What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2021-07-25 07:00:00 | Mandiant économise des millions de dollars de restauration multi-marques en évitant les ransomwares Mandiant Saves Multi-Brand Restaurant Company Millions of Dollars by Avoiding Ransomware (lien direct) |
Chaque professionnel de la sécurité informatique sait ce qu'il aime recevoir des nouvelles d'une vulnérabilité majeure entourant une cyberattaque.Ce n'est jamais une période pratique et alors les questions éprouvant pour les nerfs commencent.Nos systèmes sont-ils sûrs ou sont-ils vulnérables?Sommes-nous protégés ou nous sommes-nous dirigés vers des semaines ou des mois de perturbation, de distraction et de douleur?
Dans l'après-midi du 2 juillet 2021, Kaseya a annoncé qu'une vulnérabilité zéro jour dans son produit VSA, un outil de surveillance à distance, était exploitée pour déployer des ransomwares.Heureusement, un conglomérat de restaurant américain et plusieurs mandians Géré
Every IT security professional knows what it\'s like to receive news of a major vulnerability surrounding a cyber attack. It\'s never a convenient time-and then the nerve-racking questions begin. Are our systems safe, or are they vulnerable? Are we protected, or are we headed into weeks or months of disruption, distraction, and pain? On the afternoon of July 2, 2021, Kaseya announced that a zero-day vulnerability in their VSA product, a remote-monitoring and management tool, was being exploited to deploy ransomware. Fortunately, one U.S. restaurant conglomerate and several Mandiant Managed |
Ransomware Vulnerability | ★★★ | |
|
2021-04-29 16:00:00 | UNC2447 Ransomware Sombrat et Fivehands: une menace financière sophistiquée UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat (lien direct) |
Mandiant a observé un groupe agressif à motivation financière, UNC2447, exploitant une vulnérabilité VPN de SONicwall VPN avant qu'un patch soit disponible et le déploiement de logiciels malveillants sophistiqués précédemment signalés par d'autres fournisseurs comme sombrat.Mandiant a lié l'utilisation de Sombrat au déploiement de ransomwares, qui n'a pas été signalé publiquement.
UNC2447 monétise les intrusions en extorquant d'abord leurs victimes avec des ransomwares à cinq main-hands suivis de la pression agressive par des menaces d'attention des médias et de l'offre de données sur les victimes à vendre sur les forums de pirates.Unc2447 a
Mandiant has observed an aggressive financially motivated group, UNC2447, exploiting one SonicWall VPN zero-day vulnerability prior to a patch being available and deploying sophisticated malware previously reported by other vendors as SOMBRAT. Mandiant has linked the use of SOMBRAT to the deployment of ransomware, which has not been previously reported publicly. UNC2447 monetizes intrusions by extorting their victims first with FIVEHANDS ransomware followed by aggressively applying pressure through threats of media attention and offering victim data for sale on hacker forums. UNC2447 has |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2021-04-20 16:00:00 | Les exploits zéro-jour dans la sécurité par courrier électronique de Sonicwall mènent à l'entreprise compromis Zero-Day Exploits in SonicWall Email Security Lead to Enterprise Compromise (lien direct) |
En mars 2021, la défense gérée par Mandiant a identifié trois vulnérabilités zéro jour dans le produit de sécurité par courrier électronique de Sonicwall \\ qui était exploitée dans la nature.Ces vulnérabilités ont été exécutées conjointement pour obtenir un accès administratif et une exécution de code sur un appareil Sonicwall ES.L'adversaire a mis à profit ces vulnérabilités, avec une connaissance intime de l'application Sonicwall, pour installer une porte dérobée, accéder aux fichiers et e-mails, et se déplacer latéralement dans le réseau de l'organisation victime. . Les vulnérabilités sont suivies dans les CVE suivants: CVE-2021-20021 In March 2021, Mandiant Managed Defense identified three zero-day vulnerabilities in SonicWall\'s Email Security (ES) product that were being exploited in the wild. These vulnerabilities were executed in conjunction to obtain administrative access and code execution on a SonicWall ES device. The adversary leveraged these vulnerabilities, with intimate knowledge of the SonicWall application, to install a backdoor, access files and emails, and move laterally into the victim organization\'s network. The vulnerabilities are being tracked in the following CVEs: CVE-2021-20021 | Vulnerability | ★★★ | |
|
2021-04-20 09:00:00 | Vérifiez votre impulsion: les acteurs suspects APT tirent parti des techniques de contournement de l'authentification et de l'impulsion sécurisée zéro-jour Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day (lien direct) |
Résumé de l'exécutif
Mandiant a récemment répondu à plusieurs incidents de sécurité impliquant des compromis sur les appareils VPN sécurisés par impulsions.
Ce billet de blog examine plusieurs techniques connexes pour contourner l'authentification unique et multifactorielle sur les appareils VPN Secure Pulse Secure, persistant à travers les mises à niveau et maintenir l'accès via des webhells.
L'enquête de Pulse Secure a déterminé qu'une combinaison de vulnérabilités antérieures et une vulnérabilité précédemment inconnue découverte en avril 2021, CVEU-2021-22893 , sont responsables du vecteur d'infection initial.
Pulse Secure \'s Parent Company
Executive Summary Mandiant recently responded to multiple security incidents involving compromises of Pulse Secure VPN appliances. This blog post examines multiple, related techniques for bypassing single and multifactor authentication on Pulse Secure VPN devices, persisting across upgrades, and maintaining access through webshells. The investigation by Pulse Secure has determined that a combination of prior vulnerabilities and a previously unknown vulnerability discovered in April 2021, CVE-2021-22893, are responsible for the initial infection vector. Pulse Secure\'s parent company |
Vulnerability | ★★★★ | |
|
2021-03-04 22:30:00 | Détection et réponse à l'exploitation des vulnérabilités de Microsoft Exchange Zero-Day Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities (lien direct) |
À partir de janvier 2021, Maniant Managed Defense a observé plusieurs instances d'abus de Microsoft Exchange Server dans au moins un environnement client.L'activité observée comprenait la création de shells Web pour l'accès persistant, l'exécution du code distant et la reconnaissance pour les solutions de sécurité des points de terminaison.Notre enquête a révélé que les fichiers créés sur les serveurs d'échange appartenaient à l'utilisateur nt Authority \ System , un compte local privilégié sur le système d'exploitation Windows.De plus, le processus qui a créé le shell Web était umworkerprocess.exe , le processus responsable de
Beginning in January 2021, Mandiant Managed Defense observed multiple instances of abuse of Microsoft Exchange Server within at least one client environment. The observed activity included creation of web shells for persistent access, remote code execution, and reconnaissance for endpoint security solutions. Our investigation revealed that the files created on the Exchange servers were owned by the user NT AUTHORITY\SYSTEM, a privileged local account on the Windows operating system. Furthermore, the process that created the web shell was UMWorkerProcess.exe, the process responsible for |
Vulnerability | ★★★ | |
|
2021-03-03 19:30:00 | Panage d'image à fuzz dans les fenêtres, deuxième partie: mémoire non initialisée Fuzzing Image Parsing in Windows, Part Two: Uninitialized Memory (lien direct) |
Poursuivant notre discussion sur vulnérabilités d'analyse d'image dans Windows , nousJetez un œil à une classe de vulnérabilité relativement moins populaire: mémoire non initialisée.Dans cet article, nous examinerons les analyseurs d'image intégrés Windows \\ ', spécifiquement pour les vulnérabilités impliquant l'utilisation de la mémoire non initialisée.
La vulnérabilité: mémoire non initialisée
Dans les langues non gérées, telles que C ou C ++, les variables ne sont pas initialisées par défaut.L'utilisation de variables non initialisées provoque un comportement non défini et peut provoquer un accident.Il existe environ deux variantes de mémoire non initialisée:
Utilisation directe de la mémoire non initialisée
Continuing our discussion of image parsing vulnerabilities in Windows, we take a look at a comparatively less popular vulnerability class: uninitialized memory. In this post, we will look at Windows\' inbuilt image parsers-specifically for vulnerabilities involving the use of uninitialized memory. The Vulnerability: Uninitialized Memory In unmanaged languages, such as C or C++, variables are not initialized by default. Using uninitialized variables causes undefined behavior and may cause a crash. There are roughly two variants of uninitialized memory: Direct uninitialized memory usage |
Vulnerability | ★★★ | |
|
2021-02-22 14:00:00 | Les cyber-criminels exploitent l'accélération de l'AFT pour le vol de données et l'extorsion Cyber Criminals Exploit Accellion FTA for Data Theft and Extortion (lien direct) |
À partir de la mi-décembre 2020, des acteurs malveillants qui mandiant suit en tant que UNC2546 ont exploité plusieurs vulnérabilités de zéro jour dans le cadre de l'appareil de transfert de fichiers hérité (FTA) pour installer un shell Web nouvellement découvert nommé DewMode.La motivation de l'UNC2546 n'était pas immédiatement apparente, mais à partir de fin janvier 2021, plusieurs organisations qui avaient été touchées par UNC2546 au cours du mois précédent ont commencé à recevoir des e-mails d'extorsion des acteurs menaçant de publier des données volées sur les «fuites Cl0p ^ _-» .onion ».onionSite Web. Certaines des données de victime publiées semblent avoir été volées à l'aide du WEB DEWMODE
Starting in mid-December 2020, malicious actors that Mandiant tracks as UNC2546 exploited multiple zero-day vulnerabilities in Accellion\'s legacy File Transfer Appliance (FTA) to install a newly discovered web shell named DEWMODE. The motivation of UNC2546 was not immediately apparent, but starting in late January 2021, several organizations that had been impacted by UNC2546 in the prior month began receiving extortion emails from actors threatening to publish stolen data on the “CL0P^_- LEAKS" .onion website. Some of the published victim data appears to have been stolen using the DEWMODE web |
Vulnerability | ★★★ | |
|
2021-02-17 13:00:00 | Briller une lumière sur la solarcité: exploitation pratique du dispositif X2E IoT (première partie) Shining a Light on SolarCity: Practical Exploitation of the X2e IoT Device (Part One) (lien direct) |
En 2019, l'équipe rouge de Mandiant \\ a découvert une série de vulnérabilités présentes dans Digi International \'s connectport x2e l'appareil, qui permet l'exécution du code distant en tant qu'utilisateur privilégié.Plus précisément, les recherches de Mandiant \\ se sont concentrées sur le dispositif de connexion X2E de SolarCity \\ appartenant à Tesla), qui est utilisé dans les installations solaires résidentielles.Mandiant effectue ce type de travail à des fins de recherche et en une capacité professionnelle pour leurs clients mondiaux.
Mandiant a collaboré avec Digi International et SolarCity / Tesla pour divulguer de manière responsable les résultats de la recherche
In 2019, Mandiant\'s Red Team discovered a series of vulnerabilities present within Digi International\'s ConnectPort X2e device, which allows for remote code execution as a privileged user. Specifically, Mandiant\'s research focused on SolarCity\'s (now owned by Tesla) rebranded ConnectPort X2e device, which is used in residential solar installations. Mandiant performs this type of work both for research purposes and in a professional capacity for their global clients. Mandiant collaborated with Digi International and SolarCity/Tesla to responsibly disclose the results of the research |
Vulnerability | ★★★★ | |
|
2021-02-17 13:00:00 | Briller une lumière sur la solarcité: exploitation pratique du dispositif X2E IoT (deuxième partie) Shining a Light on SolarCity: Practical Exploitation of the X2e IoT Device (Part Two) (lien direct) |
Dans cet article, nous continuons notre analyse du Solarcity ConnectPort X2E Appareil ZigBee (appelé tous les appareils X2E).Dans partie un , nous avons discuté du x2e à un niveau élevé, effectué des attaques initiales basées sur le réseau, puis a discuté des techniques matérielles utilisées pour obtenir un shell distant sur le périphérique X2E en tant qu'utilisateur système non priviaire.Dans ce segment, nous couvrons comment nous avons obtenu une coquille privilégiée sur l'appareil localement en utilisant des attaques de glitch, et explorer CVE-2020-12878 , une vulnérabilité que nous avons découverte qui a permis une escalade de privilège à distance à l'utilisateur root .Combiné avec cve-2020-9306
In this post, we continue our analysis of the SolarCity ConnectPort X2e Zigbee device (referred to throughout as X2e device). In Part One, we discussed the X2e at a high level, performed initial network-based attacks, then discussed the hardware techniques used to gain a remote shell on the X2e device as a non-privileged system user. In this segment, we\'ll cover how we obtained a privileged shell on the device locally using power glitching attacks, and explore CVE-2020-12878, a vulnerability we discovered that permitted remote privilege escalation to the root user. Combined with CVE-2020-9306 |
Vulnerability Industrial | ★★★★ | |
|
2020-11-04 19:00:00 | Dans le débordement de tampon critique sauvage, la vulnérabilité de Solaris peut permettre une prise de contrôle à distance - CVE-2020-14871 In Wild Critical Buffer Overflow Vulnerability in Solaris Can Allow Remote Takeover - CVE-2020-14871 (lien direct) |
Fireeye Mandiant a étudié les machines Oracle Solaris compromises dans les environnements clients.Au cours de nos enquêtes, nous avons découvert un outil d'exploitation sur le système d'un client et l'avons analysé pour voir comment il attaquait leur environnement Solaris.Le groupe de travail offensif de l'équipe Flare \\ a analysé l'exploit pour déterminer comment il a fonctionné, reproduit la vulnérabilité sur différentes versions de Solaris, puis l'a signalée à Oracle.Dans cet article de blog, nous présentons une description de la vulnérabilité, offrons un moyen rapide de tester si un système peut être vulnérable et suggérer des atténuations et
FireEye Mandiant has been investigating compromised Oracle Solaris machines in customer environments. During our investigations, we discovered an exploit tool on a customer\'s system and analyzed it to see how it was attacking their Solaris environment. The FLARE team\'s Offensive Task Force analyzed the exploit to determine how it worked, reproduced the vulnerability on different versions of Solaris, and then reported it to Oracle. In this blog post we present a description of the vulnerability, offer a quick way to test whether a system may be vulnerable, and suggest mitigations and |
Tool Vulnerability | ★★★ | |
|
2020-09-24 10:00:00 | Panage d'image à fuzz dans les fenêtres, première partie: Profils de couleurs Fuzzing Image Parsing in Windows, Part One: Color Profiles (lien direct) |
L'analyse et le rendu d'image sont des caractéristiques de base de tout système d'exploitation moderne (OS).L'analyse d'image est une surface d'attaque facilement accessible, et une vulnérabilité qui peut conduire à l'exécution du code distant ou à la divulgation d'informations dans une telle fonctionnalité est précieuse pour les attaquants.Dans cette série de blogs en plusieurs parties, je passe en revue les analyseurs d'image intégrés Windows OS \\ 'et les formats de fichiers connexes: envisage spécifiquement de créer un harnais, de chasser le corpus et de fuzzing pour trouver des vulnérabilités.Dans la première partie de cette série, je regarde les profils de couleurs - pas un format d'image lui-même, mais quelque chose qui est régulièrement
Image parsing and rendering are basic features of any modern operating system (OS). Image parsing is an easily accessible attack surface, and a vulnerability that may lead to remote code execution or information disclosure in such a feature is valuable to attackers. In this multi-part blog series, I am reviewing Windows OS\' built-in image parsers and related file formats: specifically looking at creating a harness, hunting for corpus and fuzzing to find vulnerabilities. In part one of this series I am looking at color profiles-not an image format itself, but something which is regularly |
Vulnerability | ★★★ | |
|
2020-04-27 07:30:00 | (Déjà vu) Mettre le modèle au travail: activer les défenseurs avec une intelligence de vulnérabilité - Intelligence pour la gestion de la vulnérabilité, la quatrième partie Putting the Model to Work: Enabling Defenders With Vulnerability Intelligence - Intelligence for Vulnerability Management, Part Four (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Les organisations doivent souvent faire des choix difficiles en ce qui concerne la priorisation des correctifs.Beaucoup sont confrontés à la sécurisation complexe
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Organizations often have to make difficult choices when it comes to patch prioritization. Many are faced with securing complex |
Vulnerability Threat | ★★★ | |
|
2020-04-20 07:00:00 | (Déjà vu) Séparer le signal du bruit: comment les renseignements mandiants évaluent les vulnérabilités - Intelligence pour la gestion des vulnérabilités, troisième partie Separating the Signal from the Noise: How Mandiant Intelligence Rates Vulnerabilities - Intelligence for Vulnerability Management, Part Three (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Chaque praticien de la sécurité de l'information sait que les vulnérabilités de correction sont l'une des premières étapes vers un sain et bien
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Every information security practitioner knows that patching vulnerabilities is one of the first steps towards a healthy and well |
Vulnerability Threat | ★★★★ | |
|
2020-04-13 07:00:00 | (Déjà vu) Pensez vite: temps entre la divulgation, la libération des patchs et l'exploitation de la vulnérabilité - Intelligence pour la gestion de la vulnérabilité, deuxième partie Think Fast: Time Between Disclosure, Patch Release and Vulnerability Exploitation - Intelligence for Vulnerability Management, Part Two (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de CTI pour permettre la gestion de la vulnérabilité, et dévoile et dévoile CTIDe nouvelles recherches sur les dernières menaces, tendances et recommandations.Consultez notre premier article sur vulnérabilités zéro-jour .
Les attaquants sont en cours de course constante pour exploiter les vulnérabilités nouvellement découvertes
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Check out our first post on zero-day vulnerabilities. Attackers are in a constant race to exploit newly discovered vulnerabilities |
Vulnerability Threat | ★★ | |
|
2020-04-08 11:15:00 | Chart limité dans le paysage cyber-menace entraîné par Covid-19 Limited Shifts in the Cyber Threat Landscape Driven by COVID-19 (lien direct) |
Bien que Covid-19 ait eu d'énormes effets sur notre société et notre économie, ses effets sur le paysage cyber-menace restent limités.Pour la plupart, les mêmes acteurs que nous avons toujours suivis se comportent de la même manière qu'avant la crise.Il y a de nouveaux défis, mais ils sont perceptibles, et nous-et nos clients sont prêts à poursuivre ce combat à travers cette période de changement sans précédent.
Les changements importants du paysage des menaces que nous suivons actuellement comprennent:
L'augmentation soudaine majeure d'une main-d'œuvre à distance a changé la nature et la vulnérabilité de l'entreprise
Though COVID-19 has had enormous effects on our society and economy, its effects on the cyber threat landscape remain limited. For the most part, the same actors we have always tracked are behaving in the same manner they did prior to the crisis. There are some new challenges, but they are perceptible, and we-and our customers-are prepared to continue this fight through this period of unprecedented change. The significant shifts in the threat landscape we are currently tracking include: The sudden major increase in a remote workforce has changed the nature and vulnerability of enterprise |
Vulnerability Threat | ★★★ | |
|
2020-04-06 07:00:00 | L'exploitation zéro-jour démontre de plus en plus l'accès à l'argent plutôt qu'à la compétence - intelligence pour la gestion de la vulnérabilité, la première partie Zero-Day Exploitation Increasingly Demonstrates Access to Money, Rather than Skill - Intelligence for Vulnerability Management, Part One (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de la CTI pour permettre la gestion des vulnérabilité, et les dévoilementsNouvelles recherches sur les dernières menaces, tendances et recommandations.
Fireeye Mandiant Threat Intelligence a documenté plus de jours zéro exploités en 2019 que toutes les trois années précédentes.Bien que pas
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. FireEye Mandiant Threat Intelligence documented more zero-days exploited in 2019 than any of the previous three years. While not |
Vulnerability Threat | ★★★ | |
|
2020-03-25 07:00:00 | Ce n'est pas un test: APT41 lance une campagne d'intrusion mondiale en utilisant plusieurs exploits This Is Not a Test: APT41 Initiates Global Intrusion Campaign Using Multiple Exploits (lien direct) |
À partir de cette année, Fireeye a observé chinoisL'acteur APT41 Effectuer l'une des campagnes les plus larges d'un acteur de cyber-espionnage chinois que nous avons observé ces dernières années.Entre le 20 janvier et le 11 mars, Fireeye a observé apt41 Exploiter les vulnérabilités dans Citrix NetScaler / ADC , les routeurs Cisco, et Zoho ManageEngine Desktop Central dans plus de 75 clients Fireeye.Les pays que nous avons vus ciblés comprennent l'Australie, le Canada, le Danemark, la Finlande, la France, l'Inde, l'Italie, le Japon, la Malaisie, le Mexique, les Philippines, la Pologne, le Qatar, l'Arabie saoudite, Singapour, la Suède, la Suisse, les Émirats arabes unis, le Royaume-Uni et les États-Unis.Le suivant
Beginning this year, FireEye observed Chinese actor APT41 carry out one of the broadest campaigns by a Chinese cyber espionage actor we have observed in recent years. Between January 20 and March 11, FireEye observed APT41 attempt to exploit vulnerabilities in Citrix NetScaler/ADC, Cisco routers, and Zoho ManageEngine Desktop Central at over 75 FireEye customers. Countries we\'ve seen targeted include Australia, Canada, Denmark, Finland, France, India, Italy, Japan, Malaysia, Mexico, Philippines, Poland, Qatar, Saudi Arabia, Singapore, Sweden, Switzerland, UAE, UK and USA. The following |
Vulnerability | APT 41 APT 41 APT-C-17 | ★★★ |
|
2020-01-24 17:00:00 | Beau essai: 501 (ransomware) non implémenté Nice Try: 501 (Ransomware) Not Implemented (lien direct) |
une menace en constante évolution
Depuis le 10 janvier 2020, Fireeye a suivi une vaste exploitation globale de CVE-2019-19781, qui continue d'avoir un impact sur Citrix ADC et Gateway Instances qui sont non corrigées ou n'ont pas Mitigations appliquées .Nous avons précédemment rendu compte des attaquants \\ 'Swift Tuts d'exploiter cette vulnérabilité et le déploiement post-compromis de l'invisible Notrobin Makware Family par un acteur de menace.FireEye continue de suivre activement plusieurs grappes d'activité associées à l'exploitation de cette vulnérabilité, principalement basée sur la façon dont les attaquants interagissent avec vulnérable
An Ever-Evolving Threat Since January 10, 2020, FireEye has tracked extensive global exploitation of CVE-2019-19781, which continues to impact Citrix ADC and Gateway instances that are unpatched or do not have mitigations applied. We previously reported on attackers\' swift attempts to exploit this vulnerability and the post-compromise deployment of the previously unseen NOTROBIN malware family by one threat actor. FireEye continues to actively track multiple clusters of activity associated with exploitation of this vulnerability, primarily based on how attackers interact with vulnerable |
Malware Vulnerability Threat | ★★★★ | |
|
2020-01-15 15:00:00 | Vigilante Déploiement de l'atténuation pour la vulnérabilité Citrix NetScaler tout en maintenant la porte dérobée Vigilante Deploying Mitigation for Citrix NetScaler Vulnerability While Maintaining Backdoor (lien direct) |
comme indiqué dans Patch rust: je le promets que ce sera 200 ok , notre Fireeye mandiant L'équipe de réponse aux incidents a étéLe travail dur en répondant aux intrusions résultant de l'exploitation du CVE-2019-19781.Après avoir analysé des dizaines de tentatives d'exploitation réussies contre Citrix ADC qui n'avaient pas le Étapes d'atténuation Citrix Implémentées, nous avons reconnu plusieurs groupes d'activités post-exploitation.Dans ces derniers, quelque chose a attiré notre attention: un acteur de menace particulier qui a déployé une charge utile auparavant unie pour laquelle nous avons créé la famille de code Notrobin.
en ayant accès à un
As noted in Rough Patch: I Promise It\'ll Be 200 OK, our FireEye Mandiant Incident Response team has been hard at work responding to intrusions stemming from the exploitation of CVE-2019-19781. After analyzing dozens of successful exploitation attempts against Citrix ADCs that did not have the Citrix mitigation steps implemented, we\'ve recognized multiple groups of post-exploitation activity. Within these, something caught our eye: one particular threat actor that\'s been deploying a previously-unseen payload for which we\'ve created the code family NOTROBIN. Upon gaining access to a |
Vulnerability Threat | ★★★ | |
|
2020-01-14 11:10:33 | Patch rugueux: je le promets que ce sera 200 OK (Citrix ADC CVE-2019-19781) Rough Patch: I Promise It\\'ll Be 200 OK (Citrix ADC CVE-2019-19781) (lien direct) |
Le 17 décembre 2019, Citrix a publié un bulletin de sécurité CTX267027 , qui a identifié une vulnérabilité dans le contrôleur de livraison d'application Citrix (CTX (CONTRALLADC) et Citrix Gateway.Cette vulnérabilité, attribuée à CVE-2019-19781 , pourrait permettre un attaquant non authentifié pour effectuer un code à distance arbitraire à distance arbitraireExécution via la traversée du répertoire.Cette vulnérabilité a reçu un score de 9,8 et a été jugée critique.Le 8 janvier 2020, Tripwire a fourni une explication très détaillée du CVE que nous recommandons de lire.
Sur la base de ce contexte, de nombreux professionnels de la sécurité offensive ont décrit leur capacité à armer CVE-2019
On Dec. 17, 2019, Citrix released security bulletin CTX267027, which identified a vulnerability in Citrix Application Delivery Controller (ADC) and Citrix Gateway. This vulnerability, assigned CVE-2019-19781, could allow an unauthenticated attacker to perform arbitrary remote code execution via directory traversal. This vulnerability received a score of 9.8 and was deemed Critical. On Jan. 8, 2020, Tripwire provided a very detailed explanation of the CVE that we recommend reading. Based on this background, many offensive security professionals described their ability to weaponize CVE-2019 |
Vulnerability | ★★★★ | |
|
2019-11-25 20:00:00 | Fidl: Bibliothèque de décompilation Ida de Flare \\ FIDL: FLARE\\'s IDA Decompiler Library (lien direct) |
IDA Pro et les décompiler des rayons hexadécimaux font la base de toute boîte à outils pour la recherche en ingénierie inverse et en vulnérabilité.Dans un article de blog précédent, nous avons expliqué comment l'API des rayons hexadécimaux peut être utilisé pour résoudre de petits problèmes bien définis couramment considérés comme faisant partie de l'analyse des logiciels malveillants.Avoir accès à une représentation de code binaire de niveau supérieur fait du décompilateur des rayons hexagonaux un outil puissant pour l'ingénierie inverse.Cependant, l'interaction avec l'API Hexrays et ses sources de données sous-jacentes peut être intimidante, ce qui rend la création de scripts d'analyse générique difficile ou fastidieux.
Ce billet de blog présente le Fla
IDA Pro and the Hex Rays decompiler are a core part of any toolkit for reverse engineering and vulnerability research. In a previous blog post we discussed how the Hex-Rays API can be used to solve small, well-defined problems commonly seen as part of malware analysis. Having access to a higher-level representation of binary code makes the Hex-Rays decompiler a powerful tool for reverse engineering. However, interacting with the HexRays API and its underlying data sources can be daunting, making the creation of generic analysis scripts difficult or tedious. This blog post introduces the FLA |
Malware Tool Vulnerability | ★★★ | |
|
2019-08-13 11:45:00 | Affichage de la vulnérabilité à une machine: priorisation automatisée des vulnérabilités logicielles Showing Vulnerability to a Machine: Automated Prioritization of Software Vulnerabilities (lien direct) |
Introduction
Si une vulnérabilité logicielle peut être détectée et corrigée, une intrusion potentielle est empêchée.Bien que toutes les vulnérabilités des logiciels ne soient pas connues, 86 pour cent des vulnérabilités menant à une violation de données ont été réparables , bien qu'il y ait S o m FIX-IOS-9-3-INSTALLATION-ÉSUES-FOR-ENVER-DIVICES / "> E Risque de dommages par inadvertance lors de l'application de correctifs logiciels.Lorsque de nouvelles vulnérabilités sont identifiées, ils sont publiés dans le dictionnaire commun des vulnérabilités et des expositions (CVE) par bases de données de vulnérabilité , comme la base de données nationale de vulnérabilité (NVD).
Le système de notation des vulnérabilités communes (CVSS) fournit une métrique pour
Introduction If a software vulnerability can be detected and remedied, then a potential intrusion is prevented. While not all software vulnerabilities are known, 86 percent of vulnerabilities leading to a data breach were patchable, though there is some risk of inadvertent damage when applying software patches. When new vulnerabilities are identified they are published in the Common Vulnerabilities and Exposures (CVE) dictionary by vulnerability databases, such as the National Vulnerability Database (NVD). The Common Vulnerabilities Scoring System (CVSS) provides a metric for |
Data Breach Vulnerability | ★★★ | |
|
2019-03-26 10:30:00 | Winrar Zero-Day a abusé dans plusieurs campagnes WinRAR Zero-day Abused in Multiple Campaigns (lien direct) |
Winrar, un utilitaire d'archives de fichiers de plus de 20 ans utilisé par trop 500 millions d'utilisateurs Worldwide, récemmenta reconnu une vulnérabilité de longue date dans sa base de code.Une vulnérabilité de parcours de traversée de passes zéro récemment publiée, divulguée dans CVE-2018-20250 par Vérifier la recherche sur les points , permet aux attaquants de spécifier des destinations arbitraires lors de l'extraction de fichiers de fichiers formatés \\ 'ace \', quelle que soit la saisie de l'utilisateur.Les attaquants peuvent facilement atteindre la persistance et l'exécution de code en créant des archives malveillantes qui extraient les fichiers vers des emplacements sensibles, comme le dossier de menu de démarrage de Windows «Startup».Tandis que cela
WinRAR, an over 20-year-old file archival utility used by over 500 million users worldwide, recently acknowledged a long-standing vulnerability in its code-base. A recently published path traversal zero-day vulnerability, disclosed in CVE-2018-20250 by Check Point Research, enables attackers to specify arbitrary destinations during file extraction of \'ACE\' formatted files, regardless of user input. Attackers can easily achieve persistence and code execution by creating malicious archives that extract files to sensitive locations, like the Windows “Startup” Start Menu folder. While this |
Vulnerability | ★★★★ | |
|
2018-05-04 10:00:00 | Roomer un Logitech Harmony Hub: Amélioration de la sécurité dans le monde ioT de aujourd'hui \\ Rooting a Logitech Harmony Hub: Improving Security in Today\\'s IoT World (lien direct) |
Introduction
L'équipe rouge de Fireeye \\ de Fireeye \\ a récemment découvert des vulnérabilités présentes sur l'appareil Logitech Harmony Hub Internet of Things (IoT) qui pourrait potentiellement être exploité, ce qui entraîne un accès racine à l'appareil via SSH.Le Harmony Hub est un système de contrôle domestique conçu pour se connecter et contrôler une variété d'appareils dans la maison de l'utilisateur \\.L'exploitation de ces vulnérabilités à partir du réseau local pourrait permettre à un attaquant de contrôler les appareils liés au concentrateur et d'utiliser le concentrateur comme espace d'exécution pour attaquer d'autres appareils sur le réseau local.Comme la liste des périphériques Harmony Hub
Introduction FireEye\'s Mandiant Red Team recently discovered vulnerabilities present on the Logitech Harmony Hub Internet of Things (IoT) device that could potentially be exploited, resulting in root access to the device via SSH. The Harmony Hub is a home control system designed to connect to and control a variety of devices in the user\'s home. Exploitation of these vulnerabilities from the local network could allow an attacker to control the devices linked to the Hub as well as use the Hub as an execution space to attack other devices on the local network. As the Harmony Hub device list |
Vulnerability | ★★★★ | |
|
2018-02-20 13:30:00 | APT37 (Reaper): l'acteur nord-coréen négligé APT37 (Reaper): The Overlooked North Korean Actor (lien direct) |
Le 2 février 2018, nous avons publié un Blog détaillant l'utilisation d'une vulnérabilité Adobe Flash Zero-Day (CVE-2018-4878) par un groupe de cyber-espionnage nord-coréen présumé que nous suivons maintenant comme APT37 (Reaper).
Notre analyse de l'activité récente d'APT37 \\ révèle que les opérations du groupe \\ se développent en portée et en sophistication, avec un ensemble d'outils qui comprend l'accès aux vulnérabilités zéro-jour et aux logiciels malveillants d'essuie-glace.Nous évaluons avec une grande confiance que cette activité est réalisée au nom du gouvernement nord-coréen compte tenu des artefacts de développement de logiciels malveillants et ciblant qui s'aligne sur l'État nord-coréen
On Feb. 2, 2018, we published a blog detailing the use of an Adobe Flash zero-day vulnerability (CVE-2018-4878) by a suspected North Korean cyber espionage group that we now track as APT37 (Reaper). Our analysis of APT37\'s recent activity reveals that the group\'s operations are expanding in scope and sophistication, with a toolset that includes access to zero-day vulnerabilities and wiper malware. We assess with high confidence that this activity is carried out on behalf of the North Korean government given malware development artifacts and targeting that aligns with North Korean state |
Malware Vulnerability | APT 37 APT 37 | ★★★★ |
|
2018-02-15 16:30:00 | CVE-2017-10271 Utilisé pour livrer des cryptomineurs: un aperçu des techniques utilisées après l'exploitation et la pré-mine CVE-2017-10271 Used to Deliver CryptoMiners: An Overview of Techniques Used Post-Exploitation and Pre-Mining (lien direct) |
Introduction
Les chercheurs de Fireeye ont récemment observé des acteurs de menace abusant CVE-2017-10271 pour livrer divers mineurs de crypto-monnaie.
CVE-2017-10271 est une vulnérabilité de validation d'entrée connue qui existe dans le Service de sécurité WebLogic Server (WLS Security) dans Oracle Weblogic Server Versions 12.2.1.2.0 et avant, et les attaquants peuvent l'exploiter pour exécuter à distance le code arbitraire.Oracle a publié un mise à jour critique du patch qui aurait fixé cette vulnérabilité.Les utilisateurs qui n'ont pas corrigé leurs systèmes peuvent se retrouver à miner la crypto-monnaie pour les acteurs de la menace.
Fireeye a observé un volume élevé
Introduction FireEye researchers recently observed threat actors abusing CVE-2017-10271 to deliver various cryptocurrency miners. CVE-2017-10271 is a known input validation vulnerability that exists in the WebLogic Server Security Service (WLS Security) in Oracle WebLogic Server versions 12.2.1.2.0 and prior, and attackers can exploit it to remotely execute arbitrary code. Oracle released a Critical Patch Update that reportedly fixes this vulnerability. Users who failed to patch their systems may find themselves mining cryptocurrency for threat actors. FireEye observed a high volume |
Vulnerability Threat | ★★★★ | |
|
2018-02-03 13:01:01 | Attaques tirant parti d'Adobe Zero-Day (CVE-2018-4878) & # 8211;Attribution de la menace, scénario d'attaque et recommandations Attacks Leveraging Adobe Zero-Day (CVE-2018-4878) – Threat Attribution, Attack Scenario and Recommendations (lien direct) |
Le 31 janvier, Kisa (Krcert) a publié un consultatif sur un jour zéro Adobe FlashLa vulnérabilité (CVE-2018-4878) est exploitée dans la nature.Le 1er février, Adobe a publié un avis confirmant le La vulnérabilité existe dans Adobe Flash Player 28.0.0.137et plus tôt , et cette exploitation réussie pourrait potentiellement permettre à un attaquant de prendre le contrôle du système affecté.
Fireeye a commencé à étudier la vulnérabilité après la publication du conseil initial de Kisa.
Attribution de la menace
Nous évaluons que les acteurs employant ce dernier Flash Zero-Day sont un présumé nord-coréen
On Jan. 31, KISA (KrCERT) published an advisory about an Adobe Flash zero-day vulnerability (CVE-2018-4878) being exploited in the wild. On Feb. 1, Adobe issued an advisory confirming the vulnerability exists in Adobe Flash Player 28.0.0.137 and earlier versions, and that successful exploitation could potentially allow an attacker to take control of the affected system. FireEye began investigating the vulnerability following the release of the initial advisory from KISA. Threat Attribution We assess that the actors employing this latest Flash zero-day are a suspected North Korean |
Vulnerability Threat | ★★★ | |
|
2017-12-07 17:00:00 | Nouvelle attaque ciblée au Moyen-Orient par APT34, un groupe de menaces iranien présumé, en utilisant le CVE-2017-11882 Exploiter New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit (lien direct) |
Moins d'une semaine après que Microsoft a publié un correctif pour CVE-2017-11882 Le 14 novembre 2017, Fireeye a observé un attaquant utilisant un exploit pour la vulnérabilité de Microsoft Office pour cibler une organisation gouvernementale au Moyen-Orient.Nous évaluons que cette activité a été réalisée par un groupe de menaces de cyber-espionnage iranien présumé, que nous appelons APT34, en utilisant une porte dérobée PowerShell personnalisée pour atteindre ses objectifs.
Nous pensons que l'APT34 est impliqué dans une opération de cyber-espionnage à long terme largement axé sur les efforts de reconnaissance au profit des intérêts iraniens de l'État-nation et est opérationnel depuis
Less than a week after Microsoft issued a patch for CVE-2017-11882 on Nov. 14, 2017, FireEye observed an attacker using an exploit for the Microsoft Office vulnerability to target a government organization in the Middle East. We assess this activity was carried out by a suspected Iranian cyber espionage threat group, whom we refer to as APT34, using a custom PowerShell backdoor to achieve its objectives. We believe APT34 is involved in a long-term cyber espionage operation largely focused on reconnaissance efforts to benefit Iranian nation-state interests and has been operational since at |
Vulnerability Threat | APT 34 APT 34 | ★★★★ |
|
2017-09-12 12:00:00 | Fireeye découvre le CVE-2017-8759: Zero-Day utilisé dans la nature pour distribuer Finspy FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY (lien direct) |
Fireeye a récemment détecté un document RTF Microsoft Office malveillant qui a exploité CVE-2017-8759 , un savon wsdl Vulnérabilité d'injection de code d'analyseur.Cette vulnérabilité permet à un acteur malveillant d'injecter du code arbitraire pendant l'analyse du contenu de définition WSDL du savon. mandiant a analysé un document Word Microsoft où les attaquants ont utilisé l'injection de code arbitraire pour télécharger et exécuter un script de base visuel qui contenait des commandes PowerShell.
Fireeye a partagé les détails de la vulnérabilité avec Microsoft et a coordonné la divulgation publique chronométrée avec la publication d'un correctif pour aborder
FireEye recently detected a malicious Microsoft Office RTF document that leveraged CVE-2017-8759, a SOAP WSDL parser code injection vulnerability. This vulnerability allows a malicious actor to inject arbitrary code during the parsing of SOAP WSDL definition contents. Mandiant analyzed a Microsoft Word document where attackers used the arbitrary code injection to download and execute a Visual Basic script that contained PowerShell commands. FireEye shared the details of the vulnerability with Microsoft and has been coordinating public disclosure timed with the release of a patch to address |
Vulnerability | ★★★★ | |
|
2017-06-29 09:00:00 | Retour cette application: Gagner racine sur l'ambiance Lenovo Back That App Up: Gaining Root on the Lenovo Vibe (lien direct) |
En mai 2016, l'équipe rouge de Mandiant \\ a découvert une série de vulnérabilités présentes sur l'appareil mobile Android Android de Lenovo \\ qui permet une escalade locale de privilèges à l'utilisateur «racine».Mandiant a révélé ces vulnérabilités à Lenovo en mai 2016. Lenovo a conseillé à Mandiant qu'il devrait travailler avec Motorola, qu'elle avait acquis et était maintenant responsable du portefeuille de produits mobiles de Lenovo \\.Mandiant a ensuite révélé les vulnérabilités à Motorola pour la correction.Les vulnérabilités découvertes par l'équipe rouge de Mandiant \\ étaient les suivantes:
Les sauvegardes locales activées dans Lenovo "Security" Application
In May of 2016, Mandiant\'s Red Team discovered a series of vulnerabilities present on Lenovo\'s Vibe P1 Android-based mobile device that allow local privilege escalation to the user “root”. Mandiant disclosed these vulnerabilities to Lenovo in May of 2016. Lenovo advised Mandiant that it should work with Motorola, who it had acquired and was now responsible for Lenovo\'s mobile product portfolio. Mandiant then disclosed the vulnerabilities to Motorola for correction. The vulnerabilities discovered by Mandiant\'s Red Team were as follows: Local backups enabled in Lenovo “Security” application |
Vulnerability | ★★★ | |
|
2017-06-06 17:30:00 | Privilèges et références: phisés à la demande de conseil Privileges and Credentials: Phished at the Request of Counsel (lien direct) |
Résumé
En mai et juin 2017, Fireeye a observé une campagne de phishing ciblant au moins sept sociétés mondiales de droit et d'investissement.Nous avons associé cette campagne à APT19, un groupe que nous évaluons est composé de pigistes, avec un certain degré de parrainage par le gouvernement chinois.
APT19 a utilisé trois techniques différentes pour tenter de compromettre les cibles.Début mai, les leurres de phishing ont exploité les pièces jointes RTF qui ont exploité la vulnérabilité Microsoft Windows décrite dans CVE 2017-0199.Vers la fin de mai, APT19 est passé à l'utilisation de documents Microsoft Excel (XLSM) compatibles avec macro.Dans le
Summary In May and June 2017, FireEye observed a phishing campaign targeting at least seven global law and investment firms. We have associated this campaign with APT19, a group that we assess is composed of freelancers, with some degree of sponsorship by the Chinese government. APT19 used three different techniques to attempt to compromise targets. In early May, the phishing lures leveraged RTF attachments that exploited the Microsoft Windows vulnerability described in CVE 2017-0199. Toward the end of May, APT19 switched to using macro-enabled Microsoft Excel (XLSM) documents. In the |
Vulnerability | APT 19 | ★★★★ |
|
2017-06-02 08:00:00 | Les acteurs de la menace tirent parti de l'exploit éternel pour livrer des charges utiles non de la wannacry Threat actors leverage EternalBlue exploit to deliver non-WannaCry payloads (lien direct) |
L'exploit «eternalblue» ( MS017-010 ) a d'abord été utilisépar Wannacry Ransomware et Adylkuzz Cryptocurrency Miner.Maintenant, plus d'acteurs de menaces tirent parti de la vulnérabilité à MicrosoftProtocole de bloc de messages du serveur (SMB) & # 8211;Cette fois pour distribuer Backdoor.Nitol et Trojan Gh0st Rat.
Fireeye Dynamic Threat Intelligence (DTI) a historiquement observé des charges utiles similaires livrées via l'exploitation de la vulnérabilité CVE-2014-6332 ainsi que dans certaines campagnes de spam par e-mail en utilisant Commandes de versions .Plus précisément, Backdoor.Nitol a également été lié à des campagnes impliquant une exécution de code distante
The “EternalBlue” exploit (MS017-010) was initially used by WannaCry ransomware and Adylkuzz cryptocurrency miner. Now more threat actors are leveraging the vulnerability in Microsoft Server Message Block (SMB) protocol – this time to distribute Backdoor.Nitol and Trojan Gh0st RAT. FireEye Dynamic Threat Intelligence (DTI) has historically observed similar payloads delivered via exploitation of CVE-2014-6332 vulnerability as well as in some email spam campaigns using powershell commands. Specifically, Backdoor.Nitol has also been linked to campaigns involving a remote code execution |
Ransomware Spam Vulnerability Threat | Wannacry | ★★★★ |
|
2017-05-26 10:00:00 | SMB exploité: utilisation de Wannacry de "Eternalblue" SMB Exploited: WannaCry Use of "EternalBlue" (lien direct) |
Server Message Block (SMB) est le protocole de transport utilisé par les machines Windows à une grande variété de fins telles que le partage de fichiers, le partage d'imprimantes et l'accès aux services Windows distants.SMB fonctionne sur les ports TCP 139 et 445. En avril 2017, Shadow Brokers a publié une vulnérabilité SMB nommée "EternalBlue", qui faisait partie du Microsoft Security Bulletin MS17-010 .
le récent wannacry ransomware profite de cette vulnérabilité pour compromettre les machines Windows, charger les logiciels malveillants et propageraux autres machines d'un réseau.L'attaque utilise les version 1 SMB et le port TCP 445 pour se propager.
con
Server Message Block (SMB) is the transport protocol used by Windows machines for a wide variety of purposes such as file sharing, printer sharing, and access to remote Windows services. SMB operates over TCP ports 139 and 445. In April 2017, Shadow Brokers released an SMB vulnerability named “EternalBlue,” which was part of the Microsoft security bulletin MS17-010. The recent WannaCry ransomware takes advantage of this vulnerability to compromise Windows machines, load malware, and propagate to other machines in a network. The attack uses SMB version 1 and TCP port 445 to propagate. Con |
Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-23 12:30:00 | Profil de logiciel malveillant Wannacry WannaCry Malware Profile (lien direct) |
MALWARE WANNACRY (également connu sous le nom de WCRY ou WANACRYPTOR) est un ransomware d'auto-propagation (semblable à des vers) qui se propage dans les réseaux internes et sur Internet public en exploitant une vulnérabilité dans le bloc de messages du serveur de Microsoft \\ (SMB)Protocole, MS17-010.Le wannacry se compose de deux composants distincts, unqui fournit des fonctionnalités de ransomware et un composant utilisé pour la propagation, qui contient des fonctionnalités pour permettre les capacités d'exploitation des SMB.
Le malware exploite un exploit, nommé «EternalBlue», publié par les Shadow Brokers le 14 avril 2017.
le
WannaCry (also known as WCry or WanaCryptor) malware is a self-propagating (worm-like) ransomware that spreads through internal networks and over the public internet by exploiting a vulnerability in Microsoft\'s Server Message Block (SMB) protocol, MS17-010. The WannaCry malware consists of two distinct components, one that provides ransomware functionality and a component used for propagation, which contains functionality to enable SMB exploitation capabilities. The malware leverages an exploit, codenamed “EternalBlue”, that was released by the Shadow Brokers on April 14, 2017. The |
Ransomware Malware Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-09 12:00:00 | EPS Traitement des jours zéro exploités par plusieurs acteurs de menace EPS Processing Zero-Days Exploited by Multiple Threat Actors (lien direct) |
En 2015, FireEye a publié des détails sur deux attaques exploitant les vulnérabilités dans PostScript encapsulé (EPS) de Microsoft Office.L'un était un zéro-day Et l'un était Patched des semaines avant le lancement de l'attaque.
Récemment, Fireeye a identifié trois nouvelles vulnérabilités de zéro-jours dans les produits Microsoft Office qui sont exploités dans la nature.
Fin mars 2017, nous avons détecté un autre document malveillant tirant parti d'une vulnérabilité inconnue dans l'EPS et un récemment Potted Vulnérabilité dans Windows Graphics Device Interface (GDI) pour supprimer les logiciels malveillants.Après le patch d'avril 2017 mardi, dans lequel
In 2015, FireEye published details about two attacks exploiting vulnerabilities in Encapsulated PostScript (EPS) of Microsoft Office. One was a zero-day and one was patched weeks before the attack launched. Recently, FireEye identified three new zero-day vulnerabilities in Microsoft Office products that are being exploited in the wild. At the end of March 2017, we detected another malicious document leveraging an unknown vulnerability in EPS and a recently patched vulnerability in Windows Graphics Device Interface (GDI) to drop malware. Following the April 2017 Patch Tuesday, in which |
Vulnerability Threat Technical | ★★★★ | |
|
2017-04-12 08:01:01 | CVE-2017-0199 Utilisé comme un jour zéro pour distribuer des logiciels malveillants d'espionnage Finspy et les logiciels malveillants de la cyber-crime latententbot CVE-2017-0199 Used as Zero Day to Distribute FINSPY Espionage Malware and LATENTBOT Cyber Crime Malware (lien direct) |
Fireeye a récemment identifié une vulnérabilité & # 8211;CVE-2017-0199 & # 8211;Cela permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document Microsoft Office RTF contenant un exploit intégré.Nous avons travaillé avec Microsoft et Dès qu'un patch a été mis à disposition.
Dans ce post de suivi, nous discutons de certaines des campagnes que nous avons observées en tirant parti du CVE-2017-0199 zéro-jour à l'époque, des semaines et des mois précédant la publication du patch.
CVE-2017-0199 Utilisé par plusieurs acteurs
fir
FireEye recently identified a vulnerability – CVE-2017-0199 – that allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a Microsoft Office RTF document containing an embedded exploit. We worked with Microsoft and published the technical details of this vulnerability as soon as a patch was made available. In this follow-up post, we discuss some of the campaigns we observed leveraging the CVE-2017-0199 zero-day in the days, weeks and months leading up to the patch being released. CVE-2017-0199 Used by Multiple Actors Fir |
Malware Vulnerability | ★★★★ | |
|
2017-04-11 12:30:00 | CVE-2017-0199: Dans les attaques sauvages, tirant parti du gestionnaire HTA CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler (lien direct) |
Fireeye a récemment détecté des documents malveillants Microsoft Office RTF qui tirent parti de CVE-2017-0199, une vulnérabilité auparavant non divulguée.Cette vulnérabilité permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document contenant un exploit intégré.FireEye a observé des documents de bureau exploitant le CVE-2017-0199 qui téléchargent et exécutent des charges utiles de logiciels malveillants de différentes familles de logiciels malveillants bien connus.
Fireeye a partagé les détails de la vulnérabilité avec Microsoft et a coordonné la divulgation publique chronométrée avec la version
FireEye recently detected malicious Microsoft Office RTF documents that leverage CVE-2017-0199, a previously undisclosed vulnerability. This vulnerability allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a document containing an embedded exploit. FireEye has observed Office documents exploiting CVE-2017-0199 that download and execute malware payloads from different well-known malware families. FireEye shared the details of the vulnerability with Microsoft and has been coordinating public disclosure timed with the release |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-20 13:59:00 | Comment les logiciels malveillants RTF échappe à la détection basée sur la signature statique How RTF malware evades static signature-based detection (lien direct) |
Histoire
Rich Text Format (RTF) est un format de document développé par Microsoft qui a été largement utilisé sur diverses plates-formes depuis plus de 29 ans.Le format RTF est très flexible et donc compliqué.Cela rend le développement d'un analyseur RTF sûr difficile.Certaines vulnérabilités notoires telles que cve-2010-3333 et CVE-2014-1761 ont été causés par des erreurs dansImplémentation de la logique de l'analyse RTF.
En fait, les logiciels malveillants RTF ne se limitent pas à l'exploitation des vulnérabilités d'analyse RTF.Les fichiers RTF malveillants peuventInclure d'autres vulnérabilités sans rapport avec l'analyseur RTF car RTF prend en charge l'incorporation de
History Rich Text Format (RTF) is a document format developed by Microsoft that has been widely used on various platforms for more than 29 years. The RTF format is very flexible and therefore complicated. This makes the development of a safe RTF parsers challenging. Some notorious vulnerabilities such as CVE-2010-3333 and CVE-2014-1761 were caused by errors in implementing RTF parsing logic. In fact, RTF malware is not limited to exploiting RTF parsing vulnerabilities. Malicious RTF files can include other vulnerabilities unrelated to the RTF parser because RTF supports the embedding of |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-05 09:00:00 | Exploiter CVE-2016-2060 sur les appareils Qualcomm Exploiting CVE-2016-2060 on Qualcomm Devices (lien direct) |
L'équipe rouge de Mandiant \\ a récemment découvert une vulnérabilité répandue affectant les appareils Android qui permet une escalade locale de privilège à la «radio» de l'utilisateur intégré, ce qui en fait un attaquant peut potentiellement effectuer des activités telles que la visualisation de la victime \\ 'S Base de données SMS et Historique du téléphone.La vulnérabilité existe dans un progiciel maintenu par Qualcomm qui est disponible auprès du Code Aurora Forum.Il est publié sous le nom de CVE-2016-2060 et SECURITY Advisory QCIR-2016-00001-1 sur le Forum Code Aurora.Nous avons fourni des détails généraux dans une FAQ, et une analyse technique de la vulnérabilité suit.
Mandiant\'s Red Team recently discovered a widespread vulnerability affecting Android devices that permits local privilege escalation to the built-in user “radio”, making it so an attacker can potentially perform activities such as viewing the victim\'s SMS database and phone history. The vulnerability exists in a software package maintained by Qualcomm that is available from the Code Aurora Forum. It is published as CVE-2016-2060 and security advisory QCIR-2016-00001-1 on the Code Aurora Forum. We have provided general details in an FAQ, and a technical analysis of the vulnerability follows. |
Vulnerability | ★★★ | |
|
2015-12-16 13:01:01 | L'EPS se réveille The EPS Awakens (lien direct) |
Le 8 septembre, Fireeye Détails publiés sur une attaque exploitant zéro jourVulnérabilités à Microsoft Office ( CVE-2015-2545 ) et Windows (Windows ( CVE-2015-2546 ).L'attaque a été particulièrement notable car elle a exploité le post-scriptum pour conduire la corruption de la mémoire d'une manière qui n'avait jamais été vue auparavant.L'exploit a utilisé des stratégies similaires à celles des exploits de navigateur dans des langages communs tels que JavaScript et Flash, mais PostScript a servi de vecteur d'attaque négligé qui est puissant et pratique en fonction.
Après la publication du patch pour CVE-2015-2545, Fireeye a informé Microsoft d'un moyen de contourner
On September 8, FireEye published details about an attack exploiting zero day vulnerabilities in Microsoft Office (CVE-2015-2545) and Windows (CVE-2015-2546). The attack was particularly notable because it leveraged PostScript to drive memory corruption in a way that had never been seen before. The exploit used similar strategies as browser exploits in common languages such as JavaScript and Flash, but PostScript served as an overlooked attack vector that is powerful and convenient in Office. Following the release of the patch for CVE-2015-2545, FireEye notified Microsoft of a way to bypass |
Vulnerability | ★★★ | |
|
2015-07-13 08:31:00 | Démontrant Hustle, les groupes de l'APT chinois utilisent rapidement une vulnérabilité zéro-jour (CVE-2015-5119) après une fuite d'équipe de piratage Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak (lien direct) |
Le Fireeye en tant qu'équipe de service a détecté des campagnes de phishing indépendantes menées par deux groupes de menace persistante avancés chinois (APT) que nous suivons, APT3 et APT18.Chaque groupe de menaces a rapidement profité d'une vulnérabilité zéro-jour (CVE-2015-5119), qui a été divulguée dans la divulgation des données internes de l'équipe de piratage.Adobe a publié un patch pour la vulnérabilité le 8 juillet 2015. Avant ce patcha été publié, les groupes ont lancé des campagnes de phishing contre plusieurs sociétés de l'aérospatiale et de la défense, de la construction et de l'ingénierie, de l'éducation, de l'énergie
The FireEye as a Service team detected independent phishing campaigns conducted by two Chinese advanced persistent threat (APT) groups that we track, APT3 and APT18. Each threat group quickly took advantage of a zero-day vulnerability (CVE-2015-5119), which was leaked in the disclosure of Hacking Team\'s internal data. Adobe released a patch for the vulnerability on July 8, 2015. Before that patch was released, the groups launched phishing campaigns against multiple companies in the aerospace and defense, construction and engineering, education, energy |
Vulnerability Threat | APT 18 APT 3 | ★★★★ |
|
2015-06-23 11:21:00 | Opération Clandestine Wolf & # 8211;Adobe Flash Zero-Day dans APT3 PHISHISHing Campagne Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign (lien direct) |
En juin, Fireeye \'s Fireeye en tant que service Campagne de phishing exploitant une vulnérabilité Adobe Flash Player Zero-Day (CVE-2015-3113).Les e-mails des attaquants comprenaient des liens vers des serveurs Web compromis qui ont servi de contenu bénin ou d'un fichier de lecteur flash malveillant malveillant qui exploite CVE-2015-3113.
Adobe a déjà publié un correctif pour CVE-2015-3113 avec un bulletin de sécurité hors bande ( https://helpx.adobe.com/security/products/flash-player/apsb15-14.html ).FireEye recommande aux utilisateurs d'Adobe Flash Player à mettre à jour la dernière version dès que possible.
Fire
In June, FireEye\'s FireEye as a Service team in Singapore uncovered a phishing campaign exploiting an Adobe Flash Player zero-day vulnerability (CVE-2015-3113). The attackers\' emails included links to compromised web servers that served either benign content or a malicious Adobe Flash Player file that exploits CVE-2015-3113. Adobe has already released a patch for CVE-2015-3113 with an out-of-band security bulletin (https://helpx.adobe.com/security/products/flash-player/apsb15-14.html). FireEye recommends that Adobe Flash Player users update to the latest version as soon as possible. Fire |
Vulnerability | APT 3 APT 3 | ★★★★ |
|
2015-04-18 11:10:00 | Opération Russiandoll: Adobe & Windows Exploits zéro-day Probablement exploités par APT28 de Russie dans une attaque très ciblée Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia\\'s APT28 in Highly-Targeted Attack (lien direct) |
Fireeye Labs a récemment détecté une campagne APT limitée exploitant les vulnérabilités zéro-jours dans Adobe Flash et une toute nouvelle à Microsoft Windows.En utilisant le Dynamic Keen Intelligence Cloud (DTI) , les chercheurs de Fireeye ont détecté un modèle d'attaques commençant le 13 avril Th , 2015. Adobe a indépendamment corrigé la vulnérabilité (CVE-2015-3043) dans APSB15-06 .Grâce à la corrélation des indicateurs techniques et des infrastructures de commandement et de contrôle, FireEye évalue que l'APT28 est probablement responsable de cette activité.
Microsoft est conscient de la vulnérabilité d'escalade locale exceptionnelle dans Windows
FireEye Labs recently detected a limited APT campaign exploiting zero-day vulnerabilities in Adobe Flash and a brand-new one in Microsoft Windows. Using the Dynamic Threat Intelligence Cloud (DTI), FireEye researchers detected a pattern of attacks beginning on April 13th, 2015. Adobe independently patched the vulnerability (CVE-2015-3043) in APSB15-06. Through correlation of technical indicators and command and control infrastructure, FireEye assess that APT28 is probably responsible for this activity. Microsoft is aware of the outstanding local privilege escalation vulnerability in Windows |
Vulnerability Threat Cloud | APT 28 APT 28 | ★★★★ |
|
2015-04-01 15:17:27 | Microsoft Word Intruder (MWI): un nouveau kit d'exploitation de documents Word Microsoft Word Intruder (MWI): A New Word Document Exploit Kit (lien direct) |
Les outils utilisés pour créer des documents malveillants qui exploitent les vulnérabilités dans Microsoft Word sont désormais annoncés dans des forums underground et un nouvel outil a émergé qui offre la possibilité de suivre l'efficacité des campagnes.Le constructeur, Microsoft Word Intruder (MWI), est annoncé comme un outil «APT» à utiliser dans les attaques ciblées.Il s'accompagne d'un ensemble de statistiques appelé «Mwistat» qui permet aux opérateurs de suivre diverses campagnes.
Selon l'auteur, l'utilisation de MWI en collaboration avec le spam est interdite, et ceux qui ignorent ce risque pour que leur permis soit révoquée.Dans
The tools used to create malicious documents that exploit vulnerabilities in Microsoft Word are now being advertised in underground forums and one new tool has emerged that provides the ability to track the effectiveness of campaigns. The builder, Microsoft Word Intruder (MWI), is advertised as an “APT” tool to be used in targeted attacks. It is accompanied by a statistics package known as “MWISTAT” that allows operators to track various campaigns. According to the author, the use of MWI in conjunction with spam is forbidden, and those who ignore this risk having their license revoked. In |
Spam Tool Vulnerability Technical | ★★★★ | |
|
2014-11-21 19:36:00 | Opération Double Tap Operation Double Tap (lien direct) |
apt3 (également connu sous le nom d'UPS), les acteurs responsables de Operation Clandestine Fox a tranquillement continué à envoyer des vagues de messages de spearphish au cours des derniersmois.Cet acteur a lancé sa dernière campagne le 19 novembre 2014 ciblant plusieurs organisations.L'attaquant a exploité plusieurs exploits, ciblant les deux CVE-2014-6332 et CVE-2014-4113 .Le CVE-2014-6332 a été divulgué publiquement le 2014-2011-11 et est une vulnérabilité d'exécution de code à distance de tableau d'automatisation Windows Ole.CVE-2014-4113 est une vulnérabilité d'escalade privilégiée qui était divulgué publiquement le 2014-10-14 .
l'utilisation de cve
APT3 (also known as UPS), the actors responsible for Operation Clandestine Fox has quietly continued to send waves of spearphishing messages over the past few months. This actor initiated their most recent campaign on November 19, 2014 targeting multiple organizations. The attacker leveraged multiple exploits, targeting both CVE-2014-6332 and CVE-2014-4113. CVE-2014-6332 was disclosed publicly on 2014-11-11 and is a Windows OLE Automation Array Remote Code Execution vulnerability. CVE-2014-4113 is a privilege escalation vulnerability that was disclosed publicly on 2014-10-14. The use of CVE |
Vulnerability Technical | APT 3 APT 3 | ★★★★ |
|
2014-04-18 14:07:27 | Les attaquants exploitent la vulnérabilité d'OpenSSL Heartbleed pour contourner l'authentification multi-facteurs sur les VPN Attackers Exploit the Heartbleed OpenSSL Vulnerability to Circumvent Multi-factor Authentication on VPNs (lien direct) |
Moins d'une semaine depuis la divulgation publique de la vulnérabilité "Heartbleed", les répondeurs incidents mandiants ont déjà identifié des attaques réussies dans la nature par des acteurs ciblés de menace.La vulnérabilité Heartbleed (CVE-2014-0160), divulguée publiquement le 7 avril par des chercheurs de sécurité Neel Mehta et Codenocon est un bug de buffer sur-lecture dans l'extension de la sécurité de la couche de transport (TLS).Le bogue était présent dans une section de code responsable de la fourniture de notifications de "battement de cœur" entre un client et un serveur.Une preuve de concept de travail de l'exploit est apparue sur Internet la semaine dernière que
Less than a week since the public disclosure of the "Heartbleed" vulnerability, Mandiant incident responders have already identified successful attacks in the wild by targeted threat actors. The Heartbleed vulnerability (CVE-2014-0160), publicly disclosed on April 7th by security researchers Neel Mehta and Codenomicon is a buffer over-read bug in the Transport Layer Security (TLS) extension. The bug was present in a section of code responsible for providing "Heartbeat" notifications between a client and server. A working proof of concept of the exploit appeared on the Internet last week that |
Vulnerability Threat | ★★★★ |
To see everything:
Our RSS (filtrered)
