What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-10 22:09:54 | Les systèmes d'acteurs de menace peuvent également être exposés et utilisés par d'autres acteurs de menace Threat Actors_ Systems Can Also Be Exposed and Used by Other Threat Actors (lien direct) |
## Instantané L'AHNLAB Security Intelligence Center (ASEC) discute de l'exposition des systèmes des acteurs de la menace aux cyberattaques, en particulier dans un cas où le serveur proxy d'un attaquant de Coinmineur \\ a été ciblé par un protocole de bureau à distance de Ransomware Kene) scanner l'attaque. ## Description L'attaquant Coinmin, a utilisé un serveur proxy pour accéder à un botnet infecté, qui a exposé par inadvertance son port à l'attaque de balayage RDP de l'acteur ransomware, entraînant le botnet infecté par un ransomware.L'infection à Coinmingir s'est produite via des attaques de scan ciblant les comptes d'administrateur MS-SQL Server, suivis du déploiement d'une porte dérobée et de Coinmin.De plus, il explore les hypothèses concernant la nature intentionnelle ou accidentelle de l'attaque, concluant que bien qu'il soit rare que les infrastructures des acteurs de menace soient ciblées, ces incidents présentent des défis dans l'analyse du comportement et des intentions des acteurs de menace impliqués. [En savoir plus surCoin Miners ICI.] (https://learn.microsoft.com/en-us/defender-endpoint/malware/coinmin-malware) ## RecommandationsLa documentation technique Microsoft SQL Server et les étapes pour sécuriser les serveurs SQL peuvent être trouvées ici: [Documentation de sécurité pour SQL Server & Azure SQL Base de données - SQL Server |Microsoft Learn] (https://learn.microsoft.com/en-us/sql/relationd-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database?view=SQL-Server-Ver16) Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes ent | Ransomware Malware Tool Threat Technical | ||
|
2024-06-10 18:56:54 | Hurlant dans la boîte de réception: les dernières attaques d'aviation malveillantes de Sticky Werewolf \\ Howling at the Inbox: Sticky Werewolf\\'s Latest Malicious Aviation Attacks (lien direct) |
#### Géolocations ciblées - Russie - Biélorussie #### Industries ciblées - Systèmes de transport ## Instantané Morphisec Labs a découvert une nouvelle campagne de phishing ciblant l'industrie de l'aviation associée à un loup-garou collant, un groupe de cyber-menaces ayant des liens géopolitiques et / ou hacktivistes présumés. ## Description Sticky Wasorlf mène une campagne de phishing à l'aide de fichiers LNK malveillants déguisés en documents légitimes, tels qu'un programme de réunion et une liste de diffusion.Une fois que la victime clique sur les fichiers LNK, il déclenche des actions, y compris l'ajout d'une entrée de registre pour la persistance, l'affichage d'un message de leurre et la copie d'une image à partir d'un partage de réseau.Les fichiers LNK exécutent également un chargeur / crypter cypherit, qui est une variante d'un crypter connu utilisé par plusieurs acteurs de menace pour fournir des charges utiles malveillantes.Le Cypherit Loader / Cryter extrait les fichiers dans le répertoire% localappdata% \ Microsoft \ Windows \ InetCache et exécute un script de lot obscurci.Ce script par lots effectue des opérations telles que le retard de l'exécution, la modification des noms de fichiers et la concaténation des fichiers.Il exécute également un exécutable AutOIT avec un script compilé comme argument.Le script AutOIT exécuté a des capacités d'anti-analyse, d'anti-émulation, de persistance et de décrocheur, visant à injecter la charge utile et d'éviter les solutions de sécurité et les tentatives d'analyse. Actif depuis avril 2023, Sticky Werewolf a auparavant ciblé des organisations publiques en Russie et en Biélorussie, une entreprise pharmaceutique et un institut de recherche russe traitant de la microbiologie et du développement de vaccins.Morphisec Labs juge que le groupe a probablement des liens géopolitiques et / ou hacktivistes.Bien que l'origine géographique et la base géographique du groupe restent floues, les techniques d'attaque récentes suggèrent que l'espionnage et l'intention d'exfiltration des données. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [Backdoor: win32 / limerat] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win32/limerat.ya!mtb) - [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan%3Awin32%2fcasdet!rfn) - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-description?name=trojan:win32/winlnk.a) ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) pour les utilisateurs. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-politique) de tous les appareils à tous les endroits à tout moment. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) et [anti-malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) Protection d | Malware Tool Threat | ||
 |
2024-06-10 15:18:29 | Vous voulez un accès gratuit et anonyme aux chatbots IA?Le nouvel outil de DuckDuckGo \\ est pour vous Want free and anonymous access to AI chatbots? DuckDuckGo\\'s new tool is for you (lien direct) |
Le Duckduck GO à l'origine de la vie privée promet que vos conversations sont privées, anonymisées et non utilisées pour la formation du modèle d'IA.
The privacy-minded DuckDuck Go promises that your chats are private, anonymized, and not used for AI model training. |
Tool | ||
 |
2024-06-10 14:00:00 | UNC5537 cible les instances des clients de Snowflake pour le vol de données et l'extorsion UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) |
Introduction Through the course of our incident response engagements and threat intelligence collections, Mandiant has identified a threat campaign targeting Snowflake customer database instances with the intent of data theft and extortion. Snowflake is a multi-cloud data warehousing platform used to store and analyze large amounts of structured and unstructured data. Mandiant tracks this cluster of activity as UNC5537, a financially motivated threat actor suspected to have stolen a significant volume of records from Snowflake customer environments. UNC5537 is systematically compromising Snowflake customer instances using stolen customer credentials, advertising victim data for sale on cybercrime forums, and attempting to extort many of the victims. Mandiant\'s investigation has not found any evidence to suggest that unauthorized access to Snowflake customer accounts stemmed from a breach of Snowflake\'s enterprise environment. Instead, every incident Mandiant responded to associated with this campaign was traced back to compromised customer credentials. In April 2024, Mandiant received threat intelligence on database records that were subsequently determined to have originated from a victim\'s Snowflake instance. Mandiant notified the victim, who then engaged Mandiant to investigate suspected data theft involving their Snowflake instance. During this investigation, Mandiant determined that the organization\'s Snowflake instance had been compromised by a threat actor using credentials previously stolen via infostealer malware. The threat actor used these stolen credentials to access the customer\'s Snowflake instance and ultimately exfiltrate valuable data. At the time of the compromise, the account did not have multi-factor authentication (MFA) enabled. On May 22, 2024 upon obtaining additional intelligence identifying a broader campaign targeting additional Snowflake customer instances, Mandiant immediately contacted Snowflake and began notifying potential victims through our Victim Notification Program. To date, Mandiant and Snowflake have notified approximately 165 potentially exposed organizations. Snowflake\'s Customer Support has been directly engaged with these customers to ensure the safety of their accounts and data. Mandiant and Snowflake have been conducting a joint investigation into this ongoing threat campaign and coordinating with relevant law enforcement agencies. On May 30, 2024, Snowflake published detailed detection and hardening guidance to Snowflake customers. | Malware Tool Threat Legislation Cloud | ||
|
2024-06-10 13:07:23 | Faits saillants hebdomadaires OSINT, 10 juin 2024 Weekly OSINT Highlights, 10 June 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ révèlent des cyber-menaces diverses et sophistiquées ciblant divers secteurs.L'ingénierie sociale et le phishing étaient des thèmes prominants, le kit de phishing V3B ciblant les clients de la banque européenne et la campagne sur le thème de Flyeti \\ contre les Ukrainiens.Les thèmes supplémentaires incluent l'évolution des attaques de ransomwares, illustrés par l'émergence de ransomwares et de ransomhub de brouillard, ainsi que des groupes et des groupes de cybercrimins exploitant les vulnérabilités logicielles, telles que les attaques de Water Sigbin \\ sur les serveurs Weblogic Oracle et la déshabitation contre les utilisateurs avancés du scanner IP.En outre, l'utilisation de logiciels malveillants de marchandises comme Chalubo pour perturber les routeurs Soho et les attaques en plusieurs étapes contre des entités ukrainiennes met en évidence la nature persistante et adaptative des acteurs de la menace moderne, soulignant la nécessité de mesures de sécurité robustes et dynamiques. ## Description 1. ** [Fausses mises à jour livrant BitRat et Lumma Stealer] (https://security.microsoft.com/intel-explorer/articles/aff8b8d5) **: ESENTRE a détecté de fausses mises à jour délivrant Bittrat et Lumma Stealer, lancé par des utilisateurs visitant une fausse mise à jourpage Web infectée.L'attaque a utilisé un code JavaScript malveillant, conduisant à une fausse page de mise à jour et en tirant parti des noms de confiance pour une large portée et un impact. 2. ** [Nouveau kit de phishing \\ 'v3b \' ciblant les banques européennes] (https://security.microsoft.com/intel-explorer/articles/5c05cdcd) **: les cybercriminaux utilisent le kit de phishing V3B, promusur Telegram, ciblant les clients des grandes institutions financières européennes.Le kit, offrant une obscurité avancée et un soutien à OTP / TAN / 2FA, facilite l'interaction en temps réel avec les victimes et vise à intercepter les références bancaires et les détails de la carte de crédit. 3. ** [TargetCompany Ransomware \'s New Linux Variant] (https://security.microsoft.com/intel-explorer/articles/dccc6ab3) **: Trend Micro Rapportsvariante, à l'aide d'un script de shell personnalisé pour la livraison de charge utile et l'exfiltration des données.Le ransomware cible les environnements VMware ESXi, visant à maximiser les perturbations et les paiements de rançon. 4. ** [Water Sigbin exploite Oracle Weblogic Vulnérabilités] (https://security.microsoft.com/intel-explorer/articles/d4ad1229) **: le gang 8220 basé en Chine, également connu sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine 8220, également connues sous le nom de Water Sigbin, exploite les vulnérabilités dans les vulnérabilités dans la Chine,Serveurs Oracle Weblogic pour déployer des logiciels malveillants d'exploration de crypto-monnaie.Le groupe utilise des techniques d'obscuscations sophistiquées et HTTP sur le port 443 pourLivraison de charge utile furtive. 5. ** [Ransomware de brouillard cible les organisations éducatives américaines] (https://security.microsoft.com/intel-Explorateur / articles / B474122C) **: Arctic Wolf Labs a découvert des ransomwares de brouillard ciblant les établissements d'enseignement américains via des informations d'identification VPN compromises.Les attaquants utilisent des tactiques à double extension, cryptant des fichiers et le vol de données pour contraindre les victimes dans le paiement des rançons. 6. **[FlyingYeti Targets Ukrainian Entities](https://security.microsoft.com/intel-explorer/articles/46bbe9fb)* | Ransomware Malware Tool Vulnerability Threat Prediction | ||
 |
2024-06-10 12:00:50 | Garder le contenu frais: 4 meilleures pratiques pour la sensibilisation à la sécurité axée sur les menaces pertinente Keeping Content Fresh: 4 Best Practices for Relevant Threat-Driven Security Awareness (lien direct) |
The threat landscape moves fast. As new attack methods and social engineering techniques appear, organizations need to maintain security awareness programs that are relevant, agile and focused. Research from Proofpoint for the 2024 State of the Phish report found that most businesses used real-world threat intelligence to shape their security awareness programs in 2023. That makes us happy! At Proofpoint, we know it is essential to use threats and trends from the wild to teach your employees about attacks they might encounter. It is equally important to ensure that your program isn\'t teaching them about security topics that are no longer relevant. In this article, we discuss four essential best practices to help keep your security awareness and training content both fresh and threat-driven: Analyze real threat trends to stay current and relevant Use real-world threats to inform your testing and training Refresh your training plan so that it\'s relevant and accurate Ensure that security practitioners stay on top of content changes An image from our always-fresh (see what we did here?) phishing template that tests brand impersonation. The human-centric risk of not keeping it fresh Let\'s first talk about what happens when you use outdated threat content to train your employees. The results can create significant human-centric risk for your business because your employees might approach security with unsafe behavior such as: Having a false sense of security about their knowledge. People might believe they are well prepared to identify and respond to threats, leading to actions based on incorrect assumptions. Not responding effectively to targeted threats. People might make decisions based on incorrect assumptions, increasing the possibility of successful attacks specific to their role or industry. Incorrectly reporting a security incident. Outdated training content may give incorrect procedures for reporting and responding to security incidents. Being noncompliant with industry regulations. Outdated content might not fit the required compliance training, exposing your company to possible legal and financial penalties. Being unengaged in your security culture. If employees perceive security education as outdated or irrelevant, they might see security responsibility as a waste of their time. Now, let\'s talk about our four best practices to help ensure that none of this happens. An image from the “AI Chatbot Threats” training (play video). 1: Analyze real threat trends to stay current and relevant Informing your program with threat intelligence is a must. Real-world insights will help your employees understand the scope and impact of the threats they may face. It will also enable your security teams to tailor their training and messaging accordingly. To use threat intelligence effectively, security awareness practitioners must work collaboratively across their organizations. You want to understand the attack trends that the security practitioners who monitor, analyze and investigate cyber threats see in real time. These practitioners might be your incident response team or your security operations center (SOC) team. At Proofpoint, we are committed to staying on top of the latest threats and passing this information to customers. The Proofpoint Security Awareness solution is built on insights that we gather from analyzing over 2.6 billion emails daily, monitoring 430+ million domains and tracking hundreds of threat groups to stay ahead of attackers. We do this by collaborating with our in-house Threat Intelligence Services team and using their insights in our integrated threat platform, which ties email monitoring and remediation to human risk detection and education. Recent insights from real-world trends include: Telephone-oriented attack delivery (TOAD). In the 2024 State of the Phish, we reported | Tool Vulnerability Threat Prediction | ||
 |
2024-06-10 11:34:09 | Utilisation des dossiers de santé électroniques (DSE) pour l'extraction des données de santé Using Electronic Health Records (EHRs) for Healthcare Data Extraction (lien direct) |
Les dossiers de santé électroniques (DSE) sont devenus des outils cruciaux pour stocker et gérer les informations sur les patients.Ces enregistrements numériques contiennent & # 8230;
Electronic health records (EHRs) have become crucial tools for storing and managing patient information. These digital records contain… |
Tool Medical | ||
|
2024-06-07 21:10:07 | TargetCompany\'s Linux Variant Targets ESXi Environments (lien direct) | #### Géolocations ciblées - Taïwan - Inde - Thaïlande - Corée ## Instantané Trend Micro a indiqué que le groupe Ransomware TargetCompany a introduit une nouvelle variante Linux du malware en utilisant un script de shell personnalisé pour la livraison et l'exécution de la charge utile. Lire la rédaction de Microsoft \\ sur TargetCompany Ransomware [ici] (https://security.microsoft.com/intel-profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e). ## Description Détectée pour la première fois en juin 2021, TargetCompany Ransomware est également suivi comme Mallox, Fargo et Tohnichi.Depuis sa création, le groupe de menaces TargetCompany a modifié les techniques de Ransomware \\ pour échapper aux détections.Récemment, le groupe a publié une nouvelle variante Linux qui a une CRIPT Shell personnalisée pour la livraison et l'exécution de la charge utile. Cette méthode est unique à cette variante, marquant une évolution significative des versions précédentes.Le script shell facilite non seulement le déploiement des ransomwares, mais exfiltre également les données de victime à deux serveurs, assurant la sauvegarde. Cette variante Linux cible spécifiquement les environnements VMware ESXi, visant à maximiser les perturbations et à augmenter les paiements de rançon car ceux-ci hébergent souvent une infrastructure virtualisée critique dans les organisations.Le ransomware vérifie les droits administratifs avant de procéder, supprimant un fichier nommé cibleInfo.txt pour recueillir et envoyer des informations de victime à un serveur de commande et de contrôle.Le binaire vérifie un environnement VMware et procède avec cryptage s'il est confirmé, ajoutant ".Rocked" aux fichiers cryptés et abandonnant une note de rançon nommée comment décrypter.txt. Le script de shell personnalisé, une nouvelle fonctionnalité, télécharge et exécute la charge utile des ransomwares à partir d'une URL spécifiée, en utilisant des commandes comme "wget" ou "curl".Après l'exécution, le script lit cibleInfo.txt et le télécharge sur un autre serveur, garantissant la redondance des données.Après la routine, le script supprime la charge utile, compliquant l'analyse médico-légale. Cette nouvelle technique, impliquant une exfiltration de données à double données et un ciblage des environnements de virtualisation, présente l'évolution et la sophistication continues du groupe.L'infrastructure de cette attaque comprend un IP hébergé par China Mobile Communications;Cependant, le certificat n'est valable que trois mois suggérant une utilisation à court terme pour les activités malveillantes.Au cours de cette année, Trendmicro a observé que l'activité cible de la composition était concentrée à Taïwan, en Inde, en Thaïlande et en Corée du Sud. ## Analyse Microsoft Les acteurs de menace libèrent souvent des variantes Linux en logiciels malveillants afin d'augmenter leur base cible et de contourner les mesures de sécurité.D'autres types de logiciels malveillants comme AbySS Locker, un puissant ransomware de cryptor et Nood Rat, une variante du rat malveillant malveillant de porte dérobée, ont tous deux des variantes Linux. En savoir plus sur les tendances récentes OSINT dans LinUX Malware [ici] (https://security.microsoft.com/intel-explorer/articles/ccbece59). ## Détections / requêtes de chasse ** microRosoft Defender pour Endpoint ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win32 / fargo] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32 / fargo.zz & menaceID = -2147130109) * - * [Ransom: win64 / mallox] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Ransom: Win64 / Mallox & menaceID = -2147061166) * ## Recommandations Microsoft recommande les atténuations suivantes pour rédu | Ransomware Malware Tool Threat Mobile Prediction | ★★ | |
|
2024-06-07 19:53:27 | Water Sigbin utilise des techniques d'obscurcissement avancées dans les dernières attaques exploitant les vulnérabilités Oracle Weblogic Water Sigbin Employs Advanced Obfuscation Techniques in Latest Attacks Exploiting Oracle WebLogic Vulnerabilities (lien direct) |
## Snapshot Trend Micro has discovered that Water Sigbin, a China-based threat actor also known as the 8220 Gang, has been exploiting vulnerabilities in Oracle WebLogic servers to deploy cryptocurrency-mining malware. The group has adopted new techniques to conceal its activities, such as hexadecimal encoding of URLs and using HTTP over port 443 for stealthy payload delivery. ## Description Water Sigbin has been actively exploiting vulnerabilities in Oracle WebLogic server, specifically [CVE-2017-3506](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-3506/overview) and [CVE-2023-21839](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-21839/overview), to deploy cryptocurrency-mining malware. The group employs fileless attacks using .NET reflection techniques in PowerShell scripts, allowing the malware code to run solely in memory, evading disk-based detection mechanisms. The threat actor\'s exploitation of CVE-2023-21839 involved the deployment of shell scripts in Linux and a PowerShell script in Windows, showcasing obfuscation techniques and the use of HTTP over port 443 for stealthy communication. The PowerShell script "bin.ps1" and the subsequent "microsoft\_office365.bat" script both contain obfuscated code and instructions for executing malicious activities, demonstrating the threat actor\'s sophisticated tactics to evade detection and execute their malicious payload. ### Additional Analysis Active since at least 2017, Water Sigbin focuses on cryptocurrency-mining malware in cloud-based environments and Linux servers. For example, in 2023, [Ahnlab Security Emergency response Center (ASEC) discovered that Water Sigbin was using the Log4Shell](https://security.microsoft.com/intel-explorer/articles/11512be5) vulnerability to install CoinMiner in VMware Horizon servers. Water Sigbin\'s malicious activity highlights several key trends Microsoft has been tracking in recent years, including cryptojacking, threats to Linux (GNU/Linux OS), and recent attack trends in the malicious use of Powershell. - Microsoft has tracked the growing risk that [cryptojacking](https://security.microsoft.com/intel-explorer/articles/6a3e5fd2)– a type of cyberattack that uses computing power to mine cryptocurrency – poses to targeted organizations. In cloud environments, cryptojacking takes the form of cloud compute resource abuse, which involves a threat actor compromising legitimate tenants. Cloud compute resource abuse could result in financial loss to targeted organizations due to the compute fees that can be incurred from the abuse. - [Threats to Linux (GNU/Linux OS) have made OSINT headlines](https://security.microsoft.com/intel-explorer/articles/ccbece59) in recent months as threat actors continue to evolve attack techniques and increasingly prioritize Linux-based targets. Microsoft has been tracking trends across recent reporting of Linux malware across the security community. These trends include: exploiting misconfigurations or previous service versions, targeting service 1-day vulnerabilities, and ransomware and cryptocurrency mining. - From cybercrime to nation-state groups, threat actors have long used Windows PowerShell to assist in their malicious activities. Read more here about Microsoft\'s most frequent observations and how to protect against the [Malicious use of Powershell.](https://security.microsoft.com/intel-explorer/articles/3973dbaa) ## Detections/Hunting Queries ### Microsoft Defender for Endpoint The following alerts might indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report - **PowerShell execution phase detections** - PowerShell created possible reverse TCP shell - Suspicious process executed PowerShell command - Suspicious PowerShell download or encoded command execution - Suspiciously named files launched u | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★ | |
|
2024-06-07 17:32:33 | Cloudforce One perturbe la campagne de phishing Flyetyeti alignée en Russie exploitant le stress financier ukrainien Cloudforce One Disrupts Russia-Aligned FlyingYeti Phishing Campaign Exploiting Ukrainian Financial Stress (lien direct) |
#### Géolocations ciblées - Ukraine - Russie - L'Europe de l'Est #### Industries ciblées - Services financiers - Produits de dépôt, de crédit à la consommation et de systèmes de paiement ## Instantané Des chercheurs de Cloudflare ont détaillé les activités de l'acteur de menace aligné par la Russie, Flyingyeti, qui ciblait des individus ukrainiens, en particulier ceux confrontés au stress financier en raison de la levée de l'interdiction du gouvernement et de l'interdiction des expulsions et de la fin des services utilitaires pour une dette impayée. ## Description Flyetyeti a utilisé des tactiques de phishing à l'aide de leurres sur le thème de la dette et a exploité la vulnérabilité Winrar [CVE-2023-38831] (https://security.microsoft.com/intel-explorer/cves/cve-2023-38831/description) pour livrer la Cookbox/CVE-2023-38831/description) pour livrer le Cookboxmalware.L'acteur de menace s'est principalement concentré sur le ciblage des entités militaires ukrainiennes, en utilisant DNS dynamique pour les infrastructures et en tirant parti des plates-formes cloud pour l'hébergement de contenu malveillant et de contrôle et de contrôle des logiciels malveillants.L'objectif de l'acteur de menace était de livrer le logiciel malveillant de la boîte de cuisine via des documents de leurre et des liens de suivi cachés, avec le serveur C2 situé à Postdock \ [. \] Serveftp \ [. \] Com. Les actions de Cloudforce One ont conduit au retrait des fichiers malveillants de l'acteur de menace et de la suspension de leurs comptes, ainsi que de la coordination avec des partenaires de l'industrie pour atténuer l'activité de l'acteur.Cloudflare a fourni des informations sur les techniques de phishing et de livraison de Flyeti \\, les mesures défensives prises par Cloudforce One, les efforts de coordination avec les partenaires de l'industrie et les recommandations pour la chasse aux opérations Flyety et l'atténuation des menaces liées. ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: ** CVE-2023-38831 Détections connexes ** - [Exploit: win32 / cve-2023-38831] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=exPLOIT: WIN32 / CVE-2023-38831 & menaceID = -2147077428 & ocid = magicti_ta_ency) - [Exploit: BAT / CVE-2023-38831.D] (https://www.microsoft.com/en-us/wdssi/Threats/Malware-encyClopedia-Scription?name=Exploit:bat/CVE-2023-38831.D & menaceID = -2147078218 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande leE Suite à des atténuations pour réduire l'impact de cette menace. - Utilisez la dernière version [Winrarsion 6.23] (https://www.win-rar.com/singlenewsview.html?&l=0&tx_ttnews%5BTT_NEWS%5D=232&chash=c5bf79590657e3 . - Investir dansSolutions avancées et anti-phishing qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_ta_learndoc) rassemble une gestion d'incident et d'alerte à travers les e-mails, les appareilset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentiftify and Block] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc) Site Web malveillantS, y compris ceux utilisés dans cette campagne de phishing. - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou l | Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-06-07 16:39:00 | Cyber Landscape évolue - votre SCA devrait aussi Cyber Landscape is Evolving - So Should Your SCA (lien direct) |
Les SCAS traditionnels sont cassés: saviez-vous que vous manquez des pièces critiques?
Les professionnels de la sécurité des applications sont confrontés à d'énormes défis assurant leurs chaînes d'approvisionnement logicielles, en course contre le temps pour battre l'attaquant à la marque. & Nbsp;
Les outils d'analyse de composition logicielle (SCA) sont devenus un instrument de base dans l'arsenal de sécurité des applications au cours des 7 dernières années.Bien que essentiels, de nombreuses plateformes
Traditional SCAs Are Broken: Did You Know You Are Missing Critical Pieces? Application Security professionals face enormous challenges securing their software supply chains, racing against time to beat the attacker to the mark. Software Composition Analysis (SCA) tools have become a basic instrument in the application security arsenal in the last 7 years. Although essential, many platforms |
Tool | ★★★ | |
|
2024-06-07 16:37:00 | Le débat sur l'IA: les directives de Google \\, le différend du RGPD de Meta \\, Rappel de Microsoft \\ The AI Debate: Google\\'s Guidelines, Meta\\'s GDPR Dispute, Microsoft\\'s Recall Backlash (lien direct) |
Google exhorte les développeurs d'applications Android tiers à incorporer des fonctionnalités d'intelligence artificielle générative (Genai) de manière responsable.
Les nouveaux conseils du géant de la recherche et de la publicité sont un effort pour lutter contre le contenu problématique, y compris le contenu sexuel et le discours de haine, créé à travers de tels outils.
À cette fin, les applications qui génèrent du contenu à l'aide de l'IA doivent s'assurer qu'ils ne créent pas
Google is urging third-party Android app developers to incorporate generative artificial intelligence (GenAI) features in a responsible manner. The new guidance from the search and advertising giant is an effort to combat problematic content, including sexual content and hate speech, created through such tools. To that end, apps that generate content using AI must ensure they don\'t create |
Tool Mobile | ★★ | |
 |
2024-06-07 12:00:56 | Sécurité, le cloud et l'IA: construire des résultats puissants tout en simplifiant votre expérience Security, the cloud, and AI: building powerful outcomes while simplifying your experience (lien direct) |
Lisez comment Cisco Security Cloud Control Control priorise la consolidation des outils et la simplification de la politique de sécurité sans compromettre votre défense.
Read how Cisco Security Cloud Control prioritizes consolidation of tools and simplification of security policy without compromising your defense. |
Tool Cloud | ★★ | |
|
2024-06-07 06:47:56 | Arrêt de cybersécurité du mois: les attaques d'identité du PDG Cybersecurity Stop of the Month: CEO Impersonation Attacks (lien direct) |
This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain: reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks: Uncovering BEC and supply chain attacks (June 2023) Defending against EvilProxy phishing and cloud account takeover (July 2023) Detecting and analyzing a SocGholish Attack (August 2023) Preventing eSignature phishing (September 2023) QR code scams and phishing (October 2023) Telephone-oriented attack delivery sequence (November 2023) Using behavioral AI to squash payroll diversion (December 2023) Multifactor authentication manipulation (January 2024) Preventing supply chain compromise (February 2024) Detecting multilayered malicious QR code attacks (March 2024) Defeating malicious application creation attacks (April 2024) Stopping supply chain impersonation attacks (May 2024) In this post, we continue to explore the topic of impersonation tactics, examining how threat actors use them to get information for financial gain. Background Last year, the Federal Trade Commission (FTC) received more than 330,000 reports of business impersonation scams and nearly 160,000 reports of government impersonation scams. This represents about half of all the fraud reported directly to the FTC. The financial losses due to email impersonation scams are staggering. They topped $1.1 billion in 2023, which was more than three times the amount reported in 2020. Financial fraud is a serious issue-and it\'s on the rise. In 2023, consumers reported losing more than $10 billion to fraud. This is the first time that losses reached that benchmark, and it\'s a 14% increase from 2022. The most common reports were imposter scams. This category saw significant increases in reports from the business and government sectors. The scenario Proofpoint recently detected a threat actor\'s message to the financial controller of a Dutch financial institution, which is known for its expertise in commercial risk. In this attack, the threat actor pretended to be the company\'s CEO-a tactic that\'s known as CEO fraud. In these attacks, the goal is to exploit the recipient\'s trust to get them to perform a specific action. The threat: How did the attack happen? The attacker emailed the Dutch financial company\'s controller, asking that two payments be sent to London. The email demanded that payments be made “today” to create a sense of urgency. To help make the message seem credible, the attacker claimed to have access to the IBAN and SWIFT codes. Original email from the threat actor. The same email translated into English. Detection: How did Proofpoint prevent this attack? Proofpoint has the industry\'s first predelivery threat detection engine that uses semantic analysis to understand message intent. Powered by a large language (LLM) model engine, it stops advanced email threats before they\'re delivered to users\' inboxes. That\'s what stopped this malicious message from reaching the financial controller\'s inbox. Pre-delivery protection is so critical because, based on Proofpoint\'s telemetry across more than 230,000 organizations around the world, post-delivery detections are frequently too late. Nearly one in seven malicious URL clicks occur within one minute of the email\'s arrival, and more than one-third of BEC replies happen in less than five minutes. These narrow timeframes, du | Tool Threat Cloud Commercial | ★★★ | |
|
2024-06-06 20:51:21 | Conseils de confidentialité de Chatgpt: deux façons importantes de limiter les données que vous partagez avec OpenAI ChatGPT privacy tips: Two important ways to limit the data you share with OpenAI (lien direct) |
Vous voulez utiliser des outils d'IA sans compromettre le contrôle de vos données?Voici deux façons de protéger votre vie privée dans le chatbot d'Openai \\.
Want to use AI tools without compromising control of your data? Here are two ways to safeguard your privacy in OpenAI\'s chatbot. |
Tool | ChatGPT | ★★ |
|
2024-06-06 20:12:19 | Fake Advanced IP Scanner Installer fournit dangereux CobaltStrike Backdoor Fake Advanced IP Scanner Installer Delivers Dangerous CobaltStrike Backdoor (lien direct) |
## Instantané L'équipe Trustwave SpiderLabs a découvert une attaque d'arrosage ciblant les utilisateurs à la recherche de l'outil de scanner IP avancé légitime. ** En savoir plus sur Microsoft \'s [couverture de Cobaltsstrike ici.] (Https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) ** ## Description Les acteurs de la menace ont imité le site Web légitime et abusé des publicités Google pour s'assurer que leur site malveillant se classe fortement dans les résultats de recherche.Le programme d'installation compromis, téléchargé à partir d'un domaine de typo-carré, contenait un module DLL arrière qui a injecté une balise de CobaltStrike dans un processus parent nouvellement créé en utilisant la technique de creux de processus.Cela a permis aux acteurs de menace d'accéder au système et de communiquer avec leurs serveurs de commandement et de contrôle (C2), leur permettant d'émettre des commandes, de voler des données et de se propager à d'autres ordinateurs du réseau. La campagne en cours a également signalé d'autres domaines de la faute de frappe de typo-squatted offrant des alternatives de Cobaltsstrike comme Sliver C2, ainsi que des logiciels malveillants, notamment Danabot, Idatloader et Madmxshell. ## Recommandations ** Guide pour les utilisateurs finaux ** - Pour plus de conseils pour assurer la sécurité de votre appareil, allez sur [Microsoft Security Help & Learning Portal] (https://support.microsoft.com/security). - Pour en savoir plus sur la prévention des chevaux de Troie ou d'autres logiciels malveillants d'affecter les appareils individuels, [en lisez sur la prévention de l'infection des logiciels malveillants] (https://www.microsoft.com/security/business/security-101/what-is-malware). ** Guide pour les administrateurs d'entreprise et les clients de défenseur Microsoft 365 ** Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre à Microsoft Defender pour que le point de terminaison prenne des mesures immédiates sur les alertes à résoudre pour résoudre à résoudreviolations, réduisant considérablement le volume d'alerte. - Utilisez [Discovery Discovery] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/device-discovery) pour augmenter votre visibilité dans votre réseau en trouvant des appareils non gérés sur votre réseau et en les embarquant vers MicrosoftDéfenseur pour le point de terminaison. ## Les références [https://www.trustwave.com/en-us/resources/blogs/spiderLabs-blog/fake-advanced-ip-scanner-installer- | Malware Tool Threat | ★★ | |
|
2024-06-06 15:35:00 | Le pirate éthique publie un outil pour exploiter Microsoft \\'s Rappel Ai, dit que ce n'est pas \\ 'Rocket Science \\' Ethical hacker releases tool to exploit Microsoft\\'s Recall AI, says it\\'s not \\'rocket science\\' (lien direct) |
Rappel AI n'a pas encore été lancé mais c'est déjà une cible.
Recall AI hasn\'t launched yet but it\'s already a target. |
Tool Threat | ★★ | |
 |
2024-06-06 11:37:41 | Interpol et le FBI rompent un programme cyber en Moldavie pour obtenir l'asile pour les criminels recherchés Interpol and FBI Break Up a Cyber Scheme in Moldova to Get Asylum for Wanted Criminals (lien direct) |
> Une opération multinationale par Interpol et le FBI ont réprimé les tentatives de Moldavie pour saboter l'un des outils clés de l'agence de police internationale, le système de préavis rouge.
>A multinational operation by Interpol and the FBI cracked down on attempts in Moldova to sabotage one of the international police agency\'s key tools, the Red Notice system. |
Tool Legislation | ★★★ | |
 |
2024-06-06 02:57:41 | Quelle est la différence entre FIM et DLP? What Is the Difference between FIM and DLP? (lien direct) |
Les menaces aux données sensibles sont partout.Des syndicats de cybercrimins sophistiqués à une exposition accidentelle aux groupes de menace persistante avancés (APT) soutenus par l'État-nation et tout le reste, il n'a jamais été aussi critique pour les organisations pour avoir les outils corrects de protection des données.Lors de la conception de la façon de protéger les informations de l'entreprise contre les pertes, quelle que soit la méthode, les entreprises déploient une stratégie de «défense en profondeur» ou exploitent plusieurs mesures de sécurité pour protéger les actifs d'une organisation.Lorsqu'il est corrélé, cela crée une approche puissante pour identifier quand quelque chose ne va pas dans ...
Threats to sensitive data are everywhere. From sophisticated cybercriminal syndicates to accidental exposure to nation-state-backed advanced persistent threat (APT) groups and everything in between, it\'s never been more critical for organizations to have the correct data protection tools. When designing how to protect company information from loss, regardless of the method, companies deploy a “defense in depth” strategy or leverage multiple security measures to protect an organization\'s assets. When correlated, this creates a powerful approach to identifying when something is going wrong in... |
Tool Threat | ★★★ | |
|
2024-06-05 21:10:50 | Les fausses mises à jour du navigateur offrent Bitrat et Lumma Stealer Fake Browser Updates Deliver BitRAT and Lumma Stealer (lien direct) |
## Instantané En mai 2024, l'unité de réponse aux menaces d'Esesentire (TRU) a détecté de fausses mises à jour fournissant Bitrat et Lumma Stealer.L'attaque a commencé avec les utilisateurs visitant une page Web infectée contenant du code JavaScript malveillant, les conduisant à une fausse page de mise à jour. ## Description Le fichier JavaScript dans l'archive Zip a agi comme téléchargeur initial pour les charges utiles, qui comprenait Bittrat et Lumma Stealer.Les deux logiciels malveillants ont des capacités avancées de reconnaissance, de vol de données et d'accès à distance.Le faux leurre de mise à jour du navigateur est devenu courant chez les attaquants comme moyen d'entrée sur un appareil ou un réseau. Il y avait quatre fichiers uniques identifiés dans cette attaque, qui servent tous des objectifs différents: s.png & # 8211;Charge utile de chargeur et du voleur Lumma;z.png & # 8211;Script PowerShell qui crée Runkey pour la persistance et télécharge le chargeur et la charge utile bitrat;a.png & # 8211;Charge utile du chargeur et bitrat;et 0x.png & # 8211;Fichier de persistance BitRat qui relève le relocage a.png et l'exécute.L'utilisation de fausses mises à jour pour fournir une variété de logiciels malveillants affiche la capacité de l'opérateur à tirer parti des noms de confiance pour maximiser la portée et l'impact. ## Recommandations # Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement [Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=mAGICTI_TA_LELARNDOC) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pou | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-06-05 14:05:11 | Pourquoi l'exportation de données ne doit pas être complexe, lourde ou coûteuse Why Exporting Data Doesn\\'t Have to Be Complex, Cumbersome or Costly (lien direct) |
In 2024, I will continue highlighting key features within the Proofpoint Intelligent Compliance portfolio-Archive, Automate, Capture, Discover, Patrol, Supervision and Track-to underscore why they\'re important for our clients. If you missed my December 2023 blog, “3 Must-Haves of Archive Search Performance: An Email Archive Software Comparison,” please check it out. Hopefully, it will give you a new perspective on search performance. This post focuses on exporting data from the archive. At face value, the process of exporting data might seem routine and straightforward. You simply grab the respective data and send it-like when you sent it to outside counsel for review during an e-discovery request. But in practice, things can be quite different, depending on what tool you use. Here, I\'ll explain how Proofpoint Archive can help you reduce complexity, cumbersome processes and costs when you export data. Reduce complexity Exporting doesn\'t have to be complex, given the right tools. With Proofpoint Archive, we provide an intuitive workflow to make it easy. You start the process by identifying the search results that you want to export. Then, you select “Export” as an action to initiate the workflow. In the very first step, you can: Name your export job Specify your export file type, such as PST, Relativity MSG/EML, EDRM MSG/EML, CSV or JSON Provide an export job description (optional) Specify the case (optional) What I really like is that when you\'re done the workflow estimates the number of items that will be exported as well as the size of the export (see below). With this information, you can decide whether you want to follow through with the export or pause and cull your search results further by applying more filters. Estimating the number of items and size in the export workflow. The next action is optional: You can specify authorized users with whom to share your export job. Why would you want to do that? Let\'s say that you are working on a case with your colleague “Bob,” who asks about the details of an export job that you\'re planning to send. Rather than having Bob come over to your desk and view the details in the user interface (UI) on your laptop, you can share the export job with him so that he can view it in his UI. Finally, you can choose to send the data to its destination securely via SFTP encrypted by TLS 1.2. You enter specifics such as the IP address, port and upload path. And before you send it, you can test the connection to see whether any issues surface. Once you click “Save” in the workflow, the export job is promptly queued for sending. It is a straightforward process. Reduce cumbersome processes Exporting data doesn\'t have to be cumbersome, either. Having a complex UI is one thing. But having to jump through hoops to accomplish a simple task like exporting data is something else. Cumbersome processes can extend your task and potentially introduce points of failure that could force you to restart everything. With Proofpoint, we provide an easy-to-use UI for exporting data. We have also streamlined the steps for that process (see below). It can take as few as 12 simple steps from start (logging in to Proofpoint Archive) to finish (clicking “Download”). The steps to export data with Proofpoint Archive. Now, compare that to Microsoft Purview eDiscovery, and you\'ll be surprised at how many steps are required to export data. From start to finish, it takes 39 steps, at minimum! Plus, with each export, Microsoft requires you to download and run a utility file outside of Purview eDiscovery to facilitate the export. This is perplexing. Not only is this not very efficient, but a process with so many steps is so much more susceptible to failure. The steps to export data with Microsoft Purview eDiscovery. Reduce costs Exporting data doesn\'t have to be costly. What got me thinking about writing this blog in the first place was a post that I read on X (formerly Twitter), where a CEO lamented about exporting data from | Tool | ★★ | |
 |
2024-06-05 13:18:56 | L\'illusion de l\'intelligence dans les outils de communication d\'entreprise (lien direct) | Les acheteurs doivent garder à l'esprit que les solutions véritablement alimentées par l'IA se distinguent par leur capacité à offrir des analyses évoluées, une adaptation contextuelle et une évolution continue. | Tool | ★★ | |
 |
2024-06-05 11:00:58 | Confidentialité et surpêche en ligne Online Privacy and Overfishing (lien direct) |
Microsoft Récemment pirates soutenus par l'État en utilisant sa génération AI générativeOutils pour aider avec leurs attaques.Dans la communauté de la sécurité, les questions immédiates n'étaient pas des questions sur la façon dont les pirates utilisaient les outils (qui était tout à fait prévisible), mais sur la façon dont Microsoft l'a compris.La conclusion naturelle était que Microsoft espionne ses utilisateurs de l'IA, à la recherche de pirates nuisibles au travail.
Certains repoussent pour caractériser les actions de Microsoft & # 8217; S comme & # 8220; Espupulation. & # 8221;Des fournisseurs de services cloud Course surveillent ce que font les utilisateurs.Et parce que nous nous attendons à ce que Microsoft fasse quelque chose comme ça, il n'est pas juste de l'appeler espionner ...
Microsoft recently caught state-backed hackers using its generative AI tools to help with their attacks. In the security community, the immediate questions weren’t about how hackers were using the tools (that was utterly predictable), but about how Microsoft figured it out. The natural conclusion was that Microsoft was spying on its AI users, looking for harmful hackers at work. Some pushed back at characterizing Microsoft’s actions as “spying.” Of course cloud service providers monitor what users are doing. And because we expect Microsoft to be doing something like this, it’s not fair to call it spying... |
Tool Cloud | ★★ | |
 |
2024-06-05 10:00:00 | Pourquoi les pare-feu ne suffisent pas dans le paysage de la cybersécurité d'aujourd'hui Why Firewalls Are Not Enough in Today\\'s Cybersecurity Landscape (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Firewall technology has mirrored the complexities in network security, evolving significantly over time. Originally serving as basic traffic regulators based on IP addresses, firewalls advanced to stateful inspection models, offering a more nuanced approach to network security. This evolution continued with the emergence of Next-Generation Firewalls (NGFWs), which brought even greater depth through data analysis and application-level inspection. Yet, even with these advancements, firewalls struggle to contend with the increasingly sophisticated nature of cyberthreats. The modern digital landscape presents formidable challenges like zero-day attacks, highly evasive malware, encrypted threats, and social engineering tactics, often surpassing the capabilities of traditional firewall defenses. The discovery of CVE-2023-36845 in September 2023, affecting nearly 12,000 Juniper firewall devices, is a case in point. This zero-day exploit enabled unauthorized actors to execute arbitrary code, circumventing established security measures and exposing critical networks to risk. Incidents like this highlight the growing need for a dynamic and comprehensive approach to network security, one that extends beyond the traditional firewall paradigm. Human Element – The Weakest Link in Firewall Security While the discovery of CVEs highlights vulnerabilities to zero-day exploits, it also brings to the forefront another critical challenge in firewall security: human error. Beyond the sophisticated external threats, the internal risks posed by misconfiguration due to human oversight are equally significant. These errors, often subtle, can drastically weaken the protective capabilities of firewalls. Misconfigurations in Firewall Security Misconfigurations in firewall security, frequently a result of human error, can significantly compromise the effectiveness of these crucial security barriers. These misconfigurations can take various forms, each posing unique risks to network integrity. Common types of firewall misconfigurations include: Improper Access Control Lists (ACLs) Setup: ACLs define who can access what resources in a network. Misconfigurations here might involve setting rules that are too permissive, inadvertently allowing unauthorized users to access sensitive areas of the network. An example could be erroneously allowing traffic from untrusted sources or failing to restrict access to critical internal resources. Faulty VPN Configurations: Virtual Private Networks (VPNs) are essential for secure remote access. Misconfigured VPNs can create vulnerabilities, especially if they are not properly integrated with the firewall\'s rule set. Common errors include not enforcing strong authentication or neglecting to restrict access based on user roles and permissions. Outdated or Redundant Firewall Rules: Over time, the network environment changes, but firewall rules may not be updated accordingly. Outdated rules can create security gaps or unnecessary complexity. Redundant or conflicting rules can also lead to confusion in policy enforcement, potentially leaving the network open to exploitation. Incorrect Port Management: Open ports are necessary for network communication, but unnecessary open ports can be explo | Malware Tool Vulnerability Threat Legislation Industrial | ★★ | |
 |
2024-06-05 08:30:00 | # Infosec2024: relever les cyber-défis du code généré par l'IA-AI #Infosec2024: Tackling Cyber Challenges of AI-Generated Code (lien direct) |
Si les développeurs de logiciels veulent bénéficier d'outils de code généré par l'IA, ils doivent atténuer certains des risques qu'ils pourraient apporter en premier, Synopsys \\ 'Lucas von Stockhausen a déclaré à Infoscurity Europe
If software developers want to benefit from AI-generated code tools, they must mitigate some of the risks they could bring first, Synopsys\' Lucas von Stockhausen said at Infosecurity Europe |
Tool | ★★ | |
 |
2024-06-05 00:30:00 | Le laboratoire de sécurité d'Amnesty International \\ dévoile de nouveaux outils pour soutenir la société civile contre les menaces numériques Amnesty International\\'s Security Lab unveils new tools to support civil society against digital threats (lien direct) |
Amnesty International \\ 'S & # 160; Security Lab & # 160; a lancé de nouvelles fonctionnalités sur son site Web, ajoutant à la gamme existante d'outils, de ressources et de recherche pour soutenir les défenseurs des droits de l'homme, les militants, les journalistes et autres membres de la société civileContre les attaques numériques, y compris les logiciels espions & # 160;«La surveillance ciblée et d'autres menaces numériques ont été utilisées dans le monde entier pour harceler, intimider, silence et réduire la société civile.[& # 8230;]
Amnesty International\'s Security Lab has launched new features on its website, adding to the existing range of tools, resources and research to support human rights defenders, activists, journalists and other civil society members against digital attacks, including spyware. “Targeted surveillance and other digital threats have been used around the world to harass, intimidate, silence and shrink civil society. […] |
Tool | ★★ | |
|
2024-06-04 17:52:04 | Le nouveau carnavalhéiste de la nouvelle banque cible le Brésil avec des attaques de superposition New Banking Trojan CarnavalHeist Targets Brazil with Overlay Attacks (lien direct) |
#### Targeted Geolocations - Brazil #### Targeted Industries - Financial Services ## Snapshot Since February 2024, Cisco Talos has observed a campaign targeting Brazilian users with a new banking trojan called "CarnavalHeist." This malware, also known as AllaSenha, employs tactics common among Brazilian banking trojans. ## Description CarnavalHeist attacks begin with a deceptive, finance-themed email that trick the victim into clicking a malicious link. The link, disguised using a URL shortening service, redirects the user to a fradulent webpage that prompts them to download what appears to be an invoice. Rather, the downloaded file is a malicious payload that uses WebDAV to retrieve a .LNK file, which then further executes malicious scripts. The infection continues by creating a decoy PDF file in the user\'s download directory, ostensibly to distract the user, while simultaneously running a minimized command prompt to execute the next stage of the malware. This involves a batch file that installs Python and runs a script to inject a second-stage payload DLL. The malware checks the system\'s processor architecture and uses a domain generation algorithm (DGA) to contact a server and download the malicious DLL. The server responds with a byte stream containing the DLL and additional Python modules for execution. The malware then dynamically loads the DLL into memory and executes it. The final payload is a banking trojan that attempts to steal credentials for Brazilian financial institutions through overlay attacks, where a fake window is presented over the legitimate application. The malware monitors for specific window titles and replaces them with its own overlays, while also establishing communication with a command and control server using another DGA function. The malware has numerous capabilities, including capturing keystrokes, screenshots, and video, and can remotely control the infected machine. It can also generate QR codes to redirect banking transactions to accounts controlled by the attackers. Cisco Talos assesses with high confidence that CarnavalHeist originated in Brazil and was developed to target Brazilian users as Portuguese is used throughout the infection chain and within the malware and Brazilian slang is used in reference to some banks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Pilot and deploy [phishing-resistant authentication methods for users.](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-policy) from all devices in all locations at all times. - Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about). Safe Links provides URL scanning and rewriting of inbound email messages in mail flow, and time-of-click verification of URLs and links in email messages, other Microsoft 365 applications such as Teams, and other locations such as SharePoint Online. Safe Links scanning occurs in addition to the regular [anti-spam](https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) and [anti-malware](https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) protection in inbound email messages in Microsoft Exchange Online Protection (EOP). Safe Links scanning can help protect your organization from malicious links used in phishing and other attacks. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Tu | Malware Tool Threat | ★★★ | |
|
2024-06-04 10:00:00 | Test de pénétration de A.I.Des modèles Penetration Testing of A.I. Models (lien direct) |
Penetration testing is a cornerstone of any mature security program and is a mature and well understood practice supported by robust methodologies, tools, and frameworks. The tactical goals of these engagements typically revolve around identification and exploitation of vulnerabilities in technology, processes, and people to gain initial, elevated, and administrative access to the target environment. When executed well, the insights from penetration testing are invaluable and help the organization reduce IT related risk. Organizations are still discovering new ways in which Large Language Models (LLM’s) and Machine Learning (ML) can create value for the business. Conversely, security practitioners are concerned with the unique and novel risks to the organization these solutions may bring. As such the desire to expand penetration testing efforts to include these platforms is not surprising. However, this is not as straight forward as giving your testers the IP addresses to your AI stack during your next test. Thoroughly evaluating these platforms will require adjustments in approach for both organizations being evaluated and the assessors. Much of the attack surface to be tested for AI systems (i.e. cloud, network, system, and classic application layer flaws) is well known and addressed by existing tools and methods. However, the models themselves may contain risks as detailed in the OWASP Top Ten lists for LLM’s (https://llmtop10.com/) and Machine Learning (https://mltop10.info/). Unlike testing for legacy web application Top Ten flaws, where the impacts of any adversarial actions were ephemeral (i.e., SQL Injection) or easily reversed (i.e., stored XSS attack), this may not be the case when testing AI systems. The attacks submitted to the model during the penetration test could potentially influence long-term model behavior. While it is common to test web applications in production environments, for AI models that incorporate active feedback or other forms of post-training learning where testing could lead to perturbations in responses, it may be best to perform penetration testing in a non-production environment. Checksum mechanisms can be used to verify that the model versions are equivalent. Furthermore, several threat vectors in these lists deal specifically with the poisoning of training data to make the model generate malicious, false, or bias responses. If successful such an attack would potentially impact other concurrent users of the environment and having trained the model on such data, persist beyond the testing period. Lastly, there are hard dollar costs involved in training and operating these models. Taking any compute/storage/transport costs into account should test environments or retraining be required as part of recovering from a penetration test will be a new consideration for most. As penetration testers, the MITRE ATT&CK framework has long been a go-to resource for offensive security Tactics, Techniques and Procedures (TTP’s). With the attack surface expanding to AI platforms MITRE has expand their framework and created the Adversarial Threat Landscape for Artificial-Intelligence Systems, or “ATLAS”, knowledge base (https://atlas.mitre.org/matrices/ATLAS). ATLAS, along with the OWASP lists, give penetration testers a great place to start in terms of understanding and assessing the unique attack surface presented by AI models. Context of the model will need to be considered in both the rules of engagement under which the test is performed but also in judging model responses. Is the model public or private? Production or test? If access to training data is achieved, can poisoning attacks be conducted? If allowable, what | Tool Vulnerability Threat Cloud Technical Commercial | ★★★ | |
|
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ★★★ | |
 |
2024-06-03 17:33:35 | Les nouveaux directives de la NSA abordent la visibilité et l'analyse du pilier de la mise en œuvre de la confiance zéro pour une atténuation améliorée des risques New NSA guidance addresses visibility and analytics pillar of zero trust implementation for enhanced risk mitigation (lien direct) |
La U.S.National Security Agency (NSA) a publié une fiche d'information sur la cybersécurité (CSI) qui détaille l'infrastructure, les outils, les données, ...
The U.S. National Security Agency (NSA) published a Cybersecurity Information Sheet (CSI) that details the infrastructure, tools, data,... |
Tool | ★★★ | |
|
2024-06-03 16:25:00 | Kaspersky a publié un outil de suppression de virus linux libre - mais est-ce nécessaire? Kaspersky released a free Linux virus removal tool - but is it necessary? (lien direct) |
Préoccupé par les virus sur votre ordinateur Linux?J'ai testé le nouvel outil de suppression du virus de Kaspersky \\ pour Linux.Voici ce que vous devez savoir.
Concerned about viruses on your Linux computer? I tested Kaspersky\'s new Virus Removal Tool for Linux. Here\'s what you need to know about it. |
Tool | ★★★ | |
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ★★★ | |
|
2024-06-03 14:00:00 | Ransomwares rebonds: la menace d'extorsion augmente en 2023, les attaquants s'appuient sur les outils accessibles au public et légitimes Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools (lien direct) |
Written by: Bavi Sadayappan, Zach Riddle, Jordan Nuce, Joshua Shilko, Jeremy Kennelly
A version of this blog post was published to the Mandiant Advantage portal on April 18, 2024. Executive Summary In 2023, Mandiant observed an increase in ransomware activity as compared to 2022, based on a significant rise in posts on data leak sites and a moderate increase in Mandiant-led ransomware investigations. Mandiant observed an increase in the proportion of new ransomware variants compared to new families, with around one third of new families observed in 2023 being variants of previously identified ransomware families. Actors engaged in the post-compromise deployment of ransomware continue to predominately rely on commercially available and legitimate tools to facilitate their intrusion operations. Notably, we continue to observe a decline in the use of Cobalt Strike BEACON, and a corresponding increase in the use of legitimate remote access tools. In almost one third of incidents, ransomware was deployed within 48 hours of initial attacker access. Seventy-six percent (76%) of ransomware deployments took place outside of work hours, with the majority occurring in the early morning. Mandiant\'s recommendations to assist in addressing the threat posed by ransomware are captured in our Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints white paper. Introduction Threat actors have remained driven to conduct ransomware operations due to their profitability, particularly in comparison to other types of cyber crime. Mandiant observed an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites (DLS), and an over 20% increase in Mandiant-led investigations involving ransomware from 2022 to 2023 (Figure 1). These observations are consistent with other reporting, which shows a record-breaking more than $1 billion USD paid to ransomware attackers in 2023. This illustrates that the slight dip in extortion activity observed in 2022 was an anomaly, potentially due to factors such as the invasion of Ukraine and the leaked CONTI chats. The current resurgence in extortion activity is likely driven by various factors, including the resettling of the cyber criminal ecosystem following a tumultuous year in 2022, new entrants, and new partnerships and ransomware service offerings by actors previously associated with prolific groups that had been disrupted. This blog post provides an overview of the ransomware landscape and common tactics, techniques, and procedures (TTPs) directly observed by Mandiant in 2023 ransomware incidents. Our analysis of TTPs relies primarily on data from Mandiant incident response engagements and therefore represe |
Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Prediction Medical Cloud Commercial | ★★★ | |
|
2024-06-03 13:04:00 | Les pirates Andariel ciblent les instituts sud-coréens avec un nouveau logiciel malveillant Dora Rat Andariel Hackers Target South Korean Institutes with New Dora RAT Malware (lien direct) |
L'acteur de menaces en Corée du Nord connue sous le nom d'Andariel a été observé à l'aide d'une nouvelle porte dérobée basée à Golang appelée Dora Rat dans ses attaques ciblant les instituts d'enseignement, les entreprises manufacturières et les entreprises de construction en Corée du Sud.
"Keylogger, infostealer et outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques", a déclaré le Rapport Ahnlab Security Intelligence Center (ASEC) dans un rapport
The North Korea-linked threat actor known as Andariel has been observed using a new Golang-based backdoor called Dora RAT in its attacks targeting educational institutes, manufacturing firms, and construction businesses in South Korea. "Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks," the AhnLab Security Intelligence Center (ASEC) said in a report |
Malware Tool Threat | ★★★ | |
|
2024-06-03 12:56:15 | Les efforts d'influence russe convergent les Jeux olympiques de Paris 2024 Russian Influence efforts converge on 2024 Paris Olympics Games (lien direct) |
## Snapshot In the summer of 2023, a curious set of videos crept into social media platforms. Telegram feeds that normally promoted pro-Kremlin narratives suddenly began promoting a film called “Olympics Has Fallen.” Users were encouraged to scan a QR code that directed them to a Telegram channel of the same name. Upon arriving at this channel, viewers encountered a feature-length film with a similar aesthetic and a play on the title of the American political action movie “Olympus Has Fallen,” released more than a decade earlier.(1) AI-generated audio impersonating the voice of film actor Tom Cruise narrated a strange, meandering script disparaging the International Olympic Committee\'s leadership. Nearly a year later and with less than 80 days until the opening of the 2024 Paris Olympic Games, the Microsoft Threat Analysis Center (MTAC) has observed a network of Russia-affiliated actors pursuing a range of malign influence campaigns against France, French President Emmanuel Marcon, the International Olympic Committee (IOC), and the Paris Games. These campaigns may forewarn coming online threats to this summer\'s international competition. ## Activity Overview ### Russia\'s long history of disparaging the Olympic Games Modern Russia, as well as its predecessor the Soviet Union, has a longstanding tradition of seeking to undermine the Olympic Games. If they cannot participate in or win the Games, then they seek to undercut, defame, and degrade the international competition in the minds of participants, spectators, and global audiences. The Soviet Union boycotted the 1984 Summer Games held in Los Angeles and sought to influence other countries to do the same. US State Department officials linked Soviet actors to a campaign that covertly distributed leaflets to Olympic committees in countries including Zimbabwe, Sri Lanka, and South Korea.(2) The leaflets claimed non-white competitors would be targeted by US extremists-a claim that follows a tried-and-true active measures strategy: using divisive social issues to sow discord among a target audience.(3) A recurring aspect of Russian malign influence is its ability to resurface themes at a later time in a different country. Remarkably, four decades later, we are witnessing similar claims of anticipated extremist violence emerging in the context of the Paris Games this summer. Separately, in 2016, Russian hackers penetrated the World Anti-Doping Agency and revealed private medical information about American athletes Serena Williams, Venus Williams, and Simone Biles.(4) Two years later, the “Olympic Destroyer” cyberattack against the 2018 Winter Olympics in Pyeongchang, South Korea, managed to take some of the Winter Games\' internal servers offline. The US Department of Justice charged two Russian GRU officers in connection to the hack in 2020.(5) The slow burn of Russian President Vladimir Putin and the Kremlin\'s displeasure with the IOC and the ability to participate in the Olympics-an event of longstanding pride to the Russian government-has intensified in recent years. In 2017, the IOC concluded extensive investigations into Russia\'s state-sponsored use of performance-enhancing drugs across several Olympic Games in 2017 which resulted in Russia being formally barred from participating in the 2018 Winter Games.(6) Last year, in 2023, the IOC confirmed that Russian citizens would be allowed to compete in Paris but only as neutral athletes prohibited from sporting the flag or colors of the Russian Federation.(7) Shortly after this decision, MTAC began detecting a range of foreign malign influence operations that continue today, and we suspect may intensify as the 2024 Paris Opening Ceremony approaches.(8) ### Old world tactics meet the age of AI Starting in June 2023, prolific Russian influence actors-which Microsoft tracks as Storm-1679 and Storm-1099-pivoted their operations to take aim at the 2024 Olympic Games and French President Emmanuel Macron. These ongoing Russian influence operations have two cent | Hack Tool Threat Legislation Medical | ★★★ | |
|
2024-06-03 12:00:46 | XDR signifie bien plus que certains ne le réalisent XDR means so much more than some may realize (lien direct) |
Découvrez comment Cisco XDR redéfinit la sécurité avec les outils intégrés, la détection des menaces à AI-AI et la réponse rapide pour résoudre les problèmes du monde réel pour le SOC 
Discover how Cisco XDR redefines security with integrated tools, AI-driven threat detection, and rapid response to solve real-world problems for the SOC  |
Tool Threat | ★★★ | |
|
2024-06-03 11:04:18 | L'IA augmentera la quantité et la qualité de phishing des escroqueries AI Will Increase the Quantity-and Quality-of Phishing Scams (lien direct) |
Une pièce que j'ai co-auteur avec Fredrik Heiding et Arun Vishwanath dans la Harvard Business Review :
Résumé. Les outils Gen AI rendent rapidement ces e-mails plus avancés, plus difficiles à repérer et beaucoup plus dangereux.Des recherches récentes ont montré que 60% des participants ont été victimes de phishing de l'intelligence artificielle (IA), ce qui est comparable aux taux de réussite des messages non phisvulaires créés par des experts humains.Les entreprises doivent: 1) comprendre les capacités asymétriques du phishing amélioré, 2) Déterminer le niveau de gravité de la menace de phishing de l'entreprise ou de la division, et 3) confirment leurs routines actuelles de sensibilisation au phishing ...
A piece I coauthored with Fredrik Heiding and Arun Vishwanath in the Harvard Business Review: Summary. Gen AI tools are rapidly making these emails more advanced, harder to spot, and significantly more dangerous. Recent research showed that 60% of participants fell victim to artificial intelligence (AI)-automated phishing, which is comparable to the success rates of non-AI-phishing messages created by human experts. Companies need to: 1) understand the asymmetrical capabilities of AI-enhanced phishing, 2) determine the company or division\'s phishing threat severity level, and 3) confirm their current phishing awareness routines... |
Tool Threat | ★★★ | |
|
2024-06-03 10:00:00 | Test de sécurité dans le développement de logiciels: évaluer les vulnérabilités et les faiblesses Security Testing in Software Development: Assessing Vulnerabilities and Weaknesses (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The critical role of security testing within software development cannot be overstated. From protecting personal information to ensuring that critical infrastructure remains unbreachable, security testing serves as the sentry against a multitude of cyber threats. Vulnerabilities and design weaknesses within software are like hidden fault lines; they may remain unnoticed until they cause significant damage. These flaws can compromise sensitive data, allow unauthorized access, and disrupt service operations. The repercussions extend beyond the digital world. They can lead to tarnished reputations, legal penalties, and, in extreme cases, endangerment of lives. Understanding these potential impacts underscores the crucial role of security testing as a protective measure. Security testing functions like a health check-up for software, identifying vulnerabilities in much the same way a doctor\'s examination would. Being proactive rather than reactive is essential here. It is always better to prevent than to cure. Security testing transcends the mere act of box-ticking; it is a vital, multi-layered process that protects both the integrity of the software and the privacy of its users. And it is not only about finding faults but also about instilling a culture of security within the development lifecycle. Understanding Security Testing Once more, the primary role of security testing is to identify and help fix security flaws within a system before they can be exploited. Consider it a comprehensive evaluation process that simulates real-world attacks, designed to ensure that the software can withstand and counter a variety of cybersecurity threats. By conducting security testing, developers can provide assurance to investors and users that their software is not only functional but also secure against different attacks. There is a diverse arsenal of methodologies available for security testing: 1) Penetration Testing Penetration testing, also known as ethical hacking, entails conducting simulated cyber-attacks on computer systems, networks, or web applications to uncover vulnerabilities that could be exploited. Security experts use pentest platforms and act as attackers and try to breach the system\'s defenses using various techniques. This method helps uncover real-world weaknesses as well as the potential impact of an attack on the system\'s resources and data. 2) Code Review A code review is a systematic examination of the application source code to detect security flaws, bugs, and other errors that might have been overlooked during the initial development phases. It involves manually reading through the code or using automated tools to ensure compliance with coding standards and to check for security vulnerabilities. This process helps in maintaining a high level of security by ensuring that the code is clean, efficient, and robust against cyber threats. 3) Vulnerability Assessment Unlike penetration testing, which attempts to exploit vulnerabilities, vulnerability assessment focuses on listing potential vulnerabilities without simulating attacks. Tools and software are used to | Tool Vulnerability Threat | Equifax | ★★★ |
 |
2024-06-03 09:59:07 | Rappel de sécurité important & # 8211;Installez le correctif pour rester protégé Important Security Reminder – Install the Fix to Stay Protected (lien direct) |
> Au cours de la semaine dernière, nous avons surveillé les tentatives pour obtenir un accès non autorisé aux VPN, que nous avons attribués au CVE-2024-24919.Nous avons rapidement généré un correctif sur lequel ICH garantit que ces tentatives sont évitées une fois installées, et nous exhortons les clients à l'installer pour rester protégés (vous pouvez lire le post d'origine ici).Le groupe de travail de Check Point \\ a travaillé 24 heures sur 24, pour recevoir des informations plus pertinentes et créer des outils plus techniques pour assurer la sécurité de nos clients.Dans ce contexte, en tant qu'une autre mesure préventive, nous avons automatiquement mis à jour les passerelles de sécurité (qui sont enregistrées sur notre service de mise à jour de sécurité) avec [& # 8230;]
>Over the past week, we\'ve been monitoring attempts to gain unauthorized access to VPNs, which we attributed to CVE-2024-24919. We quickly generated a fix which ich ensures these attempts are prevented once installed, and we are urging customers to install it to stay protected (you can read the original post here). Check Point\'s task force has been working around the clock, to receive more relevant information and create more technical tools to ensure the security of our customers. In this context, as another preventative measure, we automatically updated security gateways (which are registered to our Security Auto Update service) with […] |
Tool Technical | ★★ | |
 |
2024-06-03 08:02:06 | APT28 : À la découverte du nouvel arsenal de Forest Blizzard (lien direct) | >En bref : Le groupe de cyberespionnage Forest Blizzard est attribué au GRU (l\'agence de renseignement militaire russe).Forest Blizzard est également connu sous ses nombreux pseudonymes : APT 28, Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta et STRONTIUM.Forest Blizzard est connu pour faire évoluer constamment ses tactiques, développer des outils personnalisés (comme GooseEgg) et [...]
>En bref : Le groupe de cyberespionnage Forest Blizzard est attribué au GRU (l\'agence de renseignement militaire russe).Forest Blizzard est également connu sous ses nombreux pseudonymes : APT 28, Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta et STRONTIUM.Forest Blizzard est connu pour faire évoluer constamment ses tactiques, développer des outils personnalisés (comme GooseEgg) et [...] |
Tool | APT 28 | ★★ |
|
2024-06-03 07:35:37 | Secrets exposés dans un piratage de visage étreint Secrets Exposed in Hugging Face Hack (lien direct) |
> La plate-forme de développement d'outils AI Hugging Face a détecté un piratage d'espaces qui a entraîné l'exposition de secrets.
>AI tool development platform Hugging Face has detected a Spaces hack that resulted in the exposure of secrets. |
Hack Tool | ★★ | |
|
2024-06-03 03:02:06 | Comment FIM peut-il protéger contre les menaces d'initiés How Can FIM Protect Against Insider Threats (lien direct) |
Une menace d'initié est quelqu'un à l'intérieur d'une organisation & # 8211;y compris les employés, partenaires et entrepreneurs actuels et anciens & # 8211;qui, intentionnellement ou autre, mettent leur organisation en danger.Ils abusent généralement de leur accès à des informations privées et à des comptes privilégiés pour voler ou saboter des données sensibles, souvent pour un gain financier ou même une vengeance.Aujourd'hui, les organisations doivent avoir des solutions de sécurité efficaces en place pour identifier et répondre aux menaces d'initiés.La surveillance de l'intégrité du fichier (FIM) est une telle solution.FIM Tools Survenez, détectez et répondez aux modifications non autorisées de fichiers et de données ou d'accès ...
An insider threat is someone inside an organization – including current and former employees, partners, and contractors – who, intentionally or otherwise, put their organization at risk. They typically abuse their access to private information and privileged accounts to steal or sabotage sensitive data, often for financial gain or even revenge. Organizations today must have effective security solutions in place to identify and respond to insider threats. File Integrity Monitoring (FIM) is one such solution. FIM tools monitor, detect, and respond to unauthorized file and data changes or access... |
Tool Threat | ★★ | |
 |
2024-06-01 11:17:34 | Kaspersky publie un outil gratuit qui scanne Linux pour les menaces connues Kaspersky releases free tool that scans Linux for known threats (lien direct) |
Kaspersky a publié un nouvel outil de suppression de virus nommé KVRT pour la plate-forme Linux, permettant aux utilisateurs de scanner leurs systèmes et de supprimer gratuitement les logiciels malveillants et d'autres menaces connues.[...]
Kaspersky has released a new virus removal tool named KVRT for the Linux platform, allowing users to scan their systems and remove malware and other known threats for free. [...] |
Malware Tool | ★★★ | |
|
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | ★★ |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2024-05-31 20:11:38 | Lilacsquid APT utilise des outils open source, Quasarrat LilacSquid APT Employs Open Source Tools, QuasarRAT (lien direct) |
L'acteur de menace inconnu utilise des outils similaires à ceux utilisés par les groupes d'APT nord-coréens, selon Cisco Talos.
The previously unknown threat actor uses tools similar to those used by North Korean APT groups, according to Cisco Talos. |
Tool Threat | ★★ | |
|
2024-05-31 13:41:00 | Openai, Meta, Tiktok perturber plusieurs campagnes de désinformation alimentées par l'IA OpenAI, Meta, TikTok Disrupt Multiple AI-Powered Disinformation Campaigns (lien direct) |
Openai a révélé jeudi qu'il a fallu des mesures pour couper cinq opérations d'influence secrètes (IO) originaires de Chine, d'Iran, d'Israël et de Russie qui ont cherché à abuser de ses outils d'intelligence artificielle (IA) pour manipuler le discours public ou les résultats politiques en ligne tout en obscurcissant leurvéritable identité.
Ces activités, qui ont été détectées au cours des trois derniers mois, ont utilisé ses modèles d'IA pour
OpenAI on Thursday disclosed that it took steps to cut off five covert influence operations (IO) originating from China, Iran, Israel, and Russia that sought to abuse its artificial intelligence (AI) tools to manipulate public discourse or political outcomes online while obscuring their true identity. These activities, which were detected over the past three months, used its AI models to |
Tool | ★★★ | |
|
2024-05-30 21:10:58 | Perturber les utilisations trompeuses de l'IA par les opérations d'influence secrètes Disrupting deceptive uses of AI by covert influence operations (lien direct) |
## Instantané
OpenAI a réussi à perturber plusieurs opérations d'influence secrète (iOS) en tirant parti des modèles d'IA pour les activités trompeuses, présentant des tendances et des mesures défensives que les praticiens de la cybersécurité peuvent utiliser pour lutter contre ces menaces.
## Description
Au cours des trois derniers mois, Openai a contrecarré cinq iOS secrètes qui ont exploité ses modèles pour générer divers types de contenu, des commentaires sur les réseaux sociaux aux articles longs, dans plusieurs langues.Ces opérations proviennent de pays tels que la Russie, la Chine, l'Iran et Israël, et ont ciblé divers problèmes géopolitiques tels que l'invasion de l'Ukraine par la Russie, le conflit à Gaza et la politique en Europe et aux États-Unis.Malgré ces efforts, les campagnes d'influence n'ont pas atteint un engagement important du public, car aucun n'a marqué plus d'un 2 sur l'échelle de Brookings \\ ', indiquant un impact minimal.Les opérations ont combiné le contenu généré par l'IA avec des médias traditionnels et visaient à simuler l'engagement plutôt que d'attirer des interactions authentiques.
OpenAI a identifié quatre tendances clés dans la façon dont les opérations d'influence secrètes ont récemment utilisé des modèles d'IA.Premièrement, la génération de contenu: ces acteurs de menace ont utilisé des services OpenAI pour produire du texte (et parfois des images) dans des volumes plus importants et avec moins d'erreurs linguistiques que les opérateurs humains pourraient réaliser seuls.Deuxièmement, le mélange ancien et nouveau: Bien que l'IA ait été habituée dans une certaine mesure dans toutes les opérations, elle n'a pas été utilisée exclusivement.Au lieu de cela, le contenu généré par l'IA était l'un des nombreux types de contenu affichés, aux côtés de formats traditionnels comme des textes ou des mèmes écrits manuellement provenant d'Internet.Troisièmement, truquer l'engagement: certains réseaux ont utilisé les services d'Openai \\ pour simuler l'engagement des médias sociaux, générant des réponses à leurs propres messages.Cependant, cela ne s'est pas traduit par un véritable engagement, ce qu'aucun de ces réseaux n'a réussi à réaliser de manière significative.Enfin, les gains de productivité: de nombreux acteurs de menace ont utilisé les services d'Openai \\ pour stimuler l'efficacité, par exemple en résumant les publications sur les réseaux sociaux ou le code de débogage.
Pour les praticiens de la cybersécurité, il est crucial de comprendre les tendances opérationnelles de ces iOS.Les stratégies défensives contre une telle utilisation abusive comprennent la mise en œuvre de systèmes de sécurité robustes dans les modèles d'IA, qui peuvent empêcher la génération de contenu malveillant et exploiter des outils améliorés par l'IA pour rationaliser les enquêtes.Le partage des indicateurs de menaces et des informations au sein de l'industrie s'avère également vitaux pour amplifier l'impact des perturbations.Les praticiens doivent rester vigilants de l'élément humain de ces opérations, car les attaquants sont sujets à des erreurs qui peuvent être exploitées pour la détection et l'atténuation.En adoptant ces stratégies, les professionnels de la cybersécurité peuvent mieux se défendre contre les opérations sophistiquées d'influence sur l'IA.
En savoir plus sur la façon dont Microsoft est [rester en avance sur les acteurs de la menace à l'ère de l'IA] (https://security.microsoft.com/intel-explorer/articles/ed40fbef).
## Les références
[Perturbant les utilisations trompeuses de l'IA par les opérations d'influence secrètes] (https://openai.com/index/disrupting-deceptive-uses-of-ai-by-covert-influence-operations/).OpenAI (consulté en 2024-05-30)
## Snapshot OpenAI has successfully disrupted multiple covert influence operations (IOs) leveraging AI models for deceptive activities, showcasing trends and defensive |
Tool Threat | ★★ | |
|
2024-05-30 20:28:18 | Lilacsquid: La trilogie furtive de Purpleink, Inkbox et Inkloader LilacSquid: The stealthy trilogy of PurpleInk, InkBox and InkLoader (lien direct) |
## Snapshot Cisco Talos has disclosed a new suspected data theft campaign, active since at least 2021, attributed to an advanced persistent threat actor (APT) called "LilacSquid". ## Description The campaign uses MeshAgent, an open-source remote management tool, and a customized version of QuasarRAT called "PurpleInk" to serve as the primary implants after successfully compromising vulnerable application servers exposed to the internet. The campaign leverages vulnerabilities in public-facing application servers and compromised remote desktop protocol (RDP) credentials to orchestrate the deployment of a variety of open-source tools, such as MeshAgent and SSF, alongside customized malware, such as "PurpleInk," and two malware loaders called "InkBox" and "InkLoader." The campaign is geared toward establishing long-term access to compromised victim organizations to enable LilacSquid to siphon data of interest to attacker-controlled servers. LilacSquid\'s victimology includes a diverse set of victims consisting of information technology organizations building software for the research and industrial sectors in the United States, organizations in the energy sector in Europe, and the pharmaceutical sector in Asia, indicating that the threat actor may be agnostic of industry verticals and trying to steal data from a variety of sources. ## Detections/Hunting Queries # Recommendations to protect against Information Stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the | Ransomware Spam Malware Tool Vulnerability Threat Industrial | ★★★ |
To see everything:
Our RSS (filtrered)
