What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-24 14:46:29 | La nouvelle plate-forme PHAAS permet aux attaquants de contourner l'authentification à deux facteurs New PhaaS Platform Lets Attackers Bypass Two-Factor Authentication (lien direct) |
#### Targeted Geolocations - Eastern Europe - Northern Europe - Southern Europe - Western Europe - Middle East - Central America and the Caribbean - North America - South America #### Targeted Industries - Financial Services ## Snapshot EclecticIQ analysts discovered phishing campaigns targeting financial institutions using QR codes embedded in PDF attachments to direct victims to phishing URLs. ## Description The attacks were facilitated by a Phishing-as-a-Service (PhaaS) platform called ONNX Store, which operates through Telegram bots. ONNX Store includes a two-factor authentication (2FA) bypass mechanism that intercepts 2FA requests, increasing the success rate of Business Email Compromise (BEC) attacks. The phishing pages mimic Microsoft 365 login interfaces, tricking targets into entering their authentication details. Analysts believe with high confidence that ONNX Store is likely a rebranded version of the Caffeine phishing kit, discovered by Mandiant in 2022, based on overlapping infrastructure and Telegram advertisements. The Arabic-speaking threat actor MRxC0DER is thought to be the developer and maintainer of Caffeine, and likely provides client support for ONNX Store. ONNX Store offers various services via Telegram bots, including phishing templates, webmail services, and bulletproof hosting. It leverages Cloudflare to delay takedown processes and evade detection, using features like CAPTCHA and IP proxying to protect malicious sites. ONNX Store distributes PDF documents with embedded QR codes that direct victims to phishing pages, often impersonating reputable services like Adobe or Microsoft 365. These QR codes are difficult for organizations to detect, especially on mobile devices. Most phishing campaigns target financial institutions in the EMEA and AMER regions, including banks and credit unions. The phishing kit uses encrypted JavaScript to evade detection and captures 2FA tokens in real-time, relaying them to attackers. ONNX Store also provides bulletproof hosting, allowing cybercriminals to operate without shutdown risks. The broader implications of these phishing toolkits include aiding credential theft and ransomware attacks. ## Microsoft Analysis ## Detections/Hunting Queries EclecticIQ identified two YARA Rules that can be used to identifiy potentially malicious domains or PDF Files from the ONNX Store. HUNT\_CRIME\_ONNX\_PHISHING\_URL is designed to identify specific patterns associated with malicious domains that utilize ONNX Store API such as default error messages and Telegram support links. | rule HUNT\_CRIME\_ONNX\_PHISHING\_URL { meta: description = "Searches for default ONNX Store API error" author = "Arda Buyukkaya" date = "2024-05-23" hash = "77e03c77a2bdbc09d5279fa316a35db0" strings: $contact\_link = "https://t.me/ONNXIT" $support\_message = "Please contact ONNX SUPPORT" $expired\_api = "Your API has been expired" condition: all of them } | | --- | MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR is designed to detect potenetioally malcioius QR codes with PDF files. | rule MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR { meta: description = "Detects potentially malicious PDFs based on structural patterns" author = "Arda Buyukkaya" date = "2024-05-17" hash = "0250a5ba26791e7ffddb4b294d486479" strings: $pdf = "%PDF-" $magic\_classic = "%!FontType1-1." $magic\_font = /obj\s\*]\*\/Subtype\s\*\/Type1/ $magic\_font2 = /obj\s\* | Ransomware Tool Threat Mobile | ||
 |
2024-06-24 14:32:27 | Réinitialisation Rapide : des hackers ont trouvé un moyen de lancer des attaques DDoS puissantes (lien direct) | Pourquoi autant de DDoS ces derniers temps ? Les cybercriminels exploitent activement la vulnérabilité Réinitialisation Rapide pour mener des blocages numériques. | |||
 |
2024-06-24 14:29:07 | Sentinelone PR & Eacute; Sente Singularity ™ Cloud Workload Security SentinelOne présente Singularity™ Cloud Workload Security (lien direct) |
Sentineone PR & Eacute; Sente Singularity ™ Cloud Workload Security
-
produits
SentinelOne présente Singularity™ Cloud Workload Security - Produits |
Cloud | ||
 |
2024-06-24 14:27:54 | Un gang de pirates condamné pour avoir utilisé le yuan numérique (lien direct) | Un groupe de cybercriminels condamné pour avoir utilisé des comptes de yuan numérique, la cryptomonnaie chinoise, afin de blanchir plus de 20 000 euros en quatre jours.... | |||
|
2024-06-24 14:24:06 | Ce qu\'il faut savoir sur les totems d\'affichage dynamique d\'intérieur (lien direct) | Dans un monde où la communication visuelle prend de plus en plus d'importance, les totems d'affichage dynamique d'intérieur se révèlent être des outils indispensables pour capter l'attention et transmettre efficacement des messages. | Tool | ||
|
2024-06-24 14:17:38 | ShadowHQ lance Playbook Manager ShadowHQ Launches Playbook Manager (lien direct) |
Shadowhq lance Playbook Manager pour simplifier et rationaliser la gestion des cyber-incidents
Réponse automatisé de la cyber
-
revues de produits
ShadowHQ Launches Playbook Manager to Simplify and Streamline Cyber Incident Management Automated Cyber Incident Response Playbooks Help Response Teams Create, Manage and Resolve Critical Events for Faster Recovery - Product Reviews |
|||
 |
2024-06-24 14:16:35 | Sécurité centrée sur l'homme dans l'écosystème de cybersécurité et la stratégie Better Together de Pointpoint \\ Human Centric Security in the Cybersecurity Ecosystem and Proofpoint\\'s Better Together Strategy (lien direct) |
In my previous blog, I detailed how Proofpoint has redefined email security, a central pillar of what Gartner has termed Human-Centric Security, one of their three strategic priorities for CISOs in 2024 and 2025. Now I\'d like to give you an idea of how we think human-centric security fits with the rest of the modern security stack and how the current trend toward more comprehensive security solution architectures is influencing our strategic direction. The Third Era It\'s worthwhile to start with a bit of history. In our view, we\'ve entered the third major evolution of cybersecurity. In the earliest period, the perimeter was established, and basic controls were put in place. The technologies were fewer and less capable, but the consequences of security failures were nowhere near as severe as they are now. In the second era, the perimeter largely dissolved and the rapid adoption of new technologies during the heyday of digital transformation led to a massive proliferation of point security solutions, cropping up nearly as fast as the tools they were meant to secure. Unfortunately, the cost of the security engineering, operational integration, and alert response required for these tools to be effective often outweighed the risk mitigation they provided. Now we\'ve arrived a phase where the security architectures of the future are finally taking shape. They share several key characteristics: they\'re highly integrated, cloud-deployed, and align to what security teams really need to protect: their infrastructure, the apps that run on it, the data that powers those applications, and of course the humans that simultaneously constitute their organization\'s greatest asset and biggest risk. The Pillars of a Modern Security Architecture To protect the spectrum between infrastructure and people, five key control planes have emerged. The first of those components is the network, where controls have moved past the classic confines of the firewall, proxy, VPN, and other network devices to the cloud-based consolidated services that make up the modern Secure Access Services Edge (SASE). Secondly, endpoint and server protection evolved into first Endpoint Detection and Response (EDR) and then XDR as servers were increasingly replaced by cloud workloads. That of course leaves the human element, to which I\'ll return shortly, and the two cross-architecture layers: the operational processes, increasingly automated, that drive the controls and respond to the alerts they generate, and the identity fabric, both human and machine, that ties everything together. These architectures are powerful on their own, and their effectiveness compounds when they\'re well integrated. Attackers have often exploited the gaps between poorly implemented and monitored security controls to pass from a compromise of a person\'s credentials through the network to the administrative privileges that make ransomware so disruptive. Frustrating adversaries becomes much more achievable when well-integrated security controls reinforce each other, providing not just defense in depth but also defense in breadth. For example, an attacker\'s job is much harder when the malicious attachment they use to try and target a person is blocked and analyzed, with the resulting intelligence shared across SASE and XDR. Human-Centric Security and the Ecosystem With the rise of these modern security architectures, our controls for protecting networks, endpoints, and infrastructure have evolved, becoming more comprehensive, adaptive, and effective. With over 90% of breaches involving the human element, Proofpoint\'s human-centric security platform uniquely does the same for people and integrates with the key leaders across the other five components of the modern security stack. In pioneering human-centric security, we\'ve brought together previously disconnected functionality to accomplish two critical goals. The first is helping organizations protect their people from targeted attacks, impersonation, and supplier risk, along with making their people more resilien | Ransomware Tool Threat Prediction Cloud | ||
|
2024-06-24 14:06:33 | Les propriétaires d\'Empire Market inculpés pour avoir opéré un marché noir de 430 millions de dollars (lien direct) | Deux hommes ont été inculpés pour leur rôle présumé dans la gestion d'un marché noir en ligne connu sous le nom d'Empire Market.... | |||
 |
2024-06-24 14:00:00 | Le réveil de 10 millions de dollars de NYSE \\ The NYSE\\'s $10M Wake-up Call (lien direct) |
Le règlement entre la SEC et le propriétaire de la Bourse de New York est un rappel critique des vulnérabilités au sein des institutions financières \\ 'Cadre de cybersécurité ainsi que de l'importance de la surveillance réglementaire.
The settlement between the SEC and the owner of the New York Stock Exchange is a critical reminder of the vulnerabilities within financial institutions\' cybersecurity frameworks as well as the importance of regulatory oversight. |
Vulnerability | ||
 |
2024-06-24 13:56:50 | Livanova USA révèle la violation des données impactant 130 000 personnes LivaNova USA Discloses Data Breach Impacting 130,000 Individuals (lien direct) |
> Livanova USA affirme que les informations personnelles et médicales de 130 000 personnes ont été compromises dans une violation de données d'octobre 2023.
>LivaNova USA says the personal and medical information of 130,000 individuals was compromised in an October 2023 data breach. |
Data Breach Medical | ||
|
2024-06-24 13:20:50 | (Déjà vu) Vérifier Rapport de sécurité du cloud de Point \\: Navigation de l'intersection de la cybersécurité Check Point\\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber Security (lien direct) |
Vérifier le point de la sécurité du cloud du point \\ de 2024: naviguer dans l'intersection de la cybersécurité
• 91% considèrent l'adoption de l'intelligence artificielle en priorité, mettant en évidence l'évaluation de la vulnérabilité et la détection des menaces comme avantages clés
• Néanmoins, seulement 61% des répondants ont reconnu que leur organisation était dans les phases de planification ou de développement de l'adoption de l'IA et de la ML pour la cybersécurité
• Les résultats de l'enquête révèlent un manque de sensibilisation au rôle crucial des contrôles internes et des politiques de gouvernance lorsque l'IA est impliquée
-
rapports spéciaux
Check Point\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber Security • 91% view the adoption of artificial intelligence as a priority, highlighting vulnerability assessment and threat detection as key benefits • Nevertheless, only 61% of respondents acknowledged that their organization is in the planning or development phases of adopting AI and ML for cyber security • Survey results reveal a lack of awareness about the crucial role of internal controls and governance policies when AI is involved - Special Reports |
Vulnerability Threat Cloud | ||
 |
2024-06-24 13:19:00 | La campagne de cyber-espionnage de RedJuliett frappe 75 organisations taïwanaises RedJuliett Cyber Espionage Campaign Hits 75 Taiwanese Organizations (lien direct) |
Un acteur de menace parrainé par l'État probablement lié à la Chine a été lié à une campagne de cyber-espionnage ciblant les organisations gouvernementales, universitaires, technologiques et diplomatiques à Taïwan entre novembre 2023 et avril 2024.
Le groupe INSIKT Recred Future \\ suit l'activité sous le nom de RedJuliett, le décrivant comme un cluster qui exploite Fuzhou, en Chine, pour soutenir l'intelligence de Pékin \\
A likely China-linked state-sponsored threat actor has been linked to a cyber espionage campaign targeting government, academic, technology, and diplomatic organizations in Taiwan between November 2023 and April 2024. Recorded Future\'s Insikt Group is tracking the activity under the name RedJuliett, describing it as a cluster that operates Fuzhou, China, to support Beijing\'s intelligence |
Threat | ||
 |
2024-06-24 13:12:32 | 24 juin & # 8211;Rapport de renseignement sur les menaces 24th June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 24 juin, veuillez télécharger notre bulletin de renseignement sur les menaces.Les meilleures attaques et violations Le groupe de ransomware de NoirSuit a perturbé les opérations chez CDK Global, un fournisseur important de solutions de marketing informatique et numérique à l'industrie automobile, ciblant leurs plateformes SaaS aux États-Unis et [& # 8230;]
>For the latest discoveries in cyber research for the week of 24th June, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES The BlackSuit ransomware group has disrupted operations at CDK Global, a significant provider of IT and digital marketing solutions to the automotive industry, targeting their SaaS platforms across the United States and […] |
Ransomware Threat Cloud | ||
|
2024-06-24 13:11:34 | Découverte d\'un complice de hackers russes après des attaques en Belgique et aux Pays-Bas (lien direct) | Les services de cyberpolice ukrainiens ont récemment mis au jour un complice de hackers russes, impliqué dans des cyberattaques contre des entreprises de premier plan aux Pays-Bas et en Belgique.... | |||
|
2024-06-24 12:54:19 | L\'interdiction de Kaspersky aux États-Unis : nouvelle étape dans la guerre de la cybersécurité (lien direct) | Le jeudi 22 juin, Washington a annoncé une mesure drastique contre le géant russe de la cybersécurité, Kaspersky. Le département américain du Commerce a interdit l'utilisation et la vente des logiciels antivirus Kaspersky aux États-Unis et par des Américains à l'étranger.... | |||
 |
2024-06-24 12:53:47 | 5 des emplois de cybersécurité les mieux rémunérés en ce moment 5 Of The Highest-Paying Cybersecurity Jobs Right Now (lien direct) |
> Cette semaine en cybersécurité des éditeurs du magazine Cybercrime & # 8211;Lisez l'histoire complète à Fortune Sausalito, Californie & # 8211;24 juin 2024 Le domaine de la cybersécurité connaît une demande incroyable.Cybersecurity Ventures, chercheur et éditeur qui couvre la cyber-économie internationale, estime que
>This week in cybersecurity from the editors at Cybercrime Magazine – Read the Full Story in Fortune Sausalito, Calif. – Jun. 24, 2024 The field of cybersecurity is seeing incredible demand. Cybersecurity Ventures, a researcher and publisher that covers the international cyber economy, estimates that |
|||
|
2024-06-24 12:48:47 | Faits saillants hebdomadaires OSINT, 24 juin 2024 Weekly OSINT Highlights, 24 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a persistent focus on sophisticated cyber espionage and ransomware campaigns by state-sponsored threat actors and advanced cybercriminal groups. Key trends include the exploitation of known vulnerabilities in network devices and hypervisors by Chinese groups like Velvet Ant and UNC3886, leveraging custom malware for long-term access and data theft. Meanwhile, actors active in the Middle Eastern and South Asian such as Arid Viper and UTA0137 continue to target adversaries with trojanized apps and Linux malware, respectively. Additionally, innovative social engineering techniques, like those used by TA571 and ClearFake, highlight the evolving methods threat actors employ to deliver diverse payloads, including ransomware and information stealers. The consistent targeting of critical infrastructure, government entities, and high-value enterprises underscores the need for robust, multi-layered cybersecurity defenses to mitigate these sophisticated and persistent threats. ## Description 1. **[Arid Viper Espionage Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/19d9cd7d)**: ESET researchers uncovered Arid Viper\'s espionage campaigns targeting Android users in Egypt and Palestine. The campaigns distribute trojanized apps through dedicated websites, focusing on user data espionage with their AridSpy malware, a sophisticated multistage Android spyware. 2. **[Velvet Ant Exploits F5 BIG-IP](https://sip.security.microsoft.com/intel-explorer/articles/e232b93d)**: Sygnia analysts revealed that the Chinese cyberespionage group Velvet Ant exploited vulnerabilities in F5 BIG-IP appliances to deploy malware like PlugX, enabling long-term access and data theft. These incidents emphasize the threat posed by persistent threat groups exploiting network device vulnerabilities. 3. **[UNC3886 Targets Hypervisors](https://sip.security.microsoft.com/intel-explorer/articles/faed9cc0)**: Google Cloud reported that Mandiant investigated UNC3886, a suspected Chinese cyberespionage group, targeting hypervisors with sophisticated malware and exploiting vulnerabilities in FortiOS and VMware technologies. The group utilized rootkits and custom malware for persistence and command and control. 4. **[UTA0137 Cyber-Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bc2b5c55)**: Volexity identified Pakistan-based UTA0137 targeting Indian government entities with DISGOMOJI malware, which uses Discord for command and control. The campaign targets Linux systems, employing various persistence mechanisms and exploiting vulnerabilities like DirtyPipe for privilege escalation. 5. **[Proofpoint Highlights Copy-Paste Attacks](https://sip.security.microsoft.com/intel-explorer/articles/c75089e9)**: Proofpoint researchers reported that threat actors, including TA571 and ClearFake, are using techniques that prompt users to copy and paste malicious PowerShell scripts. These campaigns deliver various malware, including DarkGate and NetSupport, through clever social engineering tactics that trick users into compromising their systems. 6. **[Shinra and Limpopo Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b7a96cbd)**: FortiGuard Labs identified the emergence of Shinra and Limpopo ransomware strains in early 2024. Shinra ransomware exfiltrates data before encryption, while Limpopo targets ESXi environments, affecting multiple countries and causing significant disruptions. 7. **[CVE-2024-4577 Vulnerability Exploits](https://sip.security.microsoft.com/intel-explorer/articles/8635c515)**: Cyble Global Sensor Intelligence detected multiple scanning attempts exploiting CVE-2024-4577, a vulnerability in Windows affecting PHP installations. Threat actors are using this flaw to deploy ransomware and malware, emphasizing the urgent need for organizations to upgrade PHP versions to mitigate risks. 8. **[SmallTiger Malware Targets South Korea](https://sip.security.microsoft.com/intel-explorer/articles/3f29a6c8)**: The AhnLab Securi | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT-C-23 | |
|
2024-06-24 12:36:55 | Le rôle de l\'IA dans la Cybersécurité : entre Menaces et opportunités (lien direct) | L'ère numérique actuelle connaît une évolution rapide, et l'intelligence artificielle (IA) en est un acteur majeur. Selon le McKinsey Global Institute, l'IA générative pourrait apporter entre 2,6 et 4,4 milliards de dollars à l'économie mondiale chaque année. Cependant, cette avancée s'accompagne de risques significatifs, notamment dans le domaine de la cybersécurité. | Threat | ||
|
2024-06-24 12:35:36 | La fatigue de la notification push mène à la violation des données du service de santé du comté de LA Push Notification Fatigue Leads to LA County Health Department Data Breach (lien direct) |
> Le département des services de santé du comté de Los Angeles révèle une violation de données causée par une attaque de spam de notification push.
>The Los Angeles County Department of Health Services discloses a data breach caused by push notification spamming attack. |
Data Breach | ||
 |
2024-06-24 12:34:07 | Lockbit Ransomware réclame 33 TB des données de la Réserve fédérale américaine pour Ransom LockBit Ransomware Claims 33 TB of US Federal Reserve Data for Ransom (lien direct) |
Lockbit Ransomware prétend contenir 33 To de données de la Réserve fédérale américaine pour Ransom.Hackread.com enquête, tendant la main à CISA pour des commentaires sur la violation et les négociations en cours.Restez à jour!
LockBit ransomware claims to hold 33 TB of data from the US Federal Reserve for ransom. Hackread.com investigates, reaching out to CISA for comments on the breach and ongoing negotiations. Stay updated! |
Ransomware | ||
 |
2024-06-24 12:33:29 | Rocket, acquisition couleur RAG pour OpenAI (lien direct) | Avec le RAG en ligne de mire, OpenAI réalise sa première acquisition officielle, en l'objet de Rockset, éditeur américain d'une base de données cloud. | Cloud | ||
|
2024-06-24 12:28:16 | 14 conseils pour sécuriser l\'accès à distance à votre Active Directory (lien direct) | Le télétravail augmente votre surface d'attaque. Pendant la pandémie, la priorité était de faire en sorte que les salariées continuent à travailler, même à distance. Voici 14 conseils pour sécuriser l'accès à distance à votre Active Directory.... | |||
|
2024-06-24 12:20:08 | DMARC: combattre l\'usurpation d\'identité et protégez votre domaine (lien direct) | DMARC : Combattre l'usurpation d'identité et protégez votre domaine. Ou l'importance du protocole DMARC pour l'authentification des courriels et la prévention des attaques par usurpation d'identité.... | |||
|
2024-06-24 12:03:39 | Préparez votre cybermois pendant l\'été : que savoir absolument ? (lien direct) | Généralement synonyme de détente et de vacances, l'été est également le moment idéal pour préparer votre cybermois. En effet, cette période plus calme peut être mise à profit pour renforcer vos connaissances en cybersécurité et mettre en place des mesures pour protéger vos données.... | |||
 |
2024-06-24 12:00:24 | Nouvelles passionnantes: CDO India et CDO Australia désormais généralement disponibles! Exciting News: CDO India and CDO Australia Now Generally Available! (lien direct) |
CDO maintenant en Inde & # 038;Australie;évolue vers Cisco SCC en 2024. 
CDO now in India & Australia; evolves to Cisco SCC in 2024. |
|||
 |
2024-06-24 12:00:00 | RedJuliett basé en Chine cible Taïwan dans la campagne de cyber-espionnage China-Based RedJuliett Targets Taiwan in Cyber Espionage Campaign (lien direct) |
Le groupe probable parrainé par l'État chinois a mené des campagnes d'espionnage contre le gouvernement, le monde universitaire et la diplomatie de Taiwan \\ de Fuzhou, en Chine,
The likely Chinese state-sponsored group ran espionage campaigns against Taiwan\'s government, academia and diplomacy from Fuzhou, China |
|||
 |
2024-06-24 11:54:08 | Des pirates russes sanctionnés par le Conseil européen pour les attaques contre l'UE et l'Ukraine Russian hackers sanctioned by European Council for attacks on EU and Ukraine (lien direct) |
Pas de details / No more details | |||
 |
2024-06-24 11:38:19 | Apple en violation de la loi sur l'App Store, dit l'UE Apple in breach of law on App Store, says EU (lien direct) |
C'est la première fois qu'une entreprise est en violation de la loi sur les marchés numériques (DMA).
It is the first time a company has been found to be in breach of the Digital Markets Act (DMA). |
|||
|
2024-06-24 11:35:49 | MailCow Patches Critical XSS et File Averwrite Flaws & # 8211;Mettez à jour maintenant Mailcow Patches Critical XSS and File Overwrite Flaws – Update NOW (lien direct) |
Les serveurs de courrier électronique MailCow sont confrontés à des vulnérabilités critiques (CVE-2024-31204 et CVE-2024-30270) permettant une exécution potentielle de code distant.Mise à jour de Mailcow 2024-04 (mise à jour de Moopril) pour corriger les trous de sécurité et protéger votre serveur de messagerie.
Mailcow email servers faced critical vulnerabilities (CVE-2024-31204 and CVE-2024-30270) allowing potential remote code execution. Update to Mailcow 2024-04 (Moopril Update) to patch the security holes and keep your email server safe. |
Vulnerability | ||
|
2024-06-24 11:31:33 | Safe Superintelligence Inc : ce que l\'on sait du projet de Ilya Sutskever (lien direct) | Ancien scientifique en chef et co-fondateur d'OpenAI, Ilya Sutskever se relance avec la création de SSI, Safe Superintelligence Inc. Son projet : créer une super intelligence sûre... | |||
 |
2024-06-24 11:04:53 | Paul Nakasone rejoint le conseil d'administration d'Openai \\ Paul Nakasone Joins OpenAI\\'s Board of Directors (lien direct) |
L'ancien directeur de la NSA, Paul Nakasone, a rejoint Board of Openai.
Former NSA Director Paul Nakasone has joined the board of OpenAI. |
|||
 |
2024-06-24 10:56:43 | Coinstats dit que les pirates nord-coréens ont violé 1 590 portefeuilles crypto CoinStats says North Korean hackers breached 1,590 crypto wallets (lien direct) |
Coinstats a subi une violation de sécurité massive qui a compromis 1 590 portefeuilles de crypto-monnaie, l'attaque soupçonnée d'avoir été menée par des acteurs de la menace nord-coréenne.[...]
CoinStats suffered a massive security breach that compromised 1,590 cryptocurrency wallets, with the attack suspected to have been carried out by North Korean threat actors. [...] |
Threat | ||
 |
2024-06-24 10:42:32 | L'UE dit que l'App Store d'Apple \\ est en violation des règles EU says Apple\\'s App Store Is in Breach of Rules (lien direct) |
Apple a été averti que son App Store est en violation des règles de l'UE et a fait un retour sur les plans pour déployer une technologie d'IA en Europe par rapport aux préoccupations réglementaires.
Apple has been warned that its App Store is in breach of EU rules, and has backtracked on plans to roll out AI tech in Europe over regulatory concerns. |
|||
|
2024-06-24 10:34:00 | Multiples acteurs de menace déploient un rat Rafel open source pour cibler les appareils Android Multiple Threat Actors Deploying Open-Source Rafel RAT to Target Android Devices (lien direct) |
Les acteurs de menaces multiples, y compris les groupes de cyber-espionnage, utilisent un outil d'administration à distance Android open source appelé Rafel Rat pour atteindre leurs objectifs opérationnels en le faisant passer pour Instagram, WhatsApp et diverses applications de commerce électronique et antivirus.
"Il offre aux acteurs malveillants une boîte à outils puissante pour l'administration et le contrôle à distance, permettant une gamme d'activités malveillantes
Multiple threat actors, including cyber espionage groups, are employing an open-source Android remote administration tool called Rafel RAT to meet their operational objectives by masquerading it as Instagram, WhatsApp, and various e-commerce and antivirus apps. "It provides malicious actors with a powerful toolkit for remote administration and control, enabling a range of malicious activities |
Tool Threat Mobile | ||
|
2024-06-24 10:08:02 | Christophe Charbonnier, DSI de MPSA : " Nous achevons la migration de nos VM et de nos conteneurs applicatifs dans le Cloud ". (lien direct) | Christophe Charbonnier, DSI de MPSA, retrace les évolutions de son système d'information aux défis de la logistique, du négoce de pneus et de pièces techniques automobiles avec les garagistes. | Cloud | ||
 |
2024-06-24 10:00:02 | XZ Backdoor: Analyse des crochets XZ backdoor: Hook analysis (lien direct) |
Dans cet article, nous analysons le comportement de porte dérobée XZ à l'intérieur d'OpenSSH, après avoir obtenu le crochet de fonction lié à RSA.
In this article, we analyze XZ backdoor behavior inside OpenSSH, after it has achieved RSA-related function hook. |
|||
 |
2024-06-24 10:00:00 | COMMERCIAL BUSINESS COMPROMISSE (BEC): Suivi des affaires d'un acteur de menace \\ Business Email Compromise (BEC): Tracking a Threat Actor\\'s Funny Business (lien direct) |
Executive Summary
In a recent LevelBlue incident response engagement, an analyst in our managed detection and response (MDR) security operations center (SOC) responded to an alarm that was triggered by a suspicious email/inbox rule. The rule aimed to conceal responses to an internal phishing attempt from the account user, so the attacker could solicit funds from the company\'s users. According to a report by the Cybersecurity and Infrastructure Security Agency (CISA), “Email systems are the preferred attack vector for malicious phishing campaigns. Recent reporting shows 32 percent of breaches involve phishing attacks.”
What are inbox/email rules? These are automated instructions set up within an email client to manage incoming emails based on specified criteria. They can perform various actions such as moving emails to specific folders, marking them as read, forwarding them to other addresses, or even deleting them. While email rules are designed to streamline email management and improve user productivity, they can also be exploited by malicious actors. Why are they a powerful tool for attackers? They allow for the automation of malicious activities with minimal manual intervention. The MITRE ATT&CK framework classifies these techniques under ID: T1564.008 (Hide Artifacts: Email Rules) and ID: T1114 (Email Collection). By setting up rules to hide, forward, or delete specific emails, attackers can effectively manage their intrusion and avoid detection.
During the triage of the alarm, the analyst analyzed various artifacts and event logs to understand the extent of the compromise. They examined email logs and account activity to identify the initial point of entry and the methods used by the attacker. Their rapid detection of the suspicious rule and subsequent analysis of the user activity logs was crucial in uncovering the attacker’s strategy and preventing further damage.
Introduction
In this incident, the attacker used an email rule to hide responses to an internal phishing email, ensuring that the compromised user would remain unaware of the ongoing malicious activity. This approach aligns with tactics seen in the MITRE ATT&CK framework, where attackers use email rules to hide evidence of their activities and maintain persistence (T1564.008). This allows them to maintain control over compromised accounts for longer periods, increasing the potential for data exfiltration and other malicious actions.
Investigation
The Alarm
The SOC analyst received an alarm from a Microsoft Exchange data source indicating that a suspicious inbox rule had been created. They examined the event that activated the alarm and quickly discerned from the rule parameters that this was case of business email compromise (BEC).
Figure 1: Alarm for suspicious inbox rule
Below, you can see the email parameters included within the newly created inbox rule, which was later identified to be created by the malicious actor who compromised the user’s account.
Figure 2: Snippet of the raw log showing the created rule parameters
Each parameter’s function is as follows:
AlwaysDeleteOutlookRulesBlob: False – Indicates that the rule blob (a data structure used to store rules) is not set to be deleted automatically, allowing the rule to remain active and persistent
Force: False – Suggests that the rule was not forcibly applied, which might imply that the attacker wanted to avoid drawing attention by making the c |
Tool Threat | ||
 |
2024-06-24 09:56:44 | L'outil d'évaluation de la sécurité chimique de CISA \\ frappé par la cyberattaque, documents sensibles potentiellement exposés CISA\\'s Chemical Security Assessment Tool hit by cyberattack, sensitive documents potentially exposed (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure & # 8217; s (CISA) outil d'évaluation de la sécurité chimique (CSAT) a connu une violation de cybersécurité par ...
The U.S. Cybersecurity and Infrastructure Security Agency’s (CISA) Chemical Security Assessment Tool (CSAT) experienced a cybersecurity breach by... |
Tool | ||
 |
2024-06-24 09:42:00 | Centres de distribution de sauvegarde à l'ère numérique Safeguarding Distribution Centers in the Digital Age (lien direct) |
Avec des systèmes numériques et physiques complexes, qui sont de plus en plus interconnectés, la surface d'attaque en expansion nécessite une solution de sécurité unifiée.Explorez les défis, les risques et les solutions potentielles pour les organisations visant à sécuriser les centres de distribution des cyber-menaces.
With complex digital and physical systems, that are increasingly interconnected, the expanding attack surface calls for a unified security solution. Explore the challenges, risks, and potential solutions for organizations aiming at securing distribution centers from cyber threats. |
|||
|
2024-06-24 09:26:12 | Apple Intelligence absent en Europe pour cause de DMA ? (lien direct) | Avec le DMA en toile de fond, les fonctionnalités regroupées sous la marque Apple Intelligence pourraient ne pas arriver dans l'UE avant 2025. | |||
|
2024-06-24 09:18:15 | Menaces cyber et élections législatives anticipées en France : le spectre du Kremlin (lien direct) | Menaces cyber et élections législatives anticipées en France : le spectre du Kremlin APT, hacktivistes, réseaux de bots... Ces acteurs russes en première ligne pour déstabiliser notre processus démocratique - Malwares | Threat | ||
|
2024-06-24 09:15:00 | Les procureurs polonais intensifient la sonde dans le fonctionnement des logiciels spy Polish Prosecutors Step Up Probe into Pegasus Spyware Operation (lien direct) |
Les procureurs polonais enquêtant sur une opération d'espionnage politique massive ont saisi Pegasus d'une agence gouvernementale
Polish prosecutors investigating a massive political spying operation have seized Pegasus from a government agency |
|||
|
2024-06-24 09:10:58 | Grâce à Armis, Main Line Health améliore la sécurité des patients et renforce la résilience opérationnelle (lien direct) | Grâce à Armis, Main Line Health améliore la sécurité des patients et renforce la résilience opérationnelle Main Line Health, groupe hospitalier régional a été récompensé par un prix prestigieux, renforçant son engagement en faveur de la cyber-excellence - Marchés | |||
|
2024-06-24 08:30:00 | Sellafield plaide coupable à des infractions historiques à la cybersécurité Sellafield Pleads Guilty to Historic Cybersecurity Offenses (lien direct) |
Le site nucléaire le plus dangereux du Royaume-Uni, Sellafield, a admis des accusations criminelles liées aux défaillances de la sécurité informatique
UK\'s most hazardous nuclear site, Sellafield, has admitted criminal charges related to IT security failings |
|||
 |
2024-06-24 07:00:00 | MicroBin – Le partage de fichiers simple et sécurisé (lien direct) | MicroBin est une application web de partage de fichiers open source, légère et sécurisée. Découvrez ses fonctionnalités avancées comme le chiffrement, l'expiration automatique et la redirection d'URL pour un partage simplifié en quelques clics. | |||
 |
2024-06-24 03:00:43 | 7 défis dans l'échelle des opérations SOC et comment les surmonter 7 Challenges in Scaling SOC Operations and How to Overcome Them (lien direct) |
Au cours des quatre dernières années, les cyberattaques ont plus que doublé.Les cybercriminels tirent parti des technologies émergentes comme l'intelligence artificielle (IA) pour faciliter des attaques plus sophistiquées.Le tumulte géopolitique a augmenté le cyber-risque.Ajoutez ces facteurs avec un désir presque ubique pour les entreprises d'élargir leurs opérations, et il est facile de comprendre les opérations du besoin de Centre d'opérations de sécurité (SOC).Cependant, la mise à l'échelle des opérations du SOC n'est pas une mince affaire, en particulier compte tenu des paysages de menace, économiques et commerciaux actuels.Il existe de nombreux défis que les gestionnaires SOC, les CISO ...
In the past four years, cyberattacks have more than doubled. Cybercriminals are leveraging emerging technologies like artificial intelligence (AI) to facilitate more sophisticated attacks. Geopolitical tumult has increased cyber risk. Couple these factors with a near-ubiquitous desire for businesses to expand their operations, and it\'s easy to understand the need for scaling Security Operations Center (SOC) operations. However, scaling SOC operations is no mean feat, especially considering the current threat, economic, and business landscapes. There are many challenges that SOC managers, CISOs... |
Threat | ||
|
2024-06-24 03:00:38 | Gagner la transparence du réseau avec la découverte et la conformité des actifs pour IT / OT Gaining Network Transparency with Asset Discovery and Compliance for IT/OT (lien direct) |
J'ai récemment rencontré le "Johari Window Model" et j'ai pensé que ce serait un bon moyen de s'inspirer pour expliquer l'énigme confrontée à de nombreux clients de cybersécurité.Le tableau ci-dessous nous montre la rupture des étapes qui sont applicables non seulement aux environnements et aux environnements OT mais aussi aux autres facettes de notre vie quotidienne.Ce modèle peut être appliqué au système de gestion de la configuration de sécurité (SCM) de Fortra \\.Il y a des situations où nous perdons un aperçu de ce en quoi consiste notre inventaire d'actifs de réseau.Ceci est parfois involontaire parce que, en tant qu'individus occupés dans le monde de ...
I recently came across the " Johari Window Model" and thought this would be a good way to gain inspiration to explain the conundrum faced by many cybersecurity customers. The table below shows us the breakdown of the stages that are applicable not just to IT and OT environments but also to other facets of our daily lives. This model can be applied to asset discovery and Fortra\'s Security Configuration Management (SCM) system. There are situations when we lose insight into what our network asset inventory consists of. This is sometimes unintentional because, as busy individuals in the world of... |
Industrial | ||
|
2024-06-24 03:00:36 | Règlement sur la sécurité IoT: une liste de contrôle de conformité & # 8211;Partie 1 IoT Security Regulations: A Compliance Checklist – Part 1 (lien direct) |
L'Internet des objets (IoT) fait référence au réseau mondial d'appareils physiques connectés à Internet, capable de collecter et de partager des données.Les appareils IoT vont des articles ménagers quotidiens aux outils industriels sophistiqués.En intégrant les capteurs et le matériel de communication, l'IoT comble l'écart entre les mondes physiques et numériques, permettant des environnements où les appareils intelligents fonctionnent de manière interconnectée et autonome.La croissance de l'IoT \\ est tirée par la disponibilité croissante de la puissance et de la connectivité de calcul abordables, des progrès de l'analyse des données et de l'intelligence artificielle, et le coût ...
The Internet of Things (IoT) refers to the global network of physical devices connected to the internet, capable of collecting and sharing data. IoT devices range from everyday household items to sophisticated industrial tools. By integrating sensors and communication hardware, IoT bridges the gap between the physical and digital worlds, enabling environments where smart devices operate interconnectedly and autonomously. IoT\'s growth is driven by the increasing availability of affordable computing power and connectivity, advances in data analytics and artificial intelligence, and the cost... |
Tool Industrial | ||
 |
2024-06-24 02:14:10 | Snowflake Breach Balles de neige alors que de plus en plus de victimes, Perps, se manifestent Snowflake breach snowballs as more victims, perps, come forward (lien direct) |
Aussi: les outils internes d'Apple divulgués qui n'étaient pas \\ 't;Les pirates de pirates de télévision condamnés;et certaines vulnes critiques aussi infosec en bref La boule de difficulté descendante à Snowflake continue de croître, avec plus de victimes & # 8211;et même l'un des intrus présumés & # 8211;se manifester la semaine dernière.…
Also: The leaked Apple internal tools that weren\'t; TV pirate pirates convicted; and some critical vulns, too Infosec in brief The descending ball of trouble over at Snowflake keeps growing larger, with more victims – and even one of the alleged intruders – coming forward last week.… |
Tool | ||
|
2024-06-24 00:48:56 | Analyse des attaques Coinmingler ciblant les serveurs Web coréens Analysis of CoinMiner Attacks Targeting Korean Web Servers (lien direct) |
Étant donné que les serveurs Web sont exposés à l'extérieur pour fournir des services Web à tous les utilisateurs disponibles, ils ont été des objectifs majeurs pourMenace les acteurs depuis le passé.Ahnlab Security Intelligence Center (ASEC) surveille les attaques contre des serveurs Web vulnérables qui ont des vulnérabilités non corrigées ou qui sont mal gérés, et partage les cas d'attaque qui ont été confirmés par le biais de son blog ASEC.L'ASEC a récemment identifié des cas d'attaque où une institution médicale coréenne a été ciblée, entraînant l'installation de co -miners.Le ciblé ...
Since web servers are externally exposed to provide web services to all available users, they have been major targets for threat actors since the past. AhnLab SEcurity Intelligence Center (ASEC) is monitoring attacks against vulnerable web servers that have unpatched vulnerabilities or are being poorly managed, and is sharing the attack cases that have been confirmed through its ASEC Blog. ASEC recently identified attack cases where a Korean medical institution was targeted, resulting in the installation of CoinMiners. The targeted... |
Vulnerability Threat Medical |
To see everything:
Our RSS (filtrered)
