What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-05 13:15:43 | Podcast Spotlight: OT est attaqué.Maintenant quoi? Spotlight Podcast: OT Is Under Attack. Now What? (lien direct) |
Chris Walcutt, le CSO de DirectDefense parle du paysage des menaces en évolution rapide que les propriétaires d'infrastructures critiques et les opérateurs habitent, et comment les entreprises avertis gèrent les cyber-risques OT.
Chris Walcutt, the CSO at DirectDefense talks about the rapidly changing threat landscape that critical infrastructure owners and operators inhabit, and how savvy firms are managing OT cyber risks. |
Threat Industrial | ★★ | |
 |
2024-06-05 11:52:00 | Les comptes de célébrités Tiktok compromis en utilisant des attaques zéro-clic via DMS Celebrity TikTok Accounts Compromised Using Zero-Click Attack via DMs (lien direct) |
La plate-forme de partage vidéo populaire Tiktok a reconnu un problème de sécurité qui a été exploité par les acteurs de la menace pour prendre le contrôle des comptes de haut niveau sur la plate-forme.
Le développement a été signalé pour la première fois par Semafor et Forbes, qui a détaillé une campagne de rachat de compte de compte zéro-clic qui permet aux logiciels malveillants propagés via des messages directs pour compromettre les comptes de marque et de célébrités sans avoir à
Popular video-sharing platform TikTok has acknowledged a security issue that has been exploited by threat actors to take control of high-profile accounts on the platform. The development was first reported by Semafor and Forbes, which detailed a zero-click account takeover campaign that allows malware propagated via direct messages to compromise brand and celebrity accounts without having to |
Malware Threat | ★★ | |
 |
2024-06-05 11:45:00 | Offrir une approche moderne de la sécurité SaaS avec NetSkope One Delivering a Modern Approach to SaaS Security with Netskope One (lien direct) |
> Il y a plus d'applications SaaS utilisées par les entreprises que jamais auparavant et le taux d'adoption ne fera qu'augmenter.Selon le cloud annuel de Netskope \\ & # 38;Rapport de menace, l'adoption de SaaS a continué d'augmenter dans les environnements d'entreprise tout au long de 2023, les utilisateurs accédant constamment à de nouvelles applications, principalement non gérées, et à augmenter leur utilisation des applications existantes.[& # 8230;]
>There are more SaaS applications in use by businesses than ever before-and the adoption rate is only going to continue to increase. According to Netskope\'s annual Cloud & Threat Report, SaaS adoption continued to rise in enterprise environments throughout 2023, with users constantly accessing new, mostly unmanaged, apps and increasing their use of existing apps. […] |
Threat Cloud | ★★ | |
 |
2024-06-05 10:30:00 | Clusters de menaces chinoises Triple équipe une organisation de gouvernement asiatique de haut niveau Chinese Threat Clusters Triple-Team a High-Profile Asia Government Org (lien direct) |
Un trio de grappes affiliées aux Chinois a effectué des tâches spécialisées dans une chaîne d'attaque plus large, probablement sous la montre d'une seule organisation.
A trio of Chinese-affiliated clusters performed specialized tasks in a broader attack chain, likely under the watch of a single organization. |
Threat | ★★ | |
 |
2024-06-05 10:00:00 | Pourquoi les pare-feu ne suffisent pas dans le paysage de la cybersécurité d'aujourd'hui Why Firewalls Are Not Enough in Today\\'s Cybersecurity Landscape (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Firewall technology has mirrored the complexities in network security, evolving significantly over time. Originally serving as basic traffic regulators based on IP addresses, firewalls advanced to stateful inspection models, offering a more nuanced approach to network security. This evolution continued with the emergence of Next-Generation Firewalls (NGFWs), which brought even greater depth through data analysis and application-level inspection. Yet, even with these advancements, firewalls struggle to contend with the increasingly sophisticated nature of cyberthreats. The modern digital landscape presents formidable challenges like zero-day attacks, highly evasive malware, encrypted threats, and social engineering tactics, often surpassing the capabilities of traditional firewall defenses. The discovery of CVE-2023-36845 in September 2023, affecting nearly 12,000 Juniper firewall devices, is a case in point. This zero-day exploit enabled unauthorized actors to execute arbitrary code, circumventing established security measures and exposing critical networks to risk. Incidents like this highlight the growing need for a dynamic and comprehensive approach to network security, one that extends beyond the traditional firewall paradigm. Human Element – The Weakest Link in Firewall Security While the discovery of CVEs highlights vulnerabilities to zero-day exploits, it also brings to the forefront another critical challenge in firewall security: human error. Beyond the sophisticated external threats, the internal risks posed by misconfiguration due to human oversight are equally significant. These errors, often subtle, can drastically weaken the protective capabilities of firewalls. Misconfigurations in Firewall Security Misconfigurations in firewall security, frequently a result of human error, can significantly compromise the effectiveness of these crucial security barriers. These misconfigurations can take various forms, each posing unique risks to network integrity. Common types of firewall misconfigurations include: Improper Access Control Lists (ACLs) Setup: ACLs define who can access what resources in a network. Misconfigurations here might involve setting rules that are too permissive, inadvertently allowing unauthorized users to access sensitive areas of the network. An example could be erroneously allowing traffic from untrusted sources or failing to restrict access to critical internal resources. Faulty VPN Configurations: Virtual Private Networks (VPNs) are essential for secure remote access. Misconfigured VPNs can create vulnerabilities, especially if they are not properly integrated with the firewall\'s rule set. Common errors include not enforcing strong authentication or neglecting to restrict access based on user roles and permissions. Outdated or Redundant Firewall Rules: Over time, the network environment changes, but firewall rules may not be updated accordingly. Outdated rules can create security gaps or unnecessary complexity. Redundant or conflicting rules can also lead to confusion in policy enforcement, potentially leaving the network open to exploitation. Incorrect Port Management: Open ports are necessary for network communication, but unnecessary open ports can be explo | Malware Tool Vulnerability Threat Legislation Industrial | ★★ | |
|
2024-06-05 04:33:42 | Les acteurs de la menace \\ 'peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors\\' Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
Les types de cyberattaques incluent non seulement les attaques avancées de menace persistante (APT) ciblant quelques entreprises ou organisations spécifiques, mais maisAnalyse également des attaques ciblant plusieurs serveurs aléatoires connectés à Internet.Cela signifie que les infrastructures des acteurs de la menace peuvent devenir les cibles de la cyberattaque aux côtés des entreprises, des organisations et des utilisateurs personnels.AHNLAB Security Intelligence Center (ASEC) a confirmé un cas dans lequel un serveur proxy de l'attaquant de Coinming, est devenu la cible d'une attaque de numérisation de la menace de menace de ransomware.
Types of cyberattack include not only Advanced Persistent Threat (APT) attacks targeting a few specific companies or organizations but also scan attacks targeting multiple random servers connected to the Internet. This means that the infrastructures of threat actors can become the targets of cyberattack alongside companies, organizations, and personal users. AhnLab SEcurity intelligence Center (ASEC) has confirmed a case in which a CoinMiner attacker’s proxy server became a target of a ransomware threat actor’s Remote Desktop Protocol (RDP) scan attack.... |
Ransomware Threat | ★★ | |
|
2024-06-05 02:17:12 | Avertissement contre les e-mails de phishing provoquant l'exécution des commandes via la pâte (CTRL + V) Warning Against Phishing Emails Prompting Execution of Commands via Paste (CTRL+V) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert que les fichiers de phishing étaient distribués par e-mails.Les fichiers de phishing (HTML) ont joint aux e-mails invitent les utilisateurs à coller directement (Ctrl + V) et à exécuter les commandes.L'acteur de menace a envoyé des e-mails sur le traitement des frais, les révisions d'instructions de fonctionnement, etc. pour inciter les destinataires à ouvrir les pièces jointes.Lorsqu'un utilisateur ouvre le fichier HTML, un arrière-plan et un message déguisé en MS Word apparaissent.Le message indique à l'utilisateur de cliquer sur & # 8220; comment réparer & # 8221; ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered that phishing files are being distributed via emails. The phishing files (HTML) attached to the emails prompt users to directly paste (CTRL+V) and run the commands. The threat actor sent emails about fee processing, operation instruction reviews, etc. to prompt recipients to open the attachments. When a user opens the HTML file, a background and a message disguised as MS Word appear. The message tells the user to click the “How to fix”... |
Threat | ★★ | |
|
2024-06-05 02:03:46 | Attaques ciblant les serveurs MS-SQL détectés par Ahnlab EDR Attacks Targeting MS-SQL Servers Detected by AhnLab EDR (lien direct) |
Les serveurs MS-SQL sont l'un des principaux vecteurs d'attaque utilisés lors du ciblage des systèmes Windows car ils utilisent des mots de passe simpleset sont ouverts publiquement à Internet externe.Les acteurs de la menace trouvent des serveurs MS-SQL mal gérés et les scanner avant d'effectuer des attaques de force brute ou de dictionnaire pour se connecter avec les privilèges de l'administrateur.Une fois que les acteurs de la menace ont atteint ce point, ils utilisent ensuite divers moyens pour installer des logiciels malveillants et prendre le contrôle des systèmes infectés.Ahnlab Security Intelligence Center (ASEC) moniteurs ...
MS-SQL servers are one of the main attack vectors used when targeting Windows systems because they use simple passwords and are open publicly to the external Internet. Threat actors find poorly managed MS-SQL servers and scan them before carrying out brute force or dictionary attacks to log in with administrator privileges. Once the threat actors have reached this point, they then utilize various means to install malware and gain control over the infected systems. AhnLab SEcurity intelligence Center (ASEC) monitors... |
Malware Threat | ★★★ | |
 |
2024-06-05 00:00:00 | Rapport cybersécurité WatchGuard : le volume de ransomwares poursuit sa baisse alors que les attaques endpoints explosent (lien direct) | Paris, le 5 juin 2024 – WatchGuard® Technologies, l'un des leaders mondiaux de la cybersécurité unifiée, livre les conclusions de son dernier rapport sur la sécurité Internet (ISR) détaillant les principales tendances en matière de logiciels malveillants et de cybermenaces ciblant les réseaux et endpoints, analysées par les chercheurs du WatchGuard Threat Lab au cours du 1er trimestre 2024. Le rapport révèle notamment que si les détections de malwares sur l'ensemble du réseau ont diminué de près de moitié au cours du trimestre par rapport au précédent, les détections de malwares ciblant les endpoints ont augmenté de 82 %. Deuxième observation importante : les détections de ransomware ont diminué de 23 % par rapport au 4ème trimestre 2023 ! alors qu'elles avaient déjà diminué de 20% entre le 3ème et le 4ème trimestre 2023. De la même manière, les détections de malwares de type " zero-day " ont enregistré une baisse de 36 %. Le rapport indique également que le malware Pandoraspear, qui cible les télévisions connectées fonctionnant sous un système d'exploitation Android open source, est entré dans le top 10 des logiciels malveillants les plus détectés, illustrant ainsi le risque des vulnérabilités des appareils IoT pour la sécurité des entreprises. Corey Nachreiner, Chief Security Officer chez WatchGuard analyse : " Les résultats du rapport sur la sécurité Internet du 1er trimestre 2024 démontrent l'importance pour les organisations de toutes tailles de sécuriser les appareils connectés à Internet, qu'ils soient utilisés à des fins professionnelles ou de divertissement. Comme le démontrent de nombreuses cyberattaques survenues récemment, les attaquants peuvent infiltrer le réseau d'une entreprise par le biais de n'importe quel appareil connecté puis se déplacer latéralement et ainsi causer des dommages considérables aux ressources critiques ou exfiltrer des données. Il est désormais impératif que les entreprises adoptent une approche de sécurité unifiée, qui peut être gérée par des fournisseurs de services managés, comprenant un monitoring étendu de l'ensemble des endpoints et des points d'accès ". Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du 1er trimestre 2024 révèle les éléments suivants : Le volume moyen de détections de malwares par WatchGuard Firebox a chuté de près de moitié (49 %) au cours du premier trimestre, tandis que le nombre de malwares transmis par le biais d'une connexion chiffrée a augmenté de 14 points au cours du premier trimestre, pour atteindre 69 %. Une nouvelle variante de la famille de malware Mirai, qui cible les routeurs TP-Link Archer en utilisant un nouvel exploit (CVE-2023-1389) pour accéder aux systèmes compromis, s'est révélée être l'une des campagnes de logiciels malveillants les plus répandues du trimestre. La variante Mirai a été détectée par près de 9 % des WatchGuard Firebox dans le monde. Ce trimestre, les navigateurs basés sur Chromium ont été à l'origine de plus des trois quarts (78 %) du volume total de malwares provenant d'attaques contre des navigateurs web ou des plugins, ce qui représente une augmentation significative par rapport au trimestre précédent (25 %). Une vulnérabilité dans l'application très répandue | Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-04 21:03:00 | Les compagnies d'électricité russes, les entreprises informatiques et les agences gouvernementales frappées par leur trojan pour chiens leurres Russian Power Companies, IT Firms, and Govt Agencies Hit by Decoy Dog Trojan (lien direct) |
Les organisations russes sont à la fin des cyberattaques qui ont été trouvées pour livrer une version Windows d'un logiciel malveillant appelé Decoy Dog.
La société de cybersécurité Positive Technologies suit le cluster d'activités sous le nom de l'opération Lahat, l'attribuant à un groupe avancé de menace persistante (APT) appelée Hellhounds.
"Le groupe Hellhounds compromet les organisations qu'ils sélectionnent et
Russian organizations are at the receiving end of cyber attacks that have been found to deliver a Windows version of a malware called Decoy Dog. Cybersecurity company Positive Technologies is tracking the activity cluster under the name Operation Lahat, attributing it to an advanced persistent threat (APT) group called HellHounds. "The Hellhounds group compromises organizations they select and |
Malware Threat | ★★★ | |
 |
2024-06-04 20:26:16 | Tiktok avertit l'exploit destiné aux comptes de haut niveau \\ ' TikTok warns of exploit aimed at \\'high-profile accounts\\' (lien direct) |
Pas de details / No more details | Threat | ★★ | |
 |
2024-06-04 19:41:07 | Le PDG de Nvidia repousse les attaques de Big Tech \\ sur NvLink Network Tech Nvidia CEO brushes off Big Tech\\'s attacks on NVLink network tech (lien direct) |
dit qu'Ualink et Ultra Ethernet n'ont pas été menacés pendant des années car il révèle le successeur de Blackwell et Free Nims Caltex PDG de Nvidia, Jensen Huang, a refusé Big Tech\'s tente d'attaquer sa stratégie de réseautage.…
Says UALink and Ultra Ethernet won\'t be threat for years as he reveals successor to Blackwell and free NIMs Computex Nvidia CEO Jensen Huang has shrugged off Big Tech\'s attempt to attack his networking strategy.… |
Threat | ★★ | |
 |
2024-06-04 17:52:04 | Le nouveau carnavalhéiste de la nouvelle banque cible le Brésil avec des attaques de superposition New Banking Trojan CarnavalHeist Targets Brazil with Overlay Attacks (lien direct) |
#### Targeted Geolocations - Brazil #### Targeted Industries - Financial Services ## Snapshot Since February 2024, Cisco Talos has observed a campaign targeting Brazilian users with a new banking trojan called "CarnavalHeist." This malware, also known as AllaSenha, employs tactics common among Brazilian banking trojans. ## Description CarnavalHeist attacks begin with a deceptive, finance-themed email that trick the victim into clicking a malicious link. The link, disguised using a URL shortening service, redirects the user to a fradulent webpage that prompts them to download what appears to be an invoice. Rather, the downloaded file is a malicious payload that uses WebDAV to retrieve a .LNK file, which then further executes malicious scripts. The infection continues by creating a decoy PDF file in the user\'s download directory, ostensibly to distract the user, while simultaneously running a minimized command prompt to execute the next stage of the malware. This involves a batch file that installs Python and runs a script to inject a second-stage payload DLL. The malware checks the system\'s processor architecture and uses a domain generation algorithm (DGA) to contact a server and download the malicious DLL. The server responds with a byte stream containing the DLL and additional Python modules for execution. The malware then dynamically loads the DLL into memory and executes it. The final payload is a banking trojan that attempts to steal credentials for Brazilian financial institutions through overlay attacks, where a fake window is presented over the legitimate application. The malware monitors for specific window titles and replaces them with its own overlays, while also establishing communication with a command and control server using another DGA function. The malware has numerous capabilities, including capturing keystrokes, screenshots, and video, and can remotely control the infected machine. It can also generate QR codes to redirect banking transactions to accounts controlled by the attackers. Cisco Talos assesses with high confidence that CarnavalHeist originated in Brazil and was developed to target Brazilian users as Portuguese is used throughout the infection chain and within the malware and Brazilian slang is used in reference to some banks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Pilot and deploy [phishing-resistant authentication methods for users.](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-policy) from all devices in all locations at all times. - Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about). Safe Links provides URL scanning and rewriting of inbound email messages in mail flow, and time-of-click verification of URLs and links in email messages, other Microsoft 365 applications such as Teams, and other locations such as SharePoint Online. Safe Links scanning occurs in addition to the regular [anti-spam](https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) and [anti-malware](https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) protection in inbound email messages in Microsoft Exchange Online Protection (EOP). Safe Links scanning can help protect your organization from malicious links used in phishing and other attacks. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Tu | Malware Tool Threat | ★★★ | |
|
2024-06-04 17:21:50 | Londres NHS est paralysée par les ransomwares, plusieurs hôpitaux ciblés Modifier London NHS Crippled by Ransomware, Several Hospitals Targeted edit (lien direct) |
Les hôpitaux londoniens sont paralysés par la cyberattaque!Cet incident met en évidence la menace croissante de ransomwares sur les systèmes de santé dans le monde.Londres & # 8217; S & # 8230;
London hospitals crippled by cyberattack! This incident highlights the growing threat of ransomware on healthcare systems worldwide. London’s… |
Ransomware Threat Medical | ★★ | |
 |
2024-06-04 13:00:00 | The Hunt: Découvrir les erreurs de configuration grâce à la chasse à la menace proactive pour fortifier la cybersécurité dans les environnements OT The Hunt: Uncovering Misconfigurations Through Proactive Threat Hunting to Fortify Cybersecurity in OT Environments (lien direct) |
Pas de details / No more details | Threat Industrial | ★★★ | |
 |
2024-06-04 12:08:10 | Combiner l'intelligence et opencti de Sekoia Combining Sekoia Intelligence and OpenCTI (lien direct) |
> L'annonce du partenariat Filigran X Sekoia.io est l'occasion de remettre les projecteurs sur les avantages de l'intégration entre OpenCti et SekoiaTELDIGENCE.
la publication Suivante combinant Secoia Intelligence and OpenCti est n Article de href = "https: // blog .sekoia.io "> Blog Seko.io .
>The Filigran x Sekoia.io partnership announcement is an opportunity to put the spotlight back on the benefits of the integration between OpenCTI and Sekoia Threat Intelligence. La publication suivante Combining Sekoia Intelligence and OpenCTI est un article de Sekoia.io Blog. |
Threat | ★★ | |
|
2024-06-04 12:03:00 | Darkgate Malware remplace Autoit par AutoHotKey dans les dernières cyberattaques DarkGate Malware Replaces AutoIt with AutoHotkey in Latest Cyber Attacks (lien direct) |
Les cyberattaques impliquant l'opération Darkgate malware-as-a-Service (MAAS) se sont éloignées des scripts AutOIT à un mécanisme AutoHotKey pour livrer les dernières étapes, soulignant les efforts continus de la part des acteurs de la menace pour garder une longueur d'avance sur la courbe de détection.
Les mises à jour ont été observées dans la version 6 de Darkgate publiée en mars 2024 par son développeur Rastafareye, qui
Cyber attacks involving the DarkGate malware-as-a-service (MaaS) operation have shifted away from AutoIt scripts to an AutoHotkey mechanism to deliver the last stages, underscoring continued efforts on the part of the threat actors to continuously stay ahead of the detection curve. The updates have been observed in version 6 of DarkGate released in March 2024 by its developer RastaFarEye, who |
Malware Threat | ★★ | |
|
2024-06-04 10:00:00 | Test de pénétration de A.I.Des modèles Penetration Testing of A.I. Models (lien direct) |
Penetration testing is a cornerstone of any mature security program and is a mature and well understood practice supported by robust methodologies, tools, and frameworks. The tactical goals of these engagements typically revolve around identification and exploitation of vulnerabilities in technology, processes, and people to gain initial, elevated, and administrative access to the target environment. When executed well, the insights from penetration testing are invaluable and help the organization reduce IT related risk. Organizations are still discovering new ways in which Large Language Models (LLM’s) and Machine Learning (ML) can create value for the business. Conversely, security practitioners are concerned with the unique and novel risks to the organization these solutions may bring. As such the desire to expand penetration testing efforts to include these platforms is not surprising. However, this is not as straight forward as giving your testers the IP addresses to your AI stack during your next test. Thoroughly evaluating these platforms will require adjustments in approach for both organizations being evaluated and the assessors. Much of the attack surface to be tested for AI systems (i.e. cloud, network, system, and classic application layer flaws) is well known and addressed by existing tools and methods. However, the models themselves may contain risks as detailed in the OWASP Top Ten lists for LLM’s (https://llmtop10.com/) and Machine Learning (https://mltop10.info/). Unlike testing for legacy web application Top Ten flaws, where the impacts of any adversarial actions were ephemeral (i.e., SQL Injection) or easily reversed (i.e., stored XSS attack), this may not be the case when testing AI systems. The attacks submitted to the model during the penetration test could potentially influence long-term model behavior. While it is common to test web applications in production environments, for AI models that incorporate active feedback or other forms of post-training learning where testing could lead to perturbations in responses, it may be best to perform penetration testing in a non-production environment. Checksum mechanisms can be used to verify that the model versions are equivalent. Furthermore, several threat vectors in these lists deal specifically with the poisoning of training data to make the model generate malicious, false, or bias responses. If successful such an attack would potentially impact other concurrent users of the environment and having trained the model on such data, persist beyond the testing period. Lastly, there are hard dollar costs involved in training and operating these models. Taking any compute/storage/transport costs into account should test environments or retraining be required as part of recovering from a penetration test will be a new consideration for most. As penetration testers, the MITRE ATT&CK framework has long been a go-to resource for offensive security Tactics, Techniques and Procedures (TTP’s). With the attack surface expanding to AI platforms MITRE has expand their framework and created the Adversarial Threat Landscape for Artificial-Intelligence Systems, or “ATLAS”, knowledge base (https://atlas.mitre.org/matrices/ATLAS). ATLAS, along with the OWASP lists, give penetration testers a great place to start in terms of understanding and assessing the unique attack surface presented by AI models. Context of the model will need to be considered in both the rules of engagement under which the test is performed but also in judging model responses. Is the model public or private? Production or test? If access to training data is achieved, can poisoning attacks be conducted? If allowable, what | Tool Vulnerability Threat Cloud Technical Commercial | ★★★ | |
 |
2024-06-04 08:04:21 | OpenText Cybersecurity dévoile son rapport 2024 sur les menaces émergentes et la résilience cybernétique (lien direct) | OpenText Cybersecurity dévoile son rapport 2024 sur les menaces émergentes et la résilience cybernétique - Malwares | Threat Studies | ★★★★ | |
|
2024-06-04 07:13:32 | Sekoia.io et Filigran nouent un partenariat stratégique (lien direct) | Sekoia.io et Filigran nouent un partenariat stratégique Collaborant depuis plusieurs années à travers l'interopérabilité de leurs plateformes, les deux éditeurs français s'engagent à améliorer conjointement la connaissance sur les menaces cyber au sein des organisations pour accélérer la détection et la réponse aux incidents. - Business | Threat | ★★ | |
|
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ★★★ | |
 |
2024-06-04 00:00:00 | Une revue d'enquête de chasse aux menaces de Sans \\'s 2024 A SANS\\'s 2024 Threat-Hunting Survey Review (lien direct) |
Au cours de sa neuvième année, l'enquête annuelle sur la chasse aux menaces SANSE plonge dans les pratiques organisationnelles mondiales dans la chasse aux menaces, mettant en lumière les défis et les adaptations du paysage au cours de la dernière année.
In its ninth year, the annual SANS Threat Hunting Survey delves into global organizational practices in threat hunting, shedding light on the challenges and adaptations in the landscape over the past year. |
Threat | ★★ | |
|
2024-06-03 21:15:33 | L'éclipse de citrouille The Pumpkin Eclipse (lien direct) |
## Instantané
Lumen Technologies \\ 'Black Lotus Labs a identifié un événement destructeur qu'ils appellent "The Pumpkin Eclipse" qui a eu lieu sur une période de 72 heures entre le 25 et le 25 octobre 2023, où plus de 600 000 bureaux / bureaux à domicile (Les routeurs SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (ISP).
## Description
L'incident a perturbé l'accès à Internet dans de nombreux États du Midwest, ce qui a un impact sur un ISP spécifique et trois modèles de routeurs: l'actionTec T3200S, l'actionTec T3260S et Sagemcom F5380.L'incident a rendu les appareils infectés en permanence inopérables et nécessitait un remplacement matériel.La charge utile principale responsable de l'événement a été identifiée comme «Chalubo», un cheval de Troie à distance à distance (rat) qui a utilisé des métiers avertis pour obscurcir son activité.
Chalubo a des charges utiles conçues pour tous les principaux noyaux SOHO / IoT, des fonctionnalités pré-construites pour effectuer des attaques DDOS et peut exécuter n'importe quel script LUA envoyé au bot.La fonctionnalité LUA a probablement été employée par l'acteur malveillant pour récupérer la charge utile destructrice.À l'heure actuelle, il n'est pas clair comment les acteurs de la menace ont initialement eu accès aux routeurs.Cependant, l'enquête a révélé que les acteurs de la menace ont probablement abusé des informations d'identification faibles ou exploité une interface administrative exposée.
Les acteurs de la menace derrière cet événement ont choisi une famille de logiciels malveillants de marchandises pour obscurcir l'attribution, au lieu d'utiliser une boîte à outils développée sur mesure.
## Les références
["Malware Botnet Bricked 600 000 routeurs en mystérieux attaque 2023"] (https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer(Consulté en 2024-06-03)
["The Pumpkin Eclipse"] (https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (consulté en 2024-06-03)
## Snapshot Lumen Technologies\' Black Lotus Labs has identified a destructive event they\'re calling "The Pumpkin Eclipse" that took place over a 72-hour period between October 25-27, 2023, where over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). ## Description The incident disrupted internet access across numerous Midwest states, impacting a specific ISP and three router models: the ActionTec T3200s, ActionTec T3260s, and Sagemcom F5380. The incident rendered the infected devices permanently inoperable and required a hardware-based replacement. The primary payload responsible for the event was identified as “Chalubo,” a commodity remote access trojan (RAT) that employed savvy tradecraft to obfuscate its activity. Chalubo has payloads designed for all major SOHO/IoT kernels, pre-built functionality to perform DDoS attacks, and can execute any Lua script sent to the bot. The Lua functionality was likely employed by the malicious actor to retrieve the destructive payload. At this time, it is unclear how the threat actors initially gained access to the routers. However, the investigation revealed that the threat actors likely abused weak credentials or exploited an exposed administrative interface. The threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit. ## References ["Malware botnet bricked 600,000 routers in mysterious 2023 attack"](https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer (Accessed 2024-06-03) ["The Pumpkin Eclipse"](https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (Accessed 2024-06-03) |
Malware Threat | ★★ | |
|
2024-06-03 16:26:00 | Rapport sur la menace SASE: 8 conclusions clés pour la sécurité des entreprises SASE Threat Report: 8 Key Findings for Enterprise Security (lien direct) |
Les acteurs de la menace évoluent, mais l'intelligence cyber-menace (CTI) reste confinée à chaque solution ponctuelle isolée.Les organisations ont besoin d'une analyse holistique à travers les données externes, les menaces entrantes et sortantes et l'activité du réseau.Cela permettra d'évaluer le véritable état de cybersécurité dans l'entreprise.
Le laboratoire de recherche sur le cyber-menace de Cato \\ (Cato Ctrl, voir plus de détails ci-dessous) a récemment publié
Threat actors are evolving, yet Cyber Threat Intelligence (CTI) remains confined to each isolated point solution. Organizations require a holistic analysis across external data, inbound and outbound threats and network activity. This will enable evaluating the true state of cybersecurity in the enterprise. Cato\'s Cyber Threat Research Lab (Cato CTRL, see more details below) has recently released |
Threat | ★★★ | |
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ★★★ | |
 |
2024-06-03 14:00:00 | Ransomwares rebonds: la menace d'extorsion augmente en 2023, les attaquants s'appuient sur les outils accessibles au public et légitimes Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools (lien direct) |
Written by: Bavi Sadayappan, Zach Riddle, Jordan Nuce, Joshua Shilko, Jeremy Kennelly
A version of this blog post was published to the Mandiant Advantage portal on April 18, 2024. Executive Summary In 2023, Mandiant observed an increase in ransomware activity as compared to 2022, based on a significant rise in posts on data leak sites and a moderate increase in Mandiant-led ransomware investigations. Mandiant observed an increase in the proportion of new ransomware variants compared to new families, with around one third of new families observed in 2023 being variants of previously identified ransomware families. Actors engaged in the post-compromise deployment of ransomware continue to predominately rely on commercially available and legitimate tools to facilitate their intrusion operations. Notably, we continue to observe a decline in the use of Cobalt Strike BEACON, and a corresponding increase in the use of legitimate remote access tools. In almost one third of incidents, ransomware was deployed within 48 hours of initial attacker access. Seventy-six percent (76%) of ransomware deployments took place outside of work hours, with the majority occurring in the early morning. Mandiant\'s recommendations to assist in addressing the threat posed by ransomware are captured in our Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints white paper. Introduction Threat actors have remained driven to conduct ransomware operations due to their profitability, particularly in comparison to other types of cyber crime. Mandiant observed an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites (DLS), and an over 20% increase in Mandiant-led investigations involving ransomware from 2022 to 2023 (Figure 1). These observations are consistent with other reporting, which shows a record-breaking more than $1 billion USD paid to ransomware attackers in 2023. This illustrates that the slight dip in extortion activity observed in 2022 was an anomaly, potentially due to factors such as the invasion of Ukraine and the leaked CONTI chats. The current resurgence in extortion activity is likely driven by various factors, including the resettling of the cyber criminal ecosystem following a tumultuous year in 2022, new entrants, and new partnerships and ransomware service offerings by actors previously associated with prolific groups that had been disrupted. This blog post provides an overview of the ransomware landscape and common tactics, techniques, and procedures (TTPs) directly observed by Mandiant in 2023 ransomware incidents. Our analysis of TTPs relies primarily on data from Mandiant incident response engagements and therefore represe |
Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Prediction Medical Cloud Commercial | ★★★ | |
|
2024-06-03 13:04:00 | Les pirates Andariel ciblent les instituts sud-coréens avec un nouveau logiciel malveillant Dora Rat Andariel Hackers Target South Korean Institutes with New Dora RAT Malware (lien direct) |
L'acteur de menaces en Corée du Nord connue sous le nom d'Andariel a été observé à l'aide d'une nouvelle porte dérobée basée à Golang appelée Dora Rat dans ses attaques ciblant les instituts d'enseignement, les entreprises manufacturières et les entreprises de construction en Corée du Sud.
"Keylogger, infostealer et outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques", a déclaré le Rapport Ahnlab Security Intelligence Center (ASEC) dans un rapport
The North Korea-linked threat actor known as Andariel has been observed using a new Golang-based backdoor called Dora RAT in its attacks targeting educational institutes, manufacturing firms, and construction businesses in South Korea. "Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks," the AhnLab Security Intelligence Center (ASEC) said in a report |
Malware Tool Threat | ★★★ | |
|
2024-06-03 12:56:15 | Les efforts d'influence russe convergent les Jeux olympiques de Paris 2024 Russian Influence efforts converge on 2024 Paris Olympics Games (lien direct) |
## Snapshot In the summer of 2023, a curious set of videos crept into social media platforms. Telegram feeds that normally promoted pro-Kremlin narratives suddenly began promoting a film called “Olympics Has Fallen.” Users were encouraged to scan a QR code that directed them to a Telegram channel of the same name. Upon arriving at this channel, viewers encountered a feature-length film with a similar aesthetic and a play on the title of the American political action movie “Olympus Has Fallen,” released more than a decade earlier.(1) AI-generated audio impersonating the voice of film actor Tom Cruise narrated a strange, meandering script disparaging the International Olympic Committee\'s leadership. Nearly a year later and with less than 80 days until the opening of the 2024 Paris Olympic Games, the Microsoft Threat Analysis Center (MTAC) has observed a network of Russia-affiliated actors pursuing a range of malign influence campaigns against France, French President Emmanuel Marcon, the International Olympic Committee (IOC), and the Paris Games. These campaigns may forewarn coming online threats to this summer\'s international competition. ## Activity Overview ### Russia\'s long history of disparaging the Olympic Games Modern Russia, as well as its predecessor the Soviet Union, has a longstanding tradition of seeking to undermine the Olympic Games. If they cannot participate in or win the Games, then they seek to undercut, defame, and degrade the international competition in the minds of participants, spectators, and global audiences. The Soviet Union boycotted the 1984 Summer Games held in Los Angeles and sought to influence other countries to do the same. US State Department officials linked Soviet actors to a campaign that covertly distributed leaflets to Olympic committees in countries including Zimbabwe, Sri Lanka, and South Korea.(2) The leaflets claimed non-white competitors would be targeted by US extremists-a claim that follows a tried-and-true active measures strategy: using divisive social issues to sow discord among a target audience.(3) A recurring aspect of Russian malign influence is its ability to resurface themes at a later time in a different country. Remarkably, four decades later, we are witnessing similar claims of anticipated extremist violence emerging in the context of the Paris Games this summer. Separately, in 2016, Russian hackers penetrated the World Anti-Doping Agency and revealed private medical information about American athletes Serena Williams, Venus Williams, and Simone Biles.(4) Two years later, the “Olympic Destroyer” cyberattack against the 2018 Winter Olympics in Pyeongchang, South Korea, managed to take some of the Winter Games\' internal servers offline. The US Department of Justice charged two Russian GRU officers in connection to the hack in 2020.(5) The slow burn of Russian President Vladimir Putin and the Kremlin\'s displeasure with the IOC and the ability to participate in the Olympics-an event of longstanding pride to the Russian government-has intensified in recent years. In 2017, the IOC concluded extensive investigations into Russia\'s state-sponsored use of performance-enhancing drugs across several Olympic Games in 2017 which resulted in Russia being formally barred from participating in the 2018 Winter Games.(6) Last year, in 2023, the IOC confirmed that Russian citizens would be allowed to compete in Paris but only as neutral athletes prohibited from sporting the flag or colors of the Russian Federation.(7) Shortly after this decision, MTAC began detecting a range of foreign malign influence operations that continue today, and we suspect may intensify as the 2024 Paris Opening Ceremony approaches.(8) ### Old world tactics meet the age of AI Starting in June 2023, prolific Russian influence actors-which Microsoft tracks as Storm-1679 and Storm-1099-pivoted their operations to take aim at the 2024 Olympic Games and French President Emmanuel Macron. These ongoing Russian influence operations have two cent | Hack Tool Threat Legislation Medical | ★★★ | |
 |
2024-06-03 12:13:37 | 3 juin & # 8211;Rapport de renseignement sur les menaces 3rd June – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 3 juin, veuillez télécharger notre bulletin menace_intelligence.Attaques et violations de Top Attacks et Breach Shinyhunters, un gang notoire de cybercriminalité offerte à la vente sur un forum de cybercriminalité de Ticketmaster, une société de vente de billets et de distribution, et de Santander Bank.Les violations présumées ont entraîné une exposition potentielle [& # 8230;]
>For the latest discoveries in cyber research for the week of 3rd June, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES ShinyHunters, a notorious cybercrime gang offered for sale on a cybercrime forum data of Ticketmaster, ticket sales and distribution company, and of Santander bank. The alleged breaches have resulted in the potential exposure […] |
Threat | ★★★ | |
 |
2024-06-03 12:00:46 | XDR signifie bien plus que certains ne le réalisent XDR means so much more than some may realize (lien direct) |
Découvrez comment Cisco XDR redéfinit la sécurité avec les outils intégrés, la détection des menaces à AI-AI et la réponse rapide pour résoudre les problèmes du monde réel pour le SOC 
Discover how Cisco XDR redefines security with integrated tools, AI-driven threat detection, and rapid response to solve real-world problems for the SOC  |
Tool Threat | ★★★ | |
 |
2024-06-03 11:04:18 | L'IA augmentera la quantité et la qualité de phishing des escroqueries AI Will Increase the Quantity-and Quality-of Phishing Scams (lien direct) |
Une pièce que j'ai co-auteur avec Fredrik Heiding et Arun Vishwanath dans la Harvard Business Review :
Résumé. Les outils Gen AI rendent rapidement ces e-mails plus avancés, plus difficiles à repérer et beaucoup plus dangereux.Des recherches récentes ont montré que 60% des participants ont été victimes de phishing de l'intelligence artificielle (IA), ce qui est comparable aux taux de réussite des messages non phisvulaires créés par des experts humains.Les entreprises doivent: 1) comprendre les capacités asymétriques du phishing amélioré, 2) Déterminer le niveau de gravité de la menace de phishing de l'entreprise ou de la division, et 3) confirment leurs routines actuelles de sensibilisation au phishing ...
A piece I coauthored with Fredrik Heiding and Arun Vishwanath in the Harvard Business Review: Summary. Gen AI tools are rapidly making these emails more advanced, harder to spot, and significantly more dangerous. Recent research showed that 60% of participants fell victim to artificial intelligence (AI)-automated phishing, which is comparable to the success rates of non-AI-phishing messages created by human experts. Companies need to: 1) understand the asymmetrical capabilities of AI-enhanced phishing, 2) determine the company or division\'s phishing threat severity level, and 3) confirm their current phishing awareness routines... |
Tool Threat | ★★★ | |
 |
2024-06-03 10:00:46 | Il est de menace l'évolution au premier trimestre 2024. Statistiques mobiles IT threat evolution in Q1 2024. Mobile statistics (lien direct) |
Statistiques de logiciels malveillants mobiles pour le premier trimestre 2024: menaces les plus courantes pour Android, les chevaux de Troie des banques mobiles et les chevaux de Troie ransomwares.
Mobile malware statistics for Q1 2024: most common threats for Android, mobile banking Trojans, and ransomware Trojans. |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-03 10:00:27 | It menace évolution Q1 2024 IT threat evolution Q1 2024 (lien direct) |
Dans ce rapport, nous passons en revue les événements les plus importants liés aux logiciels malveillants du T1 2024: la divulgation de la vulnérabilité matérielle utilisée dans la triangulation de l'opération, une méthode légère pour détecter les logiciels malveillants iOS et l'implant Linux Dinodasrat.
In this report, we review the most significant malware-related events of Q1 2024: the disclosure of the hardware vulnerability used in Operation Triangulation, a lightweight method to detect iOS malware and DinodasRAT Linux implant. |
Malware Vulnerability Threat | ★★ | |
|
2024-06-03 10:00:08 | Il menace l'évolution au premier trimestre 2024. Statistiques non mobiles IT threat evolution in Q1 2024. Non-mobile statistics (lien direct) |
Dans ce rapport, Kaspersky partage des statistiques de logiciels malveillants non mobiles pour le premier trimestre 2024, y compris les statistiques de ransomware, de mineurs et de malware macOS.
In this report, Kaspersky shares non-mobile malware statistics for Q1 2024, including ransomware, miner and macOS malware statistics. |
Ransomware Malware Threat | ★★ | |
|
2024-06-03 10:00:00 | Test de sécurité dans le développement de logiciels: évaluer les vulnérabilités et les faiblesses Security Testing in Software Development: Assessing Vulnerabilities and Weaknesses (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The critical role of security testing within software development cannot be overstated. From protecting personal information to ensuring that critical infrastructure remains unbreachable, security testing serves as the sentry against a multitude of cyber threats. Vulnerabilities and design weaknesses within software are like hidden fault lines; they may remain unnoticed until they cause significant damage. These flaws can compromise sensitive data, allow unauthorized access, and disrupt service operations. The repercussions extend beyond the digital world. They can lead to tarnished reputations, legal penalties, and, in extreme cases, endangerment of lives. Understanding these potential impacts underscores the crucial role of security testing as a protective measure. Security testing functions like a health check-up for software, identifying vulnerabilities in much the same way a doctor\'s examination would. Being proactive rather than reactive is essential here. It is always better to prevent than to cure. Security testing transcends the mere act of box-ticking; it is a vital, multi-layered process that protects both the integrity of the software and the privacy of its users. And it is not only about finding faults but also about instilling a culture of security within the development lifecycle. Understanding Security Testing Once more, the primary role of security testing is to identify and help fix security flaws within a system before they can be exploited. Consider it a comprehensive evaluation process that simulates real-world attacks, designed to ensure that the software can withstand and counter a variety of cybersecurity threats. By conducting security testing, developers can provide assurance to investors and users that their software is not only functional but also secure against different attacks. There is a diverse arsenal of methodologies available for security testing: 1) Penetration Testing Penetration testing, also known as ethical hacking, entails conducting simulated cyber-attacks on computer systems, networks, or web applications to uncover vulnerabilities that could be exploited. Security experts use pentest platforms and act as attackers and try to breach the system\'s defenses using various techniques. This method helps uncover real-world weaknesses as well as the potential impact of an attack on the system\'s resources and data. 2) Code Review A code review is a systematic examination of the application source code to detect security flaws, bugs, and other errors that might have been overlooked during the initial development phases. It involves manually reading through the code or using automated tools to ensure compliance with coding standards and to check for security vulnerabilities. This process helps in maintaining a high level of security by ensuring that the code is clean, efficient, and robust against cyber threats. 3) Vulnerability Assessment Unlike penetration testing, which attempts to exploit vulnerabilities, vulnerability assessment focuses on listing potential vulnerabilities without simulating attacks. Tools and software are used to | Tool Vulnerability Threat | Equifax | ★★★ |
 |
2024-06-03 03:02:06 | Comment FIM peut-il protéger contre les menaces d'initiés How Can FIM Protect Against Insider Threats (lien direct) |
Une menace d'initié est quelqu'un à l'intérieur d'une organisation & # 8211;y compris les employés, partenaires et entrepreneurs actuels et anciens & # 8211;qui, intentionnellement ou autre, mettent leur organisation en danger.Ils abusent généralement de leur accès à des informations privées et à des comptes privilégiés pour voler ou saboter des données sensibles, souvent pour un gain financier ou même une vengeance.Aujourd'hui, les organisations doivent avoir des solutions de sécurité efficaces en place pour identifier et répondre aux menaces d'initiés.La surveillance de l'intégrité du fichier (FIM) est une telle solution.FIM Tools Survenez, détectez et répondez aux modifications non autorisées de fichiers et de données ou d'accès ...
An insider threat is someone inside an organization – including current and former employees, partners, and contractors – who, intentionally or otherwise, put their organization at risk. They typically abuse their access to private information and privileged accounts to steal or sabotage sensitive data, often for financial gain or even revenge. Organizations today must have effective security solutions in place to identify and respond to insider threats. File Integrity Monitoring (FIM) is one such solution. FIM tools monitor, detect, and respond to unauthorized file and data changes or access... |
Tool Threat | ★★ | |
 |
2024-06-03 00:00:00 | Il est temps de monter votre solution EDR It\\'s Time to Up-Level Your EDR Solution (lien direct) |
Vous avez peut-être EDR, mais saviez-vous que vous pouvez ajouter une détection et une réponse des menaces pour améliorer l'efficacité et les résultats d'une équipe SECOPS - en savoir plus.
You may have EDR, but did you know you can add threat detection and response to improve a SecOps team\'s efficiency and outcomes - read more. |
Threat | ★★ | |
|
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | ★★ |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2024-05-31 21:00:00 | Des milliers d'appareils orientés Internet vulnérables à vérifier le point de vue du point zéro Thousands of internet-facing devices vulnerable to Check Point VPN zero-day (lien direct) |
Pas de details / No more details | Vulnerability Threat | ★★ | |
|
2024-05-31 20:11:38 | Lilacsquid APT utilise des outils open source, Quasarrat LilacSquid APT Employs Open Source Tools, QuasarRAT (lien direct) |
L'acteur de menace inconnu utilise des outils similaires à ceux utilisés par les groupes d'APT nord-coréens, selon Cisco Talos.
The previously unknown threat actor uses tools similar to those used by North Korean APT groups, according to Cisco Talos. |
Tool Threat | ★★ | |
|
2024-05-31 19:12:00 | Microsoft met en garde contre la surtension des cyberattaques ciblant les appareils OT exposés à Internet Microsoft Warns of Surge in Cyber Attacks Targeting Internet-Exposed OT Devices (lien direct) |
Microsoft a souligné la nécessité de sécuriser les appareils de technologie opérationnelle (OT) exposés à Internet suite à une série de cyberattaques ciblant ces environnements depuis la fin 2023.
"Ces attaques répétées contre les appareils OT mettent l'accent sur le besoin crucial d'améliorer la posture de sécurité des appareils OT et d'empêcher les systèmes critiques de devenir des cibles faciles", a déclaré l'équipe Microsoft Threat Intelligence.
Microsoft has emphasized the need for securing internet-exposed operational technology (OT) devices following a spate of cyber attacks targeting such environments since late 2023. "These repeated attacks against OT devices emphasize the crucial need to improve the security posture of OT devices and prevent critical systems from becoming easy targets," the Microsoft Threat Intelligence team said. |
Threat Industrial | ★★★★ | |
|
2024-05-31 16:30:00 | Au-delà de la détection des menaces & # 8211;Une course à la sécurité numérique Beyond Threat Detection – A Race to Digital Security (lien direct) |
Le contenu numérique est une épée à double tranchant, offrant de vastes avantages tout en constituant simultanément des menaces importantes pour les organisations du monde entier.Le partage du contenu numérique a considérablement augmenté ces dernières années, principalement par e-mail, les documents numériques et le chat.À son tour, cela a créé une vaste surface d'attaque et a fait du contenu numérique \\ 'le porteur préféré des cybercriminels
Digital content is a double-edged sword, providing vast benefits while simultaneously posing significant threats to organizations across the globe. The sharing of digital content has increased significantly in recent years, mainly via email, digital documents, and chat. In turn, this has created an expansive attack surface and has made \'digital content\' the preferred carrier for cybercriminals |
Threat | ★★★ | |
|
2024-05-31 15:40:00 | Les pirates russes ciblent l'Europe avec des logiciels malveillants de tête et la récolte d'identification Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting (lien direct) |
L'acteur de menace russe soutenu par GRU APT28 a été attribué comme derrière une série de campagnes ciblant les réseaux à travers l'Europe avec les logiciels malveillants de tête et les pages Web de récolte des informations d'identification.
APT28, également connu sous les noms Bledelta, Fancy Bear, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe avancé de menace persistante (APT) affiliée à
The Russian GRU-backed threat actor APT28 has been attributed as behind a series of campaigns targeting networks across Europe with the HeadLace malware and credential-harvesting web pages. APT28, also known by the names BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, and TA422, is an advanced persistent threat (APT) group affiliated with |
Malware Threat | APT 28 | ★★★ |
 |
2024-05-31 15:21:41 | La note de l'analyste HHS \\ 'HC3 met en garde contre la menace croissante des attaques DDOS dans la cybersécurité du secteur de la santé HHS\\' HC3 analyst note warns of growing threat of DDoS attacks in health sector cybersecurity (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) dans le département américain de la santé & # 38;Services humains (HHS) publiés ...
>The Health Sector Cybersecurity Coordination Center (HC3) in the U.S. Department of Health & Human Services (HHS) published... |
Threat | ★★★ | |
|
2024-05-31 14:00:00 | Confidentialité des données à l'ère du Genai Data Privacy in the Age of GenAI (lien direct) |
Les données sur les consommateurs sont toujours une cible principale pour les acteurs de la menace, et la consommation organisationnelle de données doit être alignée sur la protection.La nouvelle loi sur les droits cherche à en faire une partie, mais elle a encore besoin de peaufinage.
Consumer data is still a prime target for threat actors, and organizational consumption of data must be aligned to protecting it. The new rights act seeks to do some of this, but it still needs tweaking. |
Threat | ★★★ | |
 |
2024-05-31 11:47:00 | Shinyhunters affirme que Santander Breach, vendant des données pour 30 millions de clients ShinyHunters claims Santander breach, selling data for 30M customers (lien direct) |
Un acteur de menace connu sous le nom de Shinyhunters prétend vendre une massive de données bancaires de Santander, y compris des informations pour 30 millions de clients, les employés et les données du compte bancaire, deux semaines après que la banque a annoncé une violation de données.[...]
A threat actor known as ShinyHunters is claiming to be selling a massive trove of Santander Bank data, including information for 30 million customers, employees, and bank account data, two weeks after the bank reported a data breach. [...] |
Data Breach Threat | ★★ | |
 |
2024-05-31 10:28:35 | L'acteur de menace mystérieuse a utilisé des logiciels malveillants Chalubo pour brique 600 000 routeurs Mysterious Threat Actor Used Chalubo Malware to Brick 600,000 Routers (lien direct) |
> Plus de 600 000 routeurs SOHO appartenant à un seul FAI et infectés par le chalussier chalubo ont été rendus inopérables.
>Over 600,000 SOHO routers belonging to a single ISP and infected with the Chalubo trojan were rendered inoperable. |
Malware Threat | ★★ | |
 |
2024-05-31 09:00:00 | # Infosec2024: Pourquoi la cybersécurité est essentielle pour les Jeux olympiques de Paris 2024 #Infosec2024: Why Cybersecurity is Critical for the 2024 Paris Olympics (lien direct) |
Le grand volume de participants mélangés à des infrastructures interconnectées offre aux acteurs des menaces de faire des ravages pendant les Jeux olympiques de Paris
The large volume of attendees mixed with interconnected infrastructure provides opportunities for threat actors to wreak havoc during the Paris Olympics |
Threat | ★★★ | |
|
2024-05-31 06:27:09 | Équipage de phishing Flyingyeti ancré après abominable les attaques ukrainiennes FlyingYeti phishing crew grounded after abominable Ukraine attacks (lien direct) |
gang aligné par le Kremlin a utilisé des ressources Cloudflare et GitHub, et ils n'ont pas aimé que l'équipe Intel de la menace de Cloud de la menace \\ ait prétendu avoir contrecarré un phishing et un espionnage d'un moisAttaque ciblant l'Ukraine qu'elle a attribuée au gang aligné par la Russie Flyetyeti.…
Kremlin-aligned gang used Cloudflare and GitHub resources, and they didn\'t like that one bit Cloudflare\'s threat intel team claims to have thwarted a month-long phishing and espionage attack targeting Ukraine which it has attributed to Russia-aligned gang FlyingYeti.… |
Threat | ★★★ |
To see everything:
Our RSS (filtrered)
