potentiellement vulnérables est alarmante.Les organisations devraient donner la priorité aux mises à niveau vers les dernières versions PHP: 8.3.8, 8.2.20 et 8.1.29.
## Les références
[CVE-2024-4577: Exploitation continue d'une vulnérabilité de PHP critique] (https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerabilité/).Cyble Global Sensor Intelligence (consulté en 2024-06-17)
## Snapshot Cyble Global Sensor Intelligence (CGSI) has detected multiple scanning attempts related to [CVE-2024-4577](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4577/) originating from various locations. The vulnerability stems from errors in character encoding conversions, particularly affecting the “Best Fit” feature on Windows operating systems. Exploiting this flaw could potentially enable threat actors to remotely execute arbitrary code, posing significant security risks to PHP installations across all versions running on Windows platforms. ## Description On June 7th, PHP released an official patch to address the vulnerability. The following day, WatchTowr Labs published a proof-of-concept (PoC) exploit code for CVE-2024-4577 and threat actors subsequently utilized the vulnerability to deploy ransomware on vulnerable systems. CGSI reports several malware campaigns associated with this new vulnerability, inculding the TellYouThePass ransomware campaign and Muhstik malware. CVE-2024-4577 explicitly impacts PHP\'s CGI mode, where the web server interprets HTTP requests and forwards them to a PHP script for processing. If a character like a soft hyphen (0xAD) is used in a URL parameter, the CGI handler on Windows, following its Best Fit mapping, may interpret this character differently than intended. This misinterpretation allows an attacker to execute arbitrary code on the vulnerable PHP server. CGSI reports that the exposure of potentially vulnerable PHP instances is alarmingly high. Organizations should prioritze upgrades to the latest PHP versions: 8.3.8, 8.2.20, and 8.1.29. ## References [CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability](https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/). Cyble Glob |
Ransomware Malware Vulnerability Threat | ||
|
2024-06-17 19:56:08 | KnowBe4 lance la fonctionnalité Intel Phisher Plus Threat KnowBe4 Launches PhishER Plus Threat Intel Feature (lien direct) |
Pas de details / No more details | Threat | ||
|
2024-06-17 19:39:10 | Le département du comté de la violation des données de santé publique a un impact sur 200K LA County Dept. of Public Health Data Breach Impacts 200K (lien direct) |
Les acteurs de la menace ont pu violer le département en utilisant les informations d'identification accessibles via des e-mails de phishing.
Threat actors were able to breach the department using the credentials accessed through phishing emails. |
Data Breach Threat | ||
|
2024-06-17 16:56:55 | Chine \\ 'S \\' Velvet Ant \\ 'APT NESTS À l'intérieur de l'effort d'espionnage pluriannuel China\\'s \\'Velvet Ant\\' APT Nests Inside Multiyear Espionage Effort (lien direct) |
La campagne est particulièrement remarquable pour les durées remarquables auxquelles l'acteur de menace est allé maintenir la persistance de l'environnement cible.
The campaign is especially notable for the remarkable lengths to which the threat actor went to maintain persistence on the target environment. |
Threat | ||
 |
2024-06-17 15:24:05 | Renforcement de la cybersécurité industrielle: le SANS ICS 5 contrôles critiques Strengthening Industrial Cybersecurity: The SANS ICS 5 Critical Controls (lien direct) |
> Alors que le paysage des menaces de cybersécurité continue de se développer, les organisations doivent adopter des cadres robustes pour protéger leurs systèmes de contrôle industriel (ICS) ....
Le post renforcement de la cybersécurité industrielle: les sans ICS 5 contrôles critiques est apparu pour la première fois sur dragos .
>As the cybersecurity threat landscape continues to expand, organizations must adopt robust frameworks to safeguard their industrial control systems (ICS).... The post Strengthening Industrial Cybersecurity: The SANS ICS 5 Critical Controls first appeared on Dragos. |
Threat Industrial | ||
 |
2024-06-17 15:20:04 | 17 juin & # 8211;Rapport de renseignement sur les menaces 17th June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 17 juin, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violation d'une attaque ciblant les bases de données des clients de Snowflake, identifiées comme le travail de l'acteur de menace UNC5537, ont conduit à un vol de données et à une extorsion significatifs.UNC5537 a utilisé des informations d'identification des clients de flocon de neige, obtenues principalement auprès d'infostaler [& # 8230;]
>For the latest discoveries in cyber research for the week of 17th June, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES An attack targeting Snowflake customer databases, identified as the work of threat actor UNC5537, has led to significant data theft and extortion. UNC5537 used stolen Snowflake customer credentials, obtained mainly from infostealer […] |
Threat | ||
|
2024-06-17 14:10:41 | Smalltiger Maleware utilisés dans les attaques contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used in Attacks Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
#### Targeted Geolocations - Korea ## Snapshot The AhnLab Security Intelligence Center (ASEC) has reported on a series of cyberattacks targeting South Korean businesses utilizing the SmallTiger malware. ## Description While the initial access method remains unidentified, SmallTiger is introduced during the lateral movement phase within the affected companies\' systems. Notably, the targets include South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers. Initially discovered in November 2023, the attacks showed characteristics of the "Kimsuky" group\'s tactics, but deviated by leveraging software updater programs for internal propagation. Moreover, the presence of DurianBeacon, previously associated with Andariel group attacks, was detected in the compromised systems. Subsequent attacks in February 2024 continued to employ SmallTiger, with variations observed in the malware\'s distribution methods and payloads. ASEC mentions additonal cases which include DurianBeacon attack utalizing MultiRDP Malware and Meterpreter in Novemner 2023, and another SmallTiger attack where the threat actor installed Mimikatz and ProcDump to hijack system credentials. ## Detections/Hunting Queries Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Mimikatz credential theft tool The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Malicious credential theft tool execution detected - Suspicious access to LSASS service ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordle | Ransomware Spam Malware Tool Threat | ||
 |
2024-06-17 13:50:51 | Attaques cyber : le XDR, solution miracle ? (lien direct) | Les attaques cyber se multiplient, difficile d'y échapper. Pour ce faire, les solutions doivent être innovantes et anticiper au mieux le moindre risque. Dernière solution en date, le XDR, qui utilise l'IA et l'automatisation dans la détection au peigne fin des menaces. " Souvent lors d'une première intrusion, un acteur malveillant commence par compromettre les identifiants VPN en exploitant une vulnérabilité de type zero-day. Dès lors, il va pouvoir réaliser de nombreuses actions en se déplaçant à (...) - Points de Vue | Vulnerability Threat | ||
 |
2024-06-17 13:30:00 | Les universitaires développent des tests de référence pour les LLM dans l'intelligence cyber-menace Academics Develop Testing Benchmark for LLMs in Cyber Threat Intelligence (lien direct) |
Des chercheurs du Rochester Institute of Technology ont introduit une référence conçue pour évaluer les modèles de grande langue \\ 'Performance dans les applications de renseignement cyber-menace
Researchers from the Rochester Institute of Technology introduced a benchmark designed to assess large language models\' performance in cyber threat intelligence applications |
Threat | ||
|
2024-06-17 11:58:00 | Les pirates exploitent des sites Web légitimes pour livrer la porte dérobée des Windows Badspace Hackers Exploit Legitimate Websites to Deliver BadSpace Windows Backdoor (lien direct) |
Les sites Web légitimes mais compromis sont utilisés comme un conduit pour livrer une porte dérobée Windows badspace sous le couvert de fausses mises à jour du navigateur.
"L'acteur de menace utilise une chaîne d'attaque à plusieurs étapes impliquant un site Web infecté, un serveur de commande et de contrôle (C2), dans certains cas une fausse mise à jour du navigateur et un téléchargeur JScript pour déployer une porte dérobée dans la victime \\système, "allemand
Legitimate-but-compromised websites are being used as a conduit to deliver a Windows backdoor dubbed BadSpace under the guise of fake browser updates. "The threat actor employs a multi-stage attack chain involving an infected website, a command-and-control (C2) server, in some cases a fake browser update, and a JScript downloader to deploy a backdoor into the victim\'s system," German |
Threat | ||
|
2024-06-17 11:42:19 | Faits saillants hebdomadaires, 17 juin 2024 Weekly OSINT Highlights, 17 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of cyber threats involving diverse and sophisticated attack strategies by state-sponsored actors and cybercrime organizations. The reports showcase various attack vectors, including phishing campaigns, exploitation of cloud services, and use of malware such as RATs, ransomware, and infostealers. Key threat actors like UNC5537, Kimsuky, and Cosmic Leopard are targeting sectors ranging from cloud computing and aviation to military and government entities, often leveraging stolen credentials and exploiting software vulnerabilities. These incidents underscore the critical need for robust security practices, such as multi-factor authentication and regular credential updates, to defend against increasingly complex and targeted cyber threats. ## Description 1. **[Warmcookie Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/d5d815ce)**: Elastic Security Labs identified Warmcookie, a Windows malware distributed via fake job offer phishing campaigns. The malware establishes C2 communication to gather victim information, execute commands, and drop files, with the campaign ongoing and targeting users globally. 2. **[Snowflake Data Theft](https://sip.security.microsoft.com/intel-explorer/articles/3cb4b4ee)**: Mandiant uncovered UNC5537 targeting Snowflake customers to steal data and extort victims using stolen credentials from infostealer malware. The campaign highlights poor credential management and the absence of MFA, prompting Snowflake to issue security guidance. 3. **[IcedID, Cobalt Strike, and ALPHV Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b74a41ff)**: DFIR Report analyzed a cyber intrusion deploying IcedID via malicious emails, followed by Cobalt Strike for remote control and ALPHV ransomware for encryption. Attackers used various tools for persistence, reconnaissance, and data exfiltration, showcasing a complex multi-stage attack. 4. **[ValleyRAT Multi-Stage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/c599ee92)**: Zscaler ThreatLabz identified a campaign deploying an updated ValleyRAT by China-based threat actors, using phishing emails and HTTP File Server for malware delivery. The RAT includes advanced evasion techniques and enhanced data collection capabilities. 5. **[APT Attacks Using Cloud Services](https://sip.security.microsoft.com/intel-explorer/articles/bebf8696)**: AhnLab Security Intelligence Center reported APT attacks leveraging Google Drive, OneDrive, and Dropbox to distribute malware. Attackers use malicious scripts and RAT strains to collect user information and perform various malicious activities. 6. **[CoinMiner vs. Ransomware Conflict](https://sip.security.microsoft.com/intel-explorer/articles/58dd52ff)**: ASEC described an incident where a CoinMiner attacker\'s proxy server was compromised by a ransomware actor\'s RDP scan attack. The CoinMiner botnet infection through MS-SQL server vulnerabilities was disrupted by the ransomware attack, illustrating inter-threat actor conflicts. 7. **[Sticky Werewolf Campaign](https://sip.security.microsoft.com/intel-explorer/articles/e3b51ad8)**: Morphisec Labs discovered Sticky Werewolf targeting the aviation industry with phishing campaigns using LNK files. The group, with suspected geopolitical ties, employs CypherIT Loader/Crypter for payload delivery and anti-analysis measures. 8. **[Kimsuky\'s Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/ab73cf6f)**: BlackBerry identified North Korea\'s Kimsuky group targeting a Western European weapons manufacturer with spear-phishing emails containing malicious JavaScript. The campaign underscores the growing threat of cyber espionage in the military sector. 9. **[Operation Celestial Force](https://sip.security.microsoft.com/intel-explorer/articles/0dccc722)**: Cisco Talos reported Cosmic Leopard\'s espionage campaign using GravityRAT and HeavyLift, targeting Indian defense and government sectors. The campaign em | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | ||
 |
2024-06-17 11:08:19 | Utilisation de LLMS pour exploiter les vulnérabilités Using LLMs to Exploit Vulnerabilities (lien direct) |
Recherche intéressante: & # 8220; Les équipes d'agents LLM peuvent exploiter les vulnérabilités de jour zéro . & # 8221;
Résumé: Les agents LLM sont devenus de plus en plus sophistiqués, en particulier dans le domaine de la cybersécurité.Les chercheurs ont montré que les agents LLM peuvent exploiter les vulnérabilités du monde réel lorsqu'ils ont donné une description de la vulnérabilité et des problèmes de capture de jouets.Cependant, ces agents fonctionnent encore mal sur les vulnérabilités du monde réel qui sont inconnues à l'agent à l'avance (vulnérabilités zéro-jour).
Dans ce travail, nous montrons que des équipes d'agents LLM peuvent exploiter les vulnérabilités réelles et zéro jour.Les agents antérieurs ont du mal à explorer de nombreuses vulnérabilités différentes et une planification à long terme lorsqu'elles sont utilisées seule.Pour résoudre ce problème, nous introduisons HPTSA, un système d'agents avec un agent de planification qui peut lancer des sous-agents.L'agent de planification explore le système et détermine les sous-agents à appeler, en résolvant des problèmes de planification à long terme lors de l'essai de différentes vulnérabilités.Nous construisons une référence de 15 vulnérabilités du monde réel et montrons que notre équipe d'agents s'améliore sur les travaux antérieurs jusqu'à 4,5 et fois; ...
Interesting research: “Teams of LLM Agents can Exploit Zero-Day Vulnerabilities.” Abstract: LLM agents have become increasingly sophisticated, especially in the realm of cybersecurity. Researchers have shown that LLM agents can exploit real-world vulnerabilities when given a description of the vulnerability and toy capture-the-flag problems. However, these agents still perform poorly on real-world vulnerabilities that are unknown to the agent ahead of time (zero-day vulnerabilities). In this work, we show that teams of LLM agents can exploit real-world, zero-day vulnerabilities. Prior agents struggle with exploring many different vulnerabilities and long-range planning when used alone. To resolve this, we introduce HPTSA, a system of agents with a planning agent that can launch subagents. The planning agent explores the system and determines which subagents to call, resolving long-term planning issues when trying different vulnerabilities. We construct a benchmark of 15 real-world vulnerabilities and show that our team of agents improve over prior work by up to 4.5×... |
Vulnerability Threat | ||
|
2024-06-17 10:41:00 | Neuterat Malware cible les utilisateurs sud-coréens via un logiciel fissuré NiceRAT Malware Targets South Korean Users via Cracked Software (lien direct) |
Des acteurs de menace ont été observés en déploiement d'un malware appelé benerat pour coopt les appareils infectés dans un botnet.
Les attaques, qui ciblent les utilisateurs sud-coréens, sont conçues pour propager les logiciels malveillants sous le couvert de logiciels fissurés, tels que Microsoft Windows, ou des outils qui prétendent offrir une vérification de licence pour Microsoft Office.
"En raison de la nature des programmes de crack, le partage d'informations entre
Threat actors have been observed deploying a malware called NiceRAT to co-opt infected devices into a botnet. The attacks, which target South Korean users, are designed to propagate the malware under the guise of cracked software, such as Microsoft Windows, or tools that purport to offer license verification for Microsoft Office. "Due to the nature of crack programs, information sharing amongst |
Malware Tool Threat | ||
 |
2024-06-17 10:00:00 | Battre la chaleur et les cyber-menaces cet été Beat the Heat and Cyber Threats This Summer (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Summer is a time for relaxation, travel, and spending quality moments with family and friends. However, it is also peak season for cybercriminals who exploit the vulnerabilities that arise during this period. Cyberattacks surge during the summer holiday season as businesses and individuals let their guard down. Many companies operate with reduced staff as employees take time off, leaving fewer eyes on critical systems and security measures. Cybersecurity teams, often stretched thin, may not be able to respond as swiftly to threats. Additionally, individuals on vacation might be more inclined to use unsecured networks, fall for enticing travel deals, or overlook phishing attempts amidst their holiday activities. The importance of staying vigilant and informed about common summer scams cannot be overstated. By understanding these threats and taking proactive steps to protect ourselves, we can enjoy our summer holidays without falling victim to these opportunistic attacks. The Surge in Summer Cyberattacks Summer sees a marked increase in cyberattacks, with statistics indicating a significant rise in incidents during this period. For instance, in June alone, cyberattacks globally surged by an alarming 60%. This increase can be attributed to several factors that make the summer season particularly attractive to cybercriminals. One primary reason is the reduction in staff across businesses as employees take their vacations. This often results in Security Operations Centers (SOCs) operating with minimal personnel, reducing the ability to monitor and respond to threats effectively. Additionally, with key cybersecurity professionals out of the office, the remaining team may struggle to maintain the same level of protection. Increased travel also plays an important role. Individuals on vacation are more likely to use unsecured networks, such as public Wi-Fi in airports, hotels, and cafes, which can expose them to cyber threats. Moreover, the general relaxation mindset that accompanies holiday activities often leads to a decrease in caution, making individuals more susceptible to scams and phishing attacks. The impact of this surge in cyberattacks is significant for both individuals and businesses. For individuals, it can mean the loss of personal information and financial assets. For businesses, these attacks can lead to data breaches, financial losses, and reputational damage. Therefore, it is crucial to remain vigilant and take preventive measures during the summer season to mitigate these risks. How to Recognize and Avoid Seasonal Cyber Threats As summer rolls around, cybercriminals ramp up their efforts to expose the relaxed and often less vigilant attitudes of individuals and businesses. Here are some of the most prevalent scams to watch out for during the summer season. Fake Travel Deals One of the most common summer scams involves fake travel deals. Cybercriminals create enticing offers for vacation packages, flights, and accommodations that seem too good to be true. These offers are often promoted through fake websites, social media ads, and phishing emails. Once victims enter their personal and financial information to book these deals, they quickly realize that the offers were fraudulent, and their information is compromised, leading to issues such as identity theft. | Malware Tool Vulnerability Threat Legislation | ||
 |
2024-06-17 05:00:43 | Du presse-papiers au compromis: un PowerShell Self-PWN From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) |
Key findings Proofpoint researchers identified an increasingly popular technique leveraging unique social engineering to run PowerShell and install malware. Researchers observed TA571 and the ClearFake activity cluster use this technique. Although the attack chain requires significant user interaction to be successful, the social engineering is clever enough to present someone with what looks like a real problem and solution simultaneously, which may prompt a user to take action without considering the risk. Overview Proofpoint has observed an increase in a technique leveraging unique social engineering that directs users to copy and paste malicious PowerShell scripts to infect their computers with malware. Threat actors including initial access broker TA571 and at least one fake update activity set are using this method to deliver malware including DarkGate, Matanbuchus, NetSupport, and various information stealers. Whether the initial campaign begins via malspam or delivered via web browser injects, the technique is similar. Users are shown a popup textbox that suggests an error occurred when trying to open the document or webpage, and instructions are provided to copy and paste a malicious script into the PowerShell terminal, or the Windows Run dialog box to eventually run the script via PowerShell. Proofpoint has observed this technique as early as 1 March 2024 by TA571, and in early April by the ClearFake cluster, as well as in early June by both clusters. Campaign Details ClearFake example Our researchers first observed this technique with the ClearFake campaign in early April and we have observed it used in every ClearFake campaign since then. ClearFake is a fake browser update activity cluster that compromises legitimate websites with malicious HTML and JavaScript. In observed campaigns, when a user visited a compromised website, the injection caused the website to load a malicious script hosted on the blockchain via Binance\'s Smart Chain contracts, a technique known as "EtherHiding". The initial script then loaded a second script from a domain that used Keitaro TDS for filtering. If this second script loaded and passed various checks, and if the victim continued to browse the website, they were presented with a fake warning overlay on the compromised website. This warning instructed them to install a "root certificate" to view the website correctly. Malicious fake warning instructing recipients to copy a PowerShell script and run it in the PowerShell Terminal. The message included instructions to click a button to copy a PowerShell script and then provided steps on how to manually run this script on the victim\'s computer. If the instructions were followed, the user executed the PowerShell by pasting it into the PowerShell command line interface window. In campaigns in May, we observed the following chain: The script performed various functions including flushing the DNS cache, removing clipboard content, displaying a decoy message to the user, and downloading a remote PowerShell script and execute it in-memory. The second PowerShell script was essentially used to download yet another PowerShell script. This third PowerShell script obtained system temperatures via WMI and, if no temperature was returned as in the case of many virtual environments and sandboxes, exited the script. However, if it continued, it led to a fourth AES-encrypted PowerShell script that downloaded a file named “data.zip” and extracted the contents to find and execute any .exe files, and then reported back to the ClearFake C2 that the installation was completed. The threat actor used ZIP\'s ability to contain any executable and bundled various legitimate, signed executables that side-loaded a trojanized DLL. This DLL used DOILoader (also known as IDAT Loader or HijackLoader) to load Lumma Stealer from an encrypted file, also included in the downloaded ZIP file. Lumma Stealer then, in addition to p | Ransomware Spam Malware Threat Prediction | ||
 |
2024-06-17 00:43:16 | Analyse du cas d'attaque Installation de VPN douce sur le serveur ERP coréen Analysis of Attack Case Installing SoftEther VPN on Korean ERP Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert un cas d'attaque où un acteur de menace a attaqué le serveur ERPd'une société coréenne et installé un serveur VPN.Dans le processus de compromis initial, l'acteur de menace a attaqué le service MS-SQL et a ensuite installé un shell Web pour maintenir la persistance et contrôler le système infecté.Ils ont ensuite finalement installé Softether VPN pour utiliser le système infecté en tant que serveur VPN.1. Les services proxy et VPN proxy et VPN sont des technologies qui ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered an attack case where a threat actor attacked the ERP server of a Korean corporation and installed a VPN server. In the initial compromise process, the threat actor attacked the MS-SQL service and later installed a web shell to maintain persistence and control the infected system. They then ultimately installed SoftEther VPN to utilize the infected system as a VPN server. 1. Proxy and VPN Services Proxy and VPN are technologies that... |
Threat | ||
|
2024-06-15 20:58:43 | Opération Celestial Force utilise des logiciels malveillants mobiles et de bureau pour cibler les entités indiennes Operation Celestial Force Employs Mobile and Desktop Malware to Target Indian Entities (lien direct) |
#### Géolocations ciblées
- Inde
#### Industries ciblées
- Base industrielle de la défense
- Informatique
- agences et services gouvernementaux
## Instantané
Les analystes de Cisco Talos ont découvert une campagne de logiciels malveillants en cours nommée "Opération Celestial Force", active depuis 2018.
## Description
Cette campagne utilise le [Gravityrat malware] (https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) pour et un chargeur Windows.Ces infections sont gérées via un outil baptisé "GravityAdmin", qui peut gérer plusieurs campagnes simultanément.Talos attribue cette campagne à un groupe de menaces pakistanais qu'ils appellent «Cosmic Leopard», qui se concentre sur l'espionnage contre les entités indiennes, en particulier dans les secteurs de la défense et du gouvernement.
La campagne utilise deux vecteurs d'infection, l'ingénierie sociale et le phishing de lance pour accéder à ses cibles.Les messages de phishing de lance Spear Phishing se compose de messages envoyés à des cibles avec un langage pertinent et des maldocs qui contiennent des logiciels malveillants tels que GravityRat.
L'autre vecteur d'infection, gagnant en popularité dans cette opération, et maintenant une tactique de base des opérations de Cosmic Leopard \\ consiste à contacter des cibles sur les réseaux sociaux, à établir la confiance avec eux et à leur envoyer un lien malveillant pour télécharger les fenêtres des fenêtres- ou GravityRat basé sur Android ou le chargeur basé sur Windows, Heavylift.
Initialement identifié en 2018, GravityRat a été utilisé pour cibler les systèmes Windows.D'ici 2019, il s'est étendu pour inclure des appareils Android.Heavylift, introduit à peu près au même moment, est un chargeur utilisé pour déployer d'autres logiciels malveillants via l'ingénierie sociale.Talos rapporte une augmentation de l'utilisation des logiciels malveillants mobiles pour l'espionnage ces dernières années.
"GravityAdmin" supervise les appareils infectés à travers divers panneaux spécifiques à la campagne.Ces campagnes, comme «Sierra», «Québec» et «Foxtrot», se caractérisent par l'utilisation de malwares Windows et Android.Cosmic Leopard utilise des tactiques telles que le phishing de lance et l'ingénierie sociale, en contactant souvent des cibles via les médias sociaux pour distribuer des logiciels malveillants.
## Détections / requêtes de chasse
** antivirus **
Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware:
- Trojan: Win32 / Gravityrat
- Trojanspy: Androidos / Grvity.a! Mtb
- Trojanspy: macOS / grvityrat.a! Mtb
- Trojan: MSIL / Gravityrat
## Les références
[Opération Celestial Force utilise un mobileD Desktop malware pour cibler les entités indiennes.] (https://blog.talosintelligence.com/cosmic-leopard/) Cisco Talos (consulté le 2024-06-14)
#### Targeted Geolocations - India #### Targeted Industries - Defense Industrial Base - Information Technology - Government Agencies & Services ## Snapshot Analysts at Cisco Talos have uncovered an ongoing malware campaign named "Operation Celestial Force," active since 2018. ## Description This campaign employs the [GravityRAT malware](https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) for Android and a Windows-based loader called "HeavyLift." These infections are managed through a tool dubbed "GravityAdmin," which can handle multiple campaigns simultaneously. Talos attributes this campaign to a Pakistani threat group they call "Cosmic Leopard," which focuses on espionage against Indian entities, especially in defense and government sectors. The campaign uses two infection vectors, social engineering and spear phishing to gain access to its targets. Spe |
Malware Tool Threat Mobile Industrial | ||
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-06-15 15:21:00 | Grandoreiro Banking Trojan frappe le Brésil alors que les escroqueries shumsaient au Pakistan Grandoreiro Banking Trojan Hits Brazil as Smishing Scams Surge in Pakistan (lien direct) |
Le Pakistan est devenu la dernière cible d'un acteur de menace appelé la triade de smirs, marquant la première expansion de son empreinte au-delà de l'UE, de l'Arabie saoudite, des États-Unis, et des États-Unis et des États-Unis.
"La dernière tactique du groupe \\ consiste à envoyer des messages malveillants au nom du Pakistan Post aux clients des opérateurs de mobiles via iMessage et SMS", a déclaré Resecurity dans un rapport publié plus tôt cette semaine."Le but est
Pakistan has become the latest target of a threat actor called the Smishing Triad, marking the first expansion of its footprint beyond the E.U., Saudi Arabia, the U.A.E., and the U.S. "The group\'s latest tactic involves sending malicious messages on behalf of Pakistan Post to customers of mobile carriers via iMessage and SMS," Resecurity said in a report published earlier this week. "The goal is |
Threat Mobile | ||
|
2024-06-15 13:43:00 | Les pirates pakistanais utilisent des logiciels malveillants Disgomoji dans les cyberattaques du gouvernement indien Pakistani Hackers Use DISGOMOJI Malware in Indian Government Cyber Attacks (lien direct) |
Un acteur de menace basé au Pakistan présumé a été lié à une campagne de cyber-espionnage ciblant les entités gouvernementales indiennes en 2024.
La volexité de la société de cybersécurité suit l'activité sous le surnom UTA0137, notant l'utilisation exclusive de l'adversaire d'un logiciel malveillant appelé Disgomoji qui est écrit en Golang et est conçu pour infecter les systèmes Linux.
"C'est une version modifiée du projet public
A suspected Pakistan-based threat actor has been linked to a cyber espionage campaign targeting Indian government entities in 2024. Cybersecurity company Volexity is tracking the activity under the moniker UTA0137, noting the adversary\'s exclusive use of a malware called DISGOMOJI that\'s written in Golang and is designed to infect Linux systems. "It is a modified version of the public project |
Malware Threat | ||
|
2024-06-14 19:55:40 | \\ 'Sleepy Pickle \\' Exploit Poisons Subtly Modèles ML \\'Sleepy Pickle\\' Exploit Subtly Poisons ML Models (lien direct) |
Un modèle peut être parfaitement innocent, mais toujours dangereux si les moyens par lesquels il est emballé et déballé sont entachés.
A model can be perfectly innocent, yet still dangerous if the means by which it\'s packed and unpacked are tainted. |
Threat | ||
|
2024-06-14 19:48:20 | Kimsuky nord-coréen fabricant d'armes d'attaque en Europe North Korean Kimsuky Attacking Arms Manufacturer In Europe (lien direct) |
#### Géolocations ciblées
- Europe de l'Ouest
#### Industries ciblées
- Fabrication critique
## Instantané
Un chercheur à la menace de Blackberry, Dmitry Melikov, a publié un article sur LinkedIn identifiant que le groupe nord-coréen parrainé par l'État Kimsuky a lancé une campagne de cyber-espionnage ciblant un fabricant d'armes d'Europe occidentale.
## Description
L'attaque a commencé par un e-mail de phisseur de lance contenant un fichier JavaScript malveillant, déguisé en document de description de travail légitime de General Dynamics.Lors de l'ouverture du fichier, le code JavaScript a décodé deux blocs de données Base64, exécutant une charge utile malveillante en arrière-plan.L'outil d'espionnage a fourni à l'attaquant des capacités telles que l'exfiltration d'informations, la capture de captures d'écran et l'établissement de connexions de socket.L'infrastructure C2 a révélé un chevauchement important avec les opérations connues de Kimsuky, conduisant à une évaluation de confiance élevée que Kimsuky est derrière cette campagne.
Cette attaque souligne les risques croissants et les implications géopolitiques potentielles de la cyber-guerre ciblant les industries militaires essentielles, soulignant la nécessité de mesures de cybersécurité accrue dans le secteur de la défense.Le groupe Kimsuky devrait continuer à cibler les entités militaires et aérospatiales dans le monde entier, nécessitant une vigilance et une surveillance continues.
## Les références
[Kimsuky cible un fabricant d'armes en Europe.] (Https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2fgtbajkvumcz%2bfuihobxja%3d%3d) LinkedIn (consulté 2024-06-10)
[Kimsuky nord-coréen Attacking Arms fabricant en Europe.] (Https://gbhackers.com/north-korean-kimsuky-attacking/) gbhackers (consulté en 2024-06-10)
#### Targeted Geolocations - Western Europe #### Targeted Industries - Critical Manufacturing ## Snapshot A threat researcher at BlackBerry, Dmitry Melikov, posted an article on LinkedIn identifying that the North Korean state-sponsored group Kimsuky launched a cyber-espionage campaign targeting a Western European weapons manufacturer. ## Description The attack began with a spear-phishing email containing a malicious JavaScript file, disguised as a legitimate job description document from General Dynamics. Upon opening the file, the JavaScript code decoded two base64 data blocks, executing a malicious payload in the background. The espionage tool provided the attacker with capabilities such as exfiltrating information, capturing screenshots, and establishing socket connections. The C2 infrastructure revealed significant overlap with known Kimsuky operations, leading to a high-confidence assessment that Kimsuky is behind this campaign. This attack underscores the escalating risks and potential geopolitical implications of cyber warfare targeting essential military industries, highlighting the need for heightened cybersecurity measures in the defense sector. The Kimsuky group is expected to continue targeting military and aerospace-related entities worldwide, necessitating ongoing vigilance and monitoring. ## References [Kimsuky is targetting an arms manufacturer in Europe.](https://www.linkedin.com/pulse/kimsuky-targeting-arms-manufacturer-europe-dmitry-melikov-dquge/?trackingId=%2FGtBajKvuMCZ%2BFUIHObXjA%3D%3D) LinkedIn (accessed 2024-06-10) [North Korean Kimsuky Attacking Arms Manufacturer In Europe.](https://gbhackers.com/north-korean-kimsuky-attacking/) GBHackers (accessed 2024-06-10) |
Tool Threat | ||
|
2024-06-14 12:15:00 | Les pirates nord-coréens ciblent la fintech brésilien avec des tactiques de phishing sophistiquées North Korean Hackers Target Brazilian Fintech with Sophisticated Phishing Tactics (lien direct) |
Les acteurs de menace liés à la Corée du Nord représentent un tiers de toutes les activités de phishing ciblant le Brésil depuis 2020, car l'émergence du pays en tant que pouvoir influent a attiré l'attention des groupes de cyber-espionnage.
"Les acteurs soutenus par le gouvernement nord-coréen ont ciblé le gouvernement brésilien et les secteurs de l'aérospatiale, de la technologie et des services financiers du Brésil"
Threat actors linked to North Korea have accounted for one-third of all the phishing activity targeting Brazil since 2020, as the country\'s emergence as an influential power has drawn the attention of cyber espionage groups. "North Korean government-backed actors have targeted the Brazilian government and Brazil\'s aerospace, technology, and financial services sectors," Google\'s Mandiant and |
Threat | ★★ | |
|
2024-06-14 07:57:42 | Techniques d'évasion de la défense Linux détectées par Ahnlab EDR (1) Linux Defense Evasion Techniques Detected by AhnLab EDR (1) (lien direct) |
Généralement, des organisations telles que les instituts et les entreprises utilisent divers produits de sécurité pour prévenir les menaces de sécurité.Pour les seuls systèmes de point de terminaison, il n'y a pas seulement des solutions anti-malware mais aussi des pare-feu, des solutions de défense appropriées et des produits tels que EDR.Même dans les environnements utilisateur généraux sans organisations distinctes responsables de la sécurité, la plupart d'entre elles ont des produits de sécurité de base installés.En tant que tels, les acteurs de la menace utilisent des techniques d'évasion de défense à la suite du compromis initial pour contourner la détection des produits de sécurité.La forme la plus simple consiste à contourner le ...
Generally, organizations such as institutes and companies use various security products to prevent security threats. For endpoint systems alone, there are not only anti-malware solutions but also firewalls, APT defense solutions, and products such as EDR. Even in general user environments without separate organizations responsible for security, most of them have basic security products installed. As such, threat actors use defense evasion techniques following the initial compromise to bypass the detection of security products. The simplest form is bypassing the... |
Threat | ★★ | |
|
2024-06-14 00:51:03 | New Warmcookie Windows Backdoor poussée via de fausses offres d'emploi New Warmcookie Windows backdoor pushed via fake job offers (lien direct) |
## Instantané Elastic Security Labs a identifié un nouveau logiciel malveillant Windows appelé "Warmcookie" distribué via de fausses campagnes de phishing pour compromettre les réseaux d'entreprise. ## Description Les e-mails de phishing contiennent des liens vers des pages de destination trompeuses, ce qui a incité les victimes à télécharger un fichier JavaScript obscurci qui exécute finalement la charge utile de chaleur.Une fois exécuté, Warmcookie établit une communication avec son serveur de commande et de contrôle (C2) et commence à collecter des informations sur les victimes, à capturer des captures d'écran, à exécuter des commandes arbitraires et à supprimer des fichiers sur des répertoires spécifiés.Warmcookie utilise diverses techniques telles que les calculs de somme de contrôle CRC32, le cryptage RC4 et la communication HTTP pour la commande et le contrôle. En juin 2024, la campagne est en cours et les acteurs de la menace créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.Selon Elastic Security Labs, Warmcookie gagne en popularité et est utilisé dans des campagnes ciblant les utilisateurs du monde entier. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win64 / Midie] (HTTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription? name = trojan: win64 / midie.gxz! mtb & menaced = -2147058392) ## Concernantfélicitations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection dans les e-mails entrants dans Microsoft Exchange Online Protection (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), qui identifie et bloque les sites Web malveillants malveillants, y compris les sites de phishing, les sites d'arnaque et les sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/cloud-potection-microsoft-defender-asvirus) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus àCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defe | Malware Tool Threat | ★★★ | |
|
2024-06-13 19:25:00 | Arid Viper lance une campagne d'espionnage mobile avec des logiciels malveillants aridspy Arid Viper Launches Mobile Espionage Campaign with AridSpy Malware (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper a été attribué à une campagne d'espionnage mobile qui exploite des applications Android trojanisées pour offrir une souche spyware baptisé AridSpy.
"Le logiciel malveillant est distribué via des sites Web dédiés imitant diverses applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien", a déclaré aujourd'hui le chercheur ESET LUK & AACUTE; Š štefanko dans un rapport publié aujourd'hui."Souvent
The threat actor known as Arid Viper has been attributed to a mobile espionage campaign that leverages trojanized Android apps to deliver a spyware strain dubbed AridSpy. "The malware is distributed through dedicated websites impersonating various messaging apps, a job opportunity app, and a Palestinian Civil Registry app," ESET researcher Lukáš Štefanko said in a report published today. "Often |
Malware Threat Mobile | APT-C-23 | ★★★ |
 |
2024-06-13 19:17:27 | Truist Bank confirme la violation après que les données volées apparaissent sur le forum de piratage Truist Bank confirms breach after stolen data shows up on hacking forum (lien direct) |
La principale banque commerciale américaine Truist a confirmé que ses systèmes avaient été violés dans une cyberattaque d'octobre 2023 après qu'un acteur de menace a publié certaines des données de la société à vendre sur un forum de piratage.[...]
Leading U.S. commercial bank Truist confirmed its systems were breached in an October 2023 cyberattack after a threat actor posted some of the company\'s data for sale on a hacking forum. [...] |
Threat Commercial | ★★ | |
|
2024-06-13 19:16:14 | POC Exploit émerge pour le bug de RCE critique dans le gestionnaire de points de terminaison Ivanti PoC Exploit Emerges for Critical RCE Bug in Ivanti Endpoint Manager (lien direct) |
Un nouveau mois, un nouveau bug Ivanti à haut risque pour les attaquants à exploiter - cette fois, un problème d'injection SQL dans son gestionnaire de point final centralisé.
A new month, a new high-risk Ivanti bug for attackers to exploit - this time, an SQL injection issue in its centralized endpoint manager. |
Threat | ★★ | |
|
2024-06-13 18:56:16 | Le grésil de la pierre de lune de la Corée du Nord élargit la distribution du code malveillant North Korea\\'s Moonstone Sleet Widens Distribution of Malicious Code (lien direct) |
L'acteur de menace récemment identifié utilise des registres publics pour la distribution et a élargi les capacités pour perturber la chaîne d'approvisionnement des logiciels.
The recently identified threat actor uses public registries for distribution and has expanded capabilities to disrupt the software supply chain. |
Threat | ★★ | |
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-06-13 18:05:49 | Deux campagnes récentes du Brésil et de la Corée exploitant des services cloud légitimes Two Recent Campaigns from Brazil and Korea Exploiting Legitimate Cloud Services (lien direct) |
> L'exploitation des services cloud est une arme flexible entre les mains des attaquants, si flexible que nous découvrons de nouvelles campagnes abusant quotidiennement des applications légitimes.Que les acteurs de la menace soient motivés par la cybercriminalité ou le cyberespionnage, ils continuent de cibler différents publics dans différentes régions géographiques du monde, exploitant différents services dans différents [& # 8230;]
>The exploitation of cloud services is a flexible weapon in the hands of attackers, so flexible that we uncover new campaigns abusing legitimate apps on a daily basis. Whether threat actors are driven by cybercrime or cyberespionage, they continue to target different audiences in different geographical regions of the world, exploiting different services in different […] |
Threat Cloud | ★★★ | |
 |
2024-06-13 16:47:27 | Nouvelle alerte de menace mobile & # 8211;Opération céleste avant New Mobile Threat Alert – Operation Celestial Fore (lien direct) |
> Dans ce blog, Zimperium partage des détails sur la campagne de logiciels malveillants ciblés par mobile nommé l'opération Celestial Force, attribuée aux acteurs de menace liés au Pakistan.Lisez le blog pour plus.
>In this blog, Zimperium shares details about the mobile-targeted malware campaign named Operation Celestial Force, attributed to threat actors linked to Pakistan. Read the blog for more. |
Malware Threat Mobile | ★★ | |
 |
2024-06-13 16:27:55 | Les logiciels malveillants de Disgomoji ciblent le gouvernement indien DISGOMOJI Malware Used to Target Indian Government (lien direct) |
> Remarque: Volexity a signalé l'activité décrite dans ce blog et les détails des systèmes impactés sur CERT au National Informatics Center (NIC) en Inde.En 2024, Volexity a identifié une campagne de cyber-espionnage entrepris par un acteur de menace présumé basé au Pakistan que Volexité suit actuellement en vertu de l'alias UTA0137.Les logiciels malveillants utilisés dans ces campagnes récentes, que la volexité suit comme Disgomoji, est écrite en Golang et compilée pour les systèmes Linux.La volexité évalue avec une grande confiance que l'UTA0137 a des objectifs liés à l'espionnage et une remise pour cibler les entités gouvernementales en Inde.Sur la base de l'analyse de volexity \\, les campagnes d'UTA0137 \\ semblent avoir réussi.Disgomoji semble être exclusivement utilisé par UTA0137.Il s'agit d'une version modifiée du projet public Discord-C2, qui utilise le service de messagerie Discord pour la commande et le contrôle (C2), utilisant des emojis pour sa communication C2.L'utilisation de logiciels malveillants Linux pour un accès initial associé à des documents leurres (suggérant un [& # 8230;]
>Note: Volexity has reported the activity described in this blog and details of the impacted systems to CERT at the National Informatics Centre (NIC) in India. In 2024, Volexity identified a cyber-espionage campaign undertaken by a suspected Pakistan-based threat actor that Volexity currently tracks under the alias UTA0137. The malware used in these recent campaigns, which Volexity tracks as DISGOMOJI, is written in Golang and compiled for Linux systems. Volexity assesses with high confidence that UTA0137 has espionage-related objectives and a remit to target government entities in India. Based on Volexity\'s analysis, UTA0137\'s campaigns appear to have been successful. DISGOMOJI appears to be exclusively used by UTA0137. It is a modified version of the public project discord-c2, which uses the messaging service Discord for command and control (C2), making use of emojis for its C2 communication. The use of Linux malware for initial access paired with decoy documents (suggesting a […] |
Malware Threat | ★★★ | |
|
2024-06-13 15:56:00 | La campagne de logiciels malveillants liée au Pakistan évolue vers des cibles Windows, Android et MacOS Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS (lien direct) |
Les acteurs de menace ayant des liens avec le Pakistan sont liés à une campagne de logiciels malveillants de longue date surnommée l'opération Celestial Force depuis au moins 2018.
L'activité, toujours en cours, implique l'utilisation d'un logiciel malveillant Android appelé GravityRat et d'un chargeur de logiciels malveillants basé sur Windows, nommé Heavylift, selon Cisco Talos, qui sont administrés à l'aide d'un autre outil autonome appelé GravityAdmin.
Le
Threat actors with ties to Pakistan have been linked to a long-running malware campaign dubbed Operation Celestial Force since at least 2018. The activity, still ongoing, entails the use of an Android malware called GravityRAT and a Windows-based malware loader codenamed HeavyLift, according to Cisco Talos, which are administered using another standalone tool referred to as GravityAdmin. The |
Malware Tool Threat Mobile | ★★★ | |
|
2024-06-13 14:32:14 | Panera met en garde contre la violation des données des employés après l'attaque des ransomwares de mars Panera warns of employee data breach after March ransomware attack (lien direct) |
Le géant de la chaîne alimentaire américaine Panera Bread informe les employés d'une violation de données après que des acteurs de menace inconnus ont volé leurs informations personnelles sensibles dans une attaque de ransomware de mars.[...]
U.S. food chain giant Panera Bread is notifying employees of a data breach after unknown threat actors stole their sensitive personal information in a March ransomware attack. [...] |
Ransomware Data Breach Threat | ★★ | |
|
2024-06-13 14:30:35 | Microsoft, en retard au jeu sur une défaite dangereuse DNSSEC Zero-Day Microsoft, Late to the Game on Dangerous DNSSEC Zero-Day Flaw (lien direct) |
La raison pour laquelle la société a mis si longtemps à résoudre le problème n'est pas connue étant donné que la plupart des autres parties prenantes ont eu un correctif pour le problème il y a des mois.
Why the company took so long to address the issue is not known given that most other stakeholders had a fix out for the issue months ago. |
Vulnerability Threat | ★★★ | |
|
2024-06-13 14:00:00 | UNC3944 cible les applications SaaS UNC3944 Targets SaaS Applications (lien direct) |
Introduction
UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.
Initially, UNC3944 focused on credential harvesting and SIM swapping attacks in their operations, eventually migrating to ransomware and data theft extortion. However, recently, UNC3944 has shifted to primarily data theft extortion without the use of ransomware. This change in objectives has precipitated an expansion of targeted industries and organizations as evidenced by Mandiant investigations.
Evidence also suggests UNC3944 has occasionally resorted to fearmongering tactics to gain access to victim credentials. These tactics include threats of doxxing personal information, physical harm to victims and their families, and the distribution of compromising material.
This blog post aims to spotlight UNC3944\'s attacks against SaaS applications, providing insights into the group\'s evolving TTPs in line with its shifting mission objectives.
Tactics, Techniques, and Procedures (TTPs)
Figure 1: UNC3944 attack lifecycle
Mandiant has observed UNC3944 in multiple engagements leveraging social engineering techniques against corporate help desks to gain initial access to existing privileged accounts. Mandiant has analyzed several forensic recordings of these call center attacks, and of the observed r |
Ransomware Tool Threat Cloud | ★★★ | |
|
2024-06-13 13:00:46 | Comment le moteur à émulation de menace de menace de menace empêche les attaques de chargement de touche de la DLL (Trojan) How ThreatCloud AI\\'s Threat Emulation Engine Prevents DLL Sideloading (Trojan) Attacks (lien direct) |
> Une nouvelle attaque sophistiquée de logiciels malveillants / trojan est conçue pour voler des informations d'identification de connexion et des informations sur les cartes de crédit des systèmes de paiement, des banques et des échanges de crypto.Cette attaque trompe les applications commerciales légitimes dans l'exécution des fichiers de bibliothèque de liens dynamiques compromis mais innocents (DLL) & # 8212;Rendant les choses très difficiles à détecter et à bloquer.La charge de touche DLL est une technique utilisée par les cybercriminels pour exécuter du code malveillant sur un système cible en exploitant la façon dont Windows charge les bibliothèques de liens dynamiques (DLL).Ce blog explore comment les moteurs à émulation de menace avancés de Check Point \\, qui font partie de l'infini menacecloud AI, ont détecté et empêché une attaque de téléchargement de DLL contre l'un de nos clients.[& # 8230;]
>A sophisticated new malware/trojan attack is designed to steal login credentials and credit card information from payment systems, banks and crypto exchanges. This attack tricks legitimate business applications into running compromised but innocent-looking dynamic link library (DLL) files — making it very difficult to detect and block. DLL sideloading is a technique used by cybercriminals to execute malicious code on a target system by exploiting the way Windows loads dynamic link libraries (DLLs). This blog explores how Check Point\'s advanced Threat Emulation engines, part of Infinity ThreatCloud AI, detected and prevented a DLL Sideloading attack on one of our customers. […] |
Malware Threat | ★★★ | |
|
2024-06-13 12:38:00 | Google prévient la sécurité de la sécurité du micrologiciel Pixel exploitée comme zéro-jour Google Warns of Pixel Firmware Security Flaw Exploited as Zero-Day (lien direct) |
Google a averti qu'un défaut de sécurité ayant un impact sur le micrologiciel Pixel a été exploité dans la nature comme un jour zéro.
La vulnérabilité à haute sévérité, étiquetée comme CVE-2024-32896, a été décrite comme une élévation du problème de privilège dans le micrologiciel Pixel.
La société n'a partagé aucun détail supplémentaire lié à la nature des attaques qui l'exploitant, mais a noté "Il y a des indications que le CVE-2024-32896 peut être
Google has warned that a security flaw impacting Pixel Firmware has been exploited in the wild as a zero-day. The high-severity vulnerability, tagged as CVE-2024-32896, has been described as an elevation of privilege issue in Pixel Firmware. The company did not share any additional details related to the nature of attacks exploiting it, but noted "there are indications that CVE-2024-32896 may be |
Vulnerability Threat | ★★★ | |
|
2024-06-13 12:19:26 | L'ancien employé indien emprisonné pour avoir essuyé 180 serveurs virtuels à Singapour Indian Ex-Employee Jailed for Wiping 180 Virtual Servers in Singapore (lien direct) |
Un employé licencié a supprimé les serveurs de son employeur, provoquant une perte financière majeure.Découvrez la menace croissante des ex-employés mécontents et comment les entreprises peuvent se protéger de cette menace.
A terminated employee deleted his employer\'s servers, causing major financial loss. Read about the growing threat of disgruntled ex-employees and how companies can protect themselves from this threat. |
Threat Legislation | ★★ | |
|
2024-06-13 11:55:00 | Nouveau logiciel malveillant multiplateforme \\ 'Noodle Rat \\' cible Windows et Linux Systems New Cross-Platform Malware \\'Noodle RAT\\' Targets Windows and Linux Systems (lien direct) |
Un rat de nouilles de logiciels malveillants multiplateforme précédemment sans papiers a été utilisé par des acteurs de menace de langue chinois pour l'espionnage ou la cybercriminalité pendant des années.
Bien que cette porte dérobée ait été précédemment classée comme une variante de GH0st Rat et Rekoobe, le chercheur de micro-sécurité tendance, Hara Hiroaki, a déclaré que "cette porte dérobée n'est pas simplement une variante de logiciels malveillants existants, mais est un nouveau type".
A previously undocumented cross-platform malware codenamed Noodle RAT has been put to use by Chinese-speaking threat actors either for espionage or cybercrime for years. While this backdoor was previously categorized as a variant of Gh0st RAT and Rekoobe, Trend Micro security researcher Hara Hiroaki said "this backdoor is not merely a variant of existing malware, but is a new type altogether." |
Malware Threat Prediction | ★★ | |
 |
2024-06-13 11:03:53 | Conduire dans les pilotes Android Driving forward in Android drivers (lien direct) |
Posted by Seth Jenkins, Google Project ZeroIntroduction Android\'s open-source ecosystem has led to an incredible diversity of manufacturers and vendors developing software that runs on a broad variety of hardware. This hardware requires supporting drivers, meaning that many different codebases carry the potential to compromise a significant segment of Android phones. There are recent public examples of third-party drivers containing serious vulnerabilities that are exploited on Android. While there exists a well-established body of public (and In-the-Wild) security research on Android GPU drivers, other chipset components may not be as frequently audited so this research sought to explore those drivers in greater detail.Driver Enumeration: Not as Easy as it Looks This research focused on three Android devices (chipset manufacturers in parentheses): - Google Pixel 7 (Tensor) - Xiaomi 11T (MediaTek) - Asus ROG 6D (MediaTek) In order to perform driver research on these devices I first had to find all of the kernel drivers that were accessible from an unprivileged context on each device; a task complicated by the non-uniformity of kernel drivers (and their permissions structures) across different devices even within the same chipset manufacturer. There are several different methodologies for discovering these drivers. The most straightforward technique is to search the associated filesystems looking for exposed driver device files. These files serve as the primary method by which userland can interact with the driver. Normally the “file” is open’d by a userland process, which then uses a combination of read, write, ioctl, or even mmap to interact with the driver. The driver then “translates” those interactions into manipulations of the underlying hardware device sending the output of that device back to userland as warranted. Effectively all drivers expose their interfaces through the ProcFS or DevFS filesystems, so I focused on the /proc and /dev directories while searching for viable attack surfaces. Theoretically, evaluating all the userland accessible drivers should be as simple as calling find /dev or find /proc, attempting to open every file discovered, and logging which open | Tool Vulnerability Threat Patching Mobile Technical | ★★★ |
To see everything:
Our RSS (filtrered)
