What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-15 20:58:43 | Opération Celestial Force utilise des logiciels malveillants mobiles et de bureau pour cibler les entités indiennes Operation Celestial Force Employs Mobile and Desktop Malware to Target Indian Entities (lien direct) |
#### Géolocations ciblées
- Inde
#### Industries ciblées
- Base industrielle de la défense
- Informatique
- agences et services gouvernementaux
## Instantané
Les analystes de Cisco Talos ont découvert une campagne de logiciels malveillants en cours nommée "Opération Celestial Force", active depuis 2018.
## Description
Cette campagne utilise le [Gravityrat malware] (https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) pour et un chargeur Windows.Ces infections sont gérées via un outil baptisé "GravityAdmin", qui peut gérer plusieurs campagnes simultanément.Talos attribue cette campagne à un groupe de menaces pakistanais qu'ils appellent «Cosmic Leopard», qui se concentre sur l'espionnage contre les entités indiennes, en particulier dans les secteurs de la défense et du gouvernement.
La campagne utilise deux vecteurs d'infection, l'ingénierie sociale et le phishing de lance pour accéder à ses cibles.Les messages de phishing de lance Spear Phishing se compose de messages envoyés à des cibles avec un langage pertinent et des maldocs qui contiennent des logiciels malveillants tels que GravityRat.
L'autre vecteur d'infection, gagnant en popularité dans cette opération, et maintenant une tactique de base des opérations de Cosmic Leopard \\ consiste à contacter des cibles sur les réseaux sociaux, à établir la confiance avec eux et à leur envoyer un lien malveillant pour télécharger les fenêtres des fenêtres- ou GravityRat basé sur Android ou le chargeur basé sur Windows, Heavylift.
Initialement identifié en 2018, GravityRat a été utilisé pour cibler les systèmes Windows.D'ici 2019, il s'est étendu pour inclure des appareils Android.Heavylift, introduit à peu près au même moment, est un chargeur utilisé pour déployer d'autres logiciels malveillants via l'ingénierie sociale.Talos rapporte une augmentation de l'utilisation des logiciels malveillants mobiles pour l'espionnage ces dernières années.
"GravityAdmin" supervise les appareils infectés à travers divers panneaux spécifiques à la campagne.Ces campagnes, comme «Sierra», «Québec» et «Foxtrot», se caractérisent par l'utilisation de malwares Windows et Android.Cosmic Leopard utilise des tactiques telles que le phishing de lance et l'ingénierie sociale, en contactant souvent des cibles via les médias sociaux pour distribuer des logiciels malveillants.
## Détections / requêtes de chasse
** antivirus **
Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware:
- Trojan: Win32 / Gravityrat
- Trojanspy: Androidos / Grvity.a! Mtb
- Trojanspy: macOS / grvityrat.a! Mtb
- Trojan: MSIL / Gravityrat
## Les références
[Opération Celestial Force utilise un mobileD Desktop malware pour cibler les entités indiennes.] (https://blog.talosintelligence.com/cosmic-leopard/) Cisco Talos (consulté le 2024-06-14)
#### Targeted Geolocations - India #### Targeted Industries - Defense Industrial Base - Information Technology - Government Agencies & Services ## Snapshot Analysts at Cisco Talos have uncovered an ongoing malware campaign named "Operation Celestial Force," active since 2018. ## Description This campaign employs the [GravityRAT malware](https://security.microsoft.com/intel-profiles/dca3dd26090d054493961c69bf11b73d52df30d713169853165fbb66a2eb7ba4) for Android and a Windows-based loader called "HeavyLift." These infections are managed through a tool dubbed "GravityAdmin," which can handle multiple campaigns simultaneously. Talos attributes this campaign to a Pakistani threat group they call "Cosmic Leopard," which focuses on espionage against Indian entities, especially in defense and government sectors. The campaign uses two infection vectors, social engineering and spear phishing to gain access to its targets. Spe |
Malware Tool Threat Mobile Industrial | ||
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
 |
2024-06-15 17:10:17 | Arid Viper \\ a Aridspy Trojan frappe les utilisateurs d'Android en Palestine, en Égypte Arid Viper\\'s AridSpy Trojan Hits Android Users in Palestine, Egypt (lien direct) |
Les utilisateurs d'Android en Égypte et en Palestine se méfient!Arid Viper distribue des applications tierces malveillantes qui cachent le cheval de Troie Aridspy!Découvrez comment ce logiciel malveillant vole vos données et comment vous protéger.
Android users in Egypt and Palestine beware! Arid Viper is distributing malicious third-party apps hiding the AridSpy trojan! Learn how this malware steals your data and how to protect yourself. |
Malware Mobile | APT-C-23 | |
 |
2024-06-15 13:43:00 | Les pirates pakistanais utilisent des logiciels malveillants Disgomoji dans les cyberattaques du gouvernement indien Pakistani Hackers Use DISGOMOJI Malware in Indian Government Cyber Attacks (lien direct) |
Un acteur de menace basé au Pakistan présumé a été lié à une campagne de cyber-espionnage ciblant les entités gouvernementales indiennes en 2024.
La volexité de la société de cybersécurité suit l'activité sous le surnom UTA0137, notant l'utilisation exclusive de l'adversaire d'un logiciel malveillant appelé Disgomoji qui est écrit en Golang et est conçu pour infecter les systèmes Linux.
"C'est une version modifiée du projet public
A suspected Pakistan-based threat actor has been linked to a cyber espionage campaign targeting Indian government entities in 2024. Cybersecurity company Volexity is tracking the activity under the moniker UTA0137, noting the adversary\'s exclusive use of a malware called DISGOMOJI that\'s written in Golang and is designed to infect Linux systems. "It is a modified version of the public project |
Malware Threat | ||
 |
2024-06-15 13:08:37 | Le nouveau logiciel malveillant Linux est contrôlé par les emojis envoyés à partir de Discord New Linux malware is controlled through emojis sent from Discord (lien direct) |
Un logiciel malveillant Linux nouvellement découvert surnommé \\ 'Disgomoji \' utilise la nouvelle approche de l'utilisation des emojis pour exécuter des commandes sur les appareils infectés dans des attaques contre les agences gouvernementales en Inde.[...]
A newly discovered Linux malware dubbed \'DISGOMOJI\' uses the novel approach of utilizing emojis to execute commands on infected devices in attacks on government agencies in India. [...] |
Malware | ||
 |
2024-06-14 15:22:52 | Des logiciels malveillants arides ciblant l'Égypte et les territoires palestiniens dans de nouvelles campagnes d'espionnage AridSpy malware targeting Egypt and Palestinian territories in new espionage campaigns (lien direct) |
Pas de details / No more details | Malware | ||
 |
2024-06-14 11:52:43 | Ascension dit personnelle, les informations sur la santé volées dans l'attaque des ransomwares Ascension Says Personal, Health Information Stolen in Ransomware Attack (lien direct) |
> Ascension indique que les informations sur les patients ont été volées dans une attaque de ransomware en début de mai qui a impliqué un employé téléchargeant des logiciels malveillants.
>Ascension says patient information was stolen in an early-May ransomware attack that involved an employee downloading malware. |
Ransomware Malware | ||
|
2024-06-14 11:43:43 | Dans d'autres nouvelles: Fuxnet ICS MALWare, Google User Suiding, CISA Employee Scams In Other News: Fuxnet ICS Malware, Google User Tracking, CISA Employee Scams (lien direct) |
> Des histoires remarquables qui auraient pu glisser sous le radar: aperçu de l'ICS MALWORE FUXNET, Google Accusé de suivre les utilisateurs, les escrocs usurrent l'identité du personnel de CISA.
>Noteworthy stories that might have slipped under the radar: Overview of the ICS malware Fuxnet, Google accused of tracking users, scammers impersonate CISA staff. |
Malware Industrial | ||
|
2024-06-14 00:51:03 | New Warmcookie Windows Backdoor poussée via de fausses offres d'emploi New Warmcookie Windows backdoor pushed via fake job offers (lien direct) |
## Instantané Elastic Security Labs a identifié un nouveau logiciel malveillant Windows appelé "Warmcookie" distribué via de fausses campagnes de phishing pour compromettre les réseaux d'entreprise. ## Description Les e-mails de phishing contiennent des liens vers des pages de destination trompeuses, ce qui a incité les victimes à télécharger un fichier JavaScript obscurci qui exécute finalement la charge utile de chaleur.Une fois exécuté, Warmcookie établit une communication avec son serveur de commande et de contrôle (C2) et commence à collecter des informations sur les victimes, à capturer des captures d'écran, à exécuter des commandes arbitraires et à supprimer des fichiers sur des répertoires spécifiés.Warmcookie utilise diverses techniques telles que les calculs de somme de contrôle CRC32, le cryptage RC4 et la communication HTTP pour la commande et le contrôle. En juin 2024, la campagne est en cours et les acteurs de la menace créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.Selon Elastic Security Labs, Warmcookie gagne en popularité et est utilisé dans des campagnes ciblant les utilisateurs du monde entier. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win64 / Midie] (HTTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription? name = trojan: win64 / midie.gxz! mtb & menaced = -2147058392) ## Concernantfélicitations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection dans les e-mails entrants dans Microsoft Exchange Online Protection (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), qui identifie et bloque les sites Web malveillants malveillants, y compris les sites de phishing, les sites d'arnaque et les sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/cloud-potection-microsoft-defender-asvirus) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus àCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defe | Malware Tool Threat | ★★★ | |
|
2024-06-13 19:25:00 | Arid Viper lance une campagne d'espionnage mobile avec des logiciels malveillants aridspy Arid Viper Launches Mobile Espionage Campaign with AridSpy Malware (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper a été attribué à une campagne d'espionnage mobile qui exploite des applications Android trojanisées pour offrir une souche spyware baptisé AridSpy.
"Le logiciel malveillant est distribué via des sites Web dédiés imitant diverses applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien", a déclaré aujourd'hui le chercheur ESET LUK & AACUTE; Š štefanko dans un rapport publié aujourd'hui."Souvent
The threat actor known as Arid Viper has been attributed to a mobile espionage campaign that leverages trojanized Android apps to deliver a spyware strain dubbed AridSpy. "The malware is distributed through dedicated websites impersonating various messaging apps, a job opportunity app, and a Palestinian Civil Registry app," ESET researcher Lukáš Štefanko said in a report published today. "Often |
Malware Threat Mobile | APT-C-23 | ★★★ |
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-06-13 16:47:27 | Nouvelle alerte de menace mobile & # 8211;Opération céleste avant New Mobile Threat Alert – Operation Celestial Fore (lien direct) |
> Dans ce blog, Zimperium partage des détails sur la campagne de logiciels malveillants ciblés par mobile nommé l'opération Celestial Force, attribuée aux acteurs de menace liés au Pakistan.Lisez le blog pour plus.
>In this blog, Zimperium shares details about the mobile-targeted malware campaign named Operation Celestial Force, attributed to threat actors linked to Pakistan. Read the blog for more. |
Malware Threat Mobile | ★★ | |
 |
2024-06-13 16:27:55 | Les logiciels malveillants de Disgomoji ciblent le gouvernement indien DISGOMOJI Malware Used to Target Indian Government (lien direct) |
> Remarque: Volexity a signalé l'activité décrite dans ce blog et les détails des systèmes impactés sur CERT au National Informatics Center (NIC) en Inde.En 2024, Volexity a identifié une campagne de cyber-espionnage entrepris par un acteur de menace présumé basé au Pakistan que Volexité suit actuellement en vertu de l'alias UTA0137.Les logiciels malveillants utilisés dans ces campagnes récentes, que la volexité suit comme Disgomoji, est écrite en Golang et compilée pour les systèmes Linux.La volexité évalue avec une grande confiance que l'UTA0137 a des objectifs liés à l'espionnage et une remise pour cibler les entités gouvernementales en Inde.Sur la base de l'analyse de volexity \\, les campagnes d'UTA0137 \\ semblent avoir réussi.Disgomoji semble être exclusivement utilisé par UTA0137.Il s'agit d'une version modifiée du projet public Discord-C2, qui utilise le service de messagerie Discord pour la commande et le contrôle (C2), utilisant des emojis pour sa communication C2.L'utilisation de logiciels malveillants Linux pour un accès initial associé à des documents leurres (suggérant un [& # 8230;]
>Note: Volexity has reported the activity described in this blog and details of the impacted systems to CERT at the National Informatics Centre (NIC) in India. In 2024, Volexity identified a cyber-espionage campaign undertaken by a suspected Pakistan-based threat actor that Volexity currently tracks under the alias UTA0137. The malware used in these recent campaigns, which Volexity tracks as DISGOMOJI, is written in Golang and compiled for Linux systems. Volexity assesses with high confidence that UTA0137 has espionage-related objectives and a remit to target government entities in India. Based on Volexity\'s analysis, UTA0137\'s campaigns appear to have been successful. DISGOMOJI appears to be exclusively used by UTA0137. It is a modified version of the public project discord-c2, which uses the messaging service Discord for command and control (C2), making use of emojis for its C2 communication. The use of Linux malware for initial access paired with decoy documents (suggesting a […] |
Malware Threat | ★★★ | |
|
2024-06-13 15:56:00 | La campagne de logiciels malveillants liée au Pakistan évolue vers des cibles Windows, Android et MacOS Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS (lien direct) |
Les acteurs de menace ayant des liens avec le Pakistan sont liés à une campagne de logiciels malveillants de longue date surnommée l'opération Celestial Force depuis au moins 2018.
L'activité, toujours en cours, implique l'utilisation d'un logiciel malveillant Android appelé GravityRat et d'un chargeur de logiciels malveillants basé sur Windows, nommé Heavylift, selon Cisco Talos, qui sont administrés à l'aide d'un autre outil autonome appelé GravityAdmin.
Le
Threat actors with ties to Pakistan have been linked to a long-running malware campaign dubbed Operation Celestial Force since at least 2018. The activity, still ongoing, entails the use of an Android malware called GravityRAT and a Windows-based malware loader codenamed HeavyLift, according to Cisco Talos, which are administered using another standalone tool referred to as GravityAdmin. The |
Malware Tool Threat Mobile | ★★★ | |
|
2024-06-13 15:49:00 | Les cybercriminels utilisent un Phantomloader pour distribuer des logiciels malveillants SSLoad Cybercriminals Employ PhantomLoader to Distribute SSLoad Malware (lien direct) |
Les logiciels malveillants naissants connus sous le nom de SSLoad sont livrés au moyen d'un chargeur précédemment sans papiers appelé Phantomloader, selon les résultats de la société de cybersécurité Intezer.
"Le chargeur est ajouté à une DLL légitime, généralement des produits EDR ou AV, en corrigeant le fichier et en utilisant des techniques d'auto-modification pour échapper à la détection", a déclaré les chercheurs en sécurité Nicole Fishbein et Ryan Robinson
The nascent malware known as SSLoad is being delivered by means of a previously undocumented loader called PhantomLoader, according to findings from cybersecurity firm Intezer. "The loader is added to a legitimate DLL, usually EDR or AV products, by binary patching the file and employing self-modifying techniques to evade detection," security researchers Nicole Fishbein and Ryan Robinson said in |
Malware Patching | ★★★ | |
 |
2024-06-13 13:00:46 | Comment le moteur à émulation de menace de menace de menace empêche les attaques de chargement de touche de la DLL (Trojan) How ThreatCloud AI\\'s Threat Emulation Engine Prevents DLL Sideloading (Trojan) Attacks (lien direct) |
> Une nouvelle attaque sophistiquée de logiciels malveillants / trojan est conçue pour voler des informations d'identification de connexion et des informations sur les cartes de crédit des systèmes de paiement, des banques et des échanges de crypto.Cette attaque trompe les applications commerciales légitimes dans l'exécution des fichiers de bibliothèque de liens dynamiques compromis mais innocents (DLL) & # 8212;Rendant les choses très difficiles à détecter et à bloquer.La charge de touche DLL est une technique utilisée par les cybercriminels pour exécuter du code malveillant sur un système cible en exploitant la façon dont Windows charge les bibliothèques de liens dynamiques (DLL).Ce blog explore comment les moteurs à émulation de menace avancés de Check Point \\, qui font partie de l'infini menacecloud AI, ont détecté et empêché une attaque de téléchargement de DLL contre l'un de nos clients.[& # 8230;]
>A sophisticated new malware/trojan attack is designed to steal login credentials and credit card information from payment systems, banks and crypto exchanges. This attack tricks legitimate business applications into running compromised but innocent-looking dynamic link library (DLL) files — making it very difficult to detect and block. DLL sideloading is a technique used by cybercriminals to execute malicious code on a target system by exploiting the way Windows loads dynamic link libraries (DLLs). This blog explores how Check Point\'s advanced Threat Emulation engines, part of Infinity ThreatCloud AI, detected and prevented a DLL Sideloading attack on one of our customers. […] |
Malware Threat | ★★★ | |
|
2024-06-13 11:55:00 | Nouveau logiciel malveillant multiplateforme \\ 'Noodle Rat \\' cible Windows et Linux Systems New Cross-Platform Malware \\'Noodle RAT\\' Targets Windows and Linux Systems (lien direct) |
Un rat de nouilles de logiciels malveillants multiplateforme précédemment sans papiers a été utilisé par des acteurs de menace de langue chinois pour l'espionnage ou la cybercriminalité pendant des années.
Bien que cette porte dérobée ait été précédemment classée comme une variante de GH0st Rat et Rekoobe, le chercheur de micro-sécurité tendance, Hara Hiroaki, a déclaré que "cette porte dérobée n'est pas simplement une variante de logiciels malveillants existants, mais est un nouveau type".
A previously undocumented cross-platform malware codenamed Noodle RAT has been put to use by Chinese-speaking threat actors either for espionage or cybercrime for years. While this backdoor was previously categorized as a variant of Gh0st RAT and Rekoobe, Trend Micro security researcher Hara Hiroaki said "this backdoor is not merely a variant of existing malware, but is a new type altogether." |
Malware Threat Prediction | ★★ | |
|
2024-06-13 11:24:18 | AWS annonce des améliorations d'authentification et de protection contre les logiciels malveillants AWS Announces Authentication and Malware Protection Enhancements (lien direct) |
> AWS a annoncé Passkey MFA pour les utilisateurs IAM et Root, IAM Access Analyzer Mises à jour et la protection contre les logiciels malveillants Amazon GuardDuty pour S3.
>AWS announced passkey MFA for IAM and root users, IAM Access Analyzer updates, and Amazon GuardDuty Malware Protection for S3. |
Malware | ★★ | |
|
2024-06-13 07:44:20 | Botnet installant des logiciels malveillants à benerat Botnet Installing NiceRAT Malware (lien direct) |
1.Présentation Ahnlab Security Intelligence Center (ASEC) a confirmé que la tendance des botnets depuis 2019 a été continuellement utilisée pour installer des logiciels malveillants Ninerat.Un botnet est un groupe d'appareils infectés par des logiciels malveillants et contrôlés par un acteur de menace.Parce que les acteurs de la menace ont principalement lancé des attaques DDOS à l'aide de botnets dans le passé, Nitol et d'autres souches de logiciels malveillants utilisées dans les attaques DDOS ont été perçues comme les souches clés qui forment des botnets.Récemment, cependant, des souches de logiciels malveillants tels que Nanocore et Emotet qui effectuent des comportements malveillants ...
1. Overview AhnLab Security intelligence Center (ASEC) confirmed that botnets trending since 2019 have been continuously used to install NiceRAT malware. A botnet is a group of devices infected by malware and controlled by a threat actor. Because threat actors mainly launched DDoS attacks using botnets in the past, Nitol and other malware strains used in DDoS attacks were perceived as the key strains that form botnets. Recently, however, malware strains such as NanoCore and Emotet that perform malicious behaviors... |
Malware Threat | ★★ | |
|
2024-06-12 20:22:36 | IceDID apporte ScreenConnect et CSHARP Streamer au déploiement des ransomwares Alphv IcedID Brings ScreenConnect and CSharp Streamer to ALPHV Ransomware Deployment (lien direct) |
## Instantané Les chercheurs du rapport DFIR ont publié une analyse approfondie d'une cyber-intrusion d'octobre 2023 impliquant le déploiement de [icedid] (https://security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec497a22d106f671EF84D35418EC2810FADDB), [Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795fe //security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Description ÈmeLes acteurs de la menace ont acquis un accès initial via un e-mail malveillant distribuant une archive zip contenant un script de base visuel (VBS) et un fichier de lecture bénin, qui fait partie d'une campagne de spam offrant une variante de glace.Ce chargeur, priorisant la livraison de charge utile sur ses fonctions bancaires d'origine, a créé une tâche planifiée de persistance et communiqué avec un serveur de commande et de contrôle, supprimant une autre DLL icedid. L'attaquant a ensuite utilisé ScreenConnect pour la télécommande, exécuté des commandes de reconnaissance et déployé des balises de frappe de cobalt.En utilisant des outils tels que CSHARP Streamer pour l'accès des informations d'identification et RCLONE pour l'exfiltration des données, l'attaquant a maintenu la persistance et a mené la découverte de réseau.Les acteurs de la menace ont également exploité les utilitaires Windows natifs, RDP, et un outil personnalisé appelé Confucius \ _cpp.exe pour des actions malveillantes.Finalement, ils ont mis en scène et exécuté des ransomwares AlphV, supprimant les sauvegardes et laissant des notes de ransomne sur les hôtes compromis. ## Analyse Microsoft Les logiciels malveillants icedid, parfois appelés Bokbot, est un troyen bancaire modulaire observé pour la première fois en 2017. Bien qu'il ait des capacités similaires à d'autres troyens bancaires plus anciens et prolifiques, y compris Zeus et Gozi-It ne semble pas partager du code avec eux.Depuis 2017, Icedid a évolué de ses origines en tant que Troie bancaire ordinaire pour devenir un point d'entrée pour des attaques plus sophistiquées, y compris des ransomwares à hume. En savoir plus ici sur la couverture de [IceDID] (https://security.microsoft.com/intel-profiles/ee69395aeea23222d5941elec4997a22d106f671ef84d3541810faddb) et [cobalt.crosoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).Microsoft suit Alphv comme [Blackcat Ransomware] (https://security.microsoft.com/intel-profiles/5e2d288cf697eb7a6cadf420da45bbf540ff71f76d9b0b21792f3ca9668068b). ## Détections / requêtes de chasse #### Microsoft Defender Antivirus Microsoft Defender anLe tivirus détecte les composants de la menace comme le malware suivant: - [Trojandownloader: o97m / iceDID] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Description?name=trojandownOader:o97m/iceD& ;thereatid=-2147100260)) - [Trojan: Win64 / IceDID] (HTtps: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / icedid & menaceID = -2147150333) - [Trojan: Win32 / IceDID] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/iced) - [Trojan: win64 / cryptinject] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription? name = trojan: win64 / cryptinject & menaceID = -2147239683) - [Trojan: Win32 / Seheq] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/seheq& ;theretid=-2147126551) - [Ransom: win32 / blackcat] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = rançon: win32 / blackcat & menaceid = -2147158032) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojan: win32 / znyonm & menaceid = -2147076851) #### Détection et réponse des points de terminaison (EDR) Les alertes avec | Ransomware Spam Malware Tool Threat | ★★ | |
 |
2024-06-12 19:05:42 | Elastic Security Labs identifie un nouveau malware : WARMCOOKIE, les attaquants se faisant passer pour des recruteurs (lien direct) | >Elastic Security Labs a identifié un nouveau malware Windows Backdoor, WARMCOOKIE, déployé par le biais de campagnes d'emailing depuis la fin du mois d’avril. Ce logiciel malveillant est distribué quotidiennement et cible les individus par leur nom et leur employeur, se faisant passer pour une société de recrutement. Les cyberattaquants incitent les victimes à chercher […] The post Elastic Security Labs identifie un nouveau malware : WARMCOOKIE, les attaquants se faisant passer pour des recruteurs first appeared on UnderNews. | Malware | ★★ | |
|
2024-06-12 18:30:29 | Les e-mails de phishing abusent du protocole de recherche Windows pour pousser les scripts malveillants Phishing emails abuse Windows search protocol to push malicious scripts (lien direct) |
Une nouvelle campagne de phishing utilise des pièces jointes HTML qui abusent du protocole de recherche Windows (Search-MS URI) pour pousser les fichiers par lots hébergés sur des serveurs distants qui fournissent des logiciels malveillants.[...]
A new phishing campaign uses HTML attachments that abuse the Windows search protocol (search-ms URI) to push batch files hosted on remote servers that deliver malware. [...] |
Malware | ★★ | |
 |
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
 |
2024-06-12 13:24:00 | Classement Top Malware - mai 2024 : le botnet Phorpiex déclenche une frénésie de phishing, LockBit3 reprend la main (lien direct) | Les chercheurs ont découvert une campagne de diffusion de ransomware orchestrée par le botnet Phorpiex qui cible des millions d'utilisateurs par le biais d'e-mails de phishing ; De son côté, le groupe de ransomware Lockbit3 a repris du service après une courte interruption et représente un tiers des attaques par ransomware enregistrées Check Point® Software Technologies Ltd., l'un des principaux fournisseurs de plateformes de cybersécurité alimentées par l'IA et hébergées dans le cloud, a publié son (...) - Malwares | Ransomware Malware Cloud | ★★ | |
 |
2024-06-12 12:00:00 | Hackers chinois tirant parti de la porte dérobée \\ 'nouilles \\' Chinese Hackers Leveraging \\'Noodle RAT\\' Backdoor (lien direct) |
La porte dérobée ELF, qui est initialement considérée comme une variante des logiciels malveillants existants, a une fenêtre et une version Linux
The ELF backdoor, initially thought to be a variant of existing malware, has a Windows and a Linux version |
Malware | ★★ | |
 |
2024-06-12 10:00:00 | Cybersécurité des médias sociaux: ne laissez pas les employés être votre maillon le plus faible Social Media Cybersecurity: Don\\'t Let Employees Be Your Weakest Link (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Maintaining an active social media presence can be a great way to improve brand visibility and generate leads, but it also opens the door to cybersecurity risks — from phishing scams and malware to identify theft and data breaches. If employees accidentally post confidential information or click dodgy links via corporate accounts, cybercriminals can launch malicious attacks that can cause lasting damage to your business (67% of data breaches result from human error). Despite that, as many as 45% of businesses don’t have an official social media policy for employees to follow. Fortunately, by creating a comprehensive social media policy, you can raise social media cybersecurity awareness among your employees, and keep sensitive company data safe. Creating a social media policy A formal social media policy should outline cybersecurity best practices for employees working with your business’s social media accounts. At a minimum, the policy should prevent employees from posting things like private business plans, trade secrets, and personal details about other employees, customers, and clients. It’s also important to include guidance that helps employees avoid common cybersecurity risks — for example, they should know not to click on suspicious messages or links as these can contain worms (self-replicating malware) and phishing campaigns. Quizzes should also be off-limits. Although they might seem like harmless fun, social media quizzes may be harvesting company and/or personal data to sell to third-parties. Hackers can also guess passwords from the information provided in quizzes, so they should be avoided altogether. Corporate content should be posted with corporate devices, not personal ones Your social media policy should also state that work devices (and only work devices) should be used to create and publish corporate content. When staff are free to use their personal devices, they may accidentally post personal content on the corporate account (or vice versa). So, personal devices should never be used for business purposes, so as to prevent any mix-ups. Personal devices also tend to be far less secure than corporate ones. Shockingly, 36% of remote workers don’t even have standard password protection on all their personal devices, which leaves any corporate accounts accessed on them at greater risk of compromise. That said, it’s also important to regularly invest in new corporate devices rather than relying on old ones in order to save money. 60% of businesses hit by a data breach say unpatched vulnerabilities were to blame, and these weaknesses are often present on old devices. “Consider the fact that older devices run older software and are often prone to working slowly and freezing up” Retriever warns. “They’re also less likely to be able to stand cyber attacks. These factors put data at risk and it’s why it\'s recommended that compu | Malware Vulnerability | ★★★ | |
|
2024-06-12 09:42:11 | Police Arrest Couti et Lockbit Ransomware Crypter Spécialiste Police arrest Conti and LockBit ransomware crypter specialist (lien direct) |
La cyber-police ukrainienne a arrêté un homme russe de 28 ans à Kiev pour avoir travaillé avec des opérations de ransomware Conti et Lockbit pour rendre leur malware indétectable par des logiciels antivirus et mener au moins une attaque lui-même.[...]
The Ukraine cyber police have arrested a 28-year-old Russian man in Kyiv for working with Conti and LockBit ransomware operations to make their malware undetectable by antivirus software and conducting at least one attack himself. [...] |
Ransomware Malware Legislation | ★★★ | |
|
2024-06-12 08:45:00 | Campagne d'espionnage de Fortigate Chine Chinese FortiGate Espionage Campaign Snares 20,000+ Victims (lien direct) |
Les autorités néerlandaises révèlent qu'une campagne de cyber-espionnage utilisant un nouveau logiciel malveillant «Coathanger» était beaucoup plus étendue que la première pensée
Dutch authorities reveal that a cyber-espionage campaign using novel “Coathanger” malware was much more extensive than first thought |
Malware | ★★★ | |
 |
2024-06-12 07:14:06 | Le rapport néerlandais expose une campagne de Coathanger étendue, car la campagne de cyber-espionnage cible les appareils Edge Dutch report exposes expanded COATHANGER campaign, as cyber espionage campaign targets edge devices (lien direct) |
Suite au rapport de février du National National Cyber Security Center (NCSC) sur le ciblage avancé des logiciels malveillants Coathanger ...
Following the February report by the Dutch National Cyber Security Centre (NCSC) on the advanced COATHANGER malware targeting... |
Malware | ★★ | |
|
2024-06-11 22:54:08 | La nouvelle campagne Valleyrat utilise des attaques à plusieurs étapes pour compromettre les systèmes New ValleyRAT Campaign Employs Multi-Stage Attack to Compromise Systems (lien direct) |
## Instantané
Zscaler ThreatLabz a identifié une récente campagne en plusieurs étapes déploiement de la dernière version de Valleyrat, développée par un acteur de menace basé en Chine.
## Description
Valleyrat est un cheval de Troie (rat) à l'accès à distance documenté pour la première fois au début de 2023. Il vise à infiltrer les systèmes, accordant aux attaquants un contrôle non autorisé.Généralement distribué via des e-mails de phishing ou des téléchargements malveillants, la dernière version comprend de nouvelles commandes pour capturer des captures d'écran, un filtrage de processus, des fermetures forcées et effacer les journaux d'événements Windows.
La campagne commence par un téléchargeur de stade initial à l'aide d'un serveur de fichiers HTTP (HFS) pour récupérer les fichiers nécessaires.Le téléchargeur utilise diverses techniques d'évasion, telles que les contrôles anti-virus, la charge latérale DLL et l'injection de processus.
Un marqueur spécifique identifie la configuration de la communication avec le serveur de commande et de contrôle (C2), détaillant le protocole C2 IP, port et communication.Les mises à jour notables dans Valleyrat incluent les empreintes digitales améliorées et les modifications de la génération d'ID de bot.
Le premier téléchargeur étage récupère et décrypte une DLL, en lançant le processus en vérifiant et en téléchargeant des fichiers si nécessaire.Les mesures anti-AV ciblent des processus spécifiques comme le logiciel de sécurité Qihoo et Winrar.Le malware télécharge ensuite des fichiers supplémentaires et se prépare pour l'étape suivante.
Dans la deuxième étape, une application légitime (winword2013.exe) touche une DLL malveillante (wwlib.dll), qui décrypte et injecte Shellcode dans svchost.exe, en établissant la persistance en modifiant les clés Autorun et en cachant des fichiers.
La troisième étape implique des API de résolution de shellcode injectée et d'établir une connexion C2 pour télécharger d'autres étapes de logiciels malveillants.Enfin, la quatrième étape charge dynamiquement une DLL intégrée, l'analyse des données de configuration et la vérification de la charge utile finale, qui est finalement chargée et exécutée.
Les acteurs de la menace continuent d'évoluer Valleyrat pour éviter la détection, la dernière version ajoutant une collection de données améliorée pour les empreintes digitales de l'appareil et la modification du processus de génération de bot ID, mettant en évidence sa sophistication dans l'évasion des mesures de sécurité et le contrôle des systèmes infectés.
## Les références
[La nouvelle campagne Valleyrat utilise des attaques en plusieurs étapes pour compromettre les systèmes] (https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat#new_tab).Zscaler (accessoire 2024-06-11)
## Snapshot Zscaler ThreatLabz has identified a recent multi-stage campaign deploying the latest ValleyRAT version, developed by a China-based threat actor. ## Description ValleyRAT is a remote access trojan (RAT) first documented in early 2023. It aims to infiltrate systems, granting attackers unauthorized control. Typically distributed via phishing emails or malicious downloads, the latest version includes new commands for capturing screenshots, process filtering, forced shutdowns, and clearing Windows event logs. The campaign starts with an initial stage downloader using an HTTP File Server (HFS) to fetch necessary files. The downloader employs various evasion techniques, such as anti-virus checks, DLL sideloading, and process injection. A specific marker identifies the configuration for communication with the command-and-control (C2) server, detailing the C2 IP, port, and communication protocol. Notable updates in ValleyRAT include enhanced device fingerprinting and changes in bot ID generation. The first stage downloader |
Malware Threat | ★★★ | |
|
2024-06-11 19:47:45 | APT Attacks Using Cloud Storage (lien direct) | ## Snapshot AhnLab Security Intelligence Center (ASEC) has identified APT attacks utilizing cloud services like Google Drive, OneDrive, and Dropbox to distribute malware and collect user information. ## Description Threat actors upload malicious scripts, RAT malware strains, and decoy documents to cloud servers to execute various malicious behaviors. The attack process involves distributing EXE and shortcut files disguised as HTML documents, which then decode and execute PowerShell commands to download decoy documents and additional files. The threat actor\'s Dropbox contains various decoy documents, and the malware downloaded from the cloud includes XenoRAT, capable of performing malicious activities and communicating with the C2 server. The threat actor appears to target specific individuals and continuously collect information to distribute tailored malware. The threat actor\'s email addresses and C2 server address were identified during the analysis, and users are advised to be cautious as the malware not only leaks information and downloads additional malware strains but also performs malicious activities such as controlling the affected system. Additionally, users are warned to verify file extensions and formats before running them, as multiple malware strains have been found to utilize shortcut files. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enable | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
 |
2024-06-11 16:26:08 | Warmcookie donne aux cyberattaques une nouvelle porte dérobée savoureuse pour un accès initial WarmCookie Gives Cyberattackers Tasty New Backdoor for Initial Access (lien direct) |
Le malware frais est largement distribué, mais cible spécifiquement les individus avec des leurres sur mesure.Il est prêt à évoluer vers une menace plus importante, avertissent les chercheurs.
The fresh-baked malware is being widely distributed, but still specifically targets individuals with tailored lures. It\'s poised to evolve into a bigger threat, researchers warn. |
Malware Threat | ★★★ | |
 |
2024-06-11 15:54:29 | Sinister "More_eggs" malware fait craquer les entreprises en ciblant les gestionnaires d'embauche Sinister "More_eggs" Malware Cracks Into Companies by Targeting Hiring Managers (lien direct) |
|
Malware | ★★ | |
|
2024-06-11 14:17:00 | Les logiciels malveillants de Valleyrat liés en Chine refusent avec des tactiques de vol de données avancées China-Linked ValleyRAT Malware Resurfaces with Advanced Data Theft Tactics (lien direct) |
Les chercheurs en cybersécurité ont découvert une version mise à jour du malware appelé Valleyrat qui est distribué dans le cadre d'une nouvelle campagne.
"Dans la dernière version, Valleyrat a introduit de nouvelles commandes, telles que la capture de captures d'écran, le filtrage des processus, la fermeture forcée et la compensation des journaux d'événements Windows", a déclaré les chercheurs de Zscaler Threatlabz Muhammed Irfan V A et Manisha Ramcharan Prajapati.
Vallée
Cybersecurity researchers have uncovered an updated version of malware called ValleyRAT that\'s being distributed as part of a new campaign. "In the latest version, ValleyRAT introduced new commands, such as capturing screenshots, process filtering, forced shutdown, and clearing Windows event logs," Zscaler ThreatLabz researchers Muhammed Irfan V A and Manisha Ramcharan Prajapati said. ValleyRAT |
Malware | ★★★ | |
|
2024-06-11 12:00:00 | Darkgate malware se propage via des documents Excel attachés aux e-mails de phishing DarkGate Malware Being Spread Via Excel Docs Attached To Phishing Emails (lien direct) |
Malware | ★★ | ||
|
2024-06-11 10:00:00 | Les risques cachés de l'eSports: cybersécurité sur le champ de bataille virtuel The Hidden Risks of eSports: Cybersecurity on the Virtual Battlefield (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. From humble beginnings as a niche hobby relegated to small gaming cafes and basements, eSports has grown into a huge affair where gamers compete for million-dollar prizes and prestigious titles. As of 2024, the global eSports industry is worth $4.3 billion, up from just $1.2 billion in 2017. Major eSports tournaments now fill virtual arenas and stadiums, with millions of viewers tuning in. Amid the excitement and fanfare, however, a crucial aspect often gets overlooked – cybersecurity. Maintaining integrity and security in these virtual environments has become increasingly vital. From the potential for game-altering hacks and cheats to the risk of data breaches and cyberattacks, the challenges facing the industry are growing more complex by the day. Understanding the Cybersecurity Threats in eSports The eSports industry\'s rapid growth, lucrative prize pools, and massive online viewership have made it an attractive target for cybercriminals and unscrupulous actors seeking to disrupt events, compromise systems, or gain an unfair advantage. Additionally, some eSports organizations like FaZe Clan are experiencing surges on the stock market, making them even more attractive targets than, let’s say, stealing data from individual players. To begin with, let’s go through the primary cybersecurity threats plaguing the world of eSports: DDoS Attacks Distributed Denial of Service (DDoS) attacks involve sending an influx of malicious traffic to a network or server, overwhelming it and making it unable to respond to legitimate requests, effectively taking it offline. In eSports, DDoS attacks can disrupt live tournaments, causing delays, disconnections, and frustration for players and viewers alike. These can also target individual players, knocking them offline during crucial matches. For instance, in 2023, a DDoS attack on the 24 Hours of Le Mans Virtual eSports event kicked out Max Verstappen, who was leading the race. Activision Blizzard was also hit with multiple DDoS attacks in 2020, affecting several of its game titles, including Call of Duty, Overwatch, and World of Warcraft. Account Hijacking Account hijacking involves unauthorized access to a player\'s account, typically through phishing, keylogging, or exploiting security vulnerabilities. Hijacked accounts can be used for cheating, sabotage, or even sold on the black market, putting players at risk of financial loss and reputational damage. In 2019, for example, | Ransomware Malware Tool Vulnerability Threat Legislation | ★★★ | |
|
2024-06-11 09:47:22 | (Déjà vu) May 2024\'s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again (lien direct) | Mai 2024 \'s MALWWare le plus recherché: Phorpiex Botnet se révolte la frénésie de phishing tandis que Lockbit3 domine encore une fois
Les chercheurs ont découvert une campagne avec un botnet Phorpiex utilisé pour répandre les ransomwares grâce à des millions de courriels de phishing.Pendant ce temps, le groupe Ransomware Lockbit3 a rebondi après une courte pause représentant un tiers des attaques de ransomwares publiées
-
mise à jour malveillant
May 2024\'s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again Researchers uncovered a campaign with Phorpiex botnet being used to spread ransomware through millions of phishing emails. Meanwhile, the Lockbit3 Ransomware group has rebounded after a short hiatus accounting for one-third of published ransomware attacks - Malware Update |
Ransomware Malware | ★★ | |
|
2024-06-11 01:06:56 | Smalltiger malware utilisés contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) répond à des cas récemment découverts qui utilisent les logiciels malveillants Smalltiger pour attaquerEntreprises sud-coréennes.La méthode d'accès initial n'a pas encore été identifiée, mais l'acteur de menace a distribué Smalltiger dans les entreprises & # 8217;Systèmes pendant la phase de mouvement latérale.Les entrepreneurs de la défense sud-coréens, les constructeurs de pièces automobiles et les fabricants de semi-conducteurs sont quelques-uns des objectifs confirmés.Les attaques ont été trouvées pour la première fois en novembre 2023 et les souches de logiciels malveillants trouvés à l'intérieur des systèmes affectés ...
AhnLab SEcurity intelligence Center (ASEC) is responding to recently discovered cases that are using the SmallTiger malware to attack South Korean businesses. The method of initial access has not yet been identified, but the threat actor distributed SmallTiger into the companies’ systems during the lateral movement phase. South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers are some of the confirmed targets. The attacks were first found in November 2023, and the malware strains found inside the affected systems... |
Malware Threat | ★★ | |
|
2024-06-11 00:44:51 | Attaques aptes utilisant le stockage cloud APT Attacks Using Cloud Storage (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a partagé des cas d'attaques dans lesquels les acteurs de la menace utilisent des services de cloud telsEn tant que Google Drive, OneDrive et Dropbox pour collecter des informations utilisateur ou distribuer des logiciels malveillants.[1] [2] [3] & # 160; Les acteurs de la menace télécharge principalement des scripts malveillants, des souches de logiciels malveillants de rat et des documents de leurre sur les serveurs cloud pour effectuer des attaques.Les fichiers téléchargés fonctionnent systématiquement et effectuent divers comportements malveillants.Le processus du premier fichier de distribution à l'exécution des logiciels malveillants de rat est le suivant: dans tel ...
AhnLab SEcurity intelligence Center (ASEC) has been sharing cases of attacks in which threat actors utilize cloud services such as Google Drive, OneDrive, and Dropbox to collect user information or distribute malware. [1][2][3] The threat actors mainly upload malicious scripts, RAT malware strains, and decoy documents onto the cloud servers to perform attacks. The uploaded files work systematically and perform various malicious behaviors. The process from the first distribution file to the execution of RAT malware is as follows: In such... |
Malware Threat Cloud | ★★ | |
|
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ★★★ | |
|
2024-06-10 20:54:00 | More_eggs Malware déguisé en CV cible les recruteurs dans l'attaque de phishing More_eggs Malware Disguised as Resumes Targets Recruiters in Phishing Attack (lien direct) |
Les chercheurs en cybersécurité ont repéré une attaque de phishing distribuant les logiciels malveillants plus_eggs en le faisant passer pour un curriculum vitae, une technique détectée à l'origine il y a plus de deux ans.
L'attaque, qui a échoué, a ciblé une entreprise anonyme dans le secteur des services industriels en mai 2024, a révélé la société canadienne de cybersécurité Esentire la semaine dernière.
"Plus précisément, l'individu ciblé était un
Cybersecurity researchers have spotted a phishing attack distributing the More_eggs malware by masquerading it as a resume, a technique originally detected more than two years ago. The attack, which was unsuccessful, targeted an unnamed company in the industrial services industry in May 2024, Canadian cybersecurity firm eSentire disclosed last week. "Specifically, the targeted individual was a |
Malware Industrial | ★★★★ | |
|
2024-06-10 18:56:54 | Hurlant dans la boîte de réception: les dernières attaques d'aviation malveillantes de Sticky Werewolf \\ Howling at the Inbox: Sticky Werewolf\\'s Latest Malicious Aviation Attacks (lien direct) |
#### Géolocations ciblées - Russie - Biélorussie #### Industries ciblées - Systèmes de transport ## Instantané Morphisec Labs a découvert une nouvelle campagne de phishing ciblant l'industrie de l'aviation associée à un loup-garou collant, un groupe de cyber-menaces ayant des liens géopolitiques et / ou hacktivistes présumés. ## Description Sticky Wasorlf mène une campagne de phishing à l'aide de fichiers LNK malveillants déguisés en documents légitimes, tels qu'un programme de réunion et une liste de diffusion.Une fois que la victime clique sur les fichiers LNK, il déclenche des actions, y compris l'ajout d'une entrée de registre pour la persistance, l'affichage d'un message de leurre et la copie d'une image à partir d'un partage de réseau.Les fichiers LNK exécutent également un chargeur / crypter cypherit, qui est une variante d'un crypter connu utilisé par plusieurs acteurs de menace pour fournir des charges utiles malveillantes.Le Cypherit Loader / Cryter extrait les fichiers dans le répertoire% localappdata% \ Microsoft \ Windows \ InetCache et exécute un script de lot obscurci.Ce script par lots effectue des opérations telles que le retard de l'exécution, la modification des noms de fichiers et la concaténation des fichiers.Il exécute également un exécutable AutOIT avec un script compilé comme argument.Le script AutOIT exécuté a des capacités d'anti-analyse, d'anti-émulation, de persistance et de décrocheur, visant à injecter la charge utile et d'éviter les solutions de sécurité et les tentatives d'analyse. Actif depuis avril 2023, Sticky Werewolf a auparavant ciblé des organisations publiques en Russie et en Biélorussie, une entreprise pharmaceutique et un institut de recherche russe traitant de la microbiologie et du développement de vaccins.Morphisec Labs juge que le groupe a probablement des liens géopolitiques et / ou hacktivistes.Bien que l'origine géographique et la base géographique du groupe restent floues, les techniques d'attaque récentes suggèrent que l'espionnage et l'intention d'exfiltration des données. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [Backdoor: win32 / limerat] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win32/limerat.ya!mtb) - [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan%3Awin32%2fcasdet!rfn) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/winlnk.a) ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection d | Malware Tool Threat | ★★★★ | |
|
2024-06-10 14:00:00 | UNC5537 cible les instances des clients de Snowflake pour le vol de données et l'extorsion UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) |
Introduction Through the course of our incident response engagements and threat intelligence collections, Mandiant has identified a threat campaign targeting Snowflake customer database instances with the intent of data theft and extortion. Snowflake is a multi-cloud data warehousing platform used to store and analyze large amounts of structured and unstructured data. Mandiant tracks this cluster of activity as UNC5537, a financially motivated threat actor suspected to have stolen a significant volume of records from Snowflake customer environments. UNC5537 is systematically compromising Snowflake customer instances using stolen customer credentials, advertising victim data for sale on cybercrime forums, and attempting to extort many of the victims. Mandiant\'s investigation has not found any evidence to suggest that unauthorized access to Snowflake customer accounts stemmed from a breach of Snowflake\'s enterprise environment. Instead, every incident Mandiant responded to associated with this campaign was traced back to compromised customer credentials. In April 2024, Mandiant received threat intelligence on database records that were subsequently determined to have originated from a victim\'s Snowflake instance. Mandiant notified the victim, who then engaged Mandiant to investigate suspected data theft involving their Snowflake instance. During this investigation, Mandiant determined that the organization\'s Snowflake instance had been compromised by a threat actor using credentials previously stolen via infostealer malware. The threat actor used these stolen credentials to access the customer\'s Snowflake instance and ultimately exfiltrate valuable data. At the time of the compromise, the account did not have multi-factor authentication (MFA) enabled. On May 22, 2024 upon obtaining additional intelligence identifying a broader campaign targeting additional Snowflake customer instances, Mandiant immediately contacted Snowflake and began notifying potential victims through our Victim Notification Program. To date, Mandiant and Snowflake have notified approximately 165 potentially exposed organizations. Snowflake\'s Customer Support has been directly engaged with these customers to ensure the safety of their accounts and data. Mandiant and Snowflake have been conducting a joint investigation into this ongoing threat campaign and coordinating with relevant law enforcement agencies. On May 30, 2024, Snowflake published detailed detection and hardening guidance to Snowflake customers. | Malware Tool Threat Legislation Cloud | ★★ | |
 |
2024-06-10 13:33:43 | Euro 2024: assurer la cybersécurité pendant la fièvre du football Euro 2024: Ensuring Cybersecurity During Football Fever (lien direct) |
> Alors que l'Euro 2024 approche, l'excitation parmi les fans de football est palpable.Cependant, alors que des millions de passionnés se préparent à profiter du beau jeu, les cybercriminels se préparent également à exploiter la ferveur.Des escroqueries au phishing aux logiciels malveillants, les menaces numériques lors de ces événements de haut niveau sont réelles et significatives.Les principaux événements sportifs comme Euro 2024 attirent & # 8230;
>As Euro 2024 draws near, the excitement among football fans is palpable. However, while millions of enthusiasts gear up to enjoy the beautiful game, cybercriminals are also preparing to exploit the fervor. From phishing scams to malware, the digital threats during such high-profile events are real and significant. Major sporting events like Euro 2024 attract … |
Malware Threat | ★★★ | |
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ★★ | |
|
2024-06-10 13:00:31 | Mai 2024 \\'s Mostware le plus recherché: Phorpiex botnet se lâche la frénésie de phishing tandis que Lockbit3 domine une fois de plus May 2024\\'s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again (lien direct) |
> Les chercheurs ont découvert une campagne avec un botnet Phorpiex utilisé pour répandre les ransomwares grâce à des millions de courriels de phishing.Pendant ce temps, le groupe Ransomware Lockbit3 a rebondi après une courte pause représentant un tiers des attaques de ransomware publiées, notre dernier indice de menace mondial pour mai 2024 a révélé que les chercheurs avaient découvert une campagne de Malspam orchestrée par le botnet Phorpiex.Les millions de courriels de phishing envoyés contenaient Lockbit Black & # 8211;basé sur LockBit3 mais non affilié au groupe Ransomware.Dans un développement non lié, le groupe réel de Lockbit3 Ransomware-as-a-Service (RAAS) a augmenté en prévalence après une courte interruption après un démontage mondial des forces de l'ordre, comptabilité [& # 8230;]
>Researchers uncovered a campaign with Phorpiex botnet being used to spread ransomware through millions of phishing emails. Meanwhile, the Lockbit3 Ransomware group has rebounded after a short hiatus accounting for one-third of published ransomware attacks Our latest Global Threat Index for May 2024 revealed that researchers had uncovered a malspam campaign orchestrated by the Phorpiex botnet. The millions of phishing emails sent contained LockBit Black – based on LockBit3 but unaffiliated with the Ransomware group. In an unrelated development, the actual LockBit3 ransomware-as-a-Service (RaaS) group surged in prevalence after a short hiatus following a global takedown by law enforcement, accounting […] |
Ransomware Malware Threat Legislation | ★★★ | |
|
2024-06-07 21:14:00 | Variante macOS de Spyware \\ de Lightspy trouvé avec des capacités de surveillance avancées LightSpy Spyware\\'s macOS Variant Found with Advanced Surveillance Capabilities (lien direct) |
Les chercheurs en cybersécurité ont révélé que les logiciels espions légers ciblant les utilisateurs d'Apple iOS est en fait une variante macOS non documentée de l'implant.
Les résultats proviennent à la fois de Huntress Labs et de ThreatFabric, qui a analysé séparément les artefacts associés au cadre de logiciel malveillant multiplateforme qui possède probablement des capacités pour infecter Android, iOS, Windows, MacOS,
Cybersecurity researchers have disclosed that the LightSpy spyware allegedly targeting Apple iOS users is in fact a previously undocumented macOS variant of the implant. The findings come from both Huntress Labs and ThreatFabric, which separately analyzed the artifacts associated with the cross-platform malware framework that likely possesses capabilities to infect Android, iOS, Windows, macOS, |
Malware Mobile | ★★★ | |
|
2024-06-07 21:10:07 | TargetCompany\'s Linux Variant Targets ESXi Environments (lien direct) | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu | Ransomware Malware Tool Threat Mobile Prediction | ★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 17:32:33 | Cloudforce One perturbe la campagne de phishing Flyetyeti alignée en Russie exploitant le stress financier ukrainien Cloudforce One Disrupts Russia-Aligned FlyingYeti Phishing Campaign Exploiting Ukrainian Financial Stress (lien direct) |
#### Géolocations ciblées - Ukraine - Russie - L'Europe de l'Est #### Industries ciblées - Services financiers - Produits de dépôt, de crédit à la consommation et de systèmes de paiement ## Instantané Des chercheurs de Cloudflare ont détaillé les activités de l'acteur de menace aligné par la Russie, Flyingyeti, qui ciblait des individus ukrainiens, en particulier ceux confrontés au stress financier en raison de la levée de l'interdiction du gouvernement et de l'interdiction des expulsions et de la fin des services utilitaires pour une dette impayée. ## Description Flyetyeti a utilisé des tactiques de phishing à l'aide de leurres sur le thème de la dette et a exploité la vulnérabilité Winrar [CVE-2023-38831] (https://security.microsoft.com/intel-explorer/cves/cve-2023-38831/description) pour livrer la Cookbox/CVE-2023-38831/description) pour livrer le Cookboxmalware.L'acteur de menace s'est principalement concentré sur le ciblage des entités militaires ukrainiennes, en utilisant DNS dynamique pour les infrastructures et en tirant parti des plates-formes cloud pour l'hébergement de contenu malveillant et de contrôle et de contrôle des logiciels malveillants.L'objectif de l'acteur de menace était de livrer le logiciel malveillant de la boîte de cuisine via des documents de leurre et des liens de suivi cachés, avec le serveur C2 situé à Postdock \ [. \] Serveftp \ [. \] Com. Les actions de Cloudforce One ont conduit au retrait des fichiers malveillants de l'acteur de menace et de la suspension de leurs comptes, ainsi que de la coordination avec des partenaires de l'industrie pour atténuer l'activité de l'acteur.Cloudflare a fourni des informations sur les techniques de phishing et de livraison de Flyeti \\, les mesures défensives prises par Cloudforce One, les efforts de coordination avec les partenaires de l'industrie et les recommandations pour la chasse aux opérations Flyety et l'atténuation des menaces liées. ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: ** CVE-2023-38831 Détections connexes ** - [Exploit: win32 / cve-2023-38831] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=exPLOIT: WIN32 / CVE-2023-38831 & menaceID = -2147077428 & ocid = magicti_ta_ency) - [Exploit: BAT / CVE-2023-38831.D] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Scription?name=Exploit:bat/CVE-2023-38831.D & menaceID = -2147078218 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande leE Suite à des atténuations pour réduire l'impact de cette menace. - Utilisez la dernière version [Winrarsion 6.23] (https://www.win-rar.com/singlenewsview.html?&l=0&tx_ttnews%5BTT_NEWS%5D=232&chash=c5bf79590657e3 . - Investir dansSolutions avancées et anti-phishing qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_ta_learndoc) rassemble une gestion d'incident et d'alerte à travers les e-mails, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentiftify and Block] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc) Site Web malveillantS, y compris ceux utilisés dans cette campagne de phishing. - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou l | Malware Tool Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
