What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-14 13:58:40 | Échelle DevSecops avec des tests de sécurité des applications dynamiques (DAST) Scaling DevSecOps with Dynamic Application Security Testing (DAST) (lien direct) |
Le rôle du DAST dans les pratiques de DevseCops modernes
Dans le paysage rapide en évolution du développement de logiciels dirigés par l'IA, DevSecops aide à renforcer la sécurité et la qualité des applications.Les tests de sécurité des applications dynamiques (DAST) sont un outil clé qui aide à mettre à l'échelle votre programme DevSecops en facilitant des tests de sécurité continus et précis sur les applications en cours d'exécution.
Dast simule les attaques du monde réel, vous permettant d'identifier les faiblesses de sécurité et d'évaluer les défenses de votre application en réponse aux attaques réelles.Laissez \\ explorer certaines meilleures pratiques exploitables pour tirer parti de la DAST efficacement et renforcer vos initiatives DevSecops.
Intégration transparente dans les pipelines CI / CD
L'incorporation de scans DAST directement dans vos pipelines d'intégration et de livraison continue (CI / CD) aide à détecter les vulnérabilités d'exécution plus tôt dans votre processus de développement.Cette intégration permet des tests de sécurité automatique, avec chaque mise à jour de code, donnant aux développeurs des commentaires immédiats.Attraper des vulnérabilités tôt signifie moins…
The Role of DAST in Modern DevSecOps Practices In the swiftly evolving landscape of AI-driven software development, DevSecOps helps strengthen application security and quality. Dynamic Application Security Testing (DAST) is a key tool that helps scale your DevSecOps program by facilitating continuous and accurate security tests on running applications. DAST simulates real-world attacks, enabling you to identify security weaknesses and evaluate your application\'s defenses in response to actual attacks. Let\'s explore some actionable best practices to leverage DAST effectively and strengthen your DevSecOps initiatives. Seamless Integration into CI/CD Pipelines Incorporating DAST scans right into your continuous integration and delivery (CI/CD) pipelines helps detect runtime vulnerabilities earlier in your development process. This integration allows for automatic security testing, with every code update, giving developers immediate feedback. Catching vulnerabilities early means less… |
Tool Vulnerability | ★★ | |
 |
2024-05-14 13:00:47 | Lecteur Foxit PDF «Design défectueux»: dangers cachés qui se cachent dans les outils communs Foxit PDF Reader “Flawed Design” : Hidden Dangers Lurking in Common Tools (lien direct) |
> Vulnérabilité accrue: la recherche sur les points de contrôle a identifié un modèle de comportement inhabituel impliquant l'exploitation du PDF, ciblant principalement les utilisateurs du lecteur Foxit PDF.Cet exploit déclenche des avertissements de sécurité qui pourraient tromper les utilisateurs sans méfiance dans l'exécution de commandes nuisibles, exploitant la psychologie humaine pour manipuler les utilisateurs pour donner accidentellement accès à des informations sensibles à l'e-crime à l'espionnage: la recherche sur le point de contrôle a observé des variantes de cet exploit étant activement utilisées dans la nature,Levier par divers acteurs de menace pour le crime électronique à l'espionnage et a étudié trois fichiers PDF dans les cas en profondeur sont devenus une partie intégrante de la communication numérique moderne.Les PDF ont évolué en un format standard pour [& # 8230;]
>Heightened vulnerability: Check Point Research has identified an unusual pattern of behavior involving PDF exploitation, mainly targeting users of Foxit PDF Reader. This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands, exploiting human psychology to manipulate users into accidentally providing access to sensitive information E-Crime to Espionage: Check Point Research has observed variants of this exploit being actively utilized in the wild, leveraged by various threat actors for e-crime to espionage and investigated three in depth-cases PDF files have become an integral part of modern digital communication. PDFs have evolved into a standard format for […] |
Tool Vulnerability Threat | ★★★ | |
 |
2024-05-14 11:09:32 | Le MSSP AD, un formidable outil pour sécuriser son Active Directory efficacement ? (lien direct) | Un Managed Security Service Provider Active Directory (MSSP AD) s'appuie sur des outils conçus pour analyser la configuration et la sécurité d'un annuaire Active Directory et détecter des attaques. | Tool | ★★★ | |
 |
2024-05-14 11:00:00 | Rooms – Créez des mondes 3D étonnants (lien direct) | Découvrez Rooms, une app gratuite pour créer, éditer et partager des mondes 3D étonnants. Avec une vaste bibliothèque de modèles et des outils puissants, donnez libre cours à votre créativité. | Tool | ★★ | |
 |
2024-05-14 10:00:00 | Comment DDR peut renforcer votre posture de sécurité How DDR Can Bolster Your Security Posture (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Today’s threat landscape is as dangerous as it has ever been. Global unrest, emerging technologies, and economic downturn all contribute to persistently high cybercrime rates and a dire need for organizations of all types to improve their security posture. There are standard ways of achieving a solid security posture that most of us will already be aware of: awareness training, regular patch management, and robust authentication methods are some examples. But in the face of increasingly frequent and sophisticated attacks, many traditional security methods are fast becoming inadequate. But this fact is no reason to panic. Tools and technologies are available that stand as a bulwark against an onslaught of both internal and external threats. The most important of these is Data Detection and Response (DDR). Please keep reading to learn more about DDR, how it can bolster your security posture, and what threats it can mitigate. What is Data Detection and Response? Data Detection and Response (DDR) is a cybersecurity solution that identifies and responds to security incidents within an organization’s IT environment. These solutions monitor data and user activity around the clock to identify and mitigate potential threats that have already penetrated the network. How Can Data Detection and Response Bolster Your Security Posture? Preventing data exfiltration is DDR’s most important function and can go a long way to bolstering your security posture. By classifying data based on its content and lineage, DDR solutions build a picture of an organization’s enterprise environment, identify the data most at risk, and establish what constitutes normal behavior. The solution can identify and act on any anomalous behavior by doing so. For example, an employee attempting to download sensitive financial information to their personal account would be deemed anomalous behavior, and the solution would either notify the security team or act to prevent the exfiltration, depending on how sophisticated the solution is. But it’s worth looking a little deeper at what we mean by classifying data: Lineage - Data lineage refers to the historical record of data as it moves through various stages of its lifecycle, including its origins, transformations, and destinations. It tracks data flow from its source systems to its consumption points, providing insights into how data is created, manipulated, and used within an organization. Content - Data classification by content involves categorizing data based on its inherent characteristics, attributes, and meaning within a specific business context or domain. It considers data type, sensitivity, importance, and relevance to business processes or analytical requirements. This distinction is important because some DDR solutions only classify data by content, which can result in false positives. To expand upon the previous example, a DDR solution classifying data by content alone would only know that an employee was trying to download a spreadsheet full of numbers, not that the spreadsheet contained financial data; this means that even if the spreadsheet contained personal, non-sensitive data, the solution would flag this to security team | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-05-14 09:09:52 | De l\'usage vertueux de l\'IA : les 10 atouts essentiels des outils de sécurité basés sur l\'IA (lien direct) | Voici en 10 points, les possibilités qu'offre l'IA pour optimiser vos systèmes de cybersécurité. | Tool | ★★ | |
 |
2024-05-14 06:00:46 | Arrêt de cybersécurité du mois: les attaques d'identité qui ciblent la chaîne d'approvisionnement Cybersecurity Stop of the Month: Impersonation Attacks that Target the Supply Chain (lien direct) |
This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain-reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing QR code phishing Telephone-oriented attack delivery (TOAD) Payroll diversion MFA manipulation Supply chain compromise Multilayered malicious QR code attack In this post, we will look at how adversaries use impersonation via BEC to target the manufacturing supply chain. Background BEC attacks are sophisticated schemes that exploit human vulnerabilities and technological weaknesses. A bad actor will take the time to meticulously craft an email that appears to come from a trusted source, like a supervisor or a supplier. They aim to manipulate the email recipient into doing something that serves the attacker\'s interests. It\'s an effective tactic, too. The latest FBI Internet Crime Report notes that losses from BEC attacks exceeded $2.9 billion in 2023. Manufacturers are prime targets for cybercriminals for these reasons: Valuable intellectual property. The theft of patents, trade secrets and proprietary processes can be lucrative. Complex supply chains. Attackers who impersonate suppliers can easily exploit the interconnected nature of supply chains. Operational disruption. Disruption can cause a lot of damage. Attackers can use it for ransom demands, too. Financial fraud. Threat actors will try to manipulate these transactions so that they can commit financial fraud. They may attempt to alter bank routing information as part of their scheme, for example. The scenario Proofpoint recently caught a threat actor impersonating a legitimate supplier of a leading manufacturer of sustainable fiber-based packaging products. Having compromised the supplier\'s account, the imposter sent an email providing the manufacturer with new banking details, asking that payment for an invoice be sent to a different bank account. If the manufacturer had complied with the request, the funds would have been stolen. The threat: How did the attack happen? Here is a closer look at how the attack unfolded: 1. The initial message. A legitimate supplier sent an initial outreach email from their account to the manufacturing company using an email address from their official account. The message included details about a real invoice that was pending payment. The initial email sent from the supplier. 2. The deceptive message. Unfortunately, subsequent messages were not sent from the supplier, but from a threat actor who was pretending to work there. While this next message also came from the supplier\'s account, the account had been compromised by an attacker. This deceptive email included an attachment that included new bank payment routing information. Proofpoint detected and blocked this impersonation email. In an attempt to get a response, the threat actor sent a follow-up email using a lookalike domain that ended in “.cam” instead of “.com.” Proofpoint also condemned this message. An email the attacker sent to mimic the supplier used a lookalike domain. Detection: How did Proofpoint prevent this attack? Proofpoint has a multilayered detection stack that uses a sophisticated blend of artificial intelligence (AI) and machine learning (ML) detection | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★ |
 |
2024-05-13 13:30:14 | Faits saillants hebdomadaires, 13 mai 2024 Weekly OSINT Highlights, 13 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ de OSINT mettent en évidence une gamme de cyber-menaces et de tactiques d'attaque en évolution orchestrée par des acteurs de menace sophistiqués.Les articles discutent d'une variété de vecteurs d'attaque, notamment l'exploitation des vulnérabilités logicielles (comme dans les appliances VPN Secure Ivanti Secure et Laravel), le malvertissant via Google Search Ads et les invites de mise à jour de navigateur trompeuses utilisées pour distribuer des logiciels malveillants comme Socgholish.Les acteurs de la menace identifiés dans ces rapports, y compris des groupes APT comme APT42 (Mint Sandstorm) et Kimsuky (Emerald Sleet), démontrent des tactiques d'ingénierie sociale avancées, des portes dérobées et des efforts de reconnaissance persistants ciblant les ONG, les organisations de médias et les entreprises.Les attaquants exploitent les sites Web compromis, les plateformes de médias sociaux et les outils de gestion du système pour établir des anciens et exécuter des commandes distantes, soulignant la nécessité de défenses de cybersécurité robustes et une vigilance accrue pour lutter efficacement ces menaces en évolution. ## Description 1. ** [Nouvelle chaîne d'infection associée à Darkgate Malware] (https://security.microsoft.com/intel-explorer/articles/1db83f2c) **: Les chercheurs de McAfee Labs ont découvert une nouvelle chaîne d'infection liée à Darkgate, une télécommandeAccès à Trojan (rat) commercialisé sur un forum de cybercriminalité en langue russe.Darkgate utilise des fonctionnalités diverses comme l'injection de processus, le keylogging et le vol de données, et il échappe à la détection en utilisant des tactiques d'évasion comme le contournementMicrosoft Defender SmartScreen. 2. ** [Évolution du chargeur de logiciels malveillants Hijackloader] (https://security.microsoft.com/intel-explorer/Articles / 8c997d7c) **: Zscaler rapporte sur l'évolution de Hijackloader, un chargeur de logiciels malveillants modulaire avec de nouvelles techniques d'évasion ciblant l'antivirus Windows Defender et le contrôle des comptes d'utilisateurs (UAC).Hijackloader offre diverses familles de logiciels malveillants comme Amadey, Lumma Stealer et Remcos Rat grâce à des techniques impliquant des images PNG et un décryptage. 3. ** [Kimsuky Group \'s (Emerald Sleet) Sophistiqué Espionage Tactics] (https://security.microsoft.com/intel-explorer/articles/6e7f4a30) **: Kimsuky (suivi sous le nom de Sleet Emerald par Microsoft)Emploie les plateformes de médias sociaux et les outils de gestion des systèmes pour l'espionnage, ciblant les individus des droits de l'homme et des affaires de la sécurité nord-coréennes.Ils utilisent de faux profils Facebook, de faux entretiens d'embauche et des fichiers malveillants de la console de gestion Microsoft (MMC) pour exécuter des commandes distantes et établir des canaux de commande et de contrôle (C2). 4. ** [Distribution des logiciels malveillants via Google Search Ads Exploitation] (https://security.microsoft.com/intel-explorer/articles/1f1ae96f): ** Les acteurs de la menace tirent parti des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI, la mascarradagecomme un logiciel légitime comme la notion.Lors de l'interaction, les scripts PowerShell s'exécutent pour injecter des logiciels malveillants Zgrat, démontrant des techniques sophistiquées pour contourner les mesures de sécurité et contrôler les systèmes infectés. 5. **[Exploitation of Ivanti Pulse Secure VPN Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/2d95eb1b):** Attackers exploit vulnerabilities (CVE-2023-46805 and CVE-2024-21887) In Ivanti Pulse Secure VPN Appliances pour livrer le botnet Mirai et d'autres logiciels malveillants.Ces vulnérabilités permettent l'exécution du code distant et le contournement des mécanismes d'authentification, ce qui constitue des menaces importantes à la sécurité du réseau à l'échelle mondia | Spam Malware Tool Vulnerability Threat Cloud | APT 42 | ★★ |
 |
2024-05-13 04:31:34 | L'importance de la découverte passive des actifs The Importance of Passive Asset Discovery (lien direct) |
C'est la cinquième exigence de CIS Control 1: Utilisez un outil de découverte d'actifs passifs.Cela semble assez simple.Mais qu'est-ce que ça veut dire?Et quoi, en particulier, rend si important qu'il soit devenu l'une des cinq premières exigences des contrôles CIS largement appliqués utilisés par tant d'organisations pour établir leurs niveaux les plus élémentaires de cyber-hygiène?L'utilité de la découverte passive des actifs et l'importance de trouver le bon outil de découverte passive des actifs passive sont les sujets du blog d'aujourd'hui.Qu'est-ce que la découverte des actifs?La découverte des actifs est la possibilité de fournir la visibilité de tous les appareils situés dans un ...
It\'s the fifth requirement in CIS Control 1 : Use a passive asset discovery tool. Sounds simple enough. But what does it mean? And what, specifically, makes it so important that it became one of the first five requirements of the widely applied CIS Controls used by so many organizations to establish their most basic levels of cyber hygiene? The usefulness of passive asset discovery and the importance of finding the right passive asset discovery tool are the subjects of today\'s blog. What Is Asset Discovery? Asset discovery is the ability to provide visibility of all devices located within an... |
Tool | ★★★ | |
|
2024-05-12 19:34:31 | CodingFont – Trouvez la police parfaite pour votre éditeur de code (lien direct) | CodeFont est un site qui vous aide à choisir la meilleure police pour coder. Comparez des dizaines de polices et trouvez celle qui vous convient, pour un confort optimal et un gain de productivité. Découvrez ce projet amusant conçu avec des outils no-code. | Tool Legislation | ★★ | |
|
2024-05-10 19:33:41 | Les pirates nord-coréens abusant de la console de gestion Facebook & MS North Korean Hackers Abusing Facebook & MS Management Console (lien direct) |
## Instantané
Le groupe de piratage nord-coréen Kimsuky a été observé à l'aide de méthodes sophistiquées pour mener des activités d'espionnage, y compris l'exploitation des plateformes de médias sociaux et des outils de gestion du système.
** Microsoft suit Kimsuky en tant que grésil émeraude.[En savoir plus sur le grésil émeraude ici.] (Https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) **
## Description
Le groupe a utilisé de faux profils Facebook pour cibler les personnes impliquées dans les droits de l'homme et les affaires de la sécurité nord-coréennes, s'engageant avec des cibles potentielles par le biais de demandes d'amis et de messages personnels.Cette tactique d'ingénierie sociale est conçue pour renforcer la confiance et attirer les cibles dans un piège, conduisant finalement au partage de liens ou de documents malveillants.
De plus, Kimsuky a adopté des fichiers Microsoft Management Console (MMC), déguisés en documents inoffensifs, pour exécuter des commandes malveillantes sur les systèmes des victimes.Une fois ouvertes, ces fichiers peuvent potentiellement permettre aux attaquants de prendre le contrôle du système ou des informations sensibles à l'exfiltrat, établissant finalement un canal de commande et de contrôle (C2) pour gérer les systèmes compromis à distance.L'utilisation de plateformes de médias sociaux comme Facebook pour les contacts initiaux et le déploiement d'outils de gestion du système pour exécuter des attaques représentent une escalade importante des tactiques de cyber-menace.
Ces méthodes indiquent un changement vers des attaques plus furtives et socialement modifiées qui peuvent contourner les mesures de sécurité conventionnelles.Les activités récentes du groupe Kimsuky soulignent l'évolution continue des acteurs cyber-menaces et la nécessité de défenses de cybersécurité robustes, soulignant l'importance d'une vigilance améliorée concernant les interactions sur les réseaux sociaux et la mise en œuvre de systèmes de détection de menace avancés pour contrer ces menaces.
## Les références
["Les pirates nord-coréens abusant de la console de gestion Facebook & MS"] (https://gbhackers.com/north-korean-hackers-abusing/) gbhackers.(Consulté en 2024-05-10)
## Snapshot The North Korean hacking group Kimsuky has been observed using sophisticated methods to conduct espionage activities, including the exploitation of social media platforms and system management tools. **Microsoft tracks Kimsuky as Emerald Sleet. [Read more about Emerald Sleet here.](https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e)** ## Description The group has been using fake Facebook profiles to target individuals involved in North Korean human rights and security affairs, engaging with potential targets through friend requests and personal messages. This social engineering tactic is designed to build trust and lure the targets into a trap, eventually leading to the sharing of malicious links or documents. Additionally, Kimsuky has adopted Microsoft Management Console (MMC) files, disguised as innocuous documents, to execute malicious commands on victims\' systems. Once opened, these files can potentially allow the attackers to gain control over the system or exfiltrate sensitive information, ultimately establishing a command and control (C2) channel to manage the compromised systems remotely. The use of social media platforms like Facebook for initial contact and the deployment of system management tools for executing attacks represents a significant escalation in cyber threat tactics. These methods indicate a shift towards more stealthy and socially engineered attacks that can bypass conventional security measures. The recent activities of the Kimsuky group underscore the continuous evolution of cyber threat actors and the need for robust cyb |
Tool Threat | ★★★★ | |
 |
2024-05-10 18:22:00 | Censysgpt: menace alimentée par AI pour la chasse aux pros de la cybersécurité (webinaire) CensysGPT: AI-Powered Threat Hunting for Cybersecurity Pros (Webinar) (lien direct) |
L'intelligence artificielle (IA) transforme la cybersécurité, et ceux qui dirigent la charge l'utilisent pour déjouer les cyber-menaces de plus en plus avancées.
Rejoignez-nous pour un webinaire passionnant, "L'avenir de la chasse aux menaces est propulsé par une AI générative", où vous explorez comment les outils de l'IA façonnent l'avenir des défenses de la cybersécurité.
Pendant la session, le chercheur de la sécurité des censurons Aidan Holland
Artificial intelligence (AI) is transforming cybersecurity, and those leading the charge are using it to outsmart increasingly advanced cyber threats. Join us for an exciting webinar, "The Future of Threat Hunting is Powered by Generative AI," where you\'ll explore how AI tools are shaping the future of cybersecurity defenses. During the session, Censys Security Researcher Aidan Holland will |
Tool Threat | ★★★ | |
 |
2024-05-10 18:10:30 | Reality Defender gagne le concours de bac à sable RSAC Innovation Reality Defender Wins RSAC Innovation Sandbox Competition (lien direct) |
Dans un champ d'épaisseur avec des startups de cybersécurité montrant comment ils utilisent l'IA et les LLM, Reality Defender s'est démarqué de son outil pour détecter et étiqueter DeepFakes et d'autres contenus artificiels.
In a field thick with cybersecurity startups showing off how they use AI and LLMs, Reality Defender stood out for its tool for detecting and labeling deepfakes and other artificial content. |
Tool | ★★★ | |
|
2024-05-10 16:50:08 | Socgholish attaque les entreprises via de fausses mises à jour du navigateur SocGholish Attacks Enterprises Via Fake Browser Updates (lien direct) |
## Instantané
Socgholish (également connu sous le nom de FakeUpdates), un logiciel malveillant connu pour sa furtivité et la complexité de ses mécanismes de livraison, cible les entreprises avec des invites de mise à jour de navigateur trompeuse.
## Description
Comme indiqué par Esesentire, des sites Web légitimes compromis servent de vecteur d'infection, où le code JavaScript malveillant est injecté pour inciter les utilisateurs à télécharger des mises à jour du navigateur.Les fichiers téléchargés contiennent des logiciels malveillants SocGholish, en lançant le processus d'infection lors de l'exécution.
Le script utilise diverses techniques pour éviter la détection et échapper à l'analyse.Tout d'abord, il vérifie si le navigateur est contrôlé par des outils d'automatisation et termine l'exécution s'il est détecté.Par la suite, il examine si la fenêtre du navigateur a subi une manipulation importante pour déterminer si l'environnement est surveillé.De plus, il inspecte des cookies WordPress spécifiques pour arrêter d'autres actions si l'utilisateur est connecté à un site WordPress.Si aucune de ces conditions ne s'applique, il établit un écouteur d'événements de mouvement de souris, déclenchant le chargement du script uniquement après l'interaction de l'utilisateur, susceptible de contourner les mécanismes de détection ciblant l'activité malveillante lors du chargement de la page.
Après le compromis initial, les attaquants se sont engagés dans l'activité pratique des panneaux et des techniques de vie pour extraire les mots de passe stockés des navigateurs, décrypter et effectuer une reconnaissance.Notamment, les attaquants ont également inséré des balises Web dans les signatures par e-mail et les partages de réseau pour tracer les relations commerciales.Esesentire affirme que cela peut être un effort pour cibler les organisations d'intérêt connexes.
## Détections
** Microsoft Defender Antivirus **
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [Comportement: win32 / socgolsh] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/socgolsh.sB & menaceid = -2147152249)
- [Trojan: JS / FakeUpdate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:js/fakeupdate.c& threattid=-2147150555)
- [Trojandownloader: JS / Socgholish] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-Cycopedia-DEscription? Name = Trojandownloader: JS / SocGholish! MSR & menaceID = -2147135220)
## Les références
[SocGholish vise les pairs des victimes] (https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers).ESENTRE (consulté le 05-10-2024)
[Socgholish attaque les entreprises via de fausses mises à jour du navigateur] (https://gbhackers.com/socgholish-attacks-fake-browser/).GBHACKERS (consulté le 05-10-2024)
## Snapshot SocGholish (also known as FakeUpdates), a malware known for its stealth and the intricacy of its delivery mechanisms, is targeting enterprises with deceptive browser update prompts. ## Description As reported by eSentire, compromised legitimate websites serve as the infection vector, where malicious JavaScript code is injected to prompt users to download browser updates. The downloaded files contain SocGholish malware, initiating the infection process upon execution. The script employs various techniques to avoid detection and evade analysis. First, it checks if the browser is being controlled by automation tools and terminates execution if detected. Subsequently, it scrutinizes if the browser window has undergone significant manipulation to determine if the environment is being monitored. Additionally, it inspects for specific WordPress cookies to halt further actions if the user is logged into a WordPress site. If none of these conditions apply, it establishes a mouse movement event listener, tr |
Malware Tool Threat | ★★★ | |
|
2024-05-09 16:11:06 | Mises à jour de Hijackloader HijackLoader Updates (lien direct) |
## Instantané
Des chercheurs de Zscaler ont publié un rapport sur l'évolution de Hijackloader, un chargeur de logiciels malveillants et ses nouvelles tactiques d'évasion.
## Description
Hijackloader, également connu sous le nom de chargeur IDAT, a émergé en 2023 comme un chargeur de logiciels malveillants équipé de modules polyvalents pour l'injection et l'exécution de code.Hijackloader a une architecture modulaire, un attribut qui le distingue des chargeurs typiques.
Les chercheurs de ZSCaler ont analysé une nouvelle variante Hijackloader qui présente des techniques d'évasion améliorées.Ces améliorations visent à aider à la furtivité du malware, prolongeant sa capacité à échapper à la détection.La dernière version de Hijackloader introduit des modules pour contourner Windows Defender Antivirus, Courtmvant User Compte Control (UAC), EVADER LE HOCKING API COMMENT utilisé par des outils de sécurité et utiliser des creux de processus.
Le mécanisme de livraison de Hijackloader \\ implique l'utilisation d'une image PNG, décryptée et analysée pour charger l'étape suivante de l'attaque.Hijackloader a été observé servant de mécanisme de livraison pour diverses familles de logiciels malveillants, notamment Amadey, [Lumma Stealer] (https: //sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer V2 et Remcos Rat.
## Détections
Microsoft Defender ANtivirus détecte les composants de menace comme le malware suivant:
- [Trojan: Win32 / Hijackloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hijackloader.ahj!mtb& ;heted=-2147058662)
## Les références
[Hijackloader Mises à jour] (https://www.zscaler.com/blogs/security-research/hijackloader-updates).Zscaler (consulté en 2024-05-09)
## Snapshot Researchers at Zscaler have published a report about the evolution of HijackLoader, a malware loader, and its new evasion tactics. ## Description HijackLoader, also known as IDAT Loader, emerged in 2023 as a malware loader equipped with versatile modules for injecting and executing code. HijackLoader has modular architecture, an attribute that sets it apart from typical loaders. Zscaler researchers analyzed a new HijackLoader variant that features upgraded evasion techniques. These enhancements aim to aid in the malware\'s stealth, prolonging its ability to evade detection. The latest version of HijackLoader introduces modules to bypass Windows Defender Antivirus, circumvent User Account Control (UAC), evade inline API hooking commonly used by security tools, and utilize process hollowing. HijackLoader\'s delivery mechanism involves utilizing a PNG image, decrypted and parsed to load the subsequent stage of the attack. HijackLoader has been observed serving as a delivery mechinism for various malware families, including Amadey, [Lumma Stealer](https://sip.security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad), Racoon Stealer v2, and Remcos RAT. ## Detections Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:Win32/HijackLoader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/HijackLoader.AHJ!MTB&threatId=-2147058662) ## References [HijackLoader Updates](https://www.zscaler.com/blogs/security-research/hijackloader-updates). Zscaler (accessed 2024-05-09) |
Malware Tool Threat | ★★★ | |
 |
2024-05-09 16:05:57 | Comment les criminels utilisent une IA générative How Criminals Are Using Generative AI (lien direct) |
Il y a un Nouveau rapport Sur la façon dont les criminels utilisent des outils d'IA génératifs:
Takeways clés:
Les taux d'adoption des technologies de l'IA parmi les criminels sont à la traîne des taux de leurs homologues de l'industrie en raison de la nature évolutive de la cybercriminalité.
Par rapport à l'année dernière, les criminels semblent avoir abandonné toute tentative de formation de vrais modèles criminels de grande langue (LLM).Au lieu de cela, ce sont des jailbreuses existantes.
Nous voyons enfin l'émergence de véritables services criminels Deepfake, certains contournant la vérification des utilisateurs utilisés dans les services financiers.
There’s a new report on how criminals are using generative AI tools: Key Takeaways: Adoption rates of AI technologies among criminals lag behind the rates of their industry counterparts because of the evolving nature of cybercrime. Compared to last year, criminals seem to have abandoned any attempt at training real criminal large language models (LLMs). Instead, they are jailbreaking existing ones. We are finally seeing the emergence of actual criminal deepfake services, with some bypassing user verification used in financial services. |
Tool | ★★★ | |
|
2024-05-09 13:00:21 | Avril 2024 \\'s le plus recherché des logiciels malveillants: surtension dans les attaques AndroxGH0st et la baisse de Lockbit3 April 2024\\'s Most Wanted Malware: Surge in Androxgh0st Attacks and the Decline of LockBit3 (lien direct) |
> Les chercheurs ont récemment identifié un pic dans les attaques AndroxGH0st, un Troie qui cible les plates-formes Windows, Mac et Linux, qui l'ont vu sauter directement à la deuxième place de la liste des logiciels malveillants.Pendant ce temps, Lockbit3 reste étroitement le premier groupe de ransomwares, malgré une réduction de sa prévalence, notre dernier indice de menace mondial pour avril 2024 SAW, les chercheurs ont révélé une augmentation significative de l'utilisation des attaques AndroxGH0st, le malware étant utilisé comme un outil pour voler des informations sensibles à l'aidebotnets.Parallèlement, Lockbit3 est resté le groupe de ransomware le plus répandu en avril, malgré une baisse de 55% de son taux de détection depuis le début [& # 8230;]
>Researchers recently identified a spike in Androxgh0st attacks, a Trojan that targets Windows, Mac and Linux platforms, which saw it jump straight into second place in the top malware list. Meanwhile, LockBit3 narrowly remains the top ransomware group, despite a reduction in its prevalence Our latest Global Threat Index for April 2024 saw researchers revealed a significant increase in the use of Androxgh0st attacks, with the malware being used as a tool for stealing sensitive information using botnets. Meanwhile, LockBit3 remained the most prevalent ransomware group in April, despite a 55% drop in its rate of detection since the beginning […] |
Ransomware Malware Tool Threat | ★★★ | |
|
2024-05-09 06:00:11 | Ummasking Tycoon 2FA: Un kit de phishing furtif utilisé pour contourner Microsoft 365 et Google MFA Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA (lien direct) |
Tycoon 2FA is a phishing-as-a-service (PhaaS) platform that was first seen in August 2023. Like many phish kits, it bypasses multifactor authentication (MFA) protections and poses a significant threat to users. Lately, Tycoon 2FA has been grabbing headlines because of its role in ongoing campaigns designed to target Microsoft 365 and Gmail accounts. This blog post is a rundown of how these attacks work, how they\'re evolving, what they look like in the real world-and how Proofpoint can help. How it works Tycoon 2FA operates as an adversary-in-the-middle (AitM) phishing kit. Its primary function is to harvest Microsoft 365 and Gmail session cookies. Attackers use these cookies to circumvent MFA access controls during subsequent authentication. That allows them to gain unauthorized access to a user\'s accounts, systems and cloud services-even those that have additional security measures in place. What\'s new In March 2024, the group behind Tycoon 2FA released an updated version of the kit. This new version boasts enhanced detection evasion capabilities that make it even harder for security systems to identify and block the kit. Significant alterations to the kit\'s JavaScript and HTML code have been implemented to increase its stealthiness and effectiveness. These changes include: Obfuscation techniques that scramble the code, making it difficult to understand Dynamic code generation that alters the code each time it runs, thereby enabling it to evade signature-based detection systems Where to find it The group behind Tycoon 2FA sells ready-to-use phishing pages for Microsoft 365 and Gmail via Telegram, a malicious cloud-based encrypted messaging service. Prices start at $120 for 10 days of access to the service, with variations based on top-level domains (TLDs). This business model broadens the potential pool of attackers because it allows less technically skilled bad actors to launch sophisticated phishing attacks. What an attack looks like Tycoon 2FA relies on attacker-controlled infrastructure to host the phishing webpage. Through the use of a “reverse proxy,” the platform allows the interception of victims\' entered credentials. The credentials are then relayed to the legitimate service for a transparent, successful login, prompting MFA requests. The resulting session cookies are relayed back to the threat actors. The stolen session credentials allow the attackers to bypass a company\'s MFA protection if they remain active. This gives them unauthorized access to the user\'s account. Real-world examples Since December 2023, Proofpoint has observed phishing landing pages that use Tycoon 2FA to facilitate MFA token theft and bypass. Proofpoint TAP Dashboard campaign snapshot from December campaigns. A forensics snapshot that showcases our Emerging Threats rules, which detect the Tycoon 2FA landing pages. QR code and voicemail lure examples for the Tycoon 2FA threats that were seen in late 2023. In the next steps of the attack chain, the user is directed to a CAPTCHA landing page and then to a final landing page that the attackers use to harvest credentials. Proofpoint PTIS portal Threat Tippers around Tycoon 2FA phish threats that were curated for security awareness and training teams and end users. A PSAT portal snapshot that showcases Threat Alerts around Tycoon 2FA phish threats (bonus-themed and WordPress lures). The lures the attackers use include the following. Malicious links in emails to fake authentication landing pages Voicemail-themed threats Attached PDFs with QR codes that lead to phishing landing pages These lures are designed to trick users into providing their login credentials and sensitive information. In the threats Proofpoint has seen, lure themes have frequently been related to company bonuses, payroll increases and bogus WordPress updates. However, it is impor | Tool Threat Prediction Cloud | ★★★ | |
|
2024-05-09 00:49:06 | Les pirates abusent des annonces de recherche Google pour livrer des logiciels malveillants pleins de MSI Hackers Abuse Google Search Ads to Deliver MSI-Packed Malware (lien direct) |
## Instantané Les chercheurs en sécurité ont identifié une nouvelle campagne dans laquelle les pirates exploitent des annonces de recherche Google pour distribuer des logiciels malveillants via des packages MSI (Microsoft Installer).Cette campagne, impliquant le chargeur de logiciels malveillants connue sous le nom de FakeBat, cible les utilisateurs sans méfiance en se faisant passer pour des téléchargements de logiciels légitimes. ## Description L'attaque commence par une annonce de recherche Google qui semble légitime, en utilisant l'adresse du site Web réel des logiciels populaires comme la notion.Cependant, l'annonce est une façade, achetée par des acteurs de la menace qui ont toujours utilisé des identités liées au Kazakhstan.Cliquez sur les redirections publicitaires vers un site d'apparence hébergé chez Notilion \ [. \] Co.Le site incite les utilisateurs à télécharger ce qui semble être un programme d'installation de logiciel standard au format MSIX, signé sous le nom apparemment crédible «Forth View Designs Ltd.» Lors de l'exécution du programme d'installation MSIX, un script PowerShell caché est activé.Les commandes PowerShell exécutées au cours de ce processus sont conçues pour contourner les mesures de sécurité locales et injecter les logiciels malveillants Zgrat directement dans les processus système, prenant efficacement le contrôle de la machine infectée.La campagne utilise un service Click Tracker pour gérer l'efficacité de l'annonce et filtrer le trafic indésirable.Cette étape implique un domaine intermédiaire qui sépare l'URL malveillante de la publicité Google, améliorant la furtivité de l'attaque.Une fois les logiciels malveillants installés, le script PowerShell atteint le serveur FakeBat C2, qui dicte les actions suivantes, y compris la livraison de la charge utile Zgrat.Cet incident met en évidence les risques en cours associés à la malvertisation et à la sophistication des cyber-menaces modernes. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT ces derniers mois avec des nombres d'incidences et des acteurs de menace utilisant des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Microsoft a suivi les tendances à travers des incidents et des observations de malvertising récents de toute la communauté de la sécurité.Ces tendances incluent la diversification des charges utiles, l'émergence des logiciels malveillants MSIX et l'amélioration du clochard et de l'évasion. En savoir plus sur [les tendances récentes de l'osint en malvertising] (https://sip.security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement l'installateur d'application] (https: //security.microsoft.com/intel-explorer/articles/74368091). Les groupes de cybercrimins sont probablement à l'origine de la majorité des activités de malvertisation, à en juger par un examen des rapports open-source.Dans l'économie souterraine, les forums criminels et les marchés facilitent l'échange de services et d'outils adaptés à la malvertisation.Cet écosystème rend ces tactiques accessibles et rentables pour un large éventail de cybercriminels. Les acteurs de la menace active dans ce domaine incluent les acteurs que Microsoft suit comme [Storm-0569] (https://security.microsoft.com/Thereatanalytics3/6d557f37-0952-4a05-bdc5-d40d6742fbaf/analystreport) et [Storm-1113] (HTTPS: //sip.security.microsoft.com/intel-profiles/4847b8382f24f3cd10d4cf3acdda5c59d5c48df64b042590436be6e92e1b232f). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme suitmalware: *** Fakebat / Eugenloader *** - [Trojandownloader: PowerShell / EugenLoader] (https://www.microsoft.com/en-us/wdsi/atherets/malwarE-SencyClopedia-Description? Name = Trojandownloader: PowerShell / Eugenloader.a & menaceID = -214706790) - [Trojan: Win32 / EugenlOader] | Ransomware Malware Tool Threat Prediction Cloud | ★★★ | |
 |
2024-05-08 14:23:13 | L'atelier gratuit des conseillers à risque de sécurité autorise les organisations à sélectionner des outils de sécurité optimaux OT Free Workshop from Security Risk Advisors Empowers Organizations to Select Optimal OT Security Tools (lien direct) |
> Par cybernewswire
Philadelphie, Pennsylvanie, 8 mai 2024, CyberNewswire Security Risk Advisors (SRA) annonce le lancement de leur sélection de détection OT / XIOT & # 8230;
Ceci est un article de HackRead.com Lire la publication originale: L'atelier gratuit des conseillers à risque de sécurité permet aux organisations de sélectionner des outils de sécurité OT optimaux
>By cybernewswire Philadelphia, Pennsylvania, May 8th, 2024, CyberNewsWire Security Risk Advisors (SRA) announces the launch of their OT/XIoT Detection Selection… This is a post from HackRead.com Read the original post: Free Workshop from Security Risk Advisors Empowers Organizations to Select Optimal OT Security Tools |
Tool Industrial | ★★★ | |
|
2024-05-08 11:45:22 | 10 outils chauds de cybersécurité AI au RSAC 2024 10 Hot AI Cybersecurity Tools At RSAC 2024 (lien direct) |
Pas de details / No more details | Tool | ★★ | |
|
2024-05-08 07:00:00 | Fabric – Un framework open source pour travailler main dans la main avec l\'IA (lien direct) | Découvrez comment utiliser l'IA pour booster votre créativité et productivité. Des outils et exemples concrets pour intégrer l'IA dans vos workflows. | Tool | ★★★★ | |
|
2024-05-08 06:00:27 | Comment les attaquants utilisent-ils des e-mails usurpés pour détourner vos communications commerciales?4 scénarios de risque How Do Attackers Use Spoofed Email to Hijack Your Business Communications? 4 Risk Scenarios (lien direct) |
When you hear the term “spoofed” email, does business email compromise (BEC) come to mind? It does for many people-especially security leaders. BEC is a form of email fraud, and it has been a top concern for chief information security officers for years. BEC scams are a costly problem. The latest Internet Crime Report from the FBI\'s Internet Crime Complaint Center (IC3) notes that adjusted losses from BEC were $2.9 billion last year. Since 2013, accumulated financial losses due to BEC have reached nearly $53 billion. Spoofing is impersonation, and it is the essence of email fraud. It is also one of the most common techniques used in other types of attacks like phishing and ransomware. Your business, like many, probably focuses on stopping spoofed emails before they can reach employees\' inboxes. However, there is more to worry about. Spoofed email has the potential to damage your brand reputation and jeopardize your business ecosystem, too. In this post, we will explore various impersonation risk scenarios. But first, let\'s look at some common tactics. Impersonation tactics Here are some common methods bad actors use to impersonate others so they can further their attacks. Display name spoofing. The display name appears in the “From:” field of an email. It is the easiest email identifier to manipulate. Attackers forge email headers so that client software displays the fraudulent sender, which most users take at face value. Domain spoofing. Bad actors will use an exact match of an organization\'s domain to launch this type of fraud attack. Attackers who engage in domain spoofing will attempt to imitate the sending server or sending domain. Lookalike domains. Third parties can register lookalike domains and send email that appears to have come from a trusted source. Compromised supplier accounts. In some advanced attacks, attackers will compromise an account from a supplier that works with the business that they want to target. They will use the compromised supplier account to hijack the email communication between their target and its supplier. Eventually, attackers are in a position to launch an attack or solicit fraudulent payment or sensitive data. Attack scenarios Now, let\'s dive into how attackers can use spoofed emails to exploit the trusted relationships you have with your customers, business partners, suppliers and employees. Scenario 1: Impersonate you to target your employees You are probably most familiar with the first scenario, where attackers pretend to be someone within your company, like your CEO or manager. The scam often starts with a simple lure that seems to be a benign message like: How is your day? Are you at your desk? Can you help me with something urgent? Once attackers get a victim to engage, the conversation evolves. The bad actor may request the victim to purchase gift cards for them, proceed with a fraudulent payment, or share confidential data. Not only can attackers impersonate executives, but they can also pretend to be general employees asking human resources to redirect their payrolls. In short, it doesn\'t matter what a victim\'s role is. Anyone can be impersonated to target anyone within an organization. An example of a simple lure where the attacker used display name spoofing to impersonate Ken, the CEO. Another example of a BEC lure where an attacker used a lookalike domain of Watertronics (vs. waltertronics, in the example) to spoof their CEO. Scenario 2: Exploit your suppliers or business partners to target your employees The most common theme in this scenario is supplier invoicing fraud. Bad actors will exploit a company\'s suppliers using tactics such as malicious lookalike domains of suppliers or compromised supplier accounts to either send a fake invoice or request the victim to redirect the payment to a bank account that the attackers control. (Sometimes, we see multiple | Ransomware Malware Tool Threat Cloud | ★★★ | |
|
2024-05-08 00:59:58 | Cas de distribution de logiciels malveillants liant le site Web de jeu illégal ciblant le serveur Web coréen Case of Malware Distribution Linking to Illegal Gambling Website Targeting Korean Web Server (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a découvert des preuves d'une souche malveillante distribuée aux serveurs Web au sudLa Corée, conduisant les utilisateurs à un site de jeu illégal.Après avoir initialement infiltré un serveur Web Windows Information (IIS) des services d'information sur Internet (IIS) mal gérés en Corée, l'acteur de menace a installé la porte arrière de METERPRETRER, un outil de transfert de port et un outil de logiciel malveillant du module IIS.Ils ont ensuite utilisé ProCDump pour exfiltrater les informations d'identification du compte du serveur.Les modules IIS prennent en charge les fonctionnalités d'extension des serveurs Web tels que ...
AhnLab SEcurity intelligence Center (ASEC) has discovered evidence of a malware strain being distributed to web servers in South Korea, leading users to an illegal gambling site. After initially infiltrating a poorly managed Windows Internet Information Services (IIS) web server in Korea, the threat actor installed the Meterpreter backdoor, a port forwarding tool, and an IIS module malware tool. They then used ProcDump to exfiltrate account credentials from the server. IIS modules support expansion features of web servers such as... |
Malware Tool Threat | ★★ | |
 |
2024-05-08 00:00:00 | Les produits de cybersécurité WatchGuard obtiennent 9 "Top Rated Awards" décernés par TrustRadius (lien direct) | Paris, le 8 mai 2024 – WatchGuard® Technologies, l\'un des leaders mondiaux de la cybersécurité unifiée, est ravi d\'annoncer que TrustRadius a récompensé ses solutions AuthPoint, de sécurité des endpoints et de sécurité réseau en leur décernant un total de 9 " Top Rated Awards 2024 " soit les meilleures notes obtenues par des produits du marché dans leurs catégories respectives ! Les awards TrustRadius récompensent les produits ayant obtenu les meilleures notes auprès des clients finaux et partenaires qui les utilisent au quotidien. Ce sont donc tous les produits WatchGuard qui ont été récompensés par la communauté TrustRadius. Les produits de sécurité réseau WatchGuard ont obtenu un score de 8,9 sur 10 sur la base de près de 800 avis, tandis que les produits de sécurité des endpoints WatchGuard ont obtenu une note de 8,8 sur 10 sur la base de près de 200 avis. Quant à WatchGuard AuthPoint, il a obtenu une note de 9 sur 10 sur la base de plus de 370 avis de clients vérifiés. Ces récompenses témoignent de la puissance de WatchGuard au travers de l\'architecture Unified Security Platform®. Les produits de sécurité réseau WatchGuard ont été primés dans les catégories Firewall et Network Security ; les produits de sécurité des endpoints WatchGuard ont été récompensés dans les catégories Endpoint Security, Antivirus et Extended Detection and Response ; et WatchGuard AuthPoint s\'est imposé dans les catégories AutheNTICTION, GESTION Identité, Système de gestion des mots de passe, ET Single Sign-On. "Nous Pensons que dans un monde où les menaces se complexifient à tous les niveaux, une protection complète en matière de cybersécurité est mieux assurée grâce à notre architecture Unified Security Platform, qui propose de puissants services de sécurité faciles à déployer et à gérer au moyen d\'une seule et même interface ", a indiqué Michelle Welch, CMO et SVP of Business Strategy chez WatchGuard Technologies. " Ces récompenses de TrustRadius témoignent de notre succès auprès des utilisateurs quotidiens de nos solutions. Les partenaires et les clients sont au cœur de toutes nos actions et nous sommes ravis de recevoir des commentaires aussi positifs de la part de notre communauté d\'utilisateurs. " Les 9 " top Rated Awards " décernés par TrustRadius illustrent la réputation de WatchGuard en matière de satisfaction client dans le domaine de la cybersécurité et son engagement à rendre la sécurité des entreprises accessible aux organisations de toutes tailles grâce à sa simplicité. " Les solutions de sécurité réseau, de sécurité des endpoints et AuthPoint de WatchGuard ont été récompensées par les meilleures notes de TrustRadius, soulignant leurs performances exceptionnelles ainsi que la satisfaction des clients ", a souligné Allyson Havener, SVP of Marketing & Community chez TrustRadius. " Ces prestigieuses distinctions témoignent de l\'engagement inébranlable de WatchGuard à fournir des solutions de cybersécurité complètes et fiables qui protègent les entreprises contre les menaces en constante évolution. Nous félicitons WatchGuard pour cette reconnaissance amplement méritée et saluons son engagement continu en faveur de l\'excellence dans la protection des entreprises du monde entier. " Depuis 2016, les Top Rated Awards de TrustRadius sont devenus la norme de l\'industrie B2 | Tool Threat | ★★★ | |
 |
2024-05-07 14:51:31 | Amélioration de la sécurité sociale: introduction Enhancing SOC security: Introducing Pure Signal™ Scout Insight (lien direct) |
Outil d'intelligence des menaces conviviale pour l'analyse IP et le domaine si vous êtes un analyste SOC ou un chef d'équipe et que vous êtes utilisé pour alerter la fatigue ...
User-friendly threat intelligence tool for IP and domain analysis If you are a SOC Analyst or Team Manager and are used to alert fatigue... |
Tool Threat | ★★★ | |
|
2024-05-07 13:42:04 | Le phishing du code QR est un problème - ce qui est pourquoi Proofpoint a introduit la simulation de phishing du code QR QR Code Phishing is a Problem-That\\'s Why Proofpoint Has Introduced QR Code Phishing Simulation (lien direct) |
QR codes are a part of our everyday lives. They appear in everything from restaurant menus to payment portals. We can use them to quickly access information or perform tasks with a simple scan from our smartphones. However, the ubiquity and convenience of QR codes have also made them an attractive tool for attackers. These seemingly innocuous squares have become a Trojan horse for phishing schemes. In December 2023, Proofpoint launched new in-line threat detection capabilities to stop QR code-based threats. We did this for several reasons. First, we recognized that these attacks are highly deceptive, and existing technologies could not analyze embedded URLs with accuracy. We also understood it was highly likely that users would fall victim to these attacks, as external survey data indicated over 80% of users believe that QR codes are safe. Additionally, our own research showed that QR code attacks had already hit the mainstream. Now, we see daily QR code attack spikes reaching into the tens of thousands. So, our customers must stay vigilant about this threat. To help in that effort, Proofpoint now offers QR code phishing simulations through Proofpoint Security Awareness. You can use them to help your users learn how to recognize and proactively report real QR code phishing attempts. In this post, we will cover the basics of our simulations, and how they serve as a key pillar of our human-centric security strategy. But first, let\'s examine how QR code phishing works. The sequence of events in a QR code attack In QR code phishing, an attacker will disguise malicious URLs within a QR code and embed the QR code into an email. The email is socially engineered to convince the victim to scan the code. After the code is scanned, the victim is redirected to a fraudulent website that is designed to steal sensitive data like login credentials, credit card numbers or personal data. Overview of a QR code attack sequence. What makes malicious QR codes so hard to detect is that attackers are intentionally combining evasion tactics with malicious QR codes to evade email gateways. For example, in a recent QR code attack, threat actors hid malicious QR codes within a PDF attachment. Further, the redirected URL used evasion tactics like adding a Cloudflare CAPTCHA to appear legitimate. Threat actors know that if successfully delivered to their victim it can lead to a successful compromise and they are motivated to continue investing in evasion. The solution: QR code phishing simulation The risk of user exposure to a QR code phishing attack is high, which is why it\'s so important to educate your users about this threat. Here is where our QR code phishing simulation can help. At its core, the simulation works by using email templates that are derived from real-world attacks. Administrators can use the prebuilt templates to launch simulation campaigns that test how employees might react to a QR code attack. These simulations give users firsthand experience in how to identify, avoid and report these threats. This exercise also helps administrators understand their users\' vulnerabilities so that they can develop tailored educational plans. A sample of a QR Code Phishing Simulation template from Proofpoint. To help hone a user\'s knowledge and skills, the prebuilt templates are automatically categorized based on their difficulty level using our Leveled Phishing capability. Proofpoint is the first and only security awareness provider to combine machine learning and NIST Phish Scale research to automatically categorize the level of difficulty of our phishing simulation templates. Leveled Phishing ensures that administrators can objectively challenge a user\'s understanding of the threat. As a user\'s knowledge improves with each simulation, the administrator can continue to challenge that user by launching more, and more difficult, simulations. If the user fails a s | Tool Vulnerability Threat | ★★ | |
 |
2024-05-07 12:53:29 | Utilisateurs d'Intel et ARM Mac: Coucoo Spyware peut nuire à votre PC Intel and ARM Mac Users: Cuckoo Spyware Can Harm Your PC (lien direct) |
Le Web regorge de logiciels espions présentant des applications légitimes et précieuses. kandji, une plate-forme de gestion et de sécurité Apple de périphériques, identifié un nouveau spyware-cum-infostealer qui cible les macs Intel et ARM. Ils ont nommé les logiciels espions & # 8220; coucou & # 8221;Parce qu'il infecte le système hôte et vole ses ressources, un peu comme l'oiseau. Qu'est-ce que le déguisement des logiciels espions de Cuckoo s? Coucou se déguise en binaire mach-o, un format exécutable conçu pour les systèmes Apple. Les chercheurs de Kandji ont commencé par un fichier nommé dumpmediaspotifymusicconverter , également appelé & # 8220; upd & # 8221;téléchargé sur virus total. Il suit et enregistre les données de iCloud Keychain, Apple Notes, Browsers Web et Crypto Wallet. Même des applications comme Discord, Filezilla, Steam et Telegram sont sa cible.Les chercheurs de Kandji notent que le logiciel espion mue le son du système pour capturer des captures d'écran. Il lance également l'application pour couvrir ses pistes et agir comme si rien ne s'était passé. En recherchant le Web, ils ont constaté qu'il était hébergé sur un site Web qui offrait des applications à convertir la musique des services de streaming à mp3. Les sites Web suspects proposent des versions gratuites et payantes d'applications pour déchirer la musique des services de streaming et pour iOS et Android Recovery.Voici quelques-uns d'entre eux: Dumpmedia [.] com TUNESOLO [.] com Fonedog [.] com TUNESFUN [.] com Tunefab [.] com Tous les groupes d'applications sur ces sites ont un ID de développeur de la technologie Yian Shenzhen Co., Ltd (VRBJ4VRP).Applications d'applications sur FonEdog ont une identification différente: Fonedog Technology Limited (Cuau2GTG98). Après avoir téléchargé une application Spotify vers MP3, ils ont ouvert le fichier image de disque et ont été surpris de trouver la même & # 8220; UPD & # 8221;fichier avec l'application réelle. Le binaire malveillant n'a pas fonctionné parce que Gatekeeper l'a bloqué.Après avoir accordé une autorisation manuelle, l'application a vérifié le lieu pour déterminer le pays de l'utilisateur. . Étonnamment, CUCUS WA LE REAGNER SI LE SYSTÈME appartient à l'un des pays suivants: Arménie Bélarus Kazakhstan Russie Ukraine CUCUS veut tout savoir this Spyware est conçu pour capturer autant d'informations que possible et l'envoyer au serveur de commande et de contrôle. CUCUS peut déterminer vos informations matérielles exactes, obtenir la liste des applications installées et capturer les processus en cours d'exécution. La recherche d'outils pour extraire l'audio ou la vidéo d'un service de streaming au MP3 ou à tout autre format souhaité est courant, et les attaquants voulaient capitaliser sur cet intérêt. Évitez de télécharger des applications à partir de sites indignes de confiance vers | Tool Mobile | ★★★ | |
|
2024-05-06 21:03:51 | TunnelVision – la faille qui fait sauter le VPN et laisse fuiter vos données (lien direct) | TunnelVision, une technique exploitant le protocole DHCP, permet de contourner la protection des VPN et d'intercepter le trafic des utilisateurs à leur insu, remettant en cause la sécurité promise par ces outils. Découvrez son fonctionnement et comment vous en prémunir. | Tool Vulnerability | ★★★ | |
|
2024-05-06 19:30:00 | Le défaut Critical Tinyproxy ouvre plus de 50 000 hôtes à l'exécution du code distant Critical Tinyproxy Flaw Opens Over 50,000 Hosts to Remote Code Execution (lien direct) |
Plus de 50% des 90 310 hôtes ont été trouvés exposant A & NBSP; Tinyproxy Service & NBSP; sur Internet qui \\ est vulnérable à un défaut de sécurité non corrigé dans l'outil de proxy HTTP / HTTPS.
Le problème, suivi comme & nbsp; CVE-2023-49606, procure un score CVSS de 9,8 sur un maximum de 10, par Cisco Talos, qui l'a décrit comme un bug de l'utilisation après les versions impactant les versions 1.10.0 et 1.11.1,qui est le
More than 50% of the 90,310 hosts have been found exposing a Tinyproxy service on the internet that\'s vulnerable to a critical unpatched security flaw in the HTTP/HTTPS proxy tool. The issue, tracked as CVE-2023-49606, carries a CVSS score of 9.8 out of a maximum of 10, per Cisco Talos, which described it as a use-after-free bug impacting versions 1.10.0 and 1.11.1, which is the |
Tool | ★★★ | |
|
2024-05-06 16:26:54 | Faits saillants hebdomadaires, 6 mai 2024 Weekly OSINT Highlights, 6 May 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a spectrum of sophisticated cyber threats orchestrated by diverse threat actors targeting organizations globally. The articles highlight various attack vectors, including DNS manipulation techniques (Muddling Meerkat), social engineering tactics with Python-based RATs (DEV#POPPER), and ransomware campaigns exploiting legitimate files (Sophos ransomware). Threat actors range from nation-state affiliated groups like Muddling Meerkat to financially motivated actors leveraging ransomware like Dagon Locker. Several reports highlight the persistent nature of cyber threats as threat actors continue to exploit well-known vulnerabilities like [CVE-2015-2051](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2015-2051/description) and evolve established tools such as the[ZLoader banking trojan](https://sip.security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789)to launch successful attacks. These findings emphasize the ongoing need for organizations to prioritize patch management and remain vigilant against evolving tactics employed by threat actors leveraging both known and refined techniques to infiltrate systems and compromise networks. ## Description 1. [**Cyberattacks Targeting Poorly Managed MS-SQL Servers**](https://sip.security.microsoft.com/intel-explorer/articles/f5f3ecc6): Threat actors exploit vulnerabilities in improperly managed MS-SQL servers to install Mallox ransomware. The attack involves deploying Remcos RAT for system control and leveraging a custom remote screen control malware, highlighting the risk posed by insecure database management practices. 2. [**Sophos Ransomware Campaign Exploiting Legitimate Files**](https://security.microsoft.com/intel-explorer/articles/e27d7355): Sophisticated ransomware campaign exploits legitimate Sophos executables and DLLs by altering their content and inserting malicious payloads like Cobalt Strike and Brute Ratel. Attackers use JavaScript loaders via email for initial access, disguising malicious activity within seemingly legitimate files to evade detection. 3. [**Social Engineering Attack Targeting Developers**](https://security.microsoft.com/intel-explorer/articles/7ef7309c): North Korean threat actors use fake job interviews to deliver Python-based RATs to developers, exploiting their trust in the job application process. The attackers mimic real companies and interview processes to deceive developers into downloading and executing malicious software. 4. [**Detailed Account of Intrusion using IcedID and Cobalt Strike**](https://security.microsoft.com/intel-explorer/articles/55e96eb8): A comprehensive incident report details a sophisticated intrusion involving IcedID malware and Cobalt Strike beacons. The threat actors employed multiple evasion techniques, lateral movement tools, and exfiltration methods, culminating in the deployment of Dagon Locker ransomware. 5. [**Evolution of ZLoader Trojan with New Evasion Tactics**](https://sip.security.microsoft.com/intel-explorer/articles/0d7c21ec): ZLoader, a modular banking trojan derived from ZeuS source code, reappears with enhanced obfuscation methods and anti-analysis features. This malware\'s evolution demonstrates a strategic effort to evade detection and limit binary execution to infected systems. 6. [**Emergence of Goldoon Botnet Targeting D-Link Devices**](https://sip.security.microsoft.com/intel-explorer/articles/de08653e): The Goldoon botnet exploits CVE-2015-2051 vulnerability to compromise D-Link devices and launch denial-of-service attacks. The malware, once executed, establishes a persistent connection with a C2 server and contains 27 different attack methods, posing a significant threat to affected organizations. 7. [**Muddling Meerkat: DNS Manipulation by Nation-State Actors**](https://security.microsoft.com/intel-explorer/articles/b6049233): The threat actor group, suspected to be affiliated with China, employs DNS manipulation techniques to hijack internet traffic for strat | Ransomware Malware Tool Vulnerability Threat | ★★ | |
 |
2024-05-06 13:15:00 | #RSAC: 70% des entreprises hiérarchisent l'innovation sur la sécurité dans les projets génératifs d'IA #RSAC: 70% of Businesses Prioritize Innovation Over Security in Generative AI Projects (lien direct) |
Un rapport IBM a révélé que la plupart des organisations s'exposent à des risques de sécurité lors de la mise en œuvre d'outils générateurs d'IA
An IBM report found that most organizations are exposing themselves to security risks when implementing generative AI tools |
Tool | ★★★ | |
 |
2024-05-06 11:11:16 | Proton Pass lance Pass Monitor (lien direct) | Proton Pass lance Pass Monitor, une nouvelle suite de sécurité comprenant la surveillance du Dark Web, Password Health et bien plus encore • Fonctionnalité essentielle de Pass Monitor, la surveillance du Dark Web dans Proton Pass alertera désormais les utilisateurs si leurs identifiants de messagerie ont été exposés sur le dark web, où les e-mails et les identifiants volés sont achetés et vendus. • Les alertes incluront des détails sur les adresses e-mail et les alias qui auraient été compromis à partir d'un site tiers, la source et la date de la brèche, ainsi que des recommandations sur la manière dont les utilisateurs peuvent se protéger. • Pass Monitor inclut également Password Health. Disponible pour tous les utilisateurs, cette fonctionnalité permet d'identifier les mots de passe faibles ou réutilisés ainsi que ceux pour lesquels la double authentification n'a pas été activée. • Proton Pass devient le premier gestionnaire de mots de passe associant le chiffrement de bout en bout, la surveillance du Dark Web, l'identification de la santé des mots de passe et la sécurité avancée des comptes. • Cette nouvelle fonctionnalité offre aux utilisateurs encore plus de contrôle sur la sécurité de leur compte et met à disposition les outils dont ils ont besoin pour se protéger. - Produits | Tool | ★★★ | |
|
2024-05-06 07:54:03 | Genai alimente la dernière vague des menaces de messagerie modernes GenAI Is Powering the Latest Surge in Modern Email Threats (lien direct) |
Generative artificial intelligence (GenAI) tools like ChatGPT have extensive business value. They can write content, clean up context, mimic writing styles and tone, and more. But what if bad actors abuse these capabilities to create highly convincing, targeted and automated phishing messages at scale? No need to wonder as it\'s already happening. Not long after the launch of ChatGPT, business email compromise (BEC) attacks, which are language-based, increased across the globe. According to the 2024 State of the Phish report from Proofpoint, BEC emails are now more personalized and convincing in multiple countries. In Japan, there was a 35% increase year-over-year for BEC attacks. Meanwhile, in Korea they jumped 31% and in the UAE 29%. It turns out that GenAI boosts productivity for cybercriminals, too. Bad actors are always on the lookout for low-effort, high-return modes of attack. And GenAI checks those boxes. Its speed and scalability enhance social engineering, making it faster and easier for attackers to mine large datasets of actionable data. As malicious email threats increase in sophistication and frequency, Proofpoint is innovating to stop these attacks before they reach users\' inboxes. In this blog, we\'ll take a closer look at GenAI email threats and how Proofpoint semantic analysis can help you stop them. Why GenAI email threats are so dangerous Verizon\'s 2023 Data Breach Investigations Report notes that three-quarters of data breaches (74%) involve the human element. If you were to analyze the root causes behind online scams, ransomware attacks, credential theft, MFA bypass, and other malicious activities, that number would probably be a lot higher. Cybercriminals also cost organizations over $50 billion in total losses between October 2013 and December 2022 using BEC scams. That represents only a tiny fraction of the social engineering fraud that\'s happening. Email is the number one threat vector, and these findings underscore why. Attackers find great success in using email to target people. As they expand their use of GenAI to power the next generation of email threats, they will no doubt become even better at it. We\'re all used to seeing suspicious messages that have obvious red flags like spelling errors, grammatical mistakes and generic salutations. But with GenAI, the game has changed. Bad actors can ask GenAI to write grammatically perfect messages that mimic someone\'s writing style-and do it in multiple languages. That\'s why businesses around the globe now see credible malicious email threats coming at their users on a massive scale. How can these threats be stopped? It all comes down to understanding a message\'s intent. Stop threats before they\'re delivered with semantic analysis Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Semantic analysis is a process that is used to understand the meaning of words, phrases and sentences within a given context. It aims to extract the underlying meaning and intent from text data. Proofpoint semantic analysis is powered by a large language model (LLM) engine to stop advanced email threats before they\'re delivered to users\' inboxes in both Microsoft 365 and Google Workspace. It doesn\'t matter what words are used or what language the email is written in. And the weaponized payload that\'s included in the email (e.g., URL, QR code, attached file or something else) doesn\'t matter, either. With Proofpoint semantic analysis, our threat detection engines can understand what a message means and what attackers are trying to achieve. An overview of how Proofpoint uses semantic analysis. How it works Proofpoint Threat Protection now includes semantic analysis as an extra layer of threat detection. Emails must pass through an ML-based threat detection engine, which analyzes them at a deeper level. And it does | Ransomware Data Breach Tool Vulnerability Threat | ChatGPT | ★★★ |
|
2024-05-05 19:59:48 | BSidesSF 2024 Writeups: No Tools (A puzzling Bash challenge) (lien direct) | pas d'outils est un défi terminal assez simple, quelque chose pour les nouveaux joueursmâcher. Je soupçonne qu'il existe plusieurs façons différentes de le résoudre, mais l'idée de base est de lire un fichier en utilisant uniquement des fonctions intégrées de sh . Je l'ai personnellement résolu avec le lire intégré: $ lire file= "nv"> $ drapeau Ctf { where-are-mon-tools } Une autre solution que mon co-organisateur a développée a utilisé Exec : $ exec | Tool Technical | ★★★★ | |
|
2024-05-05 19:59:43 | BSidesSF 2024 Writeups: Can\'t Give In (CGI exploitation) (lien direct) | The premise of the three challenges cant-give-in, cant-give-in-secure, and cant-give-in-securer are to learn how to exploit and debug compiled code that\'s loaded as a CGI module. You might think that\'s unlikely, but a surprising number of enterprise applications (usually hardware stuff - firewalls, network “security” appliances, stuff like that) is powered by CGI scripts. You never know! This challenge was inspired by one of my co-workers at GreyNoise asking how to debug a CGI script. I thought it\'d be cool to make a multi-challenge series in case others didn\'t know! This write-up is intended to be fairly detailed, to help new players understand their first stack overflow! Part 1: cant-give-in The vulnerability First, let\'s look at the vuln! All three challenges have pretty similar vulnerabilities, but here\'s what the first looks like: char *strlength = getenv("CONTENT_LENGTH"); if(!strlength) { printf("ERROR: Please send data!"); exit(0); } int length = atoi(strlength); read(fileno(stdin), data, length); if(!strcmp(data, "password=MyCoolPassword")) { printf("SUCCESS: authenticated successfully!"); } else { printf("ERROR: Login failed!"); } The way CGI works - a fact that I\'d forgotten since learning Perl like 20 years ago - is that the headers are processed by Apache and sent to the script as environmental variables, and the body (ie, POST data) is sent on stdin. In that script, we read the Content-Length from a variable, then read that many bytes of the POST body into a static buffer. That\'s a fairly standard buffer overflow, with the twist that it\'s in a CGI application! We can demonstrate the issue pretty easily by running the CGI directly (I\'m using dd to produce 200 characters without cluttering up the screen): | Tool Vulnerability Threat Technical | ★★★★ | |
|
2024-05-05 00:00:00 | BSIDESSF 2024 Écritures: ne peut pas donner (exploitation CGI) BSidesSF 2024 Writeups: Can\\'t Give In (CGI exploitation) (lien direct) |
The premise of the three challenges cant-give-in, cant-give-in-secure, and cant-give-in-securer are to learn how to exploit and debug compiled code that\'s loaded as a CGI module. You might think that\'s unlikely, but a surprising number of enterprise applications (usually hardware stuff - firewalls, network “security” appliances, stuff like that) is powered by CGI scripts. You never know! This challenge was inspired by one of my co-workers at GreyNoise asking how to debug a CGI script. I thought it\'d be cool to make a multi-challenge series in case others didn\'t know! This write-up is intended to be fairly detailed, to help new players understand their first stack overflow! Part 1: cant-give-in The vulnerability First, let\'s look at the vuln! All three challenges have pretty similar vulnerabilities, but here\'s what the first looks like: char *strlength = getenv("CONTENT_LENGTH"); if(!strlength) { printf("ERROR: Please send data!"); exit(0); } int length = atoi(strlength); read(fileno(stdin), data, length); if(!strcmp(data, "password=MyCoolPassword")) { printf("SUCCESS: authenticated successfully!"); } else { printf("ERROR: Login failed!"); } The way CGI works - a fact that I\'d forgotten since learning Perl like 20 years ago - is that the headers are processed by Apache and sent to the script as environmental variables, and the body (ie, POST data) is sent on stdin. In that script, we read the Content-Length from a variable, then read that many bytes of the POST body into a static buffer. That\'s a fairly standard buffer overflow, with the twist that it\'s in a CGI application! We can demonstrate the issue pretty easily by running the CGI directly (I\'m using dd to produce 200 characters without cluttering up the screen): | Tool Vulnerability Threat | ★★★ | |
|
2024-05-05 00:00:00 | BSIDESSF 2024 Écritures: pas d'outils (un défi de bash perplexe) BSidesSF 2024 Writeups: No Tools (A puzzling Bash challenge) (lien direct) |
pas d'outils est un défi terminal assez simple, quelque chose pour les nouveaux joueursmâcher. Je soupçonne qu'il existe plusieurs façons différentes de le résoudre, mais l'idée de base est de lire un fichier en utilisant uniquement des fonctions intégrées de sh . Je l'ai personnellement résolu avec le lire intégré: $ lire file= "nv"> $ drapeau Ctf { where-are-mon-tools } Une autre solution que mon co-organisateur a développée a utilisé Exec : $ exec | Tool | ★★ | |
|
2024-05-03 20:14:15 | Les acteurs menacés attaquent les serveurs MS-SQL pour déployer des ransomwares Threat Actors Attacking MS-SQL Servers to Deploy Ransomware (lien direct) |
## Instantané
Les professionnels de la cybersécurité de GBhackers ont découvert une série de cyberattaques ciblant les serveurs Microsoft SQL (MS-SQL) mal gérés pour installer les ransomwares de Mallox sur les systèmes.
** En savoir plus sur la couverture de Microsoft \\ pour [MalloxRansomware ici.] (Https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e) **
##Description
Le modus operandi du groupe des acteurs de la menace implique d'exploiter les vulnérabilités dans des serveurs MS-SQL mal gérés.En utilisant des attaques de force brute et du dictionnaire, les attaquants obtiennent un accès non autorisé, ciblant principalement le compte SA (administrateur système système).
Une fois à l'intérieur, ils déploient l'outil d'accès à distance REMCOS (RAT) pour prendre le contrôle du système infecté.Remcos Rat, initialement utilisé pour la violation et le contrôle du système, a été réutilisé par des attaquants pour des activités malveillantes, avec des capacités telles que le keylogging, la capture de capture d'écran et le contrôle sur les webcams et les microphones.De plus, un logiciel malveillant à télécommande sur mesure est déployé, permettant aux attaquants d'accéder au système infecté à l'aide de l'ID AnyDesk obtenu à partir du serveur de commande et de contrôle.
Le ransomware de Mallox, connu pour cibler les serveurs MS-SQL, a ensuite été installé pour crypter le système.Mallox Ransomware, utilise des algorithmes de cryptage AES-256 et SHA-256, ajoutant une extension ".rmallox" aux fichiers cryptés.
Les modèles d'attaque observés dans cette campagne ressemblent à une ressemblance frappante avec les incidents précédents impliquant le Coinmin Tor2mine et le ransomware Bluesky, suggérant le travail du même groupe de menaces.
## Recommandations
La documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici:
[Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16)
## Les références
["Les acteurs de la menace attaquant les serveurs MS-SQL pour déployer les ransomwares"] (https://gbhackers.com/ms-sql-deploy-ransomware/) GBHACKERS (consulté en 2024-05-03).
## Snapshot Cybersecurity professionals at GBHackers have discovered a series of cyberattacks targeting poorly managed Microsoft SQL (MS-SQL) servers to install Mallox Ransomware on systems. **Read more about Microsoft\'s coverage for [Mallox Ransomware here.](https://sip.security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e)** ## Description The threat actor group\'s modus operandi involves exploiting vulnerabilities in improperly managed MS-SQL servers. By employing brute force and dictionary attacks, the attackers gain unauthorized access, primarily targeting the SA (System Administrator) account. Once inside, they deploy the Remcos Remote Access Tool (RAT) to take control of the infected system. Remcos RAT, initially used for system breach and control, has been repurposed by attackers for malicious activities, featuring capabilities such as keylogging, screenshot capture, and control over webcams and microphones. Additionally, a custom-made remote screen control malware is deployed, allowing attackers to gain access to the infected system using the AnyDesk ID obtained from the command and control server. Mallox ransomware, known for targeting MS-SQL servers, was then installed to encrypt the system. Mallox ransomware, utilizes AES-256 and SHA-256 encryption algorithms, appending a ".rmallox" extension to encrypted files. The attack patterns observed in this campaign bear a striking resemblance to |
Ransomware Malware Tool Vulnerability Threat Technical | ★★★ | |
|
2024-05-03 12:00:54 | Edward Snowden lance un dernier avertissement sur la confidentialité du Bitcoin (lien direct) | Edward Snowden alerte sur les risques pour la confidentialité de Bitcoin. Les autorités américaines intensifient leur offensive contre les outils de protection de la vie privée. Des entreprises comme Wasabi Wallet et Trezor ont dû restreindre leurs services aux États-Unis. | Tool | ★★★ | |
 |
2024-05-03 00:36:38 | McAfee domine le test de performance PC-COMPARATIVES AV McAfee Dominates AV-Comparatives PC Performance Test (lien direct) |
> 
À notre époque numérique, un ordinateur n'est pas seulement un outil;C'est une passerelle vers un monde de possibilités, de divertissement, ...
> 
In our digital age, a computer is not just a tool; it’s a gateway to a world of possibilities, entertainment,...
|
Tool | ★★ | |
|
2024-05-02 10:00:00 | L'API Microsoft Graph apparaît comme un outil d'attaquant supérieur pour tracer le vol de données Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft (lien direct) |
Armemer les propres services de Microsoft \\ pour la commande et le contrôle est simple et rentable, et cela aide les attaquants à mieux éviter la détection.
Weaponizing Microsoft\'s own services for command-and-control is simple and costless, and it helps attackers better avoid detection. |
Tool | ★★ | |
|
2024-05-02 05:00:00 | \\ 'Dunequixote \\' montre que les méthodes de cyberattaque furtives évoluent.Les défenseurs peuvent-ils suivre? \\'DuneQuixote\\' Shows Stealth Cyberattack Methods Are Evolving. Can Defenders Keep Up? (lien direct) |
Une récente campagne ciblant les organisations gouvernementales du Moyen-Orient joue des outils de détection standard comme un violon.Les cyberattaques deviennent plus créatifs, les défenseurs doivent commencer à suivre le rythme.
A recent campaign targeting Middle Eastern government organizations plays standard detection tools like a fiddle. With cyberattackers getting more creative, defenders must start keeping pace. |
Tool | ★★★ | |
|
2024-05-02 03:20:36 | Cybersécurité: la bataille des esprits Cybersecurity: The Battle of Wits (lien direct) |
Avec la cybersécurité, les champs de bataille numériques s'étendent sur la vaste étendue d'Internet.D'un côté, nous avons des adversaires de plus en plus sophistiqués et rusés.De l'autre, des praticiens de cybersécurité qualifiés qui sont désespérés de protéger à tout prix leurs entreprises.Une vérité fondamentale sonne claire: c'est une bataille d'esprit continue et implacable.Tout comme les mercenaires modernes, les mauvais acteurs sont armés d'un arsenal d'outils et de menaces sophistiqués, à la recherche continue de tout bink dans l'armure de sécurité à exploiter.Leurs objectifs vont du gain financier et de la fraude ...
With cybersecurity, the digital battlegrounds stretch across the vast expanse of the internet. On the one side, we have increasingly sophisticated and cunning adversaries. On the other, skilled cybersecurity practitioners who are desperate to protect their companies\' assets at all costs. One fundamental truth rings clear: it\'s an ongoing and relentless battle of wits. Much like modern-day mercenaries, bad actors are armed with an arsenal of sophisticated tools and threats , continually looking for any chinks in the security armor to exploit. Their objectives range from financial gain and fraud... |
Tool Threat | ★★ | |
|
2024-05-01 20:56:45 | La campagne de logiciels malveillants tente la maltraitance des binaires de sophos Malware Campaign Attempts Abuse of Sophos Binaries (lien direct) |
## Instantané Sophos discute d'une campagne de ransomwares qui exploite des exécutables et des DLL légitimes de Sophos en modifiant leur contenu d'origine, en écrasant le code de point d'entrée et en insérant la charge utile déchiffrée comme ressource. ## Description Cette usurpation d'identité des fichiers légitimes vise à infiltrer les systèmes.L'enquête a révélé plusieurs charges utiles, telles que Cobalt Strike, Brute Ratel, Qakbot et Latrodectus, indiquant l'implication de plus d'un groupe criminel. L'accès initial aux systèmes des victimes \\ 'impliquait l'utilisation de chargeurs JavaScript envoyés par e-mail.Le comportement malveillant vise à confondre les analystes en se déguisant en fichiers légitimes, en évitant potentiellement la détection.Les attaquants ont ciblé plusieurs exécutables Sophos And dlls, y compris sophosleanup.exe, sophosfstelemetry.exe, sophosfx.exe, sophosintelixpackager.exe, sophosntpuninstall.eXE, Healthapi.dll et Sophosuninstall.exe.Ces fichiers se sont révélés malveillants et ont été associés à diverses charges utiles et connexions C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées | Ransomware Malware Tool Threat | ★★ | |
|
2024-05-01 19:46:49 | Attaque "Stream Dirty": découvrir et atténuer un modèle de vulnérabilité commun dans les applications Android “Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps (lien direct) |
## Snapshot Microsoft discovered a path traversal-affiliated vulnerability pattern in multiple popular Android applications that could enable a malicious application to overwrite files in the vulnerable application\'s home directory. The implications of this vulnerability pattern include arbitrary code execution and token theft, depending on an application\'s implementation. Arbitrary code execution can provide a threat actor with full control over an application\'s behavior. Meanwhile, token theft can provide a threat actor with access to the user\'s accounts and sensitive data. We identified several vulnerable applications in the Google Play Store that represented over four billion installations. We anticipate that the vulnerability pattern could be found in other applications. We\'re sharing this research so developers and publishers can check their apps for similar issues, fix as appropriate, and prevent introducing such vulnerabilities into new apps or releases. As threats across all platforms continue to evolve, industry collaboration among security researchers, security vendors, and the broader security community is essential in improving security for all. Microsoft remains committed to working with the security community to share vulnerability discoveries and threat intelligence to protect users across platforms. After discovering this issue, we identified several vulnerable applications. As part of our responsible disclosure policy, we notified application developers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) and worked with them to address the issue. We would like to thank the Xiaomi, Inc. and WPS Office security teams for investigating and fixing the issue. As of February 2024, fixes have been deployed for the aforementioned apps, and users are advised to keep their device and installed applications up to date. Recognizing that more applications could be affected, we acted to increase developer awareness of the issue by collaborating with Google to publish an article on the Android Developers website, providing guidance in a high-visibility location to help developers avoid introducing this vulnerability pattern into their applications. We also wish to thank Google\'s Android Application Security Research team for their partnership in resolving this issue. In this post, we continue to raise developer and user awareness by giving a general overview of the vulnerability pattern, and then focusing on Android share targets, as they are the most prone to these types of attacks. We go through an actual code execution case study where we demonstrate impact that extends beyond the mobile device\'s scope and could even affect a local network. Finally, we provide guidance to users and application developers and illustrate the importance of collaboration to improve security for all. ## Activity Overview ### Data and file sharing on Android The Android operating system enforces isolation by assigning each application its own dedicated data and memory space. To facilitate data and file sharing, Android provides a component called a content provider, which acts as an interface for managing and exposing data to the rest of the installed applications in a secure manner. When used correctly, a content provider provides a reliable solution. However, improper implementation can introduce vulnerabilities that could enable bypassing of read/write restrictions within an application\'s home directory. The Android software development kit (SDK) includes the [FileProvider](https://developer.android.com/reference/androidx/core/content/FileProvider) class, a subclass of ContentProvider that enables file sharing between installed applications. An application that needs to share its files with other applications can declare a FileProvider in its app manifest and declare the specific paths to share. Every file provider has a property called authority, which identifies it system-wide, and can b | Tool Vulnerability Threat Studies Mobile Technical | ★★★ | |
|
2024-05-01 19:01:06 | Muddywater Campaign abuse d'agents Atera MuddyWater Campaign Abusing Atera Agents (lien direct) |
#### Targeted Geolocations - Israel - India - Algeria - Italy - Egypt - Türkiye #### Targeted Industries - Transportation Systems - Aviation - Information Technology - Healthcare & Public Health - Government Agencies & Services - General Public Services - Federal ## Snapshot Researchers at HarfangLab have been monitoring a campaign by Iran-based threat group MuddyWater, tracked by Microsoft as [Mango Sandstorm](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340), characterized by the use of Remote Monitoring and Management (RMM) tools. Microsoft tracks this actor as Mango Sandstorm, [read more about them here](https://sip.security.microsoft.com/intel-profiles/36949e052b63fa06ee586aef3d1fec8dd2e1b567e231d88c28c16299f9b25340). ## Description According to HarfangLab, MuddyWater has been utilizing legitimate RMM software in its attacks since at least 2021, but has been monitoring this campaign using Atera Agent since October 2023. Leveraging Atera\'s free trial offers, the agents seen in this campaign have been registered using both compromised enterprise and personal email accounts. The infection chain in this campaign begins with the deployment of spearphishing emails. These emails are highly tailored to the victim organization and contain malicious attachments or links. Upon interaction, MuddyWater leverages free file sharing sites to host the RMM software, in this case Atera Agent, giving the group remote access and control over compromised systems. The group likely does not rely on the Subsequently, the group is able to execute commands, conduct reconnaissance, and move laterally across the network facilitating the deployment of additional malware payloads enabling the group to maintain persistence and exfiltrate sensitive data. ## Microsoft Analysis Microsoft Threat Intelligence has identified that this campaign is likely attributed to the actor Microsoft tracks as Mango Sandstorm, an Iranian nation-state actor with ties to Iran\'s Ministry of Intelligence and Security (MOIS). In past operations, Mango Sandstorm has primarily, but not exclusively, sought to collect information assessed to have strategic value, typically from organizations in the aviation, education, defense, energy, government, and telecommunications sectors in the Middle East and North Africa. Mango Sandstorm tends to favor spearphishing attacks. In this and prior campaigns, the group has been observed using commercial RMM tools to achieve persistence in a target environment. Mango Sandstorm has been identified attempting to deliver Atera, SimpleHelp, RPort, N-able Advanced Monitoring Agent, Splashtop, Syncro, and AnyConnect. ## Detections As tools used in these types of campaigns might have legitimate uses, they are not typically detected as malicious, and proactive hunting is recommended. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of activity associated with Mango Sandstorm\'s operations. - Use the Attack Simulator in Microsoft Defender for Office 365 to organize realistic, yet safe, simulated phishing and password attack campaigns in your organization by training end users against clicking URLs in unsolicited messages and disclosing their credentials. Training should include checking for poor spelling and grammar in phishing emails or the application\'s consent screen as well as spoofed app names, logos and domain URLs appearing to originate from legitimate applications or companies. Note: Attack Simulator testing currently only supports phishing emails containing links. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that contain exploits and host malware. - Harden internet-facing assets and identify and se | Malware Tool Threat Medical Commercial | ★★★ | |
|
2024-05-01 17:11:23 | Nord Security présente Nordstellar Nord Security introduces NordStellar (lien direct) |
Les créateurs de NordVPN lance Nordstellar, une nouvelle plateforme de gestion de l'exposition aux menaces pour les entreprises
● Nordstellar permet aux entreprises de réduire les temps de détection des fuites de données et de minimiser les risques pour une organisation
● Pendant plusieurs années, la plate-forme a été utilisée et testée comme un outil interne, désormais mis à la disposition du public
● C'est la troisième solution B2B par Nord Security, y compris un gestionnaire de mots de passe pour les entreprises - Nordpass, et une solution de sécurité d'accès au réseau - Nordlayer
● Cette année, la société a également lancé Saily - un service ESIM
-
revues de produits
The creators of NordVPN launches NordStellar, a new threat exposure management platform for businesses ● NordStellar allows companies to cut down on data leak detection times and minimize risk to an organization ● For several years, the platform was used and tested as an internal tool, now made available to the public ● It\'s the third B2B solution by Nord Security, including a password manager for businesses - NordPass, and a network access security solution - NordLayer ● This year, the company also launched Saily - an eSIM service - Product Reviews |
Tool Threat | ★★ | |
|
2024-05-01 16:33:00 | Tout le monde est un expert: comment autonomiser vos employés pour le succès de la cybersécurité Everyone\\'s an Expert: How to Empower Your Employees for Cybersecurity Success (lien direct) |
Il y a un désir humain naturel d'éviter les scénarios menaçants. & Nbsp; L'ironie, bien sûr, est si vous espérez atteindre un semblant de sécurité, & nbsp; vous êtes arrivé à & nbsp; rester prêt à affronter ces & nbsp; très nbsp;mêmes menaces.
En tant que décideur pour votre organisation, vous le savez bien.Mais peu importe le nombre d'experts ou d'outils de cybersécurité de confiance, votre organisation a une garde debout,
There\'s a natural human desire to avoid threatening scenarios. The irony, of course, is if you hope to attain any semblance of security, you\'ve got to remain prepared to confront those very same threats. As a decision-maker for your organization, you know this well. But no matter how many experts or trusted cybersecurity tools your organization has a standing guard, |
Tool | ★★ | |
 |
2024-05-01 14:00:00 | Uncharmed: Untangling Iran\'s APT42 Operations (lien direct) | Written by: Ofir Rozmann, Asli Koksal, Adrian Hernandez, Sarah Bock, Jonathan Leathery
APT42, an Iranian state-sponsored cyber espionage actor, is using enhanced social engineering schemes to gain access to victim networks, including cloud environments. The actor is targeting Western and Middle Eastern NGOs, media organizations, academia, legal services and activists. Mandiant assesses APT42 operates on behalf of the Islamic Revolutionary Guard Corps Intelligence Organization (IRGC-IO). APT42 was observed posing as journalists and event organizers to build trust with their victims through ongoing correspondence, and to deliver invitations to conferences or legitimate documents. These social engineering schemes enabled APT42 to harvest credentials and use them to gain initial access to cloud environments. Subsequently, the threat actor covertly exfiltrated data of strategic interest to Iran, while relying on built-in features and open-source tools to avoid detection. In addition to cloud operations, we also outline recent malware-based APT42 operations using two custom backdoors: NICECURL and TAMECAT. These backdoors are delivered via spear phishing, providing the attackers with initial access that might be used as a command execution interface or as a jumping point to deploy additional malware. APT42 targeting and missions are consistent with its assessed affiliation with the IRGC-IO, which is a part of the Iranian intelligence apparatus that is responsible for monitoring and preventing foreign threats to the Islamic Republic and domestic unrest. APT42 activities overlap with the publicly reported actors CALANQUE (Google Threat Analysis Group), Charming Kitten (ClearSky and CERTFA), Mint Sandstorm/Phosphorus (Microsoft), TA453 (Proofpoint), Yellow Garuda (PwC), and ITG18 ( |
Malware Tool Threat Cloud | Yahoo APT 35 APT 42 | ★★ |
To see everything:
Our RSS (filtrered)
