What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-11-01 19:21:39 | Iamreboot: les packages NuGet malveillants exploitent l'échappatoire dans les intégrations MSBuild IAmReboot: Malicious NuGet packages exploit loophole in MSBuild integrations (lien direct) |
#### Description
RenversingLabs a identifié des liens entre une campagne malveillante qui a été récemment découverte et rapportée par l'entreprise Phylum et plusieurs centaines de packages malveillants publiés auprès du gestionnaire de package NuGet depuis début août.Les dernières découvertes sont la preuve de ce qui semble être une campagne en cours et coordonnée.
En outre, les recherches de renversement deslabs montrent comment les acteurs malveillants améliorent continuellement leurs techniques et répondent à la perturbation de leurs campagnes.Plus précisément, les acteurs de la menace sont passés de simples téléchargeurs exécutant à l'intérieur d'installer des scripts à une approche plus raffinée qui exploite MSBuild de Nuget \\Fonctionnalité des intégrations.
#### URL de référence (s)
1. https://www.reversingLabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole
#### Date de publication
31 octobre 2023
#### Auteurs)
Karlo Zanki
#### Description ReversingLabs has identified connections between a malicious campaign that was recently discovered and reported by the firm Phylum and several hundred malicious packages published to the NuGet package manager since the beginning of August. The latest discoveries are evidence of what seems to be an ongoing and coordinated campaign. Furthermore, ReversingLabs research shows how malicious actors are continuously improving their techniques and responding to the disruption of their campaigns. Specifically, threat actors have moved from simple downloaders executing inside install scripts to a more refined approach that exploits NuGet\'s MSBuild integrations feature. #### Reference URL(s) 1. https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole #### Publication Date October 31, 2023 #### Author(s) Karlo Zanki |
Threat | ★★ | |
|
2023-10-31 20:56:15 | Arid Viper déguiser les logiciels espions mobiles comme mises à jour pour les applications Android non malveillantes Arid Viper Disguising Mobile Spyware as Updates for Non-Malicious Android Applications (lien direct) |
#### Description
Depuis avril 2022, Cisco Talos suit une campagne malveillante exploitée par le groupe de menace persistante (APT) de vipère avancée (APT), de menace persistante avancée (APT), ciblant les utilisateurs Android arabes.Dans cette campagne, les acteurs exploitent des logiciels malveillants mobiles personnalisés, également appelés fichiers de packages Android (APK), pour collecter des informations sensibles à partir de cibles et déployer des logiciels malveillants supplémentaires sur des appareils infectés.
Le logiciel malveillant mobile utilisé dans cette campagne partage des similitudes avec une application de rencontres en ligne non malveillante, appelée sautée.Le malware utilise spécifiquement un nom similaire et le même projet partagé sur la plate-forme de développement Applications \\ '.Ce chevauchement suggère que les opérateurs de vipères arides sont liés au développeur de \\ sauté ou en quelque sorte acquis un accès illicite à la base de données du projet partagé.L'analyse de Cisco \\ a découvert un éventail d'applications de rencontres simulées liées aux sauts, nous amenant à évaluer que les opérateurs Arid Viper peuvent chercher à tirer parti de ces applications supplémentaires dans de futures campagnes malveillantes.Afin de contraindre les utilisateurs à télécharger leurs logiciels malveillants mobiles, les opérateurs Arid Viper partagent des liens malveillants se faisant passer pour des mises à jour des applications de rencontres, qui fournissent plutôt des logiciels malveillants à l'appareil de l'utilisateur \\.
Android malware d'Arid Viper \\ a un certain nombre de fonctionnalités qui permettent aux opérateurs de désactiver les notifications de sécurité, de collecter des informations sensibles aux utilisateurs et de déployer des applications malveillantes supplémentaires sur l'appareil compromis.
#### URL de référence (s)
1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/
#### Date de publication
31 octobre 2023
#### Auteurs)
Cisco Talos
#### Description Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected devices. The mobile malware used in this campaign shares similarities with a non-malicious online dating application, referred to as Skipped. The malware specifically uses a similar name and the same shared project on the applications\' development platform. This overlap suggests the Arid Viper operators are either linked to Skipped\'s developer or somehow gained illicit access to the shared project\'s database. Cisco\'s analysis uncovered an array of simulated dating applications that are linked to Skipped, leading us to assess that Arid Viper operators may seek to leverage these additional applications in future malicious campaigns. In order to coerce users into downloading their mobile malware, Arid Viper operators share malicious links masquerading as updates to the dating applications, that instead deliver malware to the user\'s device. Arid Viper\'s Android malware has a number of features that enable the operators to disable security notifications, collect users\' sensitive information, and deploy additional malicious applications on the compromised device. #### Reference URL(s) 1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/ #### Publication Date October 31, 2023 #### Author(s) Cisco Talos |
Malware Threat | APT-C-23 APT-C-23 | ★★★ |
|
2023-10-25 19:25:25 | Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers (lien direct) | #### Description
ESET Research découvre des campagnes par le groupe Winter Vivern APT qui exploite une vulnérabilité XSS zéro-jour dans le serveur de la carte Web Roundcube et cible les entités gouvernementales et un groupe de réflexion en Europe.Pour compromettre ses objectifs, le groupe utilise des documents malveillants, des sites Web de phishing et une porte dérobée PowerShell personnalisée.L'exploitation de la vulnérabilité XSS, attribuée CVE-2023-5631, peut se faire à distance en envoyant un e-mail spécialement conçu.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploitts-zero-ay-vulnerabilité-loundcube-webmail-servers/
#### Date de publication
25 octobre 2023
#### Auteurs)
Matthieu faou
#### Description ESET Research discover campaigns by the Winter Vivern APT group that exploit a zero-day XSS vulnerability in the Roundcube Webmail server and target governmental entities and a think tank in Europe. To compromise its targets, the group uses malicious documents, phishing websites, and a custom PowerShell backdoor. Exploitation of the XSS vulnerability, assigned CVE-2023-5631, can be done remotely by sending a specially crafted email message. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/ #### Publication Date October 25, 2023 #### Author(s) Matthieu Faou |
Vulnerability Threat | ★★★ | |
|
2023-10-24 19:50:31 | Technique de téléchargement à double DLL de Quasar Rat \\ Quasar RAT\\'s Dual DLL Sideloading Technique (lien direct) |
#### Description
Quasarrat, également connu sous le nom de Cinarat ou Yggdrasil, est un outil d'administration à distance léger écrit en C #.Cet outil est ouvertement accessible en tant que projet GitHub.Cet outil est capable de diverses fonctions telles que la collecte de données système, l'exécution d'applications, le transfert de fichiers, l'enregistrement des touches, la prise de captures d'écran ou les captures de caméra, la récupération de mots de passe du système et la supervision des opérations comme le gestionnaire de fichiers, le gestionnaire de startup, le bureau distant et l'exécution de commandes de shell.
Dans la phase initiale, l'attaquant exploite "ctfmon.exe", qui est un fichier Microsoft authentique.Ce faisant, ils chargent une DLL malveillante qui, à l'œil non formé, semblerait bénin en raison de son nom déguisé.Lors de l'exécution du binaire "ctfmon.exe", l'étape est définie lorsque l'attaquant acquiert une charge utile de stade 1 \\ '.Cette charge utile initiale est cruciale, agissant comme la passerelle pour les actions malveillantes suivantes.À ce stade, l'acteur de menace met en jeu le fichier "calcc.exe" qui, dans ce contexte, n'est pas juste une application de calculatrice simple.Parallèlement à "Calc.exe", la DLL malveillante est également mise en mouvement.Lors de l'exécution de «calcc.exe», la DLL malveillante est déclenchée.Cette action se termine dans l'infiltration de la charge utile "quasarrat" dans la mémoire de l'ordinateur, reflétant la sensibilité de l'attaquant à contourner les mécanismes de sécurité.
#### URL de référence (s)
1.Hets: //www.uptcs.kum/blag/koker-rut
#### Date de publication
Octobre ౨౪, ౨౦౨౩
#### థ థ థ థ థ థ థ థ థ థ థ థ థ థ
Tejaswini Sandapolla
#### Description QuasarRAT, also known as CinaRAT or Yggdrasil, is a lightweight remote administration tool written in C#. This tool is openly accessible as a GitHub project. This tool is capable of various functions such as gathering system data, running applications, transferring files, recording keystrokes, taking screenshots or camera captures, recovering system passwords, and overseeing operations like File Manager, Startup Manager, Remote Desktop, and executing shell commands. In the initial phase, the attacker harnesses "ctfmon.exe," which is an authentic Microsoft file. By doing so, they load a malicious DLL which, to the untrained eye, would seem benign because of its disguised name. Upon execution of the "ctfmon.exe" binary, the stage is set as the attacker acquires a \'stage 1\' payload. This initial payload is crucial, acting as the gateway for the subsequent malicious actions. At this juncture, the threat actor brings into play the "calc.exe" file, which in this context, isn\'t just a simple calculator application. Alongside "calc.exe," the malicious DLL is also set into motion. On executing "calc.exe," the malicious DLL is triggered. This action culminates in the infiltration of the "QuasarRAT" payload into the computer\'s memory, reflecting the attacker\'s adeptness at circumventing security mechanisms. #### Reference URL(s) 1. https://www.uptycs.com/blog/quasar-rat #### Publication Date October 24, 2023 #### Author(s) Tejaswini Sandapolla |
Tool Threat | ★★★ | |
|
2023-10-20 18:49:47 | Des acteurs soutenus par le gouvernement exploitant la vulnérabilité de Winrar Government-Backed Actors Exploiting WinRAR Vulnerability (lien direct) |
#### Description
Au cours des dernières semaines, les menaces de Google \'s Menace Analysis Group \'s (TAG) ont observé plusieurs groupes de piratage soutenus par le gouvernement exploitant la vulnérabilité connue, CVE-2023-38831, dans Winrar, qui est un outil de fichiers populaire pour Windows.Un correctif est maintenant disponible, mais de nombreux utilisateurs semblent toujours vulnérables.Tag a observé des acteurs soutenus par le gouvernement d'un certain nombre de pays exploitant la vulnérabilité Winrar dans le cadre de leurs opérations.
Le CVE-2023-38831 est une vulnérabilité logique dans Winrar provoquant une expansion temporaire étrangère lors du traitement des archives fabriquées, combinées à une bizarrerie dans l'implémentation de Windows \\ 'Shellexcucute lors de la tentative d'ouvrir un fichier avec une extension contenant des espaces.La vulnérabilité permet aux attaquants d'exécuter du code arbitraire lorsqu'un utilisateur tente d'afficher un fichier bénin (comme un fichier PNG ordinaire) dans une archive zip.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/government-backed-actors-expoiting-winrar-vulnerabilité/
2. https://ti.defender.microsoft.com/cves/cve-2023-38831
3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description
#### Date de publication
18 octobre 2023
#### Auteurs)
Kate Morgan
#### Description In recent weeks, Google\'s Threat Analysis Group\'s (TAG) has observed multiple government-backed hacking groups exploiting the known vulnerability, CVE-2023-38831, in WinRAR, which is a popular file archiver tool for Windows. A patch is now available, but many users still seem to be vulnerable. TAG has observed government-backed actors from a number of countries exploiting the WinRAR vulnerability as part of their operations. CVE-2023-38831 is a logical vulnerability within WinRAR causing extraneous temporary file expansion when processing crafted archives, combined with a quirk in the implementation of Windows\' ShellExecute when attempting to open a file with an extension containing spaces. The vulnerability allows attackers to execute arbitrary code when a user attempts to view a benign file (such as an ordinary PNG file) within a ZIP archive. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/ 2. https://ti.defender.microsoft.com/cves/CVE-2023-38831 3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description #### Publication Date October 18, 2023 #### Author(s) Kate Morgan |
Tool Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
