What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ||
 |
2024-05-31 21:00:00 | Des milliers d'appareils orientés Internet vulnérables à vérifier le point de vue du point zéro Thousands of internet-facing devices vulnerable to Check Point VPN zero-day (lien direct) |
## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Vulnerability Threat | ||
 |
2024-05-31 20:11:38 | Lilacsquid APT utilise des outils open source, Quasarrat LilacSquid APT Employs Open Source Tools, QuasarRAT (lien direct) |
L'acteur de menace inconnu utilise des outils similaires à ceux utilisés par les groupes d'APT nord-coréens, selon Cisco Talos.
The previously unknown threat actor uses tools similar to those used by North Korean APT groups, according to Cisco Talos. |
Tool Threat | ||
 |
2024-05-31 19:12:00 | Microsoft met en garde contre la surtension des cyberattaques ciblant les appareils OT exposés à Internet Microsoft Warns of Surge in Cyber Attacks Targeting Internet-Exposed OT Devices (lien direct) |
Microsoft a souligné la nécessité de sécuriser les appareils de technologie opérationnelle (OT) exposés à Internet suite à une série de cyberattaques ciblant ces environnements depuis la fin 2023.
"Ces attaques répétées contre les appareils OT mettent l'accent sur le besoin crucial d'améliorer la posture de sécurité des appareils OT et d'empêcher les systèmes critiques de devenir des cibles faciles", a déclaré l'équipe Microsoft Threat Intelligence.
Microsoft has emphasized the need for securing internet-exposed operational technology (OT) devices following a spate of cyber attacks targeting such environments since late 2023. "These repeated attacks against OT devices emphasize the crucial need to improve the security posture of OT devices and prevent critical systems from becoming easy targets," the Microsoft Threat Intelligence team said. |
Threat Industrial | ||
|
2024-05-31 16:30:00 | Au-delà de la détection des menaces & # 8211;Une course à la sécurité numérique Beyond Threat Detection – A Race to Digital Security (lien direct) |
Le contenu numérique est une épée à double tranchant, offrant de vastes avantages tout en constituant simultanément des menaces importantes pour les organisations du monde entier.Le partage du contenu numérique a considérablement augmenté ces dernières années, principalement par e-mail, les documents numériques et le chat.À son tour, cela a créé une vaste surface d'attaque et a fait du contenu numérique \\ 'le porteur préféré des cybercriminels
Digital content is a double-edged sword, providing vast benefits while simultaneously posing significant threats to organizations across the globe. The sharing of digital content has increased significantly in recent years, mainly via email, digital documents, and chat. In turn, this has created an expansive attack surface and has made \'digital content\' the preferred carrier for cybercriminals |
Threat | ||
|
2024-05-31 15:40:00 | Les pirates russes ciblent l'Europe avec des logiciels malveillants de tête et la récolte d'identification Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting (lien direct) |
L'acteur de menace russe soutenu par GRU APT28 a été attribué comme derrière une série de campagnes ciblant les réseaux à travers l'Europe avec les logiciels malveillants de tête et les pages Web de récolte des informations d'identification.
APT28, également connu sous les noms Bledelta, Fancy Bear, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe avancé de menace persistante (APT) affiliée à
The Russian GRU-backed threat actor APT28 has been attributed as behind a series of campaigns targeting networks across Europe with the HeadLace malware and credential-harvesting web pages. APT28, also known by the names BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, and TA422, is an advanced persistent threat (APT) group affiliated with |
Malware Threat | APT 28 | ★★★ |
 |
2024-05-31 15:21:41 | La note de l'analyste HHS \\ 'HC3 met en garde contre la menace croissante des attaques DDOS dans la cybersécurité du secteur de la santé HHS\\' HC3 analyst note warns of growing threat of DDoS attacks in health sector cybersecurity (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) dans le département américain de la santé & # 38;Services humains (HHS) publiés ...
>The Health Sector Cybersecurity Coordination Center (HC3) in the U.S. Department of Health & Human Services (HHS) published... |
Threat | ||
|
2024-05-31 14:00:00 | Confidentialité des données à l'ère du Genai Data Privacy in the Age of GenAI (lien direct) |
Les données sur les consommateurs sont toujours une cible principale pour les acteurs de la menace, et la consommation organisationnelle de données doit être alignée sur la protection.La nouvelle loi sur les droits cherche à en faire une partie, mais elle a encore besoin de peaufinage.
Consumer data is still a prime target for threat actors, and organizational consumption of data must be aligned to protecting it. The new rights act seeks to do some of this, but it still needs tweaking. |
Threat | ||
 |
2024-05-31 11:47:00 | Shinyhunters affirme que Santander Breach, vendant des données pour 30 millions de clients ShinyHunters claims Santander breach, selling data for 30M customers (lien direct) |
Un acteur de menace connu sous le nom de Shinyhunters prétend vendre une massive de données bancaires de Santander, y compris des informations pour 30 millions de clients, les employés et les données du compte bancaire, deux semaines après que la banque a annoncé une violation de données.[...]
A threat actor known as ShinyHunters is claiming to be selling a massive trove of Santander Bank data, including information for 30 million customers, employees, and bank account data, two weeks after the bank reported a data breach. [...] |
Data Breach Threat | ||
 |
2024-05-31 10:28:35 | L'acteur de menace mystérieuse a utilisé des logiciels malveillants Chalubo pour brique 600 000 routeurs Mysterious Threat Actor Used Chalubo Malware to Brick 600,000 Routers (lien direct) |
> Plus de 600 000 routeurs SOHO appartenant à un seul FAI et infectés par le chalussier chalubo ont été rendus inopérables.
>Over 600,000 SOHO routers belonging to a single ISP and infected with the Chalubo trojan were rendered inoperable. |
Malware Threat | ||
 |
2024-05-31 09:00:00 | # Infosec2024: Pourquoi la cybersécurité est essentielle pour les Jeux olympiques de Paris 2024 #Infosec2024: Why Cybersecurity is Critical for the 2024 Paris Olympics (lien direct) |
Le grand volume de participants mélangés à des infrastructures interconnectées offre aux acteurs des menaces de faire des ravages pendant les Jeux olympiques de Paris
The large volume of attendees mixed with interconnected infrastructure provides opportunities for threat actors to wreak havoc during the Paris Olympics |
Threat | ★★★ | |
 |
2024-05-31 06:27:09 | Équipage de phishing Flyingyeti ancré après abominable les attaques ukrainiennes FlyingYeti phishing crew grounded after abominable Ukraine attacks (lien direct) |
gang aligné par le Kremlin a utilisé des ressources Cloudflare et GitHub, et ils n'ont pas aimé que l'équipe Intel de la menace de Cloud de la menace \\ ait prétendu avoir contrecarré un phishing et un espionnage d'un moisAttaque ciblant l'Ukraine qu'elle a attribuée au gang aligné par la Russie Flyetyeti.…
Kremlin-aligned gang used Cloudflare and GitHub resources, and they didn\'t like that one bit Cloudflare\'s threat intel team claims to have thwarted a month-long phishing and espionage attack targeting Ukraine which it has attributed to Russia-aligned gang FlyingYeti.… |
Threat | ★★★ | |
|
2024-05-30 22:07:00 | Flyetyeti exploite la vulnérabilité Winrar pour livrer des logiciels malveillants de boîte de cuisine en Ukraine FlyingYeti Exploits WinRAR Vulnerability to Deliver COOKBOX Malware in Ukraine (lien direct) |
Cloudflare a déclaré jeudi qu'il avait pris des mesures pour perturber une campagne de phishing d'un mois orchestrée par un acteur de menace aligné par la Russie appelé Flyetyeti ciblant l'Ukraine.
"La campagne Flyetyeti a capitalisé sur l'anxiété concernant la perte potentielle d'accès au logement et aux services publics en attirant des cibles pour ouvrir des fichiers malveillants via des leurres sur le thème de la dette"
Cloudflare on Thursday said it took steps to disrupt a month-long phishing campaign orchestrated by a Russia-aligned threat actor called FlyingYeti targeting Ukraine. "The FlyingYeti campaign capitalized on anxiety over the potential loss of access to housing and utilities by enticing targets to open malicious files via debt-themed lures," Cloudflare\'s threat intelligence team Cloudforce One |
Malware Vulnerability Threat | ★★★ | |
|
2024-05-30 21:10:58 | Perturber les utilisations trompeuses de l'IA par les opérations d'influence secrètes Disrupting deceptive uses of AI by covert influence operations (lien direct) |
## Instantané
OpenAI a réussi à perturber plusieurs opérations d'influence secrète (iOS) en tirant parti des modèles d'IA pour les activités trompeuses, présentant des tendances et des mesures défensives que les praticiens de la cybersécurité peuvent utiliser pour lutter contre ces menaces.
## Description
Au cours des trois derniers mois, Openai a contrecarré cinq iOS secrètes qui ont exploité ses modèles pour générer divers types de contenu, des commentaires sur les réseaux sociaux aux articles longs, dans plusieurs langues.Ces opérations proviennent de pays tels que la Russie, la Chine, l'Iran et Israël, et ont ciblé divers problèmes géopolitiques tels que l'invasion de l'Ukraine par la Russie, le conflit à Gaza et la politique en Europe et aux États-Unis.Malgré ces efforts, les campagnes d'influence n'ont pas atteint un engagement important du public, car aucun n'a marqué plus d'un 2 sur l'échelle de Brookings \\ ', indiquant un impact minimal.Les opérations ont combiné le contenu généré par l'IA avec des médias traditionnels et visaient à simuler l'engagement plutôt que d'attirer des interactions authentiques.
OpenAI a identifié quatre tendances clés dans la façon dont les opérations d'influence secrètes ont récemment utilisé des modèles d'IA.Premièrement, la génération de contenu: ces acteurs de menace ont utilisé des services OpenAI pour produire du texte (et parfois des images) dans des volumes plus importants et avec moins d'erreurs linguistiques que les opérateurs humains pourraient réaliser seuls.Deuxièmement, le mélange ancien et nouveau: Bien que l'IA ait été habituée dans une certaine mesure dans toutes les opérations, elle n'a pas été utilisée exclusivement.Au lieu de cela, le contenu généré par l'IA était l'un des nombreux types de contenu affichés, aux côtés de formats traditionnels comme des textes ou des mèmes écrits manuellement provenant d'Internet.Troisièmement, truquer l'engagement: certains réseaux ont utilisé les services d'Openai \\ pour simuler l'engagement des médias sociaux, générant des réponses à leurs propres messages.Cependant, cela ne s'est pas traduit par un véritable engagement, ce qu'aucun de ces réseaux n'a réussi à réaliser de manière significative.Enfin, les gains de productivité: de nombreux acteurs de menace ont utilisé les services d'Openai \\ pour stimuler l'efficacité, par exemple en résumant les publications sur les réseaux sociaux ou le code de débogage.
Pour les praticiens de la cybersécurité, il est crucial de comprendre les tendances opérationnelles de ces iOS.Les stratégies défensives contre une telle utilisation abusive comprennent la mise en œuvre de systèmes de sécurité robustes dans les modèles d'IA, qui peuvent empêcher la génération de contenu malveillant et exploiter des outils améliorés par l'IA pour rationaliser les enquêtes.Le partage des indicateurs de menaces et des informations au sein de l'industrie s'avère également vitaux pour amplifier l'impact des perturbations.Les praticiens doivent rester vigilants de l'élément humain de ces opérations, car les attaquants sont sujets à des erreurs qui peuvent être exploitées pour la détection et l'atténuation.En adoptant ces stratégies, les professionnels de la cybersécurité peuvent mieux se défendre contre les opérations sophistiquées d'influence sur l'IA.
En savoir plus sur la façon dont Microsoft est [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef).
## Les références
[Perturbant les utilisations trompeuses de l'IA par les opérations d'influence secrètes] (https://openai.com/index/disrupting-deceptive-uses-of-ai-by-covert-influence-operations/).OpenAI (consulté en 2024-05-30)
## Snapshot OpenAI has successfully disrupted multiple covert influence operations (IOs) leveraging AI models for deceptive activities, showcasing trends and defensive |
Tool Threat | ★★ | |
|
2024-05-30 21:08:56 | Analyse technique des campagnes Anatsa: un malware Android Banking Active dans le Google Play Store Technical Analysis of Anatsa Campaigns: An Android Banking Malware Active in the Google Play Store (lien direct) |
#### Géolocations ciblées - Royaume-Uni - États-Unis - Allemagne - Espagne - Finlande - Singapour - Corée - Europe de l'Ouest #### Industries ciblées - Services financiers ## Instantané Zscaler ThreatLabz a identifié plus de 90 applications malveillantes sur le Google Play Store, qui a accumulé plus de 5,5 millions d'installations.Zscaler a en outre observé une vague notable dans les logiciels malveillants Anatsa (A.K.A Teabot), qui cible principalement les informations d'identification bancaires par le biais de techniques de superposition et d'accessibilité. ## Description Anatsa est un malware bancaire Android notoire qui a été observé ciblant plus de 650 institutions financières, principalement en Europe et aux États-Unis.Récemment, cependant, les acteurs de la menace ont élargi leur objectif pour inclure des demandes bancaires en Allemagne, en Espagne, en Finlande, en Corée du Sud et à Singapour.De plus, Zscaler a découvert deux charges utiles malveillantes liées à Anatsa se faisant passer pour des applications PDF Reader et QR Code Reader dans le Google Play Store.Au moment de l'analyse de Zscaler \\, les deux applications avaient amassé plus de 70 000 installations. Le malware échappe à la détection en vérifiant les environnements virtuels et en corrompant les en-têtes APK pour entraver l'analyse.Le processus d'infection implique plusieurs étapes, la charge utile finale téléchargeant et exécutant une fois l'environnement vérifié.Anatsa demande des autorisations comme SMS et des options d'accessibilité pour faciliter ses activités. Le malware décode également les chaînes cryptées et communique avec un serveur de commandement et de contrôle pour enregistrer les appareils et recevoir une liste d'applications financières ciblées.Lorsqu'une application ciblée est détectée, Anatsa charge une fausse page de connexion pour voler des informations d'identification. ## Analyse supplémentaire Anatsa a émergé pour la première fois en 2021 et a depuis un troie bancaire prolifique.[Les chercheurs de ThreatFabric] (https://www.thereatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-panding-it-reach#introduction) notent que les pervasives de malware \\ découlent de ses capacitésà se faire passer pour une variété d'applications de services publics gratuites dans le Google Play Store.Ces applications deviennent fréquemment les plus téléchargées dans la catégorie "Top New Free", diminuant la probabilité que les victimes remettent en question leur authenticité.De plus, comme les intrusions sont initiées à partir du même appareil que la victime utilise déjà, les systèmes anti-fraude bancaires ont du mal à détecter et à défendre. Les acteurs de la menace tirant parti d'Anatsa concentrent leurs attaques contre un petit nombre de pays et de régions plutôt que de répandre les logiciels malveillants à l'échelle mondiale.Cette approche plus ciblée leur permet de se concentrer sur une poignée d'organisations financières, des analystes de fraude en charge et des équipes de support client. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Androidos / anatsa.a *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: Androidos / anatsa.a & menaceID = -2147160095) - [* Trojan: Androidos / Teabot.a *] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-dercription?name=trojan:Androidos/teabot.a& ;Thereatid=-2147180504) - [* TrojandRopper: Androidos / Teabot.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-descsRIPTION? Name = TrojandRopper: Androidos / Teabot.A! Mtb & menaceID = -2147153207) ## Les références [Analyse technique des campagnes Anatsa: un logiciel malveillant bancaire | Malware Threat Mobile Technical | ★★★ | |
|
2024-05-30 20:56:00 | Alerte de cyber-espionnage: les lilas qui les ciblent, l'énergie et les secteurs pharmaceutiques Cyber Espionage Alert: LilacSquid Targets IT, Energy, and Pharma Sectors (lien direct) |
Un acteur de menace axé sur le cyber-espionnage, sans papiers, sans documentation, a été lié à Lilacsquid a été lié à des attaques ciblées couvrant divers secteurs aux États-Unis (États-Unis), en Europe et en Asie dans le cadre d'une campagne de vol de données depuis au moins 2021.
"La campagne vise à établir un accès à long terme aux organisations de victimes compromises pour permettre aux lilasquidés de siphonner les données d'intérêt pour
A previously undocumented cyber espionage-focused threat actor named LilacSquid has been linked to targeted attacks spanning various sectors in the United States (U.S.), Europe, and Asia as part of a data theft campaign since at least 2021. "The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to |
Threat | ★★★ | |
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ | |
|
2024-05-30 19:54:00 | Redtail Crypto-Exhimin Maleware exploitant Palo Alto Networks Vulnérabilité du pare-feu RedTail Crypto-Mining Malware Exploiting Palo Alto Networks Firewall Vulnerability (lien direct) |
Les acteurs de la menace derrière les logiciels malveillants de la crypto-monnaie de Redtail ont ajouté un défaut de sécurité récemment divulgué impactant les pare-feu Palo Alto Networks à son exploit Arsenal.
L'ajout de la vulnérabilité PAN-OS à sa boîte à outils a été complété par des mises à jour du malware, qui intègre désormais de nouvelles techniques d'anti-analyse, selon les résultats de l'infrastructure Web et de la sécurité
The threat actors behind the RedTail cryptocurrency mining malware have added a recently disclosed security flaw impacting Palo Alto Networks firewalls to its exploit arsenal. The addition of the PAN-OS vulnerability to its toolkit has been complemented by updates to the malware, which now incorporates new anti-analysis techniques, according to findings from web infrastructure and security |
Malware Vulnerability Threat | ★★★ | |
|
2024-05-30 19:19:00 | Les chercheurs découvrent l'exploitation active des vulnérabilités du plugin WordPress Researchers Uncover Active Exploitation of WordPress Plugin Vulnerabilities (lien direct) |
Les chercheurs en cybersécurité ont averti que de multiples vulnérabilités de sécurité à haute sévérité dans les plugins WordPress sont activement exploitées par les acteurs de la menace pour créer des comptes administrateurs voyous pour l'exploitation de suivi.
"Ces vulnérabilités se trouvent dans divers plugins WordPress et sont sujettes à des attaques de scripts inter-sites stockés non authentifiés (XSS) en raison d'une désintégration des entrées inadéquate
Cybersecurity researchers have warned that multiple high-severity security vulnerabilities in WordPress plugins are being actively exploited by threat actors to create rogue administrator accounts for follow-on exploitation. "These vulnerabilities are found in various WordPress plugins and are prone to unauthenticated stored cross-site scripting (XSS) attacks due to inadequate input sanitization |
Vulnerability Threat | ★★★ | |
|
2024-05-30 16:34:09 | Données de 560 millions de clients Ticketmaster à vendre après une violation présumée Data of 560 million Ticketmaster customers for sale after alleged breach (lien direct) |
Un acteur de menace connu sous le nom de Shinyhunters vend ce qu'ils prétendent être les informations personnelles et financières de 560 millions de clients de TicketMaster sur le forum de piratage de BreachForums récemment relancé pour 500 000 $.[...]
A threat actor known as ShinyHunters is selling what they claim is the personal and financial information of 560 million Ticketmaster customers on the recently revived BreachForums hacking forum for $500,000. [...] |
Threat | ★★★ | |
 |
2024-05-30 15:19:33 | Les dangers des attaques de ransomware à double extorsion The Dangers of Double Extortion Ransomware Attacks (lien direct) |
Renseignez-vous sur la dernière tendance des attaques de ransomwares appelées double extorsion.Découvrez comment DarkTrace peut aider à protéger votre organisation de cette menace.
Learn about the latest trend in ransomware attacks known as double extortion. Discover how Darktrace can help protect your organization from this threat. |
Ransomware Threat Prediction | ★★★ | |
|
2024-05-30 14:25:00 | Les États-Unis démontent le plus grand botnet 911 S5 de World \\, avec 19 millions d'appareils infectés U.S. Dismantles World\\'s Largest 911 S5 Botnet, with 19 Million Infected Devices (lien direct) |
Le département américain de la Justice (DOJ) a déclaré mercredi avoir démantelé ce qu'il décrivait comme "probablement le plus grand botnet du monde" de tous les temps ", qui consistait en une armée de 19 millions d'appareils infectés qui ont été loués à d'autres acteurs de menace pour commettre unlarge éventail d'infractions.
Le botnet, qui a une empreinte mondiale couvrant plus de 190 pays, a fonctionné comme un service de proxy résidentiel appelé 911 S5.
The U.S. Department of Justice (DoJ) on Wednesday said it dismantled what it described as "likely the world\'s largest botnet ever," which consisted of an army of 19 million infected devices that was leased to other threat actors to commit a wide array of offenses. The botnet, which has a global footprint spanning more than 190 countries, functioned as a residential proxy service known as 911 S5. |
Threat | ★★★ | |
 |
2024-05-30 14:00:09 | Les logiciels malveillants mystères détruisent 600 000 routeurs d'un seul FAI pendant 72 heures Mystery malware destroys 600,000 routers from a single ISP during 72-hour span (lien direct) |
Un acteur de menace inconnu avec des motifs tout aussi inconnus oblige le ISP à remplacer les routeurs.
An unknown threat actor with equally unknown motives forces ISP to replace routers. |
Malware Threat | ★★★ | |
 |
2024-05-30 13:59:00 | Accélérer la détection et la réponse des menaces d'identité avec Genai Accelerating identity threat detection and response with GenAI (lien direct) |
Les flux de processus qui combinent des agents du Genai avec des experts humains peuvent gagner du temps sur les enquêtes et réduire les corvées dans le SOC
Process flows that combine GenAI agents with human experts can save time on investigations and reduce drudgery in the SOC |
Threat | ★★★ | |
 |
2024-05-30 13:17:12 | Centripète étend le portefeuille avec l'offre DNS Centripetal Expands Portfolio with DNS Offering (lien direct) |
Centripetal, le leader mondial de la cybersécurité alimentée par le renseignement, a annoncé aujourd'hui qu'il élargit son offre d'inclure CleanInternet & Reg;DNS pour protéger de manière préventive les entreprises contre les cyber-menaces sur le Web.Contrairement à d'autres produits de filtrage DNS qui reposent uniquement sur les listes de blocage, CleanInternet & Reg;DNS est la toute première solution pour tirer parti de l'intelligence avancée des menaces de plusieurs fournisseurs pour empêcher de manière proactive [& # 8230;]
Le post Centripetal étend le portefeuille avec DNS offrant Il est apparu pour la première fois sur gourou de la sécurité informatique .
Centripetal, the global leader in intelligence powered cybersecurity, today announced that it is expanding its offering to include CleanINTERNET® DNS to pre-emptively safeguard businesses against web-based cyber threats. Unlike other DNS filtering products that rely solely on blocklists, CleanINTERNET® DNS is the first-ever solution to leverage advanced threat intelligence from multiple providers to proactively prevent […] The post Centripetal Expands Portfolio with DNS Offering first appeared on IT Security Guru. |
Threat | ★★ | |
|
2024-05-30 12:22:00 | Okta met en garde contre les attaques de bourrage d'identification ciblant le cloud d'identité client Okta Warns of Credential Stuffing Attacks Targeting Customer Identity Cloud (lien direct) |
Okta avertit qu'une fonctionnalité d'authentification croisée dans le cloud d'identité des clients (CIC) est sensible aux attaques de rembourrage des informations d'identification orchestrées par les acteurs de la menace.
"Nous avons observé que les points de terminaison utilisés pour soutenir la fonction d'authentification croisée en étant attaqués via un bourrage d'identification pour un certain nombre de nos clients", a déclaré le fournisseur de services d'identité et d'accès à la gestion (IAM).
Le
Okta is warning that a cross-origin authentication feature in Customer Identity Cloud (CIC) is susceptible to credential stuffing attacks orchestrated by threat actors. "We observed that the endpoints used to support the cross-origin authentication feature being attacked via credential stuffing for a number of our customers," the Identity and access management (IAM) services provider said. The |
Threat Cloud | ||
|
2024-05-30 11:01:52 | Cooler Master confirme les informations sur les clients volés en violation de données Cooler Master confirms customer info stolen in data breach (lien direct) |
Le fabricant de matériel informatique Cooler Master a confirmé qu'il avait subi une violation de données le 19 mai, permettant à un acteur de menace de voler les données des clients.[...]
Computer hardware manufacturer Cooler Master has confirmed that it suffered a data breach on May 19, allowing a threat actor to steal customer data. [...] |
Data Breach Threat | ★★★ | |
 |
2024-05-30 08:26:14 | Les principaux botnets perturbés par le retrait mondial des forces de l'ordre Major Botnets Disrupted via Global Law Enforcement Takedown (lien direct) |
Global law enforcement recently announced Operation Endgame, a widespread effort to disrupt malware and botnet infrastructure and identify the alleged individuals associated with the activity. In a press release, Europol called it the “largest ever operation against botnets, which play a major role in the deployment of ransomware.” In collaboration with private sector partners including Proofpoint, the efforts disrupted the infrastructure of IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee, and Trickbot. Per Europol, in conjunction with the malware disruption, the coordinated action led to four arrests, over 100 servers taken down across 10 countries, over 2,000 domains brought under the control of law enforcement, and illegal assets frozen. Malware Details SmokeLoader SmokeLoader is a downloader that first appeared in 2011 and is popular among threat actors. It is a modular malware with various stealer and remote access capabilities, and its main function is to install follow-on payloads. Proofpoint observed SmokeLoader in hundreds of campaigns since 2015, and it was historically used by major initial access brokers including briefly by TA577 and TA511 in 2020. Many SmokeLoader campaigns are not attributed to tracked threat actors, as the malware is broadly available for purchase on various forums. Its author claims to only sell to Russian-speaking users. Proofpoint has observed approximately a dozen SmokeLoader campaigns in 2024, with the malware leading to the installation of Rhadamanthys, Amadey, and various ransomware. Many SmokeLoader campaigns from 2023 through 2024 are attributed to an actor known as UAC-0006 that targets Ukrainian organizations with phishing lures related to “accounts” or “payments.” Example macro-enabled document delivering SmokeLoader in a May 2024 campaign. CERT-UA attributes this activity to UAC-0006. SystemBC SystemBC is a proxy malware and backdoor leveraging SOCKS5 first identified by Proofpoint in 2019. Initially observed being delivered by exploit kits, it eventually became a popular malware used in ransomware-as-a-service operations. Proofpoint rarely observes SystemBC in email threat data, as it is typically deployed post-compromise. However, our researchers observed it used in a handful of campaigns from TA577 and TA544, as well as dropped by TA542 following Emotet infections. IcedID IcedID is a malware originally classified as a banking trojan and first detected by Proofpoint in 2017. It also acted as a loader for other malware, including ransomware. The well-known IcedID version consists of an initial loader which contacts a Loader C2 server, downloads the standard DLL Loader, which then delivers the standard IcedID Bot. Proofpoint has observed nearly 1,000 IcedID campaigns since 2017. This malware was a favored payload by numerous initial access brokers including TA511, TA551, TA578, and occasionally TA577 and TA544, as well as numerous unattributed threats It was also observed dropped by TA542, the Emotet threat actor, which was the only actor observed using the “IcedID Lite” variant Proofpoint identified in 2022. IcedID was often the first step to ransomware, with the malware being observed as a first-stage payload in campaigns leading to ransomware including Egregor, Sodinokibi, Maze, Dragon Locker, and Nokoyawa. Proofpoint has not observed IcedID in campaign data since November 2023, after which researchers observed campaigns leveraging the new Latrodectus malware. It is likely the IcedID developers are also behind Latrodectus malware. IcedID\'s widespread use by advanced cybercriminal threats made it a formidable malware on the ecrime landscape. Its disruption is great news for defenders. Pikabot Pikabot is a malware that has two components, a loader and a core module, designed to execute arbitrary commands and load additional payloads. Pikabot\'s main objective is to download follow-on malware. Pikabot first appeared in campaign data in March 2023 used by TA577 and has since been almost exclusively used by this actor. Pikab | Ransomware Malware Threat Legislation Technical | ★★★ | |
 |
2024-05-30 07:49:44 | Plus d'un tiers des tentatives de fraude ciblant les institutions financières utilisent désormais l'IA Over a third of fraud attempts targeting financial institutions now use AI (lien direct) |
Plus d'un tiers des tentatives de fraude ciblant les institutions financières utilisent désormais l'IA Sigicat annonce un nouveau rapport sur la menace croissante de la fraude à l'identité axée sur l'IA en partenariat avec un conseil indépendant Consult Hyperion.
• Des tentatives de fraude sur quinze ans utilisent désormais des FaKes Deep pour attaquer non seulement les entreprises B2C, mais aussi de plus en plus de B2B.
• Les décideurs de la prévention de la fraude conviennent que l'IA stimulera presque toutes les fraudes d'identité à l'avenir, et plus de personnes seront victimes que jamais.
• Cependant, environ les trois quarts des organisations citent un manque d'expertise, de temps et de budget pour entraver leur capacité à détecter et à lutter contre le problème.
-
rapports spéciaux
/ /
affiche
Over a third of fraud attempts targeting financial institutions now use AI Signicat announces a new report on the growing threat of AI-driven identity fraud in partnership with independent consultancy Consult Hyperion. • One in fifteen fraud attempts now use deepfakes to attack not just B2C firms but increasingly also B2B ones. • Fraud prevention decision-makers agree that AI will drive almost all identity fraud in the future, and more people will fall victim than ever before. • However, around three-quarters of organisations cite a lack of expertise, time, and budget as hindering their ability to detect and combat the problem. - Special Reports / affiche |
Threat | ||
 |
2024-05-30 05:12:51 | Analyse des cas d'attaque APT utilisant Dora Rat contre les sociétés coréennes (Andariel Group) Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert les cas d'attaque Andariel APT contre les sociétés coréennes et les instituts.Les organisations ciblées comprenaient des établissements d'enseignement et des entreprises de fabrication et de construction en Corée.Keylogger, Infostaler et des outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques.L'acteur de menace a probablement utilisé ces souches de logiciels malveillants pour contrôler et voler des données des systèmes infectés.Les attaques avaient des souches de logiciels malveillants identifiées dans les cas passés d'Andariel, dont le plus notable est Nestdoor, un ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered Andariel APT attack cases against Korean corporations and institutes. Targeted organizations included educational institutes and manufacturing and construction businesses in Korea. Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks. The threat actor probably used these malware strains to control and steal data from the infected systems. The attacks had malware strains identified in Andariel group’s past cases, the most notable of which is Nestdoor, a... |
Malware Tool Threat | ||
|
2024-05-30 04:36:51 | Distribution de logiciels malveillants sous le couvert de versions fissurées de MS Office (XMRIG, Orcusrat, etc.) Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) (lien direct) |
par le biais d'un article intitulé & # 8220; rat orcus distribué déguisé en hangul processeur de mots crack & # 8221;[1], Ahnlab Security Intelligence Center (ASEC) a précédemment révélé un cas d'attaque dans lequel un acteur de menace distribuait des rats et des co -minoirs aux utilisateurs coréens.Jusqu'à récemment, l'attaquant a créé et distribué diverses souches de logiciels malveillants, tels que les téléchargeurs, Coinmin, Rat, Proxy et Antiav.De nombreux systèmes en Corée du Sud ont tendance à être infectés par des souches de logiciels malveillants qui sont distribuées sous le couvert de versions fissurées de programmes légitimes, tels que le traitement de texte hangul ou les outils d'activation pour Windows ou Microsoft Office.Les acteurs de la menace ont mis à niveau leurs logiciels malveillants en ajoutant une autre couche à ce processus, qui s'inscrit au planificateur de tâches dans le système infecté.Après la tâche ...
Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until recently, the attacker created and distributed various malware strains, such as downloaders, CoinMiner, RAT, Proxy, and AntiAV. Numerous systems in South Korea tend to become infected by malware strains that are distributed under the guise of cracked versions of legitimate programs, such as Hangul Word Processor or activation tools for Windows or Microsoft Office. Threat actors have been upgrading their malware by adding another layer to this process, which is registering to the Task Scheduler in the infected system. After task... |
Malware Tool Threat | ||
|
2024-05-30 02:45:40 | Comment l'IA a attrapé APT41 exploitant les vulnérabilités How AI Caught APT41 Exploiting Vulnerabilities (lien direct) |
En analysant comment le groupe cybercriminal APT41 a exploité une vulnérabilité à jour zéro, nous montrons comment DarkTrace \\ a Ai a détecté et étudié la menace immédiatement.
Analyzing how the cyber-criminal group APT41 exploited a zero-day vulnerability, we show how Darktrace\'s AI detected and investigated the threat immediately. |
Vulnerability Threat | APT 41 | |
 |
2024-05-30 00:00:00 | Décoder les derniers astuces d'obscurcissement de Sigbin \\ Decoding Water Sigbin\\'s Latest Obfuscation Tricks (lien direct) |
Water Sigbin (alias le gang 8220) a exploité les vulnérabilités Oracle Weblogic CVE-2017-3506 et CVE-2023-21839 pour déployer un mineur de crypto-monnaie à l'aide d'un script PowerShell.L'acteur de menace a également adopté de nouvelles techniques pour cacher ses activités, ce qui rend les attaques plus difficiles à défendre.
Water Sigbin (aka the 8220 Gang) exploited the Oracle WebLogic vulnerabilities CVE-2017-3506 and CVE-2023-21839 to deploy a cryptocurrency miner using a PowerShell script. The threat actor also adopted new techniques to conceal its activities, making attacks harder to defend against. |
Vulnerability Threat | ||
|
2024-05-29 20:46:00 | Le point de contrôle prévient les attaques zéro jour sur ses produits VPN Gateway Check Point Warns of Zero-Day Attacks on its VPN Gateway Products (lien direct) |
Le point de contrôle est d'avertissement d'une vulnérabilité zéro-jour dans ses produits de la passerelle de sécurité du réseau que les acteurs menacent les acteurs dans la nature.
Suivi en CVE-2024-24919, le problème a un impact sur le réseau CloudGuard, le maestro quantique, le châssis quantique évolutif, les passerelles de sécurité quantique et les appareils d'étincelles quantiques.
"La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur
Check Point is warning of a zero-day vulnerability in its Network Security gateway products that threat actors have exploited in the wild. Tracked as CVE-2024-24919, the issue impacts CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, and Quantum Spark appliances. "The vulnerability potentially allows an attacker to read certain information on |
Vulnerability Threat | ★★★ | |
|
2024-05-29 20:27:37 | Fichiers avec une extension TXZ utilisée comme pièces jointes Malspam Files with TXZ extension used as malspam attachments (lien direct) |
#### Géolocations ciblées - Croatie - Espagne - Slovaquie - Tchéchie ## Instantané Des chercheurs du SANS Internet Storm Center ont découvert que les acteurs de la menace utilisent des fichiers avec TXZ Extension comme pièces jointes Malspam dans des campagnes ciblées régionalement. ## Description L'utilisation de l'extension TXZ est relativement inhabituelle et les chercheurs en sécurité ont révélé que les fichiers malveillants étaient en fait renommés des archives RAR.Microsoft a ajouté la prise en charge native à Windows 11 pour les fichiers TXZ et RAR à la fin de l'année dernière, ce qui peut avoir facilité les destinataires potentiels des messages malveillants pour ouvrir les pièces jointes à l'aide de l'explorateur de fichiers Windows standard, même si l'extension et le type de fichier ont été incompatibles. Les messages malveillants faisaient partie de deux campagnes, l'une contenant des textes dans les langues espagnols et slovaques et distribuant un fichier de 464 kb PE avec Guloder Maleware, et l'autre contenant des textes dans les langues croate et tchèque et distribuant un téléchargement de fichiers par lots de 4 kb pour le Formbook Micware et la distribution d'un fichier de fichiers de 4 kb pour le FormBook Micware Formbook et la distribution d'un téléchargement de fichiers par lots de 4 kb pour le FormBook Micware FormBook. ## Analyse supplémentaire Guloader est un téléchargeur de shellcode proéminent qui a été utilisé dans un grand nombre d'attaques pour fournir une large gamme de logiciels malveillants.Découvert en 2019, Guloader a commencé comme une famille de logiciels malveillants écrite dans Visual Basic 6 (VB6), selon la sécurité [chercheurs de CrowdStrike] (https://security.microsoft.com/intel-explorer/articles/49c83a74).In 2023, [Researchers at CheckPoint](https://security.microsoft.com/intel-explorer/articles/661847be) discovered that more recent versions of GuLoader integrated new anti-analysis techniques and a payload that is fully encrypted, including PEen-têtes.Cela permet aux acteurs de la menace de stocker des charges utiles à l'aide de services de cloud public bien connues, de contourner les protections antivirus et de conserver les charges utiles disponibles en téléchargement pendant une longue période. FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Ces dernières années, [Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d6d6).Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maltraités. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: MSIL / Formbook] (Https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojandownloher: MSIL / Formbook.kan! Mtb & - [Trojan: Win32 / Guloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?n?Ame = Trojan: Win32 / Guloader.ss! Mtb) ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le cent | Malware Tool Threat Cloud | ||
|
2024-05-29 20:04:06 | Microsoft: \\ 'Moonstone Sheet \\' APT MELDS ESPIONAGE, OBJECTIFS FINANCIERS Microsoft: \\'Moonstone Sleet\\' APT Melds Espionage, Financial Goals (lien direct) |
Le plus récent acteur de menace de la Corée du Nord utilise chaque astuce du livre de jeu de l'État-nation, et la plupart des astuces de la cybercriminalité.Il a également développé une entreprise de jeux vidéo entière pour masquer les logiciels malveillants.
North Korea\'s newest threat actor uses every trick in the nation-state APT playbook, and most of cybercrime\'s tricks, too. It also developed a whole video game company to hide malware. |
Malware Threat | ||
 |
2024-05-29 18:42:27 | Menage acteur void Manticore utilise des «essuie-glaces» de cyber-armes pour détruire les données et les systèmes Threat Actor Void Manticore Uses Cyber Weapon “Wipers” to Destroy Data and Systems (lien direct) |
|
Threat | ||
|
2024-05-29 18:04:01 | Exploiter pour Fortinet Critical RCE Bug permet d'accès à la racine SIEM Exploit for Fortinet Critical RCE Bug Allows SIEM Root Access (lien direct) |
Les administrateurs de l'entreprise doivent corriger immédiatement le MAX-Severity CVE-2024-23108, ce qui permet une injection de commandement non authentifiée.
Corporate admins should patch the max-severity CVE-2024-23108 immediately, which allows unauthenticated command injection. |
Threat | ★★★ | |
|
2024-05-29 17:09:34 | Security Brief: Sing Us a Song You\'re the Piano Scam (lien direct) | #### Géolocations ciblées
- Amérique du Nord
#### Industries ciblées
- Éducation
- L'enseignement supérieur
- Santé et santé publique
## Instantané
Proofpoint a récemment découvert une série de campagnes de courrier électronique malveillantes qui utilisent des messages sur le thème du piano pour attirer les victimes des escroqueries à la fraude aux frais (AFF).
## Description
Ces campagnes, actives depuis au moins janvier 2024, ciblent principalement les étudiants et les professeurs des collèges et universités nord-américains, bien que d'autres secteurs tels que les services de santé et de nourriture et de boissons aient également été affectés.À ce jour, au moins 125 000 e-mails d'escroquerie associés à ce thème de piano ont été observés par Proofpoint.
Les acteurs de la menace offrent généralement des cibles un piano gratuit, citant des raisons comme un décès dans la famille.Lorsque l'objectif répond, ils sont dirigés vers une compagnie maritime frauduleuse gérée par les acteurs de la menace, qui exige le paiement des frais d'expédition avant de livrer le piano.Les méthodes de paiement demandées incluent Zelle, Cash App, PayPal, Apple Pay ou la crypto-monnaie.De plus, les acteurs de la menace tentent de collecter des informations personnellement identifiables (PII) des victimes.
Proofpoint a identifié un portefeuille Bitcoin associé à ces escroqueries, qui a accumulé plus de 900 000 $ en transactions.Le volume et la variété des transactions suggèrent que les acteurs de menaces multiples peuvent utiliser le même portefeuille pour diverses escroqueries.Les e-mails varient dans le contenu et les adresses de l'expéditeur, mais utilisent souvent des comptes Freemail avec des combinaisons de noms et de numéros.
Pour recueillir plus d'informations, les chercheurs de PROVEPPOINT ont interagi avec les acteurs de la menace et ont pu identifier au moins une adresse IP d'un acteur et des informations sur l'appareil.À partir de cela, les chercheurs évaluent avec une grande confiance qu'au moins une partie de l'opération est basée au Nigéria.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- Allumez [Paramètres d'identité dans les politiques anti-phishing dans Defender for Office 365.] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#impersonation-settings-in-antti-Phishing-polices-in-microsoft-défender-for-office-365) Cette atténuation peut être utile dans les scénarios où les acteurs de menace utilisent un domaine de look pour usurper l'identité des expéditeurs que vos utilisateurs peuvent savoir.
- Allumez [SAFE LINKS] (https://learn.microsoft.com/defenderofice-365/safe-links-about) et [les pièces jointes de sécurité] (https://learn.microsoft.com/defenderofo-office-365 / Safe-Aattachments-About) Politiques dans Defender for Office 365 pour empêcher le compromis de compte initial.
- Augmenter [Seuil de phishing avancé] (https://learn.microsoft.com/defenderofice-365/anti-phishing-policies-about#advanced-phishing-thresholds-in-ant-phishing-policies-in-microsoft-Defender-for-office-365) à 2 - agressif ou 3 - plus agressif.
- Allumez [Zero-Hour Auto Purge (ZAP)] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge) dans Defender for Office 365 à Quarantine SendMail en réponse à l'intelligence de menace nouvellement acquise et neutralise rétroactivement des messages de phishing, de spam ou de logiciels malveillants qui ont déjà été livrés dans des boîtes aux lettres.
## Les références
[Mémoire de sécurité: Chantez-nous une chanson que vous \\ 're the piano Scam] (https://www.proofpoint.com/us/blog/thereat-insight/security-brief-sing-us-song-youre-piano-arnaque).Proofpoint (consulté 2024-05-29)
#### Targeted Geolocations - North America #### Targeted Industries - Education - |
Spam Malware Threat Medical | ★★ | |
|
2024-05-29 17:09:13 | Facteur plus cool frappé par la violation de données exposant les informations des clients Cooler Master hit by data breach exposing customer information (lien direct) |
Le fabricant de matériel informatique Cooler Master a subi une violation de données après qu'un acteur de menace a enfreint le site Web de la société et a prétendu voler les informations des membres de Fanzone de 500 000 clients.[...]
Computer hardware manufacturer Cooler Master has suffered a data breach after a threat actor breached the company\'s website and claimed to steal the Fanzone member information of 500,000 customers. [...] |
Data Breach Threat | ||
 |
2024-05-29 16:28:03 | L'intégration de Cisco Secure Kenace Defense Virtual avec Megaport Integration of Cisco Secure Threat Defense Virtual with Megaport (lien direct) |
Introduction au partenariat Cisco FTDV avec Megaport.Découvrez comment les organisations peuvent résoudre facilement leur puzzle de sécurité du réseau de dernier mile. 
Introduction to Cisco FTDv partnership with Megaport. Learn how organisations can solve their last-mile network security puzzle with ease. |
Threat | ★★ | |
 |
2024-05-29 16:12:47 | Alerte de menace: la porte dérobée XZ - fournit des chaînes dans votre SSH THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) |
|
Threat | ★★ | |
|
2024-05-29 16:05:00 | Microsoft Uncovers \\ 'Moonstone Sheet \\' - Nouveau groupe de pirates nord Microsoft Uncovers \\'Moonstone Sleet\\' - New North Korean Hacker Group (lien direct) |
Un acteur de menace nord-coréen jamais vu auparavant, le nom de manche de Moonstone Sleet a été attribué comme derrière les cyberattaques ciblant les individus et les organisations dans les secteurs de base industrielle des technologies et des technologies de l'information, de l'éducation et de la défense avec un ransomware et un malware sur mesure auparavant associé au célèbre groupe Lazarus Lazare.
"On observe que le grésil de la pierre de lune installe de fausses entreprises et
A never-before-seen North Korean threat actor codenamed Moonstone Sleet has been attributed as behind cyber attacks targeting individuals and organizations in the software and information technology, education, and defense industrial base sectors with ransomware and bespoke malware previously associated with the infamous Lazarus Group. "Moonstone Sleet is observed to set up fake companies and |
Ransomware Malware Threat Industrial | APT 38 | ★★ |
|
2024-05-29 14:43:22 | BlackSuit affirme que des dizaines de victimes avec un ransomware soigneusement organisé BlackSuit Claims Dozens of Victims With Carefully Curated Ransomware (lien direct) |
Les chercheurs sont en profondeur sur une attaque du groupe de menaces, qui cible principalement les entreprises américaines dans les secteurs de l'éducation et des biens industriels, en particulier pour maximiser le gain financier.
Researchers went in-depth on an attack by the threat group, which mainly targets US companies in the education and industrial goods sectors, specifically to maximize financial gain. |
Ransomware Threat Industrial | ★★ | |
|
2024-05-29 10:15:00 | Nouveau groupe de piratage nord-coréen identifié par Microsoft New North Korean Hacking Group Identified by Microsoft (lien direct) |
Moonstone Sheet est un groupe de menaces nouvellement observé ciblant les sociétés pour les objectifs financiers et cyber-espionnages
Moonstone Sleet is a newly observed threat group targeting companies for financial and cyber espionage objectives |
Threat | ★★★ | |
|
2024-05-29 09:31:37 | Le point de contrôle libère une correction d'urgence pour VPN Zero-Day exploité dans les attaques Check Point releases emergency fix for VPN zero-day exploited in attacks (lien direct) |
Check Point a publié des hotfixs pour une vulnérabilité VPN zéro-jour exploitée dans les attaques pour accéder à distance aux pare-feu et tenter de violer les réseaux d'entreprise.[...]
Check Point has released hotfixes for a VPN zero-day vulnerability exploited in attacks to gain remote access to firewalls and attempt to breach corporate networks. [...] |
Vulnerability Threat | ★★★ | |
|
2024-05-29 09:30:00 | # Infosec2024: Décodage de la Sentinelone \\'s Ai Mende Hugning Assistant #Infosec2024: Decoding SentinelOne\\'s AI Threat Hunting Assistant (lien direct) |
Sentinélone présentera une manifestation de chasse aux menaces au cours de laquelle un analyste de la sécurité concurrencera une personne non technique utilisant son assistant d'IA
SentinelOne will present a threat-hunting demonstration during which a security analyst will compete against a non-technical person using its AI assistant |
Threat | ★★★ | |
 |
2024-05-29 07:35:44 | Présentation de Sekoia TDR Introducing Sekoia TDR (lien direct) |
> Cette fois, nous ne révélons pas une nouvelle enquête ou analyse de cyber-menace, mais je veux partager quelques idées sur l'équipe derrière tous les rapports d'ingénierie de l'intelligence et de détection des menaces de Sekoia.Permettez-moi de vous présenter l'équipe Sekoia TDR.TL; Dr Sekoia Menace Detection & # 038;La recherche (TDR) est une équipe multidisciplinaire dédiée à la cyber-menace [& # 8230;]
la publication Suivante Présentation de Sekoia tdr est un article de Blog Sekoia.io .
>This time, we’re not revealing a new cyber threat investigation or analysis, but I want to share some insights about the team behind all Sekoia Threat Intelligence and Detection Engineering reports. Let me introduce you to the Sekoia TDR team. TL;DR Sekoia Threat Detection & Research (TDR) is a multidisciplinary team dedicated to Cyber Threat […] La publication suivante Introducing Sekoia TDR est un article de Sekoia.io Blog. |
Threat | ★★ | |
|
2024-05-29 05:00:00 | Mémoire de sécurité: chantez-nous une chanson que vous êtes l'arnaque du piano Security Brief: Sing Us a Song You\\'re the Piano Scam (lien direct) |
What happened Proofpoint recently identified a cluster of activity conducting malicious email campaigns using piano-themed messages to lure people into advance fee fraud (AFF) scams. The campaigns have occurred since at least January 2024, and are ongoing. Most of the messages target students and faculty at colleges and universities in North America, however other targeting of industries including healthcare and food and beverage services was also observed. Proofpoint observed at least 125,000 messages so far this year associated with the piano scam campaigns cluster. In the campaigns, the threat actor purports to offer up a free piano, often due to alleged circumstances like a death in the family. When a target replies, the actor instructs them to contact a shipping company to arrange delivery. That contact address will also be a fake email managed by the same threat actor. The “shipping company” then claims they will send the piano if the recipient sends them the money for shipping first. Lure email purporting to be giving away a “free” piano. Shipping options provided by the fake shipping company. The actor requests payment via multiple options including Zelle, Cash App, PayPal, Apple Pay, or cryptocurrency. The actor also attempts to collect personally identifiable information (PII) from the user including names, physical addresses, and phone numbers. Proofpoint identified at least one Bitcoin wallet address the piano scam fraudsters directed payment to. At the time of this writing, it contained over $900,000 in transactions. It is likely that multiple threat actors are conducting numerous different types of scams concurrently using the same wallet address given the volume of transactions, the variations in transaction prices, and overall amount of money associated with the account. While the email body content of the messages is similar, the sender addresses vary. Typically, the actors use freemail email accounts, usually with some combination of names and numbers. Most of the campaigns include multiple variations on the email content and contact addresses. Attribution To obtain more information about the fraudsters, researchers started a discussion with the actors and convinced them to interact with a researcher-managed redirect service. Proofpoint was able to identify at least one perpetrator\'s IP address and device information. Based on the information obtained, researchers assess with high confidence that at least one part of the operation is based in Nigeria. Screenshot of a part of a conversation between a researcher and threat actor. Advance Fee Fraud (AFF), which in the past has been referred to as 419,” “Nigerian 419,” or “Nigerian Prince” email fraud, occurs when a threat actor asks the potential victim for a small amount of money in advance of a larger, promised payout to be given to the victim at a later date. There are endless variations of this type of fraud. Typical schemes contain elaborate stories that explain why there is a large sum of money, job opportunity, or other goods or services available to the victim and why the sender needs a small upfront or advanced fee before the victim gets the promised money or goods. The fraudsters often bait victims with subjects such as inheritance, awards, government payouts, and international business. Once the victim provides the small amount of money to the fraudster, however, they cut all contact and disappear. Why it matters Proofpoint has previously published research on AFF campaigns using a variety of different themes to entice recipients to engage with them, including employment opportunities targeting university students and cryptocurrency fraud. In all cases, AFF relies on elaborate social engineering and the use of multiple different payment platforms. People should be aware of the common techniques used by threat actors and remember that if an unsolicited email so | Threat Medical | ★★★ |
To see everything:
Our RSS (filtrered)
