What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-23 20:53:33 | (Déjà vu) UAC-0063 Attaque des institutions de recherche en Ukraine: Hatvibe + Cherryspy + CVE-2024-23692 UAC-0063 attacks research institutions in Ukraine: HATVIBE + CHERRYSPY + CVE-2024-23692 (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Computer Emergency Response Team of Ukraine (CERT-UA) released reporting on an attack by UAC-0063 against a research institution in Ukraine perpetrated in July 2024. ## Description The attackers accessed an employee\'s email account and sent a compromised email with a macro-embedded document to multiple recipients. When opened, this document created and executed another document and scheduled a task to run the HATVIBE malware. The attackers then used remote control to download a Python interpreter and the CHERRYSPY malware to the victim\'s computer. UAC-0063, linked to the Russian APT28 group, was also detected using a similar attack vector in Armenia. In June 2024, the group exploited a vulnerability in the HFS HTTP File Server ([CVE-2024-23692](https://security.microsoft.com/intel-explorer/cves/CVE-2024-23692/)) to install the HATVIBE backdoor, demonstrating their use of varied initial compromise methods. The attack succeeded due to the institution\'s lack of two-factor authentication, admin privileges for user accounts, and insufficient security policies to block macros and specific executables. ## Additional Analysis Both CHERRYSPY and HATVIBE have previously been used by UAC-0063 to target Ukranian organizations. [In April 2023](https://cert.gov.ua/article/4697016?fbclid=IwAR1B5gj0v-Ve9Q5299ydM5lrInLuKVmvPRosQkUucq6YzcjuTgVnM_x3LjQ), the threat group sent spear-phishing emails to government organizations in Ukraine, likely from the previously compromised email of the Embassy of Tajikistan. ## Recommendations Microsoft recommends the implementation multifactor authentication (MFA) to reduce the impact of this threat and mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate [conditional access](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview?ocid=magicti_ta_learndoc) policies. Conditional access policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office 365](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically identify and block malicious websites, including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focus | Malware Vulnerability Threat | APT 28 | |
 |
2024-07-23 18:38:42 | Protéger contre la menace malveillante ics de Frostygoop avec les bases de la cybersécurité OT Protect Against the FrostyGoop ICS Malware Threat with OT Cybersecurity Basics (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post protéger contre la menace malveillante ics de glaçage avec les bases de la cybersécurité est apparu pour la première fois sur dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Protect Against the FrostyGoop ICS Malware Threat with OT Cybersecurity Basics first appeared on Dragos. |
Malware Threat Industrial | ||
|
2024-07-23 17:58:57 | Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m | Ransomware Malware Tool Vulnerability Threat Mobile | ||
 |
2024-07-23 17:58:00 | Les pirates chinois ciblent Taiwan et les ONG américaines avec des logiciels malveillants MGBOT Chinese Hackers Target Taiwan and US NGO with MgBot Malware (lien direct) |
Les organisations de Taïwan et une organisation non gouvernementale américaine (ONG) basée en Chine ont été ciblées par un groupe de piratage parrainé par l'État affilié à Pékin appelé Daggerfly à l'aide d'un ensemble amélioré d'outils de logiciels malveillants.
La campagne est un signe que le groupe "s'engage également dans l'espionnage interne", a déclaré aujourd'hui un nouveau rapport publié aujourd'hui."Dans l'attaque de
Organizations in Taiwan and a U.S. non-governmental organization (NGO) based in China have been targeted by a Beijing-affiliated state-sponsored hacking group called Daggerfly using an upgraded set of malware tools. The campaign is a sign that the group "also engages in internal espionage," Symantec\'s Threat Hunter Team, part of Broadcom, said in a new report published today. "In the attack on |
Malware Tool Threat | ||
 |
2024-07-23 16:49:17 | Frostygoop malware a laissé 600 ménages ukrainiens sans chaleur cet hiver FrostyGoop malware left 600 Ukrainian households without heat this winter (lien direct) |
Pas de details / No more details | Malware | ||
|
2024-07-23 16:24:00 | Nouveau ics malware \\ 'FrostyGoop \\' ciblant l'infrastructure critique New ICS Malware \\'FrostyGoop\\' Targeting Critical Infrastructure (lien direct) |
Les chercheurs en cybersécurité ont découvert ce qu'ils disent être le neuvième logiciel malveillant axé sur les systèmes de contrôle industriel (ICS) qui a été utilisé dans une cyberattaque perturbatrice ciblant une entreprise d'énergie dans la ville ukrainienne de Lviv plus tôt en janvier.
La société de cybersécurité industrielle Dragos a surnommé le malware FrostyGoop, le décrivant comme la première souche malveillante à utiliser directement Modbus TCP
Cybersecurity researchers have discovered what they say is the ninth Industrial Control Systems (ICS)-focused malware that has been used in a disruptive cyber attack targeting an energy company in the Ukrainian city of Lviv earlier this January. Industrial cybersecurity firm Dragos has dubbed the malware FrostyGoop, describing it as the first malware strain to directly use Modbus TCP |
Malware Industrial | ||
 |
2024-07-23 16:21:16 | Les attaquants exploitent \\ 'Evilvideo \\' Telegram Zero-Day pour cacher des logiciels malveillants Attackers Exploit \\'EvilVideo\\' Telegram Zero-Day to Hide Malware (lien direct) |
Un exploit vendu sur un forum souterrain nécessite une action des utilisateurs pour télécharger une charge utile malveillante non spécifiée.
An exploit sold on an underground forum requires user action to download an unspecified malicious payload. |
Malware Vulnerability Threat | ||
|
2024-07-23 15:42:00 | Sites Magento ciblés avec un skimmer de carte de crédit sournois via des fichiers d'échange Magento Sites Targeted with Sneaky Credit Card Skimmer via Swap Files (lien direct) |
Les acteurs de la menace ont été observés à l'aide de fichiers d'échange dans des sites Web compromis pour cacher un skimmer de carte de crédit persistant et récolter les informations de paiement.
La technique sournoise, observée par SUCURI sur une page de caisse de Magento E-Commerce Site \\, a permis aux logiciels malveillants de survivre à plusieurs tentatives de nettoyage, a indiqué la société.
L'écumateur est conçu pour capturer toutes les données dans le formulaire de carte de crédit sur le
Threat actors have been observed using swap files in compromised websites to conceal a persistent credit card skimmer and harvest payment information. The sneaky technique, observed by Sucuri on a Magento e-commerce site\'s checkout page, allowed the malware to survive multiple cleanup attempts, the company said. The skimmer is designed to capture all the data into the credit card form on the |
Malware Threat | ||
 |
2024-07-23 15:15:12 | Les cybercrooks émettent des problèmes avec les domaines de la typosquat au milieu de la crise de la crowdsstrike Cybercrooks spell trouble with typosquatting domains amid CrowdStrike crisis (lien direct) |
La dernière tendance suit diverses campagnes de logiciels malveillants qui ont commencé quelques heures seulement après sa calamité Des milliers de domaines de typosquat sont désormais inscrits pour exploiter le désespoir des administrateurs informatiques qui ont encore du mal à se remettre de la semaine dernière de la semaine de la semaine dernière \\., les chercheurs disent.… | Malware Threat Prediction | ||
 |
2024-07-23 15:00:00 | Le groupe d'espionnage chinois améliore le malware Arsenal pour cibler tous les principaux systèmes d'exploitation Chinese Espionage Group Upgrades Malware Arsenal to Target All Major OS (lien direct) |
Symantec a déclaré que Daggerfly du groupe d'espionnage chinois a mis à jour sa boîte à outils malware alors qu'elle cherche à cibler les systèmes d'exploitation Windows, Linux, MacOS et Android
Symantec said Chinese espionage group Daggerfly has updated its malware toolkit as it looks to target Windows, Linux, macOS and Android operating systems |
Malware Mobile | ||
|
2024-07-23 14:33:00 | Institutions ukrainiennes ciblées à l'aide de Hatvibe et de logiciels malveillants Cherryspy Ukrainian Institutions Targeted Using HATVIBE and CHERRYSPY Malware (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a alerté une campagne de phistes de lance ciblant une institution de recherche scientifique dans le pays avec des logiciels malveillants connus sous le nom de Hatvibe et Cherryspy.
L'agence a attribué l'attaque à un acteur de menace qu'il suit sous le nom de l'UAC-0063, qui était précédemment observé ciblant diverses entités gouvernementales pour recueillir des informations sensibles en utilisant
The Computer Emergency Response Team of Ukraine (CERT-UA) has alerted of a spear-phishing campaign targeting a scientific research institution in the country with malware known as HATVIBE and CHERRYSPY. The agency attributed the attack to a threat actor it tracks under the name UAC-0063, which was previously observed targeting various government entities to gather sensitive information using |
Malware Threat | ||
 |
2024-07-23 14:14:55 | Comment un faux travailleur informatique nord-coréen a essayé de nous infiltrer How a North Korean Fake IT Worker Tried to Infiltrate Us (lien direct) |
Résumé du rapport des incidents: menace d'initié
TLDR: KnowBe4 avait besoin d'un ingénieur logiciel pour notre équipe IT AI interne.Nous avons publié le travail, reçu des curriculum vitae, mené des entretiens, effectué des vérifications des antécédents, vérifié les références et embauché la personne.Nous leur avons envoyé leur poste de travail Mac, et au moment où il a été reçu, il a immédiatement commencé à charger des logiciels malveillants.
Incident Report Summary: Insider Threat
TLDR: KnowBe4 needed a software engineer for our internal IT AI team. We posted the job, received resumes, conducted interviews, performed background checks, verified references, and hired the person. We sent them their Mac workstation, and the moment it was received, it immediately started to load malware.
|
Malware | ||
 |
2024-07-23 14:00:00 | De quelle voix est-ce de toute façon?Vocation à propulsion Ai pour les attaques de vision de nouvelle génération Whose Voice Is It Anyway? AI-Powered Voice Spoofing for Next-Gen Vishing Attacks (lien direct) |
Written by: Emily Astranova, Pascal Issa
Executive Summary AI-powered voice cloning can now mimic human speech with uncanny precision, creating for more realistic phishing schemes. According to news reports, scammers have leveraged voice cloning and deepfakes to steal over HK$200 million from an organization. Attackers can use AI-powered voice cloning in various phases of the attack lifecycle, including initial access, and lateral movement and privilege escalation. Mandiant\'s Red Team uses AI-powered voice spoofing to test defenses, demonstrating the effectiveness of this increasingly sophisticated attack technique. Organizations can take steps to defend against this threat by educating employees, and using source verification such as code words. Introduction Last year, Mandiant published a blog post on threat actor use of generative AI, exploring how attackers were using generative AI (gen AI) in phishing campaigns and information operations (IO), notably to craft more convincing content such as images and videos. We also shared insights into attackers\' use of large language models (LLMs) to develop malware. In the post, we emphasized that while attackers are interested in gen AI, use has remained relatively limited. This post continues on that initial research, diving into some new AI tactics, techniques, and procedures (TTPs) and trends. We take a look at AI-powered voice spoofing, demonstrate how Mandiant red teams use it to test defenses, and provide security considerations to help stay ahead of the threat. Growing AI-Powered Voice Spoofing Threat Gone are the days of robotic scammers with barely decipherable scripts. AI-powered voice cloning can now mimic human speech with uncanny precision, injecting a potent dose of realism into phishing schemes. We are reading more stories on this threat in the news, such as the scammers that reportedly stole over HK$200 million from a company using voice cloning and deepfakes, and now the Mandiant Red Team has incorporated these TTPs when testing defenses. Brief Overview of Vishing Unlike its traditionally email-based counterpart, vishing (voice phishing) uses a voice-based approach. Rather than sending out an email with the hopes of garnering clicks, threat actors will instead place phone calls directly to individuals in order to earn trust and manipulate emotions, often by creating a sense of urgency. |
Malware Tool Vulnerability Threat Studies Mobile Cloud Technical | ||
 |
2024-07-23 13:35:04 | Frostygoop Malware Attack a coupé la chaleur en Ukraine en hiver FrostyGoop malware attack cut off heat in Ukraine during winter (lien direct) |
Des logiciels malveillants liés à la russe ont été utilisés dans une cyberattaque de janvier 2024 pour couper le chauffage de plus de 600 immeubles d'appartements à Lviv, en Ukraine, pendant deux jours à des températures inférieures à zéro.[...]
Russian-linked malware was used in a January 2024 cyberattack to cut off the heating of over 600 apartment buildings in Lviv, Ukraine, for two days during sub-zero temperatures. [...] |
Malware | ||
 |
2024-07-23 11:57:30 | Dragos détaille les nouveaux logiciels malveillants de FrostyGoop Ics à l'aide de Modbus TCP pour perturber les opérations OT dans le monde entier Dragos details novel FrostyGoop ICS malware using Modbus TCP to disrupt OT operations worldwide (lien direct) |
> La société de cybersécurité industrielle Dragos a révélé mardi Frostygoop, un neuvième malware qui cible les systèmes de contrôle industriel (ICS) et le ...
>Industrial cybersecurity firm Dragos disclosed Tuesday FrostyGoop, a ninth malware that targets industrial control systems (ICS) and the... |
Malware Industrial | ||
 |
2024-07-23 11:00:48 | CISA Issues AVERTISSEMENT: La panne de crowdsstrike peut entraîner des attaques de phishing et de logiciels malveillants CISA Issues Warning: CrowdStrike Outage May Lead to Phishing and Malware Attacks (lien direct) |
> L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) a émis une alerte urgente concernant la récente panne de crowdsstrike, avertissant que les acteurs malveillants exploitent activement la situation pour mener le phishing et d'autres cyberattaques.Les principaux avertissements cisa de la CISA ont souligné plusieurs points critiques dans leur alerte: les acteurs de la menace profitent de la panne de crowdsstrike pour malveillance [& # 8230;]
Le post CISA Problèmes d'avertissement: la panne de crowdsstrike peut êtreConduire à des attaques de phishing et de logiciels malveillants C'est apparu pour la première fois sur slashnext .
>The Cybersecurity and Infrastructure Security Agency (CISA) has issued an urgent alert regarding the recent CrowdStrike outage, warning that malicious actors are actively exploiting the situation to conduct phishing and other cyber attacks. CISA’s Key Warnings CISA emphasized several critical points in their alert: Threat actors are taking advantage of the CrowdStrike outage for malicious […] The post CISA Issues Warning: CrowdStrike Outage May Lead to Phishing and Malware Attacks first appeared on SlashNext. |
Malware Threat | ||
 |
2024-07-23 10:40:35 | Télégramme de la livraison de logiciels malveillants activés par télégramme Telegram Zero-Day Enabled Malware Delivery (lien direct) |
> La vulnérabilité de l'ultervideo zéro-jour dans le télégramme pour Android a permis aux acteurs de menace d'envoyer des fichiers malveillants déguisés en vidéos.
>The EvilVideo zero-day vulnerability in Telegram for Android allowed threat actors to send malicious files disguised as videos. |
Malware Vulnerability Threat Mobile | ||
|
2024-07-23 10:31:56 | Fake Crowdstrike Repair Manual pousse un nouveau logiciel malveillant d'infostealer Fake CrowdStrike repair manual pushes new infostealer malware (lien direct) |
CrowdStrike avertit qu'un faux manuel de récupération pour réparer les appareils Windows installe un nouveau malware de vol d'information appelé Daolpu.[...]
CrowdStrike is warning that a fake recovery manual to repair Windows devices is installing a new information-stealing malware called Daolpu. [...] |
Malware | ||
 |
2024-07-23 10:00:00 | Ce que les prestataires de soins de santé devraient faire après une violation de données médicales What Healthcare Providers Should Do After A Medical Data Breach (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Healthcare data breaches are on the rise, with a total of 809 data violation cases across the industry in 2023, up from 343 in 2022. The cost of these breaches also soared to $10.93 million last year, an increase of over 53% over the past three years, IBM’s 2023 Cost of a Data Breach report reveals. But data breaches aren’t just expensive, they also harm patient privacy, damage organizational reputation, and erode patient trust in healthcare providers. As data breaches are now largely a matter of “when” not “if”, it’s important to devise a solid data breach response plan. By acting fast to prevent further damage and data loss, you can restore operations as quickly as possible with minimal harm done. Contain the Breach Once a breach has been detected, you need to act fast to contain it, so it doesn’t spread. That means disconnecting the affected system from the network, but not turning it off altogether as your forensic team still needs to investigate the situation. Simply unplug the network cable from the router to disconnect it from the internet. If your antivirus scanner has found malware or a virus on the system, quarantine it, so it can be analyzed later. Keep the firewall settings as they are and save all firewall and security logs. You can also take screenshots if needed. It’s also smart to change all access control login details. Strong complex passwords are a basic cybersecurity feature difficult for hackers and software to crack. It’s still important to record old passwords for future investigation. Also, remember to deactivate less-important accounts. Document the Breach You then need to document the breach, so forensic investigators can find out what caused it, as well as recommend accurate next steps to secure the network now and prevent future breaches. So, in your report, explain how you came to hear of the breach and relay exactly what was stated in the notification (including the date and time you were notified). Also, document every step you took in response to the breach. This includes the date and time you disconnected systems from the network and changed account credentials and passwords. If you use artificial intelligence (AI) tools, you’ll also need to consider whether they played a role in the breach, and document this if so. For example, ChatGPT, a popular chatbot and virtual assistant, can successfully exploit zero-day security vulnerabilities 87% of the time, a recent study by researchers at the University of Illinois Urbana-Champaign found. Although AI is increasingly used in healthcare to automate tasks, manage patient data, and even make tailored care recommendations, it does pose a serious risk to patient data integrity despite the other benefits it provides. So, assess whether AI influenced your breach at all, so your organization can make changes as needed to better prevent data breaches in the future. Report the Breach Although your first instinct may be to keep the breach under wraps, you’re actually legally required to report it. Under the | Data Breach Malware Tool Vulnerability Threat Studies Medical | ChatGPT | |
|
2024-07-23 09:03:04 | Les logiciels malveillants de FrostyGoop Ics ont laissé les résidents de la ville ukrainienne sans chauffage FrostyGoop ICS Malware Left Ukrainian City\\'s Residents Without Heating (lien direct) |
Le malware FrostyGoop ICS a été utilisé récemment dans une attaque contre une entreprise d'énergie ukrainienne qui a entraîné une perte de chauffage pour de nombreux bâtiments.
The FrostyGoop ICS malware was used recently in an attack against a Ukrainian energy firm that resulted in loss of heating for many buildings. |
Malware Industrial | ||
|
2024-07-23 09:00:45 | Les logiciels malveillants de Frostygoop ont arrêté la chaleur à 600 immeubles d'appartements ukrainiens FrostyGoop malware shut off heat to 600 Ukraine apartment buildings (lien direct) |
d'abord méchant pour exploiter les modbus pour visser avec des appareils technologiques opérationnels un logiciel malveillant auparavant invisible, surnommé Frostygoop, capable de perturber les processus industriels a été utilisé dans une cyberattaque contre une entreprise d'énergie de district en Ukraine Last Northern Hiver,résultant en deux jours sans chaleur pour des centaines de personnes à des températures inférieures à zéro…
First nasty to exploit Modbus to screw with operational tech devices A previously unseen malware, dubbed FrostyGoop, able to disrupt industrial processes was used in a cyberattack against a district energy company in Ukraine last northern winter, resulting in two days without heat for hundreds of people during sub-zero temperatures.… |
Malware Threat Industrial | ||
 |
2024-07-23 09:00:00 | Comment les logiciels malveillants liés à la Russie ont coupé la chaleur à 600 bâtiments ukrainiens en hiver profond How Russia-Linked Malware Cut Heat to 600 Ukrainian Buildings in Deep Winter (lien direct) |
Le code, le premier du genre, a été utilisé pour saboter un utilitaire de chauffage à Lviv au plus froid de l'année - ce qui semble être une autre innovation en Russie des civils ukrainiens.
The code, the first of its kind, was used to sabotage a heating utility in Lviv at the coldest point in the year-what appears to be yet another innovation in Russia\'s torment of Ukrainian civilians. |
Malware | ||
|
2024-07-23 09:00:00 | Nouvel ICS MALWORED SABOTAGE SERVICES DE CHÉRATION DE L'EAU EN UKRAINE Novel ICS Malware Sabotaged Water-Heating Services in Ukraine (lien direct) |
«FrostyGoop» nouvellement découvert est le premier logiciel malveillant ICS qui peut communiquer directement avec les systèmes de technologie opérationnelle via le protocole Modbus.
Newly discovered "FrostyGoop" is the first ICS malware that can communicate directly with operational technology systems via the Modbus protocol. |
Malware Industrial | ||
 |
2024-07-23 09:00:00 | Simple \\ 'FrostyGoop \\' Malware responsable de la désactivation de la chaleur des Ukrainiens en janvier Simple \\'FrostyGoop\\' malware responsible for turning off Ukrainians\\' heat in January attack (lien direct) |
> L'attaque est la dernière d'une chaîne ciblant l'infrastructure critique ukrainienne et illustre la facilité croissante de cibler les systèmes industriels.
>The attack is the latest in a string targeting Ukrainian critical infrastructure and illustrates the growing ease of targeting industrial systems. |
Malware Industrial | ||
 |
2024-07-23 07:00:00 | Solving the 7777 botnet Enigma: A Cybersecurity Quest (lien direct) | > Les clés à retenir Sekoia.io ont étudié le mystérieux 7777 Botnet (aka. Quad7 Botnet), publié par le chercheur indépendant GIT7W0RM dans le blog «Le cas curieux du blog 7777 BOTNET».& # 160;Cette enquête nous a permis d'intercepter les communications réseau et les logiciels malveillants déployés sur un routeur TP-Link compromis par le botnet Quad7 en France.À notre compréhension, le quad7 [& # 8230;]
la publication Suivante solvIng The 7777 Botnet Enigma: A Cybersecurity Quest est un article de blog Sekoia.io .
>Key Takeaways Sekoia.io investigated the mysterious 7777 botnet (aka. Quad7 botnet), published by the independent researcher Git7w0rm inside the “The curious case of the 7777 botnet” blogpost. This investigation allowed us to intercept network communications and malware deployed on a TP-Link router compromised by the Quad7 botnet in France. To our understanding, the Quad7 […] La publication suivante Solving the 7777 Botnet enigma: A cybersecurity quest est un article de Sekoia.io Blog. |
Malware | ||
|
2024-07-22 21:38:04 | RDGAS: Le chapitre suivant des algorithmes de génération de domaine RDGAS: The Next Chapter in Domain Generation Algorithms (lien direct) |
## Instantané
Des chercheurs d'InfoBlox ont publié un rapport plongeant dans la technique émergente des algorithmes de génération de domaines enregistrés (RDGAS), que les acteurs menaçants utilisent pour remodeler le paysage des menaces DNS avec des millions de nouveaux domaines.Le rapport analyse en détail Revolver Rabbit, un acteur de menace notable qui a exploité les RDG dans leur déploiement de Xloader.
## Description
Les RDGA diffèrent des algorithmes de génération de domaines traditionnels (DGA) car l'algorithme et le processus d'enregistrement sont contrôlés par l'acteur de menace, ce qui rend la détection plus difficile.Les RDG sont utilisés pour diverses activités malveillantes, y compris les logiciels malveillants, le phishing et les escroqueries.Ils peuvent prendre de nombreuses formes, des personnages apparemment aléatoires aux mots de dictionnaire structurés, ce qui les rend difficiles à reconnaître sans données DNS à grande échelle et expertise.
Les acteurs de menace, les entreprises criminelles et même les entreprises légitimes utilisent des RDGA.Certains registraires proposent des outils pour générer des variantes de domaine, qui peuvent être utilisées à mauvais escient par les acteurs de la menace.Le terme RDGA a été inventé pour les distinguer des DGA traditionnels, qui génèrent des domaines algorithmiques mais ne les enregistrent généralement pas.
InfoBlox évalue que Revolver Rabbit a enregistré plus de 500 000 domaines sur le domaine de haut niveau.Le motif RDGA Revolver Rabbit utilise est varié, en utilisant souvent des mots dictionnaires suivis d'une chaîne de nombres, ce qui rend le complexe de détection.Au cours de leurs recherches, les domaines de lapin de revolver déterminés InfoBlox étaient utilisés comme des domaines de commande et de contrôle actifs (C2) et de leurreDans [xloader] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) (formbook) Maleware Samples.
## Détections / requêtes de chasseMicrosoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojandownloader: MSIL / Formbook] (https: // www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:MSIL/FormBook.KAN!MTB&threatId=-2147130651&ocid=magicti_ta_ency) *
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Infoblox released a report delving into the emerging technique of registered domain generation algorithms (RDGAs), which threat actors are using to reshape the DNS threat landscape with millions of new domains. The report further analyzes Revolver Rabbit, a notable threat actor who has leveraged RDGAs in their deployment of Xloader. ## Description RDGAs differ from traditional domain generation algorithms (DGAs) as the algorithm and registration process are controlled by the threat actor, making detection more challenging. RDGAs are used for various malicious activities, including malware, phishing, and scams. They can take many forms, from seemingly random characters to structured dictionary words, making them difficult to recognize without large-scale DNS data and expertise. Threat actors, criminal enterprises, and even legitimate businesses use RDGAs. Some registrars offer tools to generate domain variants, which can be misused by threat actors. The term RDGA was coined to distinguish these from traditional DGAs, which generate domains algorithmically but don\'t typically register them. Infoblox assesses that Revolver Rabbit has registered upwards of 500,000 domains on the .bond top-level domain alone, making them a significant threat actor. The RDGA pattern Revolver Rabbit uses is varied, often using dictionary words followed by a string of num |
Malware Tool Threat | ||
|
2024-07-22 20:20:43 | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct) |
## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-07-22 18:40:49 | Cyberattaques UAC-0180 ciblées contre les entreprises de défense à l'aide de GlueEgg / DropClue / Atera (CERT-UA # 10375) Targeted UAC-0180 cyberattacks against defense enterprises using GLUEEGG / DROPCLUE / ATERA (CERT-UA#10375) (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Government Computer Emergency Response Team of Ukraine (CERT-UA) reported targeted phishing attacks on defense enterprises involving emails about UAV procurement. The emails contained a ZIP file with a PDF that included a malicious link. ## Description Clicking the link downloaded "adobe\_acrobat\_fonts\_pack.exe," a Go-based malware named GLUEEGG. GLUEEGG decrypted and ran the Lua-based DROPCLUE loader, which launched a decoy PDF and an executable that installed remote control of ATERA computers via a BAT file using "curl.exe". The attacks, attributed to group "UAC-0180", aim to access computers of employees of defense enterprises and the Defense Forces of Ukraine using varied malware with various programming language like C (ACROBAIT), Rust (ROSEBLOOM, ROSETHORN), Go (GLUEEGG), and Lua (DROPCLUE) via deceptive PDFs with embedded links. ## Recommendations Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites.[Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use[anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focused information into incidents and alerts, providing key context and correlating alerts from other products within Microsoft 365 Defender. This ensures all alerts are available in one place, and the scope of a breach can be determined faster than before. Defenders can also complement MFA with the following solutions and best practices to further protect their organizations from such attacks. - Use[security defaults](https://learn.microsoft.com/azure/active-directory/fundamentals/concept-fundamentals-security-defaults?ocid=magicti_ta_learndoc) as a baseline set of policies to improve identity security posture. For m | Malware | ||
 |
2024-07-22 17:57:53 | Télégramme Android Vulnérabilité «Evilvideo» envoie des logiciels malveillants sous forme de vidéos Telegram Android Vulnerability “EvilVideo” Sends Malware as Videos (lien direct) |
Evilvideo Exploit in Telegram pour Android permet aux attaquants d'envoyer des logiciels malveillants déguisés en vidéos.ESET a découvert cette vulnérabilité zéro-jour, & # 8230;
EvilVideo exploit in Telegram for Android lets attackers send malware disguised as videos. ESET discovered this zero-day vulnerability,… |
Malware Vulnerability Threat Mobile | ||
|
2024-07-22 12:15:00 | Socgholish malware exploite BOINC Project pour les cyberattaques secrètes SocGholish Malware Exploits BOINC Project for Covert Cyberattacks (lien direct) |
Le logiciel malveillant du téléchargeur JavaScript connu sous le nom de SocGholish (alias FakeUpdates) est utilisé pour livrer un cheval de cheval d'accès à distance appelé Asyncrat ainsi qu'un projet open source légitime appelé Boinc.
Boinc, abréviation de Berkeley Open Infrastructure Network Computing Client, est une plate-forme "Volunteer Computing" open-source ouverte maintenue par l'Université de Californie dans le but de réaliser "à grande échelle
The JavaScript downloader malware known as SocGholish (aka FakeUpdates) is being used to deliver a remote access trojan called AsyncRAT as well as a legitimate open-source project called BOINC. BOINC, short for Berkeley Open Infrastructure Network Computing Client, is an open-source "volunteer computing" platform maintained by the University of California with an aim to carry out "large-scale |
Malware | ||
|
2024-07-22 10:49:07 | Des logiciels malveillants uniques identifiés dans Panchan Botnet avec des techniques de persistance avancées Unique malware identified in Panchan botnet with advanced persistence techniques (lien direct) |
> Les chercheurs de Nozomi Networks Labs ont détaillé une famille de logiciels malveillants unique détectée par leurs pots de miel qui remplace le ...
>Researchers from Nozomi Networks Labs have detailed a unique malware family detected by their honeypots that replaces the... |
Malware | ||
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | |
|
2024-07-22 10:00:00 | 4 menaces en ligne «à faible priorité» qui peuvent infliger de graves dommages à la marque 4 “Low-Priority” Online Threats That Can Inflict Serious Brand Damage (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Companies constantly face a multitude of threats online. Understandably, there is no way for them to deal with all of the attacks given their limited resources and the time-consuming nature of continuous threat detection and prevention. As such, some threats are prioritized over others, depending on their urgency. This leads to threats being classified as “low-priority”, especially when it comes to brand protection. Some are even ignored altogether, especially by organizations that do not consider themselves big enough to be targeted by a brand attack. To be clear, these “low-priority” threats are not necessarily petty or negligible attacks. Despite that, most companies pay little to no attention to them because they are perceived to have no serious impact on their economic and reputational well-being. But in reality, brand attacks have been surging in 2024. This article will dive into these threats and explain why companies should think to the contrary and take them more seriously. Website Impersonation Website impersonation attacks used to be primarily aimed at large and well-known organizations, but were not always limited to them. This is because it would take time and resources for malicious actors to create a spoofed version of a brand’s website, therefore making less sense to invest in attacking a relatively unknown and small target. In addition, the impact of a website impersonation attack on a small company would be minuscule if the brand being impersonated is virtually unknown. But this has all changed with the rise of generative AI, making cloning websites considerably faster, easier, and drastically cheaper. As such, organizations today cannot downplay the threat of website impersonation. A 2024 report from Memcyco titled the “State of Digital Impersonation Fraud Resilience” shows that 40% of customers who have become victims of scams that involve website impersonation stop doing business with the brand. This raises the question about company responsibility for their customers and what happens if customers get scammed using a third-party site disguising as their own. For many customers, it doesn’t matter if the business had nothing to do with the emergence of the spoofed site. If they fall for a scam associated with a brand, they are highly likely to walk away. The Memcyco report also says that around two-thirds of enterprises only discover the existence of sites impersonating their brands because of victim incident reports. Customers are frustrated that they serve as the “threat intel” and businesses are clueless about the problem unless customers inform them. To avoid the unwanted consequences of website impersonation, organizations need to implement solutions that do not rely entirely on customer feedback. It is important to have a proactive solution in place that continuously scans the internet for possible impersonation attempts and promptly alerts customers about these fake sites. Fabricated Product Reviews and Ratings The problem of fake product reviews and ratings is mostly addressed with a customer-centric approach. Proposed regulations, like the | Malware Threat | ||
|
2024-07-22 09:03:39 | Crowdsstrike incident les mots de fin de la livraison de logiciels malveillants, de phishing, d'escroqueries CrowdStrike Incident Leveraged for Malware Delivery, Phishing, Scams (lien direct) |
> La grande panne informatique causée par CrowdStrike est en cours de mise à profit par les acteurs de la menace pour le phishing, les escroqueries et la livraison de logiciels malveillants.
>The major IT outage caused by CrowdStrike is being leveraged by threat actors for phishing, scams, and malware delivery. |
Malware Threat | ||
|
2024-07-21 22:07:31 | Fake Hot Cix pour CrowdStrike ”Crowdsstrike-hotfix.zip” Spreds Remcos Rat Fake Hot Fix for CrowdStrike ”crowdstrike-hotfix.zip” Spreads Remcos RAT (lien direct) |
Méfiez-vous & # 8220; Crowdsstrike-hotfix.zip & # 8221 ;!Ce faux fichier répartit les logiciels malveillants REMCOS, ciblant les utilisateurs de Latam Crowdsstrike.Ne le téléchargez pas!Apprenez à & # 8230;
Beware “crowdstrike-hotfix.zip”! This fake file spreads Remcos malware, targeting LatAm CrowdStrike users. Don’t download it! Learn how to… |
Malware | ||
|
2024-07-21 15:31:34 | Fake Crowdsstrike corrige les entreprises cibles avec des logiciels malveillants, les essuie-glaces de données Fake CrowdStrike fixes target companies with malware, data wipers (lien direct) |
Vendredi, les acteurs de la menace exploitent les perturbations commerciales massives de la mise à jour glitchy de Crowdsstrike \\ pour cibler les entreprises avec des essuie-glaces et des outils d'accès à distance.[...]
Threat actors are exploiting the massive business disruption from CrowdStrike\'s glitchy update on Friday to target companies with data wipers and remote access tools. [...] |
Malware Tool Threat | ||
|
2024-07-21 13:06:27 | Méfiez-vous des fans de GRAND Theft Auto!Fake GTA VI Beta Download Spreads Malware Beware Grand Theft Auto Fans! Fake GTA VI Beta Download Spreads Malware (lien direct) |
Les fans de Grand Theft Auto VI se méfient de Fake GTA VI Beta Télécharger les publicités!Don & # 8217; je ne sois pas arnaqué par Fake & # 8230;
Grand Theft Auto VI fans beware of Fake GTA VI Beta download ads! Don’t get scammed by fake… |
Malware | ||
 |
2024-07-21 07:24:11 | Comment les logiciels publicitaires ont exposé les victimes aux threads au niveau du noyau et # 8211;Semaine en sécurité avec Tony Anscombe How adware exposed victims to kernel-level threats – Week in Security with Tony Anscombe (lien direct) |
Un prétendu bloqueur d'annonces commercialisé en tant que solution de sécurité cache des logiciels malveillants au niveau du noyau qui expose par inadvertance les victimes à des menaces encore plus dangereuses
A purported ad blocker marketed as a security solution hides kernel-level malware that inadvertently exposes victims to even more dangerous threats |
Malware | ||
|
2024-07-20 21:31:00 | Les cybercriminels exploitent la mise à jour de mise à jour de mise à jour pour distribuer des logiciels malveillants Remcos Rat Cybercriminals Exploit CrowdStrike Update Mishap to Distribute Remcos RAT Malware (lien direct) |
La société de cybersécurité Crowdsstrike, qui est confrontée à la chaleur pour provoquer des perturbations dans le monde entier en repoussant une mise à jour erronée vers les appareils Windows, avertit maintenant que les acteurs de la menace exploitent la situation pour distribuer Remcos Rat à ses clients en Amérique latine sous le couvert de la fourniture d'unun chaud.
Les chaînes d'attaque impliquent la distribution d'un fichier d'archive zip nommé "Crowdstrike-hotfix.zip" "
Cybersecurity firm CrowdStrike, which is facing the heat for causing worldwide IT disruptions by pushing out a flawed update to Windows devices, is now warning that threat actors are exploiting the situation to distribute Remcos RAT to its customers in Latin America under the guise of a providing a hotfix. The attack chains involve distributing a ZIP archive file named "crowdstrike-hotfix.zip," |
Malware Threat | ||
|
2024-07-19 21:17:33 | Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) | ## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447)* - *[Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108)* - *[Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524)* - [*Ransom:Linux/Playde*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti | Ransomware Malware Tool Threat Prediction | ||
|
2024-07-19 18:51:32 | APT41 Has Arisen From the DUST (lien direct) | #### Géolocations ciblées - Italie - Espagne - Taïwan - Thaïlande - t & uuml; rkiye - Royaume-Uni #### Industries ciblées - Systèmes de transport - Médias numériques, imprimés et diffusés ## Instantané Mandiant, en collaboration avec le groupe d'analyse des menaces de Google (TAG), a publié un rapport sur une campagne par APT41, suivi par Microsof d37c6), ciblant les organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni. ## Description Le groupe cible des secteurs comme les soins de santé, la haute technologie et les télécommunications, en utilisant des techniques sophistiquées telles que les compromis de la chaîne d'approvisionnement et les certificats numériques volés.Dans cette dernière campagne, l'APT41 a compromis diverses organisations sur plusieurs continents, notamment l'Italie, l'Espagne, Taïwan, la Thaïlande, la Turquie et le Royaume-Uni, en se concentrant sur des secteurs comme l'expédition, la logistique et les médias. APT41 a utilisé des shells Web Atsword et BlueBeam sur un serveur Tomcat Apache Manager pour la persistance.Ces shells Web, actifs depuis 2023, ont permis au groupe d'exécuter CerUtil.exe pour télécharger le compte-gouttes à poussière.Dustpan, un compte-gouttes en mémoire écrit en C / C ++, décrypte et exécute des charges utiles furtivement.Au cours de cette campagne, il a chargé Beacon, un outil de communication avec une infrastructure contrôlée par APT41, souvent déguisée en binaires Windows pour échapper à la détection. Au fur et à mesure que l'intrusion progressait, APT41 a déployé le compte-gouttes Dusttrap.Dusttrap est un cadre de plugin à plusieurs étapes qui décrypte et exécute des charges utiles malveillantes en mémoire, minimisant les traces médico-légales.Il établit des canaux de communication avec l'infrastructure APT41 ou des comptes Google Workspace compromis.L'utilisation de comptes Google compromis a aidé à mélanger les activités malveillantes avec un trafic légitime.Google note que ces comptes ont été corrigés. APT41 a également exploité SQLULLDR2, un utilitaire de ligne de commande, pour exporter les données des bases de données Oracle.Cet outil leur a permis d'extraire efficacement de grands volumes de données sensibles.De plus, APT41 a utilisé Pinegrove, un téléchargeur de ligne de commande, pour exfiltrater les données à OneDrive.Pinegrove est un outil accessible au public écrit en Go, capable de collecter et de télécharger des fichiers via l'API OneDrive. ## Analyse Microsoft Microsoft Threat Intelligence suit APT41 comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05aeafc0d4158b0e389b4078112d37c6), ACTIVITÉ CHINAL. Typhoon se concentre sur l'espionnage et estconnu pour effectuer une reconnaissance contre les organisations cibles.Le groupe a principalement ciblé le secteur de la technologie, mais a été observé ciblant les organisations non gouvernementales, les télécommunications, la vente au détail de consommateurs, la fabrication critique, le gouvernement et les institutions financières. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - Backdoor: Win32 / Moonwalk - [Trojan: Win64 / Malgent] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Trojan: Win64 / Malgent! MSR) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/atheats/malware-eNCyclopedia-Description? Name = Trojan: Win32 / Leonem) ## Les références [APT41 est né de la poussière] (https://cloud.google.com/blog/topics/thereat-intelligence/apt41-arisen-from-dust/).Google (consulté en 2024-07-19) [Typhoon en laiton] (https: // security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6).Mic | Malware Tool Threat Medical Cloud | APT 41 | |
|
2024-07-18 23:45:57 | Avertissement contre la distribution des logiciels malveillants déguisés en fissures logicielles (perturbe l'installation de V3 Lite) Warning Against the Distribution of Malware Disguised as Software Cracks (Disrupts V3 Lite Installation) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment introduit les dangers du malware déguisé en programmes de crack à travers un postintitulé & # 8220; Distribution de logiciels malveillants sous le couvert de versions Cracked MS Office (XMRIG, Orcusrat, etc.) & # 8221;.[1] Les souches de logiciels malveillants déguisées en programmes de crack sont principalement distribuées via des plates-formes de partage de fichiers, des blogs et des torrents, conduisant à l'infection de plusieurs systèmes.Ces systèmes infectés sont continuellement gérés par les acteurs de la menace par le biais de mises à jour périodiques.Dans ce cas, il a été confirmé que l'acteur de menace avait installé différent ...
AhnLab SEcurity intelligence Center (ASEC) has previously introduced the dangers of malware disguised as crack programs through a post titled “Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)”. [1] Malware strains disguised as crack programs are primarily distributed through file-sharing platforms, blogs, and torrents, leading to the infection of multiple systems. These infected systems are continually managed by threat actors through periodic updates. In this case, it was confirmed that the threat actor installed different... |
Malware Threat | ★★★ | |
|
2024-07-18 23:35:29 | Qui vas-tu appeler?AndroxGH0st Busters! Who You Gonna Call? AndroxGh0st Busters! (lien direct) |
## Instantané
Les chercheurs en cybersécurité du SANS Internet Storm Center ont identifié AndroxGH0ST, un logiciel malveillant en rédaction de python ciblant les fichiers .env dans les applications Web Laravel.Ce malware fait partie d'une opération de botnet de vol d'identification qui abuse de diverses fonctions, notamment la numérisation de vulnérabilité, le protocole de transfert de courrier simple (SMTP), les API et le déploiement de shell Web.
## Description
Les vulnérabilités clés exploitées par AndroxGH0ST incluent [CVE-2017-9841] (https: //security.microsoft.com/intel-explorer/cves/cve-2017-9841/), une vulnérabilité d'exécution de code distant (RCE) dans Phpunit, [CVE-2018-15133] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2018-15133 /),La Laravel App Key Deerialization RCE, et [CVE-2021-41773] (https://security.microsoft.com/intel-explorer/cves/cve-2021-41773/), une vulnérabilité de Traversal et RCE répertoire dans l'Apache httpserveur.Dans les attaques observées, AndroxGH0ST scanne des fichiers .env exposés et envoie des demandes de post HTTP malveillantes pour exploiter ces vulnérabilités.En cas de succès, le malware télécharge des fichiers malveillants supplémentaires, configure de fausses pages Web pour un accès persistant et exfiltre des données sensibles.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [HackTool: Python / Agent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:python/agent)
- [Trojan: Linux / Dakkatoni] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojandropper:linux/dakkatoni)
- [Trojan: php / webshell] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:php/webshell)
- [PUA: Linux / Coinmin] (https://www.microsoft.com/en-us/wdsi/atherets/mAlware-SencyClopedia-Description? Name = PUA: Linux / Coinmin)
## Recommandations
En plus de corriger les vulnérabilités exploitées connues dans les systèmes orientés Internet, y compris CVE-2017-9841, CVE-2018-15133 et CVE-2021-41773, la source recommande:
- Analyses du système de fichiers: analysez régulièrement le système de fichiers du serveur \\ pour les fichiers PHP inconnus, en particulier dans le répertoire racine ou / fournisseur / phpunit / phpunit / src / util / php.
- Surveiller les demandes sortantes: examiner les demandes de GET sortantes sur les sites d'hébergement de fichiers tels que GitHub, Pastebin, etc., en particulier lors de l'accès à un fichier .php.
## Les références
[Qui vas-tu appeler?AndroxGH0st Busters!\ [Journal invité \]] (https://isc.sans.edu/diary/rss/31086) Sans Internet Storm Center (consulté le 2024-07-18)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Cybersecurity researchers at the SANS Internet Storm Center identified AndroxGh0st, a Python-scripted malware targeting .env files in Laravel web applications. This malware is part of a credential stealing botnet operation that abuses various functions, including vulnerability scanning, Simple Mail Transfer Protocol (SMTP), APIs, and web shell deployment. ## Description Key vulnerabilities exploited by AndroxGh0st include [CVE-2017-9841](https://security.microsoft.com/intel-explorer/cves/CVE-2017-9841/), a Remote Code Execution (RCE) vulnerability in PHPUnit, [CVE-2018-15133](https://security.microsoft.com/intel-explorer/cves/CVE-2018-15133/), the Laravel App Key Deserialization RCE, and [CVE-2021-41773](https://security.microsoft.com/intel-explorer/cves/CVE-2021-41773/), a directory traversal and RCE vulnerability in the Apache HTTP server. In observed attacks, AndroxGh0st scan |
Malware Vulnerability Threat Patching | ★★★ | |
|
2024-07-18 18:56:00 | Alerte: hotpage adware déguisé en bloqueur d'annonces installe un pilote de noyau malveillant Alert: HotPage Adware Disguised as Ad Blocker Installs Malicious Kernel Driver (lien direct) |
Les chercheurs en cybersécurité ont mis en lumière un module d'adware qui prétend bloquer les publicités et les sites Web malveillants, tout en déchargeant furtivement un composant de pilote de noyau qui accorde aux attaquants la possibilité d'exécuter du code arbitraire avec des autorisations élevées sur les hôtes Windows.
Le malware, surnommé hotpage, tire son nom de l'installateur éponyme ("hotpage.exe"), selon de nouvelles résultats de l'ESET.
Le
Cybersecurity researchers have shed light on an adware module that purports to block ads and malicious websites, while stealthily offloading a kernel driver component that grants attackers the ability to run arbitrary code with elevated permissions on Windows hosts. The malware, dubbed HotPage, gets its name from the eponymous installer ("HotPage.exe"), according to new findings from ESET. The |
Malware | ★★★ | |
|
2024-07-18 17:30:28 | Revolver Rabbit Gang enregistre 500 000 domaines pour les campagnes de logiciels malveillants Revolver Rabbit gang registers 500,000 domains for malware campaigns (lien direct) |
Un gang cybercriminal que les chercheurs suivent en tant que Revolver Rabbit ont enregistré plus de 500 000 noms de domaine pour les campagnes d'infostaler qui ciblent les systèmes Windows et MacOS.[...]
A cybercriminal gang that researchers track as Revolver Rabbit has registered more than 500,000 domain names for infostealer campaigns that target Windows and macOS systems. [...] |
Malware | ★★★ | |
|
2024-07-18 17:25:18 | Des logiciels adware chinois signés par Microsoft ouvrent la porte aux privilèges du noyau Microsoft-Signed Chinese Adware Opens the Door to Kernel Privileges (lien direct) |
Un cachet officiel d'approbation pourrait donner l'impression qu'un prétendu outil de tamis adtech "de hotpage" n'est pas, en fait, un logiciel malveillant dangereux au niveau du noyau - mais c'est juste un subterfuge.
An official stamp of approval might give the impression that a purported "HotPage" adtech tool is not, in fact, a dangerous kernel-level malware - but that\'s just subterfuge. |
Malware Tool | ★★★ | |
|
2024-07-18 16:15:00 | Hotpage malware détourneurs HotPage Malware Hijacks Browsers with Signed Microsoft Driver (lien direct) |
Hotpage manipule le trafic du navigateur en se connectant aux fonctions API Windows basées sur le réseau
HotPage manipulates browser traffic by hooking into network-based Windows API functions |
Malware | ★★★ | |
|
2024-07-18 14:00:00 | Apt41 est né de la poussière APT41 Has Arisen From the DUST (lien direct) |
Written by: Mike Stokkel, Pierre Gerlings, Renato Fontana, Luis Rocha, Jared Wilson, Stephen Eckels, Jonathan Lepore
Executive Summary In collaboration with Google\'s Threat Analysis Group (TAG), Mandiant has observed a sustained campaign by the advanced persistent threat group APT41 targeting and successfully compromising multiple organizations operating within the global shipping and logistics, media and entertainment, technology, and automotive sectors. The majority of organizations were operating in Italy, Spain, Taiwan, Thailand, Turkey, and the United Kingdom. APT41 successfully infiltrated and maintained prolonged, unauthorized access to numerous victims\' networks since 2023, enabling them to extract sensitive data over an extended period. APT41 used a combination of ANTSWORD and BLUEBEAM web shells for the execution of DUSTPAN to execute BEACON backdoor for command-and-control communication. Later in the intrusion, APT41 leveraged DUSTTRAP, which would lead to hands-on keyboard activity. APT41 used publicly available tools SQLULDR2 for copying data from databases and PINEGROVE to exfiltrate data to Microsoft OneDrive. Overview Recently, Mandiant became aware of an APT41 intrusion where the malicious actor deployed a combination of ANTSWORD and BLUEBEAM web shells for persistence. These web shells were identified on a Tomcat Apache Manager server and active since at least 2023. APT41 utilized these web shells to execute certutil.exe to download the DUSTPAN dropper to stealthily load BEACON. As the APT41 intrusion progressed, the group escalated its tactics by deploying the DUSTTRAP dropper. Upon execution, DUSTTRAP would decrypt a malicious payload and execute it in memory, leaving minimal forensic traces. The decrypted payload was designed to establish communication channels with either APT41-controlled infrastructure for command and control or, in some instances, with a compromised Google Workspace account, further blending its malicious activities with legitimate traffic. The affected Google Workspace accounts have been successfully remediated to prevent further unauthorized access. Furthermore, APT41 leveraged SQLULDR2 to export data from Oracle Databases, and used PINEGROVE to systematically and efficiently exfiltrate large volumes of sensitive data from the compromised networks, transferring to OneDrive to enable exfiltration and subsequent analysis. |
Ransomware Malware Tool Threat Patching Medical Cloud | APT 41 | ★★ |
|
2024-07-18 13:40:24 | La Fin7 de Russie \\ colporte ses logiciels malveillants en termes d'Edr aux gangs de ransomware Russia\\'s FIN7 is peddling its EDR-nerfing malware to ransomware gangs (lien direct) |
Les principaux fournisseurs \\ 'Produits scolatés de nouvelles techniques Prolific Russian Cybercrime Syndicate Fin7 utilise divers pseudonymes pour vendre sa solution de sécurité de sécurité personnalisée à différents gangs de rançongiciels.…
Major vendors\' products scuppered by novel techniques Prolific Russian cybercrime syndicate FIN7 is using various pseudonyms to sell its custom security solution-disabling malware to different ransomware gangs.… |
Ransomware Malware | ★★ | |
|
2024-07-17 21:57:00 | Les pirates nord-coréens mettent à jour les logiciels malveillants Beavertail pour cibler les utilisateurs de macOS North Korean Hackers Update BeaverTail Malware to Target MacOS Users (lien direct) |
Les chercheurs en cybersécurité ont découvert une variante mise à jour d'un malware connu du voleur que les attaquants affiliés à la République de Corée du peuple démocrate ont livré dans le cadre de campagnes antérieures de cyber-espionnage ciblant les demandeurs d'emploi.
L'artefact en question est un fichier Apple MacOS Disk Image (DMG) nommé "mirotalk.dmg" qui imite le service d'appel vidéo légitime du même nom,
Cybersecurity researchers have discovered an updated variant of a known stealer malware that attackers affiliated with the Democratic People\'s Republic of Korea (DPRK) have delivered as part of prior cyber espionage campaigns targeting job seekers. The artifact in question is an Apple macOS disk image (DMG) file named "MiroTalk.dmg" that mimics the legitimate video call service of the same name, |
Malware | ★★★ |
To see everything:
Our RSS (filtrered)
