What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-13 19:25:00 | Arid Viper lance une campagne d'espionnage mobile avec des logiciels malveillants aridspy Arid Viper Launches Mobile Espionage Campaign with AridSpy Malware (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper a été attribué à une campagne d'espionnage mobile qui exploite des applications Android trojanisées pour offrir une souche spyware baptisé AridSpy.
"Le logiciel malveillant est distribué via des sites Web dédiés imitant diverses applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien", a déclaré aujourd'hui le chercheur ESET LUK & AACUTE; Š štefanko dans un rapport publié aujourd'hui."Souvent
The threat actor known as Arid Viper has been attributed to a mobile espionage campaign that leverages trojanized Android apps to deliver a spyware strain dubbed AridSpy. "The malware is distributed through dedicated websites impersonating various messaging apps, a job opportunity app, and a Palestinian Civil Registry app," ESET researcher Lukáš Štefanko said in a report published today. "Often |
Malware Threat Mobile | APT-C-23 | ★★★ |
 |
2024-06-13 19:17:27 | Truist Bank confirme la violation après que les données volées apparaissent sur le forum de piratage Truist Bank confirms breach after stolen data shows up on hacking forum (lien direct) |
La principale banque commerciale américaine Truist a confirmé que ses systèmes avaient été violés dans une cyberattaque d'octobre 2023 après qu'un acteur de menace a publié certaines des données de la société à vendre sur un forum de piratage.[...]
Leading U.S. commercial bank Truist confirmed its systems were breached in an October 2023 cyberattack after a threat actor posted some of the company\'s data for sale on a hacking forum. [...] |
Threat Commercial | ★★ | |
 |
2024-06-13 19:16:14 | POC Exploit émerge pour le bug de RCE critique dans le gestionnaire de points de terminaison Ivanti PoC Exploit Emerges for Critical RCE Bug in Ivanti Endpoint Manager (lien direct) |
Un nouveau mois, un nouveau bug Ivanti à haut risque pour les attaquants à exploiter - cette fois, un problème d'injection SQL dans son gestionnaire de point final centralisé.
A new month, a new high-risk Ivanti bug for attackers to exploit - this time, an SQL injection issue in its centralized endpoint manager. |
Threat | ★★ | |
|
2024-06-13 18:56:16 | Le grésil de la pierre de lune de la Corée du Nord élargit la distribution du code malveillant North Korea\\'s Moonstone Sleet Widens Distribution of Malicious Code (lien direct) |
L'acteur de menace récemment identifié utilise des registres publics pour la distribution et a élargi les capacités pour perturber la chaîne d'approvisionnement des logiciels.
The recently identified threat actor uses public registries for distribution and has expanded capabilities to disrupt the software supply chain. |
Threat | ★★ | |
 |
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-06-13 18:05:49 | Deux campagnes récentes du Brésil et de la Corée exploitant des services cloud légitimes Two Recent Campaigns from Brazil and Korea Exploiting Legitimate Cloud Services (lien direct) |
> L'exploitation des services cloud est une arme flexible entre les mains des attaquants, si flexible que nous découvrons de nouvelles campagnes abusant quotidiennement des applications légitimes.Que les acteurs de la menace soient motivés par la cybercriminalité ou le cyberespionnage, ils continuent de cibler différents publics dans différentes régions géographiques du monde, exploitant différents services dans différents [& # 8230;]
>The exploitation of cloud services is a flexible weapon in the hands of attackers, so flexible that we uncover new campaigns abusing legitimate apps on a daily basis. Whether threat actors are driven by cybercrime or cyberespionage, they continue to target different audiences in different geographical regions of the world, exploiting different services in different […] |
Threat Cloud | ★★★ | |
 |
2024-06-13 16:47:27 | Nouvelle alerte de menace mobile & # 8211;Opération céleste avant New Mobile Threat Alert – Operation Celestial Fore (lien direct) |
> Dans ce blog, Zimperium partage des détails sur la campagne de logiciels malveillants ciblés par mobile nommé l'opération Celestial Force, attribuée aux acteurs de menace liés au Pakistan.Lisez le blog pour plus.
>In this blog, Zimperium shares details about the mobile-targeted malware campaign named Operation Celestial Force, attributed to threat actors linked to Pakistan. Read the blog for more. |
Malware Threat Mobile | ★★ | |
 |
2024-06-13 16:27:55 | Les logiciels malveillants de Disgomoji ciblent le gouvernement indien DISGOMOJI Malware Used to Target Indian Government (lien direct) |
> Remarque: Volexity a signalé l'activité décrite dans ce blog et les détails des systèmes impactés sur CERT au National Informatics Center (NIC) en Inde.En 2024, Volexity a identifié une campagne de cyber-espionnage entrepris par un acteur de menace présumé basé au Pakistan que Volexité suit actuellement en vertu de l'alias UTA0137.Les logiciels malveillants utilisés dans ces campagnes récentes, que la volexité suit comme Disgomoji, est écrite en Golang et compilée pour les systèmes Linux.La volexité évalue avec une grande confiance que l'UTA0137 a des objectifs liés à l'espionnage et une remise pour cibler les entités gouvernementales en Inde.Sur la base de l'analyse de volexity \\, les campagnes d'UTA0137 \\ semblent avoir réussi.Disgomoji semble être exclusivement utilisé par UTA0137.Il s'agit d'une version modifiée du projet public Discord-C2, qui utilise le service de messagerie Discord pour la commande et le contrôle (C2), utilisant des emojis pour sa communication C2.L'utilisation de logiciels malveillants Linux pour un accès initial associé à des documents leurres (suggérant un [& # 8230;]
>Note: Volexity has reported the activity described in this blog and details of the impacted systems to CERT at the National Informatics Centre (NIC) in India. In 2024, Volexity identified a cyber-espionage campaign undertaken by a suspected Pakistan-based threat actor that Volexity currently tracks under the alias UTA0137. The malware used in these recent campaigns, which Volexity tracks as DISGOMOJI, is written in Golang and compiled for Linux systems. Volexity assesses with high confidence that UTA0137 has espionage-related objectives and a remit to target government entities in India. Based on Volexity\'s analysis, UTA0137\'s campaigns appear to have been successful. DISGOMOJI appears to be exclusively used by UTA0137. It is a modified version of the public project discord-c2, which uses the messaging service Discord for command and control (C2), making use of emojis for its C2 communication. The use of Linux malware for initial access paired with decoy documents (suggesting a […] |
Malware Threat | ★★★ | |
|
2024-06-13 15:56:00 | La campagne de logiciels malveillants liée au Pakistan évolue vers des cibles Windows, Android et MacOS Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS (lien direct) |
Les acteurs de menace ayant des liens avec le Pakistan sont liés à une campagne de logiciels malveillants de longue date surnommée l'opération Celestial Force depuis au moins 2018.
L'activité, toujours en cours, implique l'utilisation d'un logiciel malveillant Android appelé GravityRat et d'un chargeur de logiciels malveillants basé sur Windows, nommé Heavylift, selon Cisco Talos, qui sont administrés à l'aide d'un autre outil autonome appelé GravityAdmin.
Le
Threat actors with ties to Pakistan have been linked to a long-running malware campaign dubbed Operation Celestial Force since at least 2018. The activity, still ongoing, entails the use of an Android malware called GravityRAT and a Windows-based malware loader codenamed HeavyLift, according to Cisco Talos, which are administered using another standalone tool referred to as GravityAdmin. The |
Malware Tool Threat Mobile | ★★★ | |
|
2024-06-13 14:32:14 | Panera met en garde contre la violation des données des employés après l'attaque des ransomwares de mars Panera warns of employee data breach after March ransomware attack (lien direct) |
Le géant de la chaîne alimentaire américaine Panera Bread informe les employés d'une violation de données après que des acteurs de menace inconnus ont volé leurs informations personnelles sensibles dans une attaque de ransomware de mars.[...]
U.S. food chain giant Panera Bread is notifying employees of a data breach after unknown threat actors stole their sensitive personal information in a March ransomware attack. [...] |
Ransomware Data Breach Threat | ★★ | |
|
2024-06-13 14:30:35 | Microsoft, en retard au jeu sur une défaite dangereuse DNSSEC Zero-Day Microsoft, Late to the Game on Dangerous DNSSEC Zero-Day Flaw (lien direct) |
La raison pour laquelle la société a mis si longtemps à résoudre le problème n'est pas connue étant donné que la plupart des autres parties prenantes ont eu un correctif pour le problème il y a des mois.
Why the company took so long to address the issue is not known given that most other stakeholders had a fix out for the issue months ago. |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 14:00:00 | UNC3944 cible les applications SaaS UNC3944 Targets SaaS Applications (lien direct) |
Introduction
UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.
Initially, UNC3944 focused on credential harvesting and SIM swapping attacks in their operations, eventually migrating to ransomware and data theft extortion. However, recently, UNC3944 has shifted to primarily data theft extortion without the use of ransomware. This change in objectives has precipitated an expansion of targeted industries and organizations as evidenced by Mandiant investigations.
Evidence also suggests UNC3944 has occasionally resorted to fearmongering tactics to gain access to victim credentials. These tactics include threats of doxxing personal information, physical harm to victims and their families, and the distribution of compromising material.
This blog post aims to spotlight UNC3944\'s attacks against SaaS applications, providing insights into the group\'s evolving TTPs in line with its shifting mission objectives.
Tactics, Techniques, and Procedures (TTPs)
Figure 1: UNC3944 attack lifecycle
Mandiant has observed UNC3944 in multiple engagements leveraging social engineering techniques against corporate help desks to gain initial access to existing privileged accounts. Mandiant has analyzed several forensic recordings of these call center attacks, and of the observed r |
Ransomware Tool Threat Cloud | ★★★ | |
 |
2024-06-13 13:00:46 | Comment le moteur à émulation de menace de menace de menace empêche les attaques de chargement de touche de la DLL (Trojan) How ThreatCloud AI\\'s Threat Emulation Engine Prevents DLL Sideloading (Trojan) Attacks (lien direct) |
> Une nouvelle attaque sophistiquée de logiciels malveillants / trojan est conçue pour voler des informations d'identification de connexion et des informations sur les cartes de crédit des systèmes de paiement, des banques et des échanges de crypto.Cette attaque trompe les applications commerciales légitimes dans l'exécution des fichiers de bibliothèque de liens dynamiques compromis mais innocents (DLL) & # 8212;Rendant les choses très difficiles à détecter et à bloquer.La charge de touche DLL est une technique utilisée par les cybercriminels pour exécuter du code malveillant sur un système cible en exploitant la façon dont Windows charge les bibliothèques de liens dynamiques (DLL).Ce blog explore comment les moteurs à émulation de menace avancés de Check Point \\, qui font partie de l'infini menacecloud AI, ont détecté et empêché une attaque de téléchargement de DLL contre l'un de nos clients.[& # 8230;]
>A sophisticated new malware/trojan attack is designed to steal login credentials and credit card information from payment systems, banks and crypto exchanges. This attack tricks legitimate business applications into running compromised but innocent-looking dynamic link library (DLL) files — making it very difficult to detect and block. DLL sideloading is a technique used by cybercriminals to execute malicious code on a target system by exploiting the way Windows loads dynamic link libraries (DLLs). This blog explores how Check Point\'s advanced Threat Emulation engines, part of Infinity ThreatCloud AI, detected and prevented a DLL Sideloading attack on one of our customers. […] |
Malware Threat | ★★★ | |
|
2024-06-13 12:38:00 | Google prévient la sécurité de la sécurité du micrologiciel Pixel exploitée comme zéro-jour Google Warns of Pixel Firmware Security Flaw Exploited as Zero-Day (lien direct) |
Google a averti qu'un défaut de sécurité ayant un impact sur le micrologiciel Pixel a été exploité dans la nature comme un jour zéro.
La vulnérabilité à haute sévérité, étiquetée comme CVE-2024-32896, a été décrite comme une élévation du problème de privilège dans le micrologiciel Pixel.
La société n'a partagé aucun détail supplémentaire lié à la nature des attaques qui l'exploitant, mais a noté "Il y a des indications que le CVE-2024-32896 peut être
Google has warned that a security flaw impacting Pixel Firmware has been exploited in the wild as a zero-day. The high-severity vulnerability, tagged as CVE-2024-32896, has been described as an elevation of privilege issue in Pixel Firmware. The company did not share any additional details related to the nature of attacks exploiting it, but noted "there are indications that CVE-2024-32896 may be |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 12:19:26 | L'ancien employé indien emprisonné pour avoir essuyé 180 serveurs virtuels à Singapour Indian Ex-Employee Jailed for Wiping 180 Virtual Servers in Singapore (lien direct) |
Un employé licencié a supprimé les serveurs de son employeur, provoquant une perte financière majeure.Découvrez la menace croissante des ex-employés mécontents et comment les entreprises peuvent se protéger de cette menace.
A terminated employee deleted his employer\'s servers, causing major financial loss. Read about the growing threat of disgruntled ex-employees and how companies can protect themselves from this threat. |
Threat Legislation | ★★ | |
|
2024-06-13 11:55:00 | Nouveau logiciel malveillant multiplateforme \\ 'Noodle Rat \\' cible Windows et Linux Systems New Cross-Platform Malware \\'Noodle RAT\\' Targets Windows and Linux Systems (lien direct) |
Un rat de nouilles de logiciels malveillants multiplateforme précédemment sans papiers a été utilisé par des acteurs de menace de langue chinois pour l'espionnage ou la cybercriminalité pendant des années.
Bien que cette porte dérobée ait été précédemment classée comme une variante de GH0st Rat et Rekoobe, le chercheur de micro-sécurité tendance, Hara Hiroaki, a déclaré que "cette porte dérobée n'est pas simplement une variante de logiciels malveillants existants, mais est un nouveau type".
A previously undocumented cross-platform malware codenamed Noodle RAT has been put to use by Chinese-speaking threat actors either for espionage or cybercrime for years. While this backdoor was previously categorized as a variant of Gh0st RAT and Rekoobe, Trend Micro security researcher Hara Hiroaki said "this backdoor is not merely a variant of existing malware, but is a new type altogether." |
Malware Threat Prediction | ★★ | |
 |
2024-06-13 11:16:37 | Déballage des dix gangs de ransomware les plus dangereux Unpacking the Ten Most Dangerous Ransomware Gangs (lien direct) |
Les gangs de ransomware constituent une menace massive pour les entreprises, avec 59% des organisations signalant une attaque en 2023. Pour se protéger contre les attaques de ransomwares, les organisations doivent comprendre les groupes qui les lancent et leurs tactiques.Alors, laissez déballer les 10 gangs de ransomware les plus dangereux.Qu'est-ce que le ransomware?Tout d'abord, nous devons comprendre ce qu'est le ransomware.Ransomware est [& # 8230;]
Ransomware gangs pose a massive threat to businesses, with 59% of organizations reporting an attack in 2023. To protect against ransomware attacks, organizations must understand the groups that launch them and their tactics. So, let’s unpack the top 10 most dangerous ransomware gangs. What is Ransomware? First, we must understand what ransomware is. Ransomware is […] |
Ransomware Threat | ||
 |
2024-06-13 11:03:53 | Conduire dans les pilotes Android Driving forward in Android drivers (lien direct) |
Posted by Seth Jenkins, Google Project ZeroIntroduction Android\'s open-source ecosystem has led to an incredible diversity of manufacturers and vendors developing software that runs on a broad variety of hardware. This hardware requires supporting drivers, meaning that many different codebases carry the potential to compromise a significant segment of Android phones. There are recent public examples of third-party drivers containing serious vulnerabilities that are exploited on Android. While there exists a well-established body of public (and In-the-Wild) security research on Android GPU drivers, other chipset components may not be as frequently audited so this research sought to explore those drivers in greater detail.Driver Enumeration: Not as Easy as it Looks This research focused on three Android devices (chipset manufacturers in parentheses): - Google Pixel 7 (Tensor) - Xiaomi 11T (MediaTek) - Asus ROG 6D (MediaTek) In order to perform driver research on these devices I first had to find all of the kernel drivers that were accessible from an unprivileged context on each device; a task complicated by the non-uniformity of kernel drivers (and their permissions structures) across different devices even within the same chipset manufacturer. There are several different methodologies for discovering these drivers. The most straightforward technique is to search the associated filesystems looking for exposed driver device files. These files serve as the primary method by which userland can interact with the driver. Normally the “file” is open’d by a userland process, which then uses a combination of read, write, ioctl, or even mmap to interact with the driver. The driver then “translates” those interactions into manipulations of the underlying hardware device sending the output of that device back to userland as warranted. Effectively all drivers expose their interfaces through the ProcFS or DevFS filesystems, so I focused on the /proc and /dev directories while searching for viable attack surfaces. Theoretically, evaluating all the userland accessible drivers should be as simple as calling find /dev or find /proc, attempting to open every file discovered, and logging which open | Tool Vulnerability Threat Patching Mobile Technical | ★★★ | |
 |
2024-06-13 09:34:42 | Les collectivités : cybermenaces spécifiques et réponses adaptées (lien direct) | Les enjeux de sécurité évoluent rapidement et les collectivités font face à des risques uniques en matière de cyberattaques. Données d'état civil des habitants, coordonnées bancaires des usagers, informations de santé des agents... Les collectivités territoriales détiennent des informations sensibles qui doivent être protégées. Zoom sur les menaces qui pèsent sur ces entités et la manière dont elles peuvent se prémunir contre ces vulnérabilités croissantes. Les 4 facteurs de risque cyber qui mettent au défi (...) - Points de Vue | Threat | ★★ | |
 |
2024-06-13 08:53:20 | Symantec rapporte Black Basta Ransomware Group soupçonné d'exploiter le zéro-jour en attaque probable échouée Symantec reports Black Basta ransomware group suspected of exploiting zero-day in likely failed attack (lien direct) |
Les chercheurs de Symantec ont des attaques de ransomware détaillées par le groupe Black Basta, qui peut avoir utilisé une escalade de privilège ...
Symantec researchers have detailed ransomware attacks by the Black Basta group, which may have utilized a privilege escalation... |
Ransomware Vulnerability Threat | ★★ | |
|
2024-06-13 07:44:20 | Botnet installant des logiciels malveillants à benerat Botnet Installing NiceRAT Malware (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) a confirmé que la tendance des botnets depuis 2019 a été continuellement utilisée pour installer des logiciels malveillants Ninerat.Un botnet est un groupe d'appareils infectés par des logiciels malveillants et contrôlés par un acteur de menace.Parce que les acteurs de la menace ont principalement lancé des attaques DDOS à l'aide de botnets dans le passé, Nitol et d'autres souches de logiciels malveillants utilisées dans les attaques DDOS ont été perçues comme les souches clés qui forment des botnets.Récemment, cependant, des souches de logiciels malveillants tels que Nanocore et Emotet qui effectuent des comportements malveillants ...
1. Overview AhnLab Security intelligence Center (ASEC) confirmed that botnets trending since 2019 have been continuously used to install NiceRAT malware. A botnet is a group of devices infected by malware and controlled by a threat actor. Because threat actors mainly launched DDoS attacks using botnets in the past, Nitol and other malware strains used in DDoS attacks were perceived as the key strains that form botnets. Recently, however, malware strains such as NanoCore and Emotet that perform malicious behaviors... |
Malware Threat | ★★ | |
|
2024-06-13 07:06:14 | KeyLogger installé à l'aide de la vulnérabilité de l'éditeur d'équation de MS Office (Kimsuk) Keylogger Installed Using MS Office Equation Editor Vulnerability (Kimsuky) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a identifié les détails du groupe de menaces Kimsuky qui exploitait récemment une vulnérabilité (CVE-2017-11882) Dans l'éditeur d'équation inclus dans MS Office (Eqnedt32.exe) pour distribuer un Keylogger.L'acteur de menace a distribué le Keylogger en exploitant la vulnérabilité pour exécuter une page avec un script malveillant intégré avec le processus MSHTA.La page à laquelle Mshta se connecte est http://xxxxxxxxxx.xxxxxx.xxxxxxx.com/images/png/error.php et utilise le nom de fichier error.php.Comme le montre la figure 2, le & # 8220; introuvable & # 8221;Le message le fait ...
AhnLab SEcurity intelligence Center (ASEC) has identified the details of the Kimsuky threat group recently exploiting a vulnerability (CVE-2017-11882) in the equation editor included in MS Office (EQNEDT32.EXE) to distribute a keylogger. The threat actor distributed the keylogger by exploiting the vulnerability to run a page with an embedded malicious script with the mshta process. The page that mshta connects to is http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php and uses the file name error.php. As shown in Figure 2, the “Not Found” message makes it... |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 05:00:22 | Mémoire de sécurité: les escrocs créent des sites de billetterie frauduleux olympiques Security Brief: Scammers Create Fraudulent Olympics Ticketing Websites (lien direct) |
Ce qui s'est passé Proofpoint a récemment identifié un site Web frauduleux censant vendre des billets aux jeux Paris & NBSP; 2024 Summer & NBSP; Olympic & nbsp; Jeux.Le site Web «Paris24tickets [.] Com» a prétendu être un «marché secondaire pour les billets de sport et d'événements en direct».Il a été notamment répertorié comme le deuxième résultat de recherche parrainé sur Google, après le site officiel, lors de la recherche de «billets de Paris 2024» et de recherches connexes.Proofpoint a confirmé avec des sources officielles en France que le site était frauduleux.L'équipe de Takedown de Proofpoint \\ a travaillé avec le registraire pour suspendre rapidement le domaine après sa découverte initiale. Le site n'était que l'un des nombreux.Selon le Gendarmerie Nationale français, leurs efforts en collaboration avec des partenaires olympiques ont identifié 338 sites Web de billetteries frauduleuses.Parmi ceux-ci, 51 ont été fermés, avec 140 avis officiels des forces de l'ordre. & NBSP; Résultat de Google pour «Billets de Paris 2024», y compris le domaine frauduleux comme publicité parrainée. & NBSP; Sur le site Web identifié par les chercheurs de ProofPoint, la page d'accueil a énuméré de nombreux événements olympiques, et si l'utilisateur a cliqué sur l'une des icônes sportives, ils ont été emmenés sur une page de billetterie qui permettait à l'utilisateur de sélectionner les billets et de fournir des données de paiement.Le site a également semblé permettre à l'utilisateur d'établir des comptes pour acheter et vendre des billets. & Nbsp; & nbsp; La conception du site Web semblait similaire à d'autres sites de billetterie bien connus, les visiteurs seraient familiers, augmentant la légitimité perçue du site.& nbsp; Page d'accueil des billets de Jeux olympiques frauduleux. & NBSP; Page d'achat de billets présumés. & NBSP; Il est probable que les acteurs de la menace qui géraient ce site Web tentaient de voler de l'argent à des personnes tentant d'acheter ou de vendre des billets Olympiques.Il est possible que le site ait également collecté des informations personnelles auprès de personnes qui tentent d'acheter des billets, y compris des noms, des coordonnées telles que les adresses e-mail et les numéros de téléphone et les coordonnées de la carte de crédit. & NBSP; Le domaine aurait été principalement distribué via des publicités dans les résultats de recherche.Bien qu'il ne soit pas observé dans des campagnes de courrier électronique généralisées, le domaine a été observé dans un petit nombre d'e-mails.Dans certains cas, le mauvais acteur a envoyé des e-mails prétendant accorder des «réductions» sur les billets éventuellement intéressés par le destinataire.Bien que les chercheurs ne puissent pas confirmer comment l'acteur a obtenu les e-mails Targets \\ ', il est possible que les utilisateurs incluent leur adresse e-mail lorsqu'ils se sont inscrits sur le site Web ou ont tenté d'acheter des billets.& nbsp; Email suspect ordonnant au destinataire d'acheter des billets à une «remise». & NBSP; Attribution ProofPoint n'attribue pas cette activité à un acteur de menace connu. & NBSP;Lors de l'étude de ce site Web, les chercheurs de Proofpoint ont identifié un autre site Web qui a partagé l'infrastructure et la conception avec le site frauduleux des Jeux olympiques.Ce site Web, SeatsNet [.] Com, a reçu des centaines de plaintes sur divers sites Web de rapports d'arnaque affirmant que les utilisateurs n'ont jamais reçu de billets pour lesquels ils ont payé. & NBSP; Pourquoi est-ce important Les fraudeurs capitaliseront toujours sur les événements actuels et les prochains Jeux Olympiques ne font pas exception.Les utilisateurs sans méfiance ont probablement cliqué sur le site Web car il semblait être une entité légitime qui se spécialise dans la vente de billets olympiques. & NBSP;Le placement du site Web \\ sur le moteur de recherche sous le site officiel des Olympiques de Paris aurait pu ajouter | Threat Legislation | ★★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
 |
2024-06-12 19:34:26 | Rapport mandiant: les utilisateurs de flocon de neige ciblés pour le vol de données et l'extorsion Mandiant Report: Snowflake Users Targeted for Data Theft and Extortion (lien direct) |
Un acteur de menace a exploité la plate-forme de flocon de neige pour cibler les organisations pour le vol de données et l'extorsion en utilisant des informations d'identification compromises.Apprenez à protéger votre entreprise de cette menace.
A threat actor exploited the Snowflake platform to target organizations for data theft and extortion using compromised credentials. Learn how to protect your business from this threat. |
Threat | ★★★ | |
|
2024-06-12 19:12:00 | La campagne de cryptojacking cible les grappes kubernetes mal configurées Cryptojacking Campaign Targets Misconfigured Kubernetes Clusters (lien direct) |
Les chercheurs en cybersécurité ont mis en garde contre une campagne de cryptojacking en cours ciblant les grappes de Kubernetes erronées pour exploiter la crypto-monnaie Dero.
La société de sécurité du cloud Wiz, qui a mis en lumière l'activité, a déclaré qu'elle était une variante mise à jour d'une opération motivée par la finance qui a été documentée pour la première fois par Crowdstrike en mars 2023.
"Dans cet incident, l'acteur de menace a abusé de l'accès anonyme à un
Cybersecurity researchers have warned of an ongoing cryptojacking campaign targeting misconfigured Kubernetes clusters to mine Dero cryptocurrency. Cloud security firm Wiz, which shed light on the activity, said it\'s an updated variant of a financially motivated operation that was first documented by CrowdStrike in March 2023. "In this incident, the threat actor abused anonymous access to an |
Threat | ★★ | |
|
2024-06-12 16:41:00 | Le ransomware Black Basta a peut-être exploité une faille MS Windows Zero-Day Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw (lien direct) |
Les acteurs de la menace liés au ransomware Black Basta ont peut-être exploité un défaut d'escalade de privilège récemment divulgué dans le service de reporting d'erreur Microsoft Windows en tant que zéro-jour, selon de nouvelles résultats de Symantec.
La faille de sécurité en question est CVE-2024-26169 (score CVSS: 7.8), une élévation du bogue de privilège dans le service de rapport d'erreur Windows qui pourrait être exploité pour réaliser
Threat actors linked to the Black Basta ransomware may have exploited a recently disclosed privilege escalation flaw in the Microsoft Windows Error Reporting Service as a zero-day, according to new findings from Symantec. The security flaw in question is CVE-2024-26169 (CVSS score: 7.8), an elevation of privilege bug in the Windows Error Reporting Service that could be exploited to achieve |
Ransomware Vulnerability Threat | ★★★ | |
 |
2024-06-12 15:48:53 | Comprendre les nuances: Test de pénétration DAST vs Understanding the Nuances: DAST vs. Penetration Testing (lien direct) |
Les cyberattaques sont une menace croissante, ce qui rend crucial pour nous de comprendre les outils et les techniques disponibles pour sécuriser les applications.Aujourd'hui, nous plongeons dans les différences et les similitudes entre les tests de sécurité des applications dynamiques (DAST) et les tests de pénétration avec des informations d'un expert de l'industrie Veracode et un testeur de pénétration certifié, Florian Walter.
Dast est une technique automatisée conçue pour identifier les vulnérabilités de sécurité dans les applications Web et les API pendant l'exécution.Il simule efficacement les attaques pour détecter des problèmes communs tels que les injections SQL et les vulnérabilités de script inter-sites, ce qui le rend idéal pour les vérifications de sécurité continues à différentes étapes du cycle de vie de développement logiciel.
À l'inverse, les tests de pénétration impliquent des testeurs experts examinant manuellement les applications pour identifier les vulnérabilités que les outils automatisés pourraient manquer.Cette méthode fournit des informations approfondies, en particulier dans des environnements complexes, gérant des données sensibles, offrant un nuancé…
Cyberattacks are a growing threat, making it crucial for us to understand the tools and techniques available to secure applications. Today, we dive into the differences and similarities between Dynamic Application Security Testing (DAST) and Penetration Testing with insights from a Veracode industry expert and certified penetration tester, Florian Walter. DAST is an automated technique designed to identify security vulnerabilities in web applications and APIs during runtime. It effectively simulates attacks to detect common issues like SQL injections and cross-site scripting vulnerabilities, making it ideal for continuous security checks across various stages of the software development lifecycle. Conversely, Penetration Testing involves expert testers manually examining applications to pinpoint vulnerabilities that automated tools might miss. This method provides deep insights, especially in complex environments handling sensitive data, offering a nuanced… |
Tool Vulnerability Threat | ★★★ | |
|
2024-06-12 15:41:26 | Le groupe de ransomwares de TellyouthEpass exploite la faille PHP critique TellYouThePass Ransomware Group Exploits Critical PHP Flaw (lien direct) |
Une vulnérabilité RCE qui affecte le langage de script Web sur Windows Systems est facile à exploiter et peut fournir une large surface d'attaque.
An RCE vulnerability that affects the Web scripting language on Windows systems is easy to exploit and can provide a broad attack surface. |
Ransomware Vulnerability Threat | ★★★ | |
|
2024-06-12 15:06:16 | Google Patches a exploité Android Zero-Day sur les appareils Pixels Google patches exploited Android zero-day on Pixel devices (lien direct) |
Google a publié des correctifs pour 50 vulnérabilités de sécurité ayant un impact sur ses appareils de pixels et a averti que l'un d'eux avait déjà été exploité dans des attaques ciblées en tant que zéro-jour.[...]
Google has released patches for 50 security vulnerabilities impacting its Pixel devices and warned that one of them had already been exploited in targeted attacks as a zero-day. [...] |
Vulnerability Threat Mobile | ★★★ | |
 |
2024-06-12 14:56:51 | Boug Bounty vs Test de pénétration: les coûts, la portée et les méthodologies Bug bounty vs penetration testing: The costs, scope, and methodologies (lien direct) |
> À mesure que les cybermenaces évoluent, les organisations doivent détecter et traiter de manière proactive les vulnérabilités de sécurité avant que les acteurs malveillants puissent les exploiter.Cette bataille en cours contre les violations potentielles est essentielle pour la sauvegarde des informations et la protection de la réputation et de la continuité opérationnelle de l'entreprise. & # 160;Deux méthodes importantes pour découvrir et remédier aux vulnérabilités sont les programmes de primes de bogues et les tests de pénétration, également appelés [& # 8230;]
>As cyber threats evolve, organizations must proactively detect and address security vulnerabilities before malicious actors can exploit them. This ongoing battle against potential breaches is vital for safeguarding information and protecting a company’s reputation and operational continuity. Two prominent methods to uncover and remedy vulnerabilities are bug bounty programs and penetration testing, also known as […] |
Vulnerability Threat | ★★ | |
|
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
|
2024-06-12 13:36:00 | Les pirates soutenus en Chine exploitent Fortinet Flaw, infectant 20 000 systèmes à l'échelle mondiale China-Backed Hackers Exploit Fortinet Flaw, Infecting 20,000 Systems Globally (lien direct) |
Les acteurs de la menace parrainés par l'État soutenus par la Chine ont eu accès à 20 000 systèmes Fortinet Fortigate dans le monde en exploitant un défaut de sécurité critique connu entre 2022 et 2023, ce qui indique que l'opération a eu un impact plus large que connu auparavant.
"L'acteur d'État derrière cette campagne était déjà conscient de cette vulnérabilité dans les systèmes FortiGate au moins deux mois avant que Fortinet ne divulgue le
State-sponsored threat actors backed by China gained access to 20,000 Fortinet FortiGate systems worldwide by exploiting a known critical security flaw between 2022 and 2023, indicating that the operation had a broader impact than previously known. "The state actor behind this campaign was already aware of this vulnerability in FortiGate systems at least two months before Fortinet disclosed the |
Vulnerability Threat | ★★★ | |
|
2024-06-12 13:00:02 | L'évolution du code QR Phishing: codes QR basés sur ASCII The Evolution of QR Code Phishing: ASCII-Based QR Codes (lien direct) |
> Introduction Qushing-Qr Code phishing - est une menace en évolution rapide.À partir d'août, lorsque nous avons vu la première augmentation rapide, nous avons également vu un changement dans le type d'attaques de code QR.Il a commencé avec les demandes d'authentification MFA standard.Il a ensuite évolué vers le routage conditionnel et le ciblage personnalisé.Maintenant, nous voyons une autre évolution dans la manipulation des codes QR.Les chercheurs par e-mail d'harmonie ont découvert une nouvelle campagne, où le code QR n'est pas dans une image, mais plutôt créé via des caractères HTML et ASCII.Les chercheurs par e-mail d'harmonie ont vu plus de 600 e-mails similaires fin mai.Exemple d'e-mail Dans cet e-mail, le [& # 8230;]
>Introduction Quishing-QR code phishing-is a rapidly evolving threat. Starting around August, when we saw the first rapid increase, we\'ve also seen a change in the type of QR code attacks. It started with standard MFA authentication requests. It then evolved to conditional routing and custom targeting. Now, we\'re seeing another evolution, into the manipulation of QR codes. Harmony Email Researchers have uncovered a new campaign, where the QR code is not in an image, but rather created via HTML and ASCII characters. Harmony Email researchers have seen over 600 similar emails in late May. Email Example In this email, the […] |
Threat | ★★★★ | |
 |
2024-06-12 13:00:00 | Auto-réplication des vers Morris II cible les assistants e-mail AI Self-replicating Morris II worm targets AI email assistants (lien direct) |
> La prolifération des assistants par courrier électronique de l'intelligence artificielle générative (Genai) tels que GPT-3 d'Openai et de la composition intelligente de Google ont révolutionné des flux de travail de communication.Malheureusement, il a également introduit de nouveaux vecteurs d'attaque pour les cybercriminels.Tirant parti des progrès récents dans l'IA et le traitement du langage naturel, les acteurs malveillants peuvent exploiter les vulnérabilités dans les systèmes Genai pour orchestrer les cyberattaques sophistiquées avec une grande portée [& # 8230;]
>The proliferation of generative artificial intelligence (GenAI) email assistants such as OpenAI’s GPT-3 and Google’s Smart Compose has revolutionized communication workflows. Unfortunately, it has also introduced novel attack vectors for cyber criminals. Leveraging recent advancements in AI and natural language processing, malicious actors can exploit vulnerabilities in GenAI systems to orchestrate sophisticated cyberattacks with far-reaching […] |
Vulnerability Threat | ★★ | |
|
2024-06-12 12:45:55 | Life360 dit que Hacker a essayé de les extorquer après une violation de données de carreaux Life360 says hacker tried to extort them after Tile data breach (lien direct) |
La société de services de sécurité et de localisation Life360 dit qu'elle a été la cible d'une tentative d'extorsion après qu'un acteur de menace a violé et volé des informations sensibles à une plate-forme de support client de carreaux.[...]
Safety and location services company Life360 says it was the target of an extortion attempt after a threat actor breached and stole sensitive information from a Tile customer support platform. [...] |
Data Breach Threat | ★★★ | |
|
2024-06-12 10:00:00 | RansomHub apporte de l'araignée dispersée dans son nid Raas RansomHub Brings Scattered Spider Into Its RaaS Nest (lien direct) |
Le groupe de menaces derrière les violations de Caesars et MGM déplace ses activités à une opération de ransomware et de service différente.
The threat group behind breaches at Caesars and MGM moves its business over to a different ransomware-as-a-service operation. |
Threat | ★★★ | |
 |
2024-06-12 09:45:07 | Blindspot de menace multicanal laissera votre organisation vulnérable à la violation Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach (lien direct) |
> Dans le monde hyper-connecté d'aujourd'hui, les travailleurs modernes s'appuient sur une multitude d'outils de communication et de collaboration pour faire le travail efficacement.Email, SMS, Slack, Microsoft Teams & # 8211;L'employé moyen jongle entre 6 et 10 applications sanctionnées par jour.Et cela ne compte même pas les outils non autorisés qui volent sous le radar.Cette prolifération des canaux [& # 8230;]
Le post menace multi-canal Lelinpot quittera votre organisation qui quittera votre organisationVulnérable à la violation est apparu pour la première fois sur slashnext .
>In today’s hyper-connected world, modern workers rely on a multitude of communication and collaboration tools to get work done efficiently. Email, SMS, Slack, Microsoft Teams – the average employee juggles between 6-10 sanctioned apps on any given day. And that’s not even counting the unsanctioned tools that fly under IT’s radar. This proliferation of channels […] The post Multi-Channel Threat Blindspot Will Leave Your Organization Vulnerable to Breach first appeared on SlashNext. |
Tool Threat | ★★ | |
 |
2024-06-12 09:15:00 | Microsoft patchs une vulnérabilité critique et une vulnérabilité à jour zéro Microsoft Patches One Critical and One Zero-Day Vulnerability (lien direct) |
Le mardi de juin mardi voit Microsoft corriger plus de 50 bogues, dont un déjà divulgué publiquement
June Patch Tuesday sees Microsoft fix over 50 bugs, including one already publicly disclosed |
Vulnerability Threat | ★★ | |
|
2024-06-12 08:59:25 | La vulnérabilité Critical Outlook RCE exploite le volet Aperçu & # 8211;Patch maintenant! Critical Outlook RCE Vulnerability Exploits Preview Pane – Patch Now! (lien direct) |
Une vulnérabilité critique (CVE-2024-30103) dans Microsoft Outlook permet aux attaquants d'exécuter du code malveillant simplement en ouvrant un e-mail.Cet exploit "zéro clique" n'exige pas l'interaction de l'utilisateur et représente une menace sérieuse.Découvrez comment fonctionne cette vulnérabilité et comment rester protégé.
A critical vulnerability (CVE-2024-30103) in Microsoft Outlook allows attackers to execute malicious code simply by opening an email. This "zero-click" exploit doesn\'t require user interaction and poses a serious threat. Learn how this vulnerability works and how to stay protected. |
Vulnerability Threat | ★★★ | |
|
2024-06-12 08:35:41 | La recherche sur le renseignement de l'écurage établit l'exploitation de masse des services de bord en tant que tendance dominante pour les attaquants WithSecure Intelligence research sets mass exploitation of edge services as the prevailing trend for attackers (lien direct) |
Les nouvelles recherches de Withesecure Intelligence explorent la tendance de l'exploitation de masse des services et des infrastructures Edge, et mettent en avant plusieurs théories pour expliquer pourquoi ils ont été si fortement & # 8211;et avec succès & # 8211;ciblé par les attaquants. Le paysage cyber-menace en 2023 et 2024 a été dominé par l'exploitation de masse.Un rapport précédent avec la caractéristique sur la professionnalisation de la cybercriminalité a noté l'importance croissante de l'exploitation de masse en tant que vecteur d'infection, mais le volume et la gravité de cette (...)
-
rapports spéciaux
New research by WithSecure Intelligence explores the trend of mass exploitation of edge services and infrastructure, and puts forward several theories as to why they have been so heavily – and successfully – targeted by attackers. The cyber threat landscape in 2023 and 2024 has been dominated by mass exploitation. A previous WithSecure report on the professionalization of cybercrime noted the growing importance of mass exploitation as an infection vector, but the volume and severity of this (...) - Special Reports |
Threat Prediction | ★★ | |
|
2024-06-12 06:00:15 | Comment reconnaître et défendre contre les menaces d'initiés malveillants How to Recognize and Defend Against Malicious Insider Threats (lien direct) |
Insider threats arise from careless users, users with compromised credentials, or users who seek to cause harm intentionally. The latter type of user-the malicious insider-can be the most daunting for security teams to manage. It requires them to analyze a user\'s behavior and determine whether they have bad intentions. Although less frequent, malicious insiders are costly. The average cost of a data breach by a malicious insider is the highest of any attack vector at $4.9 million, which is 9.6% higher than the global average. Unlike accidental misuse by well-meaning insiders, malicious insiders make a conscious choice to do something that they know they shouldn\'t. Typically, they do it for personal gain or damage to the company. What\'s more, trusted insiders can do the most significant damage since they often know the weak points in the organization and how to exploit them. So, how can you recognize a malicious insider threat and keep your business and data safe? Your starting point is to understand what motivates malicious insiders. Understanding the malicious insider The most defining characteristic of a malicious insider is their intent to cause harm. There are various reasons and external factors that can motivate them to act. Here are a few examples: Business changes like mergers and acquisitions, and divestitures Fear of job loss Financial stress Resentment due to job changes or conflict with a supervisor Poor job performance If you know what can inspire malicious insiders to act, you can better understand who a high-risk insider in your company might be. This insight shows why you need a cross-functional team-rather than just a cybersecurity team-to deal with employee-facing situations. Human resources (HR), legal and management need to be involved. An expanded team can help you spot risk factors and intervene in delicate situations before they become full-blown insider incidents. Likewise, once an incident occurs, a cross-functional team may be needed for a thorough investigation. Proofpoint Insider Threat Management (ITM) helps teams from different areas of your business collaborate. Reports of user activity are easy to export and consume. These user risk reports detail user interactions with data and other behaviors, helping provide contextual insight with a timeline of activities and detailed metadata. Early indicators of insider threats Once you know what commonly motivates malicious insiders, you need to know how to recognize behaviors to watch out for. Here are some examples of insider threat indicators: Hiding information Performing unauthorized admin tasks Bypassing security controls Creating a backdoor Exfiltrating data Installing a TOR browser Running malicious software Downloading unauthorized software Accessing source code during irregular hours Performing acts of IT sabotage Keep in mind that one of these behaviors alone doesn\'t mean that a user is malicious. Rather, it is the combination of multiple behavioral indicators, which you need to analyze holistically, over time and in the context of other factors. That is how you begin to paint a picture of a malicious insider and their intentions. Proofpoint has developed a library of use cases and indicators that are most associated with insider threats. When you monitor these indicators, it can help to reduce your risk of insider threats. The library includes more than 150 out-of-the-box rules based on CERT Institute guidelines and behavior-based research. With the threat library, you can get up and running quickly while watching for common behaviors. Forensic evidence for investigations When you have careless users, you need to address their behavior quickly. The following straightforward actions usually do the trick: Talk to the employee and their manager Provide targeted secu | Data Breach Threat | ★★ | |
|
2024-06-12 04:20:20 | Bondnet utilisant des bots mineurs comme C2 Bondnet Using Miner Bots as C2 (lien direct) |
Bondnet est devenu le public pour la première fois dans un rapport d'analyse publié par GuardiCore en 20171 et Bondnet & # 8217;S Backdoor a été couvert dans un rapport d'analyse sur le mineur XMRIG ciblant les serveurs SQL publiés par le rapport DFIR en 20222. Il n'y a eu aucune information sur les activités de l'actrice de Bondnet Threat, mais il a été confirmé qu'ils avaient poursuivi leurs attaques jusqu'à ce queCes derniers temps.Ahnlab Security Intelligence Center (ASEC) a trouvé à travers l'analyse des systèmes infectés par des mineurs BondNet que le Bondnet menace ...
Bondnet first became known to the public in an analysis report published by GuardiCore in 20171 and Bondnet’s backdoor was covered in an analysis report on XMRig miner targeting SQL servers released by DFIR Report in 20222. There has not been any information on the Bondnet threat actor’s activities thereon, but it was confirmed that they had continued their attacks until recent times. AhnLab SEcurity Intelligence Center (ASEC) found through analyzing systems infected with Bondnet miners that the Bondnet threat... |
Threat | ★★ | |
|
2024-06-11 23:20:20 | Utilisation de l'IA dans la prise de décision de la sécurité des entreprises: amélioration de la protection et de l'efficacité Using AI in Business Security Decision-Making: Enhancing Protection and Efficiency (lien direct) |
Améliorez la sécurité des entreprises avec la prise de décision axée sur l'IA.Utilisez des outils avancés pour la détection précise des menaces, la conformité et la gestion proactive de la crise. & # 8230;
Enhance business security with AI-driven decision-making. Use advanced tools for accurate threat detection, compliance, and proactive crisis management.… |
Tool Threat | ★★ | |
|
2024-06-11 22:54:08 | La nouvelle campagne Valleyrat utilise des attaques à plusieurs étapes pour compromettre les systèmes New ValleyRAT Campaign Employs Multi-Stage Attack to Compromise Systems (lien direct) |
## Instantané
Zscaler ThreatLabz a identifié une récente campagne en plusieurs étapes déploiement de la dernière version de Valleyrat, développée par un acteur de menace basé en Chine.
## Description
Valleyrat est un cheval de Troie (rat) à l'accès à distance documenté pour la première fois au début de 2023. Il vise à infiltrer les systèmes, accordant aux attaquants un contrôle non autorisé.Généralement distribué via des e-mails de phishing ou des téléchargements malveillants, la dernière version comprend de nouvelles commandes pour capturer des captures d'écran, un filtrage de processus, des fermetures forcées et effacer les journaux d'événements Windows.
La campagne commence par un téléchargeur de stade initial à l'aide d'un serveur de fichiers HTTP (HFS) pour récupérer les fichiers nécessaires.Le téléchargeur utilise diverses techniques d'évasion, telles que les contrôles anti-virus, la charge latérale DLL et l'injection de processus.
Un marqueur spécifique identifie la configuration de la communication avec le serveur de commande et de contrôle (C2), détaillant le protocole C2 IP, port et communication.Les mises à jour notables dans Valleyrat incluent les empreintes digitales améliorées et les modifications de la génération d'ID de bot.
Le premier téléchargeur étage récupère et décrypte une DLL, en lançant le processus en vérifiant et en téléchargeant des fichiers si nécessaire.Les mesures anti-AV ciblent des processus spécifiques comme le logiciel de sécurité Qihoo et Winrar.Le malware télécharge ensuite des fichiers supplémentaires et se prépare pour l'étape suivante.
Dans la deuxième étape, une application légitime (winword2013.exe) touche une DLL malveillante (wwlib.dll), qui décrypte et injecte Shellcode dans svchost.exe, en établissant la persistance en modifiant les clés Autorun et en cachant des fichiers.
La troisième étape implique des API de résolution de shellcode injectée et d'établir une connexion C2 pour télécharger d'autres étapes de logiciels malveillants.Enfin, la quatrième étape charge dynamiquement une DLL intégrée, l'analyse des données de configuration et la vérification de la charge utile finale, qui est finalement chargée et exécutée.
Les acteurs de la menace continuent d'évoluer Valleyrat pour éviter la détection, la dernière version ajoutant une collection de données améliorée pour les empreintes digitales de l'appareil et la modification du processus de génération de bot ID, mettant en évidence sa sophistication dans l'évasion des mesures de sécurité et le contrôle des systèmes infectés.
## Les références
[La nouvelle campagne Valleyrat utilise des attaques en plusieurs étapes pour compromettre les systèmes] (https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat#new_tab).Zscaler (accessoire 2024-06-11)
## Snapshot Zscaler ThreatLabz has identified a recent multi-stage campaign deploying the latest ValleyRAT version, developed by a China-based threat actor. ## Description ValleyRAT is a remote access trojan (RAT) first documented in early 2023. It aims to infiltrate systems, granting attackers unauthorized control. Typically distributed via phishing emails or malicious downloads, the latest version includes new commands for capturing screenshots, process filtering, forced shutdowns, and clearing Windows event logs. The campaign starts with an initial stage downloader using an HTTP File Server (HFS) to fetch necessary files. The downloader employs various evasion techniques, such as anti-virus checks, DLL sideloading, and process injection. A specific marker identifies the configuration for communication with the command-and-control (C2) server, detailing the C2 IP, port, and communication protocol. Notable updates in ValleyRAT include enhanced device fingerprinting and changes in bot ID generation. The first stage downloader |
Malware Threat | ★★★ | |
|
2024-06-11 19:47:45 | APT Attacks Using Cloud Storage (lien direct) | ## Snapshot AhnLab Security Intelligence Center (ASEC) has identified APT attacks utilizing cloud services like Google Drive, OneDrive, and Dropbox to distribute malware and collect user information. ## Description Threat actors upload malicious scripts, RAT malware strains, and decoy documents to cloud servers to execute various malicious behaviors. The attack process involves distributing EXE and shortcut files disguised as HTML documents, which then decode and execute PowerShell commands to download decoy documents and additional files. The threat actor\'s Dropbox contains various decoy documents, and the malware downloaded from the cloud includes XenoRAT, capable of performing malicious activities and communicating with the C2 server. The threat actor appears to target specific individuals and continuously collect information to distribute tailored malware. The threat actor\'s email addresses and C2 server address were identified during the analysis, and users are advised to be cautious as the malware not only leaks information and downloads additional malware strains but also performs malicious activities such as controlling the affected system. Additionally, users are warned to verify file extensions and formats before running them, as multiple malware strains have been found to utilize shortcut files. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enable | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
|
2024-06-11 16:26:08 | Warmcookie donne aux cyberattaques une nouvelle porte dérobée savoureuse pour un accès initial WarmCookie Gives Cyberattackers Tasty New Backdoor for Initial Access (lien direct) |
Le malware frais est largement distribué, mais cible spécifiquement les individus avec des leurres sur mesure.Il est prêt à évoluer vers une menace plus importante, avertissent les chercheurs.
The fresh-baked malware is being widely distributed, but still specifically targets individuals with tailored lures. It\'s poised to evolve into a bigger threat, researchers warn. |
Malware Threat | ★★★ | |
 |
2024-06-11 15:19:50 | Alerte Vert Threat: Juin 2024 Patch mardi Analyse VERT Threat Alert: June 2024 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte vert de Microsoft \\ sont des mises à jour de sécurité en juin 2024.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1110 dès la fin de la couverture.CVE CVE-2023-50868 de la seule arme et divulguée La seule vulnérabilité divulguée que nous avons ce mois-ci, est CVE-2023-50868, une vulnérabilité au niveau du protocole DNSSEC qui peut conduire au déni de service.La vulnérabilité est un épuisement du processeur lié à la preuve de l'encloseur la plus proche dans NSEC3, un mécanisme du DNSSEC.NSEC3 est la version améliorée de NSEC, une technologie qui aide à prévenir contre l'empoisonnement du cache DNS ...
Today\'s VERT Alert addresses Microsoft\'s June 2024 Security Updates . VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1110 as soon as coverage is completed. In-The-Wild & Disclosed CVEs CVE-2023-50868 The only disclosed vulnerability we have this month, is CVE-2023-50868, a DNSSEC protocol level vulnerability that can lead to denial of service. The vulnerability is a CPU Exhaustion related to the Closest Encloser Proof in NSEC3, a mechanism within DNSSEC. NSEC3 is the improved version of NSEC, a technology that helps prevent against DNS Cache Poisoning... |
Vulnerability Threat | ★★ | |
|
2024-06-11 13:25:23 | Rapport 2023 de Trend Micro sur la cybersécurité : Protéger les frontières numériques du Maroc avec la détection de 52 millions de menaces (lien direct) | Rapport 2023 de Trend Micro sur la cybersécurité : Protéger les frontières numériques du Maroc avec la détection de 52 millions de menaces Le dernier rapport de l'entreprise révèle une augmentation notable de 10% du blocage de plus de 161 milliards de menaces dans le monde Accéder au contenu multimédia - Malwares | Threat Prediction | ★★ | |
|
2024-06-11 12:07:00 | ARM avertit la vulnérabilité activement exploitée zéro-jour dans les chauffeurs du Mali GPU Arm Warns of Actively Exploited Zero-Day Vulnerability in Mali GPU Drivers (lien direct) |
ARM est averti d'une vulnérabilité de sécurité ayant un impact sur le conducteur du noyau Mali GPU qui, selon lui, a été activement exploité dans la nature.
Suivi en CVE-2024-4610, le problème de l'utilisation après sans impact sur les produits suivants -
Pilote de noyau GPU Bifrost (toutes les versions de R34p0 à R40p0)
Conducteur du noyau GPU Valhall (toutes les versions de R34p0 à R40p0)
"Un utilisateur local non privilégié peut créer une mémoire GPU incorrecte
Arm is warning of a security vulnerability impacting Mali GPU Kernel Driver that it said has been actively exploited in the wild. Tracked as CVE-2024-4610, the use-after-free issue impacts the following products - Bifrost GPU Kernel Driver (all versions from r34p0 to r40p0) Valhall GPU Kernel Driver (all versions from r34p0 to r40p0) "A local non-privileged user can make improper GPU memory |
Vulnerability Threat | ★★★ |
To see everything:
