What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-20 17:50:00 | Foxit PDF Reader Flaw exploité par des pirates pour livrer un arsenal de logiciels malveillants divers Foxit PDF Reader Flaw Exploited by Hackers to Deliver Diverse Malware Arsenal (lien direct) |
Les acteurs de menaces multiples armement un défaut de conception dans le lecteur Foxit PDF pour livrer une variété de logiciels malveillants tels que l'agent Tesla, Asyncrat, DCRAT, Nanocore Rat, Njrat, Pony, Remcos Rat et Xworm.
"Cet exploit déclenche des avertissements de sécurité qui pourraient tromper les utilisateurs sans méfiance dans l'exécution de commandes nuisibles", Check Point & nbsp; Said & NBSP; dans un rapport technique."Cet exploit a été utilisé par plusieurs
Multiple threat actors are weaponizing a design flaw in Foxit PDF Reader to deliver a variety of malware such as Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT, and XWorm. "This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands," Check Point said in a technical report. "This exploit has been used by multiple |
Malware Threat Technical | ||
 |
2024-05-20 15:00:00 | Traverser le paysage cyber-menace de la technologie opérationnelle de 2023 Traversing the 2023 Operational Technology Cyber Threat Landscape (lien direct) |
> Les informations fournies ici proviennent de chasseurs d'adversaires et d'analystes de la cyber-menace de l'intelligence et des analystes qui effectuent des recherches sur l'adversaire ...
Le post traversant le paysage cyber-menace de la technologie opérationnelle 2023 d'abordest apparu sur dragos .
>Information provided here is sourced from Dragos OT Cyber Threat Intelligence adversary hunters and analysts who conduct research on adversary... The post Traversing the 2023 Operational Technology Cyber Threat Landscape first appeared on Dragos. |
Threat Industrial | ||
|
2024-05-20 14:56:00 | Les cybercriminels exploitent Github et Filezilla pour livrer des logiciels malveillants de cocktails Cyber Criminals Exploit GitHub and FileZilla to Deliver Cocktail Malware (lien direct) |
A "multi-faceted campaign" has been observed abusing legitimate services like GitHub and FileZilla to deliver an array of stealer malware and banking trojans such as Atomic (aka AMOS), Vidar, Lumma (aka LummaC2), and Octo by impersonating credible software like1Password, Bartender 5 et Pixelmator Pro.
"La présence de plusieurs variantes de logiciels malveillants suggère un large ciblage multiplateforme
A "multi-faceted campaign" has been observed abusing legitimate services like GitHub and FileZilla to deliver an array of stealer malware and banking trojans such as Atomic (aka AMOS), Vidar, Lumma (aka LummaC2), and Octo by impersonating credible software like 1Password, Bartender 5, and Pixelmator Pro. "The presence of multiple malware variants suggests a broad cross-platform targeting |
Malware Threat | ||
 |
2024-05-20 14:19:33 | Faits saillants hebdomadaires, 20 mai 2024 Weekly OSINT Highlights, 20 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence un éventail diversifié de cyber-menaces sophistiquées ciblant divers secteurs, notamment des infrastructures critiques, des institutions financières et des entités diplomatiques.Les articles soulignent la complexité croissante des vecteurs d'attaque, tels que l'utilisation de campagnes de tunnels DNS, de malvertisation et de phishing sophistiquées.Les acteurs de la menace, allant de groupes à motivation financière comme FIN7, à des entités parrainées par l'État comme Turla, utilisent des techniques avancées comme l'obscurcissement des logiciels malveillants, la stéganographie et l'ingénierie sociale pour atteindre leurs objectifs. ## Description 1. ** [Darkgate Malware Campaign exploite PDF Lures] (https://security.microsoft.com/intel-explorer/articles/055cd342) **: les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants Darkgate qui utilise des rémissions de PDF déguisées sous forme de factures QuickBooks intuites, incitant les utilisateurs à télécharger un fichier malveillant des archives Java (JAR).Le fichier JAR télécharge des charges utiles supplémentaires, y compris un script AutOIT, établissant des connexions distantes et exécutant du code de shell pour communiquer avec les serveurs C2. 2. ** [Campagne d'évolution des logiciels malveillants Ebury] (https://security.microsoft.com/intel-explorer/articles/276a4404) **: Les chercheurs ESET ont indiqué que le malware Ebury, qui cible les serveurs Linux pour un gain financier, a de gain financier,a évolué avec de nouvelles techniques d'obscurcissement et un algorithme de génération de domaine.Le malware, actif depuis 2009, compromet les serveurs pour voler des données de crypto-monnaie et financières, exploitant le trafic SSH et tirant parti de l'infrastructure du fournisseur d'hébergement. 3. ** [DNS Tunneling utilisé pour la communication secrète] (https://security.microsoft.com/intel-explorer/articles/7f0d7aa3) **: les chercheurs de Palo Alto ont mis en évidence l'utilisation du tunneling DNS par des pirates pour exfiltrater les données et communiqueravec les serveurs C2 secrètement.Des campagnes comme "TrkCDN" et "Secshow" utilisent cette technique pour contourner les mesures de sécurité traditionnelles, l'intégration de données malveillantes dans les requêtes et les réponses DNS. 4. ** [La campagne de phishing distribue une nouvelle souche de logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/95ff5bf6)**: AhnLab a identifié une campagne de phishing distribuant des logiciels malveillantsPar e-mails déguisés en avertissements de violation du droit d'auteur, conduisant à l'infostaler et aux ransomwares de bête vidar.Le ransomware crypte les fichiers et se propage via des réseaux, tandis que l'infostaler cible les informations utilisateur et se connecte aux serveurs C2. 5. ** [Profil github utilisé pour distribuer des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/4782de66) **: le groupe INSIKT a découvert une campagne par des acteurs de menace russe à l'aide de GitHub pour distribuer des logiciels malveillantsse faire passer pour un logiciel légitime.La campagne a utilisé des variantes comme le voleur atomique MacOS (AMOS) et le vidar pour infiltrer les systèmes et voler des données sensibles, indiquant un effort coordonné d'un groupe de menaces sophistiqué. 6. ** [Fin7 utilise des sites Web malveillants pour répandre les logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/6c0c8997) **: ESENTIRE observé Fin7, suivi par Microsoft comme [Sangria Tempest] (Https: Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaea4d3565df70afc7c85eaee69f74278), en utilisant des sites Web malveillants qui imposent des marques et des formes de pochette et de la rencontre Google.Les attaques impliquaient Netsupport Rat pour la reconnaissance et la persistance du système, | Ransomware Malware Tool Vulnerability Threat Medical | ||
 |
2024-05-20 14:18:17 | New \\ 'sirren \\' Liste de diffusion vise à partager des renseignements sur les menaces pour les projets open source New \\'Siren\\' mailing list aims to share threat intelligence for open source projects (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence un éventail diversifié de cyber-menaces sophistiquées ciblant divers secteurs, notamment des infrastructures critiques, des institutions financières et des entités diplomatiques.Les articles soulignent la complexité croissante des vecteurs d'attaque, tels que l'utilisation de campagnes de tunnels DNS, de malvertisation et de phishing sophistiquées.Les acteurs de la menace, allant de groupes à motivation financière comme FIN7, à des entités parrainées par l'État comme Turla, utilisent des techniques avancées comme l'obscurcissement des logiciels malveillants, la stéganographie et l'ingénierie sociale pour atteindre leurs objectifs. ## Description 1. ** [Darkgate Malware Campaign exploite PDF Lures] (https://security.microsoft.com/intel-explorer/articles/055cd342) **: les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants Darkgate qui utilise des rémissions de PDF déguisées sous forme de factures QuickBooks intuites, incitant les utilisateurs à télécharger un fichier malveillant des archives Java (JAR).Le fichier JAR télécharge des charges utiles supplémentaires, y compris un script AutOIT, établissant des connexions distantes et exécutant du code de shell pour communiquer avec les serveurs C2. 2. ** [Campagne d'évolution des logiciels malveillants Ebury] (https://security.microsoft.com/intel-explorer/articles/276a4404) **: Les chercheurs ESET ont indiqué que le malware Ebury, qui cible les serveurs Linux pour un gain financier, a de gain financier,a évolué avec de nouvelles techniques d'obscurcissement et un algorithme de génération de domaine.Le malware, actif depuis 2009, compromet les serveurs pour voler des données de crypto-monnaie et financières, exploitant le trafic SSH et tirant parti de l'infrastructure du fournisseur d'hébergement. 3. ** [DNS Tunneling utilisé pour la communication secrète] (https://security.microsoft.com/intel-explorer/articles/7f0d7aa3) **: les chercheurs de Palo Alto ont mis en évidence l'utilisation du tunneling DNS par des pirates pour exfiltrater les données et communiqueravec les serveurs C2 secrètement.Des campagnes comme "TrkCDN" et "Secshow" utilisent cette technique pour contourner les mesures de sécurité traditionnelles, l'intégration de données malveillantes dans les requêtes et les réponses DNS. 4. ** [La campagne de phishing distribue une nouvelle souche de logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/95ff5bf6)**: AhnLab a identifié une campagne de phishing distribuant des logiciels malveillantsPar e-mails déguisés en avertissements de violation du droit d'auteur, conduisant à l'infostaler et aux ransomwares de bête vidar.Le ransomware crypte les fichiers et se propage via des réseaux, tandis que l'infostaler cible les informations utilisateur et se connecte aux serveurs C2. 5. ** [Profil github utilisé pour distribuer des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/4782de66) **: le groupe INSIKT a découvert une campagne par des acteurs de menace russe à l'aide de GitHub pour distribuer des logiciels malveillantsse faire passer pour un logiciel légitime.La campagne a utilisé des variantes comme le voleur atomique MacOS (AMOS) et le vidar pour infiltrer les systèmes et voler des données sensibles, indiquant un effort coordonné d'un groupe de menaces sophistiqué. 6. ** [Fin7 utilise des sites Web malveillants pour répandre les logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/6c0c8997) **: ESENTIRE observé Fin7, suivi par Microsoft comme [Sangria Tempest] (Https: Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaea4d3565df70afc7c85eaee69f74278), en utilisant des sites Web malveillants qui imposent des marques et des formes de pochette et de la rencontre Google.Les attaques impliquaient Netsupport Rat pour la reconnaissance et la persistance du système, | Threat | ||
 |
2024-05-20 13:00:56 | Dévoiler vide Manticore: collaboration structurée entre l'espionnage et la destruction dans MOIS Unveiling Void Manticore: Structured Collaboration Between Espionage and Destruction in MOIS (lien direct) |
> La recherche sur les points de contrôle (RCR) a suivi activement les activités de Void Manticore, un acteur iranien des menaces affiliée au ministère de l'Information et de la Sécurité (MOIS).Cet acteur de menace a attiré l'attention pour son implication dans les attaques de l'essuyage destructrices, souvent associées à des opérations d'influence.Notamment, le vide Manticore a adopté divers personnages en ligne pour mener à bien ses opérations, les plus importants étant & # 8220; Homeland Justice & # 8221;pour les attaques en Albanie et & # 8220; Karma & # 8221;pour les opérations ciblant Israël.Faits saillants clés: le vide Manticore, lié au ministère iranien de l'intelligence et de la sécurité (MOIS), exécute des attaques d'essuyage destructrices aux côtés des opérations d'influence.Opérant sous divers [& # 8230;] en ligne [& # 8230;]
>Check Point Research (CPR) has been actively monitoring the activities of Void Manticore, an Iranian threat actor affiliated with the Ministry of Intelligence and Security (MOIS). This threat actor has garnered attention for its involvement in destructive wiping attacks, often coupled with influence operations. Notably, Void Manticore has adopted various online personas to carry out its operations, with the most prominent ones being “Homeland Justice” for attacks in Albania and “Karma” for operations targeting Israel. Key Highlights: Void Manticore, linked to the Iranian Ministry of Intelligence and Security (MOIS), executes destructive wiping attacks alongside influence operations. Operating under various online […] |
Threat | ||
|
2024-05-20 13:00:38 | Mettre en œuvre un programme continu de gestion de l'exposition à la menace (CTEM) avec des services de conseil à point de contrôle IGS Implement a Continuous Threat Exposure Management (CTEM) Program with Check Point IGS Consulting Services (lien direct) |
> Dans le paysage des menaces en constante évolution en constante évolution, il est plus important que jamais d'avoir une forte posture de sécurité en place.Les acteurs de la menace deviennent de plus en plus sophistiqués et augmentent leur taux d'attaques & # 8211;Selon Check Point Research, les cyberattaques ont augmenté de 28% en 1 \\ '2024.De nombreuses organisations comptent sur leurs CISO pour comprendre les risques et menaces auxquels ils pourraient être exposés à & # 8211;Mais cela devient une tâche de plus en plus difficile car ils sont également chargés de permettre l'entreprise.Cela signifie qu'avoir un moyen facile de visualiser et d'analyser les mesures de cybersécurité est essentielle pour les CISO à [& # 8230;]
>In today\'s constantly evolving threat landscape, it is more important than ever to have a strong security posture in place. Threat actors are becoming more sophisticated and are increasing their rate of attacks – according to Check Point Research, cyber attacks increased 28% in Q1\'2024. Many organizations rely on their CISOs to understand the risks and threats which they could be exposed to – but this is becoming an increasingly challenging task as they are also tasked with enabling the business. This means that having an easy way to view and analyze cyber security metrics is essential for CISOs to […] |
Threat | ||
|
2024-05-20 10:46:02 | 20 mai & # 8211;Rapport de renseignement sur les menaces 20th May – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 20 mai, veuillez télécharger notre bulletin menace_intelligence.Les principales attaques et violations du fournisseur de prescriptions électroniques australien Medisesecure ont subi une attaque de ransomware importante, entraînant des perturbations généralisées et des violations de données.L'impact de l'attaque a été profond, affectant largement les données sur les soins de santé dans le pays.[& # 8230;]
>For the latest discoveries in cyber research for the week of 20th May, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Australian electronic prescriptions provider MediSecure suffered a significant ransomware attack, leading to widespread disruptions and data breaches. The impact of the attack has been profound, broadly affecting healthcare data broadly in the country. […] |
Ransomware Threat Medical | ||
|
2024-05-20 10:01:00 | Bad Karma, No Justice: Void Manticore Activités destructrices en Israël Bad Karma, No Justice: Void Manticore Destructive Activities in Israel (lien direct) |
> Introduction Depuis octobre 2023, Check Point Research (RCR) a activement surveillé et chassé les menaces parrainées par l'État ciblant les organisations israéliennes avec des attaques destructrices utilisant des essuie-glaces et des ransomwares.Parmi ces menaces, le vide Manticore (alias & # 160; Storm-842) se démarque comme un acteur de menace iranien connu pour mener des attaques destructrices et une divulgation d'informations à travers le personnage en ligne \\ 'karma \' (parfois écrit comme karma).[& # 8230;]
>Introduction Since October 2023, Check Point Research (CPR) has actively monitored and hunted state-sponsored threats targeting Israeli organizations with destructive attacks using wipers and ransomware. Among these threats, Void Manticore (aka Storm-842) stands out as an Iranian threat actor known for conducting destructive attacks and leaking information through the online persona \'Karma\' (sometime written as KarMa). […] |
Ransomware Threat | ||
 |
2024-05-20 10:00:00 | Disséquant une attaque de phishing à plusieurs étapes. Dissecting a Multi-stage Phishing Attack. (lien direct) |
Phishing is one of the most common forms of cyber attack that organizations face nowadays. A 2024 risk report states that 94% of organizations fall victim to phishing attacks, and 96% are negatively impacted by them. However, phishing attacks are not only growing in number but are also more sophisticated and successful. This is owing to the modern multi-stage phishing attack, which is common nowadays. The multi-stage phishing attack is a sophisticated and multifaceted technique that increases the likelihood of success of an attack. While these attacks are becoming increasingly common, there needs to be more awareness of them. Therefore, to find relevant measures for mitigating these attacks, organizations must gain crucial insights regarding these multifaceted threats covered in this blog. What is a Multi-stage Phishing Attack? As its name suggests, a multi-stage phishing attack is a complex form of traditional phishing. In a multi-stage setup, a phishing attack relies on more deceptive strategies and phases rather than solely relying on one deceptive email, unlike in a traditional phishing attack. All the phases within the multi-stage phishing attack are designed to build trust and gather relative information about the target over time. Since this approach works discreetly on a multi-phased setup, it allows threat actors to bypass advanced security measures such as residential proxies and phishing detection tools. Multi-stage phishing attacks are a common occurrence in the modern cyber threat landscape. Attackers use this sophisticated layered tactic to deploy targeted ransomware or while conducting successful business email compromise (BEC) attacks. Dissecting a multi-stage phishing attack A multi-stage phishing attack is a sophisticated strategy that relies on a sequence of carefully designed steps. These steps help increase the probability of a successful phishing attack by evading advanced security and detection techniques. A typical multi-stage approach to the attack consists of the following phases: Initial Contact Like any traditional attack, the multi-stage attack starts with the threat actor initiating contact with the target through seemingly innocuous means. These include social media messages, phishing emails, or even physical methods such as USB drops. Establishing Trust After establishing contact with the target, the threat actor builds trust. This often involves impersonating legitimate entities or using communication channels familiar to the target, making it easy for them to fall victim and trust the threat actor. Introducing Complexities As the attack progresses, the threat actor introduces complexities such as using CAPTCHAs, QR Codes, and steganography to create further layers of deception, guaranteeing the attack\'s success. Exploitation The final stage of the attack involves exploiting the target. At this stage, the threat actor could either deploy malware, extract sensitive information, or perform any other malicious activity that might have been the goal of the whole attack. This multi-layered nature of a phishing attack makes it hard to detect through traditional security tools like residential proxies and phishing detection tools. Therefore, it ultimately makes the attack successful. How QR Codes, Captchas, and Steganography Are Used in Layered Phishing Attacks. In a multi-stage phishing attack, QR Codes, steganography, and CAPTCHAs are used to overcome security barriers and increase the attack\'s efficiency. Here is how each of these elements is used to ensure the attack is successful: QR Codes Quick Response or QR codes have become ubiquitous in various applications since they a | Ransomware Malware Tool Threat | ||
 |
2024-05-20 08:08:39 | GPS – Les risques de brouillage et de leurrage expliqués (lien direct) | Le GPS et les autres systèmes GNSS sont vulnérables au brouillage et au leurrage. Scott Manley explique ces menaces, leurs conséquences et les contre-mesures possibles pour sécuriser ces technologies omniprésentes dont dépendent navigation, téléphonie et bien d'autres applications. | Threat | ||
|
2024-05-19 13:29:00 | Grandoreiro Banking Trojan Resurfaces, ciblant plus de 1 500 banques dans le monde Grandoreiro Banking Trojan Resurfaces, Targeting Over 1,500 Banks Worldwide (lien direct) |
Les acteurs de la menace derrière les Windows & NBSP; Grandoreiro & NBSP; Banking Trojan sont revenus dans une campagne mondiale depuis mars 2024 à la suite d'un retrait des forces de l'ordre en janvier.
Les attaques de phishing à grande échelle, probablement facilitées par d'autres cybercriminels via un modèle de logiciel malveillant en tant que service (MAAS), ciblent plus de 1 500 banques à travers le monde, couvrant plus de 60 pays au centre et au sud
The threat actors behind the Windows-based Grandoreiro banking trojan have returned in a global campaign since March 2024 following a law enforcement takedown in January. The large-scale phishing attacks, likely facilitated by other cybercriminals via a malware-as-a-service (MaaS) model, target over 1,500 banks across the world, spanning more than 60 countries in Central and South |
Threat Legislation | ★★★ | |
|
2024-05-17 22:50:00 | Kinsing Hacker Group exploite plus de défauts pour agrandir le botnet pour le cryptojacking Kinsing Hacker Group Exploits More Flaws to Expand Botnet for Cryptojacking (lien direct) |
Le groupe de cryptojacking connu sous le nom de & nbsp; kinsing & nbsp; a démontré sa capacité à évoluer et à s'adapter continuellement, se révélant être une menace persistante en intégrant rapidement les vulnérabilités nouvellement divulguées pour exploiter l'arsenal et étendre son botnet.
Le & nbsp; conclusions & nbsp; proviennent de la société de sécurité de cloud Aqua, qui a décrit l'acteur de menace comme orchestrant activement l'exploitation de crypto-monnaie illicite
The cryptojacking group known as Kinsing has demonstrated its ability to continuously evolve and adapt, proving to be a persistent threat by swiftly integrating newly disclosed vulnerabilities to exploit arsenal and expand its botnet. The findings come from cloud security firm Aqua, which described the threat actor as actively orchestrating illicit cryptocurrency mining |
Vulnerability Threat Cloud | ★★ | |
|
2024-05-17 19:54:33 | La campagne par e-mail distribue Lockbit Black Ransomware via Phorpiex Botnet Email Campaign Distributes LockBit Black Ransomware via Phorpiex Botnet (lien direct) |
## Instantané Les chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomwares noirs Lockbit. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publiée avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Lockbit Black Builder a fourni aux acteurs de la menace un accès à des ransomwares propriétaires et sophistiqués.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender p | Ransomware Tool Threat | ★★★ | |
|
2024-05-17 19:11:34 | To the Moon and back(doors): Lunar landing in diplomatic missions (lien direct) | #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land | Malware Tool Threat Technical | ★★ | |
|
2024-05-17 16:57:23 | Du document au script: à l'intérieur de la campagne de Darkgate \\ From Document to Script: Insides of DarkGate\\'s Campaign (lien direct) |
## Instantané Les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants de Darkgate où les victimes ont reçu des atouts PDF imitant les factures de QuickBooks intuit à partir d'un e-mail compromis. Lire la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Ces e-mails invitent les utilisateurs à installer Java pour afficher la facture, les conduisant à télécharger par inadvertance un fichier archive Java (JAR) malveillant à partir d'une URL géofisée.L'analyse de la campagne de Forcepoint \\ a révélé une structure sophistiquée dans le fichier JAR, qui abrite des commandes pour télécharger des charges utiles supplémentaires, y compris un script AutOIT.Le script utilise des méthodes d'obscuscations pour masquer ses opérations, exécuter le code de shell et établir des connexions avec des serveurs de commande et de contrôle distants (C2). ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Win32 / Darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/darkgate) - [* Trojan: win64 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:wiN64 / Darkgate! Mtb & menaceID = -2147076814) - [* Trojan: vbs / darkgate *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = Trojan: vbs / darkgate.ba! msr & menaceID = -2147075963) - [* Comportement: win32 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.zy& threattid=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Darkgate * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Implémentation de la résistance à l'authentification d'accès conditionnel] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengs?ocid=Magicti_ta_learndoc) pour nécessiter une authentification de phishing-résistante pour les employés et les utilisateurs externespour les applications critiques. - [Spécifiez les organisations de fiducie Microsoft 365] (https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings&mét-365-organisations) pour définir quels domaines externes sont autorisés ou bloqués pour discuter et se rencontrer. - Gardez [Microsoft 365 Audit] (https://learn.microsoft.com/en-us/purview/audit-solutions-overview?ocid=magicti_ta_learndoc) activé afin que les enregistrements d'audit puissent être étudiés si nécessaire. - Comprendre et sélectionner les [meilleurs paramètres d'accès pour la collaboration externe] (https://learn.microsoft.com/en-us/microsoftteams/communicate-with-users-from-other-Organizations?ocid=Magicti_TA_LearnDoc) pour votre organisation. - [Autoriser uniquement les appareils connus] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/howto-conditional-acCess-Policy-Compliant-Device? OCID = magicti_ta_learndoc) qui adhèrent aux bases de base de sécurité recommandées de Microsoft \\.? Ocid = magicti_ta_learndoc) - éduquer les utilisateurs abOut ingénierie sociale et attaques de phishing d'identification, notamment | Malware Threat Cloud | ★★ | |
 |
2024-05-17 16:09:11 | Le qui, où et comment des attaques appropriées & # 8211;Semaine en sécurité avec Tony Anscombe The who, where, and how of APT attacks – Week in security with Tony Anscombe (lien direct) |
Cette semaine, les experts de l'ESET ont publié plusieurs publications de recherche qui mettent en lumière un certain nombre de campagnes notables et des développements plus larges sur le paysage des menaces
This week, ESET experts released several research publications that shine the spotlight on a number of notable campaigns and broader developments on the threat landscape |
Threat | ★★★ | |
|
2024-05-17 14:16:00 | Kimsuky Apt déploiement de la porte dérobée Linux Gomir dans les cyberattaques sud-coréennes Kimsuky APT Deploying Linux Backdoor Gomir in South Korean Cyber Attacks (lien direct) |
Le & NBSP; Kimsuky & nbsp; (aka Springtail) Advanced Persistance Menace (APT) Group, qui est lié au Bureau général de reconnaissance de la Corée du Nord (RGB), a été observé en déploiement d'une version Linux de son backdoor gobear dans le cadre d'un ciblage de campagne ciblant de campagneOrganisations sud-coréennes.
La porte dérobée, nommé par code et NBSP; Gomir, est "structurellement presque identique à Gobear, avec un partage approfondi de code entre
The Kimsuky (aka Springtail) advanced persistent threat (APT) group, which is linked to North Korea\'s Reconnaissance General Bureau (RGB), has been observed deploying a Linux version of its GoBear backdoor as part of a campaign targeting South Korean organizations. The backdoor, codenamed Gomir, is "structurally almost identical to GoBear, with extensive sharing of code between |
Threat | ★★ | |
 |
2024-05-17 13:07:15 | Plateforme de sécurité des produits de Cybellum \\ 3.0: Risk Edition permet la modélisation des menaces, la gestion des risques et de la conformité à grande échelle Cybellum\\'s Product Security Platform 3.0: Risk Edition enables threat modeling, risk and compliance management at scale (lien direct) |
Cybellum a annoncé la sortie de la plate-forme de sécurité des produits 3.0: Risk Edition, offrant aux équipes la capacité de ...
Cybellum has announced the release of the Product Security Platform 3.0: Risk Edition, offering teams the capability to... |
Threat | ★★ | |
 |
2024-05-17 12:19:02 | Une nouvelle vulnérabilité Wi-Fi entraîne une attaque de confusion SSID New Wi-Fi Vulnerability Leads To SSID Confusion Attack (lien direct) |
Les chercheurs de Ku Leuven de Belgique ont découvert une nouvelle vulnérabilité de sécurité qui exploite un défaut de conception dans la norme IEEE 802.11.
Cette vulnérabilité pourrait potentiellement exposer des millions d'utilisateurs à l'interception et à la manipulation du trafic.
L'attaque de confusion SSID, identifiée par l'identifiant CVE-2023-52424, permet aux acteurs de menace de tromper les clients Wi-Fi sur n'importe quel système d'exploitation pour se connecter à un réseau non fiable sans le savoir.
En d'autres termes, cette attaque trompe une victime à se connecter à un autre réseau Wi-Fi autre que celui qu'ils avaient l'intention.
Site de revue VPN Top10VPN, qui a collaboré avec les chercheurs H & Eacute; Lo & iuml; Se Gollier et Mathy VanHoef de Ku Leuven, ont publié le fonctionnement interne de l'attaque de confusion SSID cette semaine, avant sa présentation lors de la conférence Wisec \\ '24 Conference inSéoul, Corée du Sud.
La vulnérabilité CVE-2023-52424 affecte tous les clients Wi-Fi (maison, entreprise, maillage et autres) sur toutes les plateformes et systèmes d'exploitation.
Il a également un impact sur les réseaux Wi-Fi basés sur le protocole WPA3 largement déployé, WEP et 802.11x / eap.
& # 8220; Dans cet article, nous démontrons qu'un client peut être amené à se connecter à un réseau Wi-Fi protégé différent de celui auquel il avait l'intention de se connecter.C'est-à-dire que l'interface utilisateur du client affichera un SSID différent de celui du réseau réel auquel il est connecté, & # 8221;Ku Leuven Researchers Mathy VanHoef et H & eacute; lo & iuml; se Gollier dit dans leur papier.
La cause profonde du nouveau défaut de conception Wi-Fi réside dans la norme IEEE 802.11, qui sous-tend le fonctionnement du Wi-Fi et ne nécessite pas que le nom du réseau (SSID) soit toujours authentifié pendant le processus de connexion.
En conséquence, ce manque d'authentification SSID attire des victimes sans méfiance à se connecter à un réseau moins fiable en usurpant les SSID légitimes, conduisant potentiellement à l'interception des données et à d'autres violations de sécurité.
Selon top10vpn , six universités (y compris les institutions au Royaume-Uni et aux États-Unis) ont été identifiées jusqu'à présent où le personnel et les étudiants sont particulièrement à risque en raison de la réutilisation des diplômes.
Pour se défendre contre l'attaque de confusion SSID, les chercheurs ont proposé plusieurs défenses, telles que toujours, y compris le SSID en dérivation clé pendant la poignée de main à 4 voies lors de la connexion à des réseaux protégés, l'inclusion du SSID en tant que données authentifiées supplémentaires dans le 4-WAYPACHE, Amélioration de la protection de la balise pour aider à empêcher l'usurpation, à mettre à jour la norme Wi-Fi 802.11 pour imposer l'authentification du SSID lors de la connexion à un réseau protégé;et éviter la réutilisation des informations d'identification sur différents SSIDS.
Researchers at Belgium\'s KU Leuven have discovered a new security vulnerability that exploits a design flaw in the IEEE 802.11 standard. This vulnerability could potentially expose millions of users to traffic interception and manipulation. The SSID Confusion Attack, identified under the identifier |
Vulnerability Threat Conference | ★★★★ | |
 |
2024-05-17 12:00:00 | Microsoft n'a pas encore corrigé 7 pwn2own zéro-jours Microsoft Has Yet to Patch 7 Pwn2Own Zero-Days (lien direct) |
Un certain nombre de bogues de fenêtres graves parviennent toujours à faire leur chemin dans les cercles criminels, mais cela ne restera pas le cas pour toujours - et le temps est court avant que les versions de ZDI ne divulguent les détails.
A number of serious Windows bugs still haven't made their way into criminal circles, but that won't remain the case forever - and time is running short before ZDI releases exploit details. |
Threat | ★★★★ | |
 |
2024-05-17 08:49:39 | Palo Alto Networks dévoile un ensemble de nouvelles solutions de sécurité (lien direct) | Palo Alto Networks lance de nouvelles solutions de sécurité basées sur l'IA de précision pour se protéger contre les menaces avancées et adopter l'IA en toute sécurité Les nouvelles solutions AI Access Security, AI-SPM et AI Runtime Security permettent aux entreprises d'adopter l'IA en toute sécurité Résumé de l'actualité : • Precision AI™ est un système d'intelligence artificielle (IA) propriétaire et innovant qui combine la puissance de l'apprentissage automatique (Machine Learning), de l'apprentissage en profondeur (Deep Learning) et de l'IA générative pour garantir une sécurité et une sûreté en temps réel. • La suite de sécurité Precision AI (“Precision AI Security Bundle”) s'appuie sur l'IA en ligne pour prévenir les menaces web sophistiquées, les menaces zero-day, les attaques par commande et contrôle et les attaques par piratage DNS. • Les nouvelles fonctionnalités Code to Cloud™ basées sur l'IA comprennent l'analyse des chemins d'attaque IA, du rayon d'impact et des actions de remédiations. Grâce à l'introduction de nouvelles solutions de sécurité d'accès à l'IA, de gestion de la posture de sécurité de l'IA et de sécurité d'exécution de l'IA, les entreprises peuvent adopter l'IA en toute sécurité. - Produits | Vulnerability Threat | ★★★ | |
|
2024-05-16 21:30:54 | Ebury est vivant mais invisible: 400k serveurs Linux compromis pour le vol de crypto-monnaie et le gain financier Ebury is Alive but Unseen: 400k Linux Servers Compromised for Cryptocurrency Theft and Financial Gain (lien direct) |
## Instantané
Les chercheurs de l'ESET ont publié un rapport sur l'évolution de la campagne de logiciels malveillants Ebury, qui tire parti de logiciels malveillants Linux à des fins financières.
## Description
La campagne s'est diversifiée pour inclure la carte de crédit et le vol de crypto-monnaie.Le logiciel malveillant a été mis à jour avec de nouvelles techniques d'obscurcissement, un nouvel algorithme de génération de domaine et des améliorations de l'utilisateur Rootkit utilisé par Ebury pour se cacher des administrateurs système.Les acteurs de la menace Ebury utilisent différentes méthodes pour compromettre les nouveaux serveurs, y compris l'utilisation de l'adversaire au milieu pour intercepter le trafic SSH de cibles intéressantes dans les centres de données et le rediriger vers un serveur utilisé pour capturer les informations d'identification.
La famille des logiciels malveillants Ebury a été utilisé pour compromettre plus de 400 000 serveurs depuis 2009, et plus de 100 000 sont encore compromis à la fin de 2023. Les acteurs de la menace tirent parti de leur accès aux fournisseurs d'hébergement \\ 'Infrastructure pour installer Ebury sur tous les serveurs louéspar ce fournisseur.Parmi les cibles figurent les nœuds Bitcoin et Ethereum.Les demandes de publication HTTP faites vers et depuis les serveurs sont exploitées pour voler les détails financiers des sites Web transactionnels.
## Les références
["Ebury Botnet Malware a infecté 400 000 serveurs Linux depuis 2009".] (Https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-009/)BleepingComputer (consulté en 2024-05-15)
["Ebury est vivant mais invisible: 400k serveurs Linux compromis pour les cryptoft et le gain financier".] (Https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-Compromis-Cryptotheft-financial-gain /) eset (consulté en 2024-05-15)
## Snapshot ESET researchers have published a report on the evolution of the Ebury malware campaign, which leverages Linux malware for financial gain. ## Description The campaign has diversified to include credit card and cryptocurrency theft. The malware has been updated with new obfuscation techniques, a new domain generation algorithm, and improvements in the userland rootkit used by Ebury to hide itself from system administrators. The Ebury threat actors use different methods to compromise new servers, including the use of adversary in the middle to intercept SSH traffic of interesting targets inside data centers and redirect it to a server used to capture credentials. Ebury malware family has been used to compromise more than 400,000 servers since 2009, with more than 100,000 still compromised as of late 2023. The threat actors leverage their access to hosting providers\' infrastructure to install Ebury on all the servers that are being rented by that provider. Among the targets are Bitcoin and Ethereum nodes. HTTP POST requests made to and from the servers are leveraged to steal financial details from transactional websites. ## References ["Ebury botnet malware infected 400,000 Linux servers since 2009".](https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/) BleepingComputer (Accessed 2024-05-15) ["Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain".](https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain/) ESET (Accessed 2024-05-15) |
Malware Threat | ★★★ | |
|
2024-05-16 20:10:55 | Les pirates abusent du tunneling DNS pour une communication secrète et un pontage de pare-feu Hackers Abuse DNS Tunneling For Covert Communication & Firewall Bypass (lien direct) |
## Instantané
Palo Alto explique comment les pirates utilisent le tunneling DNS comme méthode de communication secrète et pour contourner les mesures de sécurité traditionnelles.
## Description
En incorporant des données malveillantes dans les requêtes et les réponses DNS, les acteurs de la menace peuvent exfiltrer des informations sensibles et communiquer avec les serveurs de commandement et de contrôle sans détection.Cette technique permet aux pirates d'utiliser des protocoles DNS en tant que canaux secrètes d'exfiltration de données, ce qui rend le trafic légitime tout en échappant aux systèmes de sécurité.
De plus, Palo Alto met en évidence des campagnes spécifiques telles que "TrkCDN" et "Secshow" qui exploitent les tunnelings DNS pour suivre les interactions par e-mail, numériser l'infrastructure du réseau et faciliter la commande et le contrôle, permettant finalement aux attaquants de communiquer via Firewalls à l'attaquant contrôlé des servistes.La technique du tunneling DNS est furtive en raison de plusieurs facteurs.Ces facteurs comprennent des pare-feu permettant le trafic DNS, la communication indirecte entre le client et le serveur, et le codage de données qui obscurcit les charges utiles comme trafic légitime.
## Recommandations
Palo Alto recommande:
- Contrôlez la gamme de services des résolveurs pour accepter les requêtes nécessaires uniquement
- Mettez rapidement à jour la version du logiciel Resolver pour éviter les vulnérabilités du jour
[En savoir plus ici sur Microsoft Defender pour DNS] (https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-dns-introduction)
## Les références
[Tiration du tunneling DNS pour le suivi et la numérisation] (https://unit42.paloaltonetworks.com/three-dns-tunneling-campaignes/).Palo Alto (consulté en 2024-05-15)
[Les pirates abusent du tunneling DNS pour la communication secrète et le pontage du pare-feu] (https://gbhackers.com/dns-tunneling-couvert-communication/).GBHACKERS (consulté en 2024-05-15)
## Snapshot Palo Alto discusses how hackers are utilizing DNS tunneling as a covert communication method and for bypassing traditional security measures. ## Description By embedding malicious data within DNS queries and responses, threat actors can exfiltrate sensitive information and communicate with command and control servers without detection. This technique allows hackers to employ DNS protocols as covert channels of data exfiltration, making the traffic appear legitimate while evading security systems. Additionally, Palo Alto highlights specific campaigns such as "TrkCdn" and "SecShow" that leverage DNS tunneling for tracking email interactions, scanning network infrastructure, and facilitating command and control, ultimately enabling attackers to communicate through firewalls to attacker-controlled nameservers. The DNS tunneling technique is stealthy due to multiple factors. These factors include firewalls allowing DNS traffic, indirect communication between the client and the server, and data encoding that obfuscates payloads as legitimate traffic. ## Recommendations Palo Alto recommends: - Control the service range of resolvers to accept necessary queries only - Promptly update the resolver software version to prevent N-day vulnerabilities [Read more here about Microsoft Defender for DNS](https://learn.microsoft.com/en-us/azure/defender-for-cloud/defender-for-dns-introduction) ## References [Leveraging DNS Tunneling for Tracking and Scanning](https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/). Palo Alto (accessed 2024-05-15) [Hackers Abuse DNS Tunneling For Covert Communication & Firewall Bypass](https://gbhackers.com/dns-tunneling-covert-communication/). GBHackers (accessed 2024-05-15) |
Threat | ★★ | |
|
2024-05-16 19:51:14 | (Déjà vu) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct) | ## Instantané Les chercheurs en sécurité AHNLAB ont identifié une nouvelle souche malveillante qui est distribuée par des e-mails de phishing déguisés en avertissements de violation du droit d'auteur. ## Description L'e-mail de phishing contient un hyperlien qui télécharge un fichier compressé.Le fichier compressé téléchargé contient à son tour des fichiers compressés ALZ supplémentaires, qui, lorsqu'ils sont décodés et décompressés, révèlent deux fichiers exécutables - l'infosaler Vidar et le ransomware de la bête. La bête ransomware chiffre les fichiers originaux et ajoute une extension spécifique, tandis que l'infosteller Vidar se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, y compris les données et les fichiers du navigateur Web sur le PC de l'utilisateur \\.La bête ransomware, une évolution du ransomware du monstre, crypte les fichiers originaux et ajoute des extensions spécifiques.Il analyse également les ports de SMB actifs, indiquant une intention de se propager par un mouvement latéral.Le Vidar InfoSteller se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, en utilisant des plateformes publiques pour la communication avec son serveur C2. ## Détections ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / VidaStelleer] (HTtps: //www.microsoft.com/wdsi/therets/malware-encyclopedia-description? name = trojan: win32 / vidarsaler.bm! msr & menaced = -2147194064) ### miCrosoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Informations volant l'activité de logiciels malveillants ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-05-16 19:37:00 | Les acteurs de la menace asiatique utilisent de nouvelles techniques pour attaquer des cibles familières Asian Threat Actors Use New Techniques to Attack Familiar Targets (lien direct) |
Les attaques génératives de la chaîne d'approvisionnement en IA et des logiciels sont exploitées pour perturber, manipuler et voler.
Generative AI and software supply chain attacks are being exploited to disrupt, manipulate, and steal. |
Threat | ★★★ | |
|
2024-05-16 19:18:00 | Les pirates nord-coréens exploitent Facebook Messenger dans une campagne de logiciels malveillants ciblés North Korean Hackers Exploit Facebook Messenger in Targeted Malware Campaign (lien direct) |
Le nord-lié à la Corée du Nord & NBSP; Kimsuky Hacking Group & NBSP; a été attribué à une nouvelle attaque d'ingénierie sociale qui utilise des comptes Facebook fictifs aux cibles via Messenger et, finalement, offre des logiciels malveillants.
"L'acteur de menace a créé un compte Facebook avec une fausse identité déguisée en fonctionnaire de travail dans le domaine nord-coréen des droits de l'homme", génie de la société de cybersécurité sud-coréenne
The North Korea-linked Kimsuky hacking group has been attributed to a new social engineering attack that employs fictitious Facebook accounts to targets via Messenger and ultimately delivers malware. "The threat actor created a Facebook account with a fake identity disguised as a public official working in the North Korean human rights field," South Korean cybersecurity company Genians |
Malware Threat | ★★★ | |
 |
2024-05-16 17:33:48 | La menace croissante des cyberattaques liées à l'identité: aperçu du paysage des menaces The Growing Threat of Identity-Related Cyberattacks: Insights Into the Threat Landscape (lien direct) |
Les 12 derniers mois ont connu une série rapide d'innovation et d'adoption de nouvelles technologies.De nouvelles identités, environnements et méthodes d'attaque puissants façonnent le paysage des menaces de cybersécurité en évolution rapide, le rendant plus complexe ...
The last 12 months have witnessed a rapid-fire round of innovation and adoption of new technologies. Powerful new identities, environments and attack methods are shaping the quickly changing cybersecurity threat landscape, rendering it more complex... |
Threat | ★★ | |
|
2024-05-16 17:32:27 | Google corrige la troisième vulnérabilité chromée zéro en une semaine Google Fixes Third Chrome Zero-day Vulnerability In A Week (lien direct) |
Google a publié lundi une mise à jour de sécurité d'urgence pour son navigateur Chrome afin de réparer un nouveau jour zéro qui a été exploité dans la nature. Il s'agit du troisième défaut chromé zéro-jour exploité qui a été | Vulnerability Threat | ★★★★ | |
 |
2024-05-16 15:23:29 | Google corrige un autre exploit zéro-jour dans Chrome - et celui-ci affecte également le bord Google patches another zero-day exploit in Chrome - and this one affects Edge too (lien direct) |
Voici ce que les utilisateurs de Chrome et Edge doivent savoir - et faire - maintenant.
Here\'s what Chrome and Edge users need to know - and do - now. |
Vulnerability Threat | ||
|
2024-05-16 13:31:01 | Windows Quick Assist ancre Black Basta Ransomware Gambit Windows Quick Assist Anchors Black Basta Ransomware Gambit (lien direct) |
Lorsqu'ils sont abusés par des acteurs de menace ayant des côtelettes sophistiquées de l'ingénierie sociale, les outils d'accès à distance exigent que les entreprises restent nettes dans la stratégie de défense et la formation à la sensibilisation aux employés.
When abused by threat actors with sophisticated social-engineering chops, remote-access tools demand that enterprises remain sharp in both defense strategy and employee-awareness training. |
Ransomware Tool Threat | ★★ | |
|
2024-05-16 13:01:32 | Jailbreakez votre PS4 avec une simple TV LG ! (lien direct) | Croyez-le ou non, vous pouvez maintenant jailbreaker votre PS4 en utilisant simplement une TV LG ! Grâce à un nouvel exploit PPLGPwn, débloquez facilement votre console en la connectant à une TV LG rootée. Découvrez comment procéder étape par étape dans cet article. | Threat | ★★★ | |
|
2024-05-16 12:48:06 | Patch maintenant: un autre google zéro-day sous Exploit in the Wild Patch Now: Another Google Zero-Day Under Exploit in the Wild (lien direct) |
Google a lancé un correctif d'urgence pour CVE-2024-4947, le troisième chrome zéro-jour qu'il a traité la semaine dernière.
Google has rolled an emergency patch for CVE-2024-4947, the third Chrome zero-day it\'s addressed in the past week. |
Vulnerability Threat | ★★ | |
|
2024-05-16 12:10:52 | Le sénateur Vance émet un avertissement sur le typhon de volt soutenu par la Chine pour les infrastructures critiques américaines Senator Vance issues warning on China-backed Volt Typhoon threat to US critical infrastructure (lien direct) |
Dans une lettre à la Cybersecurity and Infrastructure Security Agency (CISA), un sénateur américain a mis en garde contre la menace ...
In a letter to the Cybersecurity and Infrastructure Security Agency (CISA), a U.S. Senator warned of the threat... |
Threat | Guam | ★★★ |
 |
2024-05-16 12:03:39 | Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat utilisé pour cibler les experts en intelligence artificielle américaine Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct) |
What happened Proofpoint recently identified a SugarGh0st RAT campaign targeting organizations in the United States involved in artificial intelligence efforts, including those in academia, private industry, and government service. Proofpoint tracks the cluster responsible for this activity as UNK_SweetSpecter. SugarGh0st RAT is a remote access trojan, and is a customized variant of Gh0stRAT, an older commodity trojan typically used by Chinese-speaking threat actors. SugarGh0st RAT has been historically used to target users in Central and East Asia, as first reported by Cisco Talos in November 2023. In the May 2024 campaign, UNK_SweetSpecter used a free email account to send an AI-themed lure enticing the target to open an attached zip archive. Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed enough to receive a numerical TA designation. Lure email Following delivery of the zip file, the infection chain mimicked “Infection Chain 2” as reported by Cisco Talos. The attached zip file dropped an LNK shortcut file that deployed a JavaScript dropper. The LNK was nearly identical to the publicly available LNK files from Talos\' research and contained many of the same metadata artifacts and spoofed timestamps in the LNK header. The JavaScript dropper contained a decoy document, an ActiveX tool that was registered then abused for sideloading, and an encrypted binary, all encoded in base64. While the decoy document was displayed to the recipient, the JavaScript dropper installed the library, which was used to run Windows APIs directly from the JavaScript. This allowed subsequent JavaScript to run a multi-stage shellcode derived from DllToShellCode to XOR decrypt, and aplib decompress the SugarGh0st payload. The payload had the same keylogging, command and control (C2) heartbeat protocol, and data exfiltration methods. The main functional differences in the infection chain Proofpoint observed compared to the initial Talos report were a slightly modified registry key name for persistence, CTFM0N.exe, a reduced number of commands the SugarGh0st payload could run, and a different C2 server. The analyzed sample contained the internal version number of 2024.2. Network analysis Threat Research analysis demonstrated UNK_SweetSpecter had shifted C2 communications from previously observed domains to account.gommask[.]online. This domain briefly shared hosting on 103.148.245[.]235 with previously reported UNK_SweetSpecter domain account.drive-google-com[.]tk. Our investigation identified 43.242.203[.]115 hosting the new C2 domain. All identified UNK_SweetSpecter infrastructure appears to be hosted on AS142032. Context Since SugarGh0st RAT was originally reported in November 2023, Proofpoint has observed only a handful of campaigns. Targeting in these campaigns included a U.S. telecommunications company, an international media organization, and a South Asian government organization. Almost all of the recipient email addresses appeared to be publicly available. While the campaigns do not leverage technically sophisticated malware or attack chains, Proofpoint\'s telemetry supports the assessment that the identified campaigns are extremely targeted. The May 2024 campaign appeared to target less than 10 individuals, all of whom appear to have a direct connection to a single leading US-based artificial intelligence organization according to open source research. Attribution Initial analysis by Cisco Talos suggested SugarGh0st RAT was used by Chinese language operators. Analysis of earlier UNK_SweetSpecter campaigns in Proofpoint visibility confirmed these language artifacts. At this time, Proofpoint does not have any additional intelligence to strengthen this attribution. While Proofpoint cannot attribute the campaigns with high confidence to a specific state objective, the lure theme specifically referencing an AI too | Malware Tool Vulnerability Threat | ★★★ | |
 |
2024-05-16 12:02:58 | Caméras IoT exposées par des exploits chaînables, des millions touchés IoT Cameras Exposed by Chainable Exploits, Millions Affected (lien direct) |
> Par deeba ahmed
Une découverte récente de 4 défauts de sécurité dans la plate-forme Kalay de Bytek \\ laisse des millions de dispositifs IoT exposés.Cet article explore les risques de sécurité à votre maison connectée et la menace plus large pour les appareils IoT.Agir maintenant & # 8211;Sécurisez vos appareils intelligents!
Ceci est un article de HackRead.com Lire le post original: Caméras IoT exposées par des exploits chaînables, millions affectés
>By Deeba Ahmed A recent discovery of 4 security flaws in ThroughTek\'s Kalay platform leaves millions of IoT devices exposed. This article explores the security risks to your connected home and the broader threat to IoT devices. Act now – secure your smart devices! This is a post from HackRead.com Read the original post: IoT Cameras Exposed by Chainable Exploits, Millions Affected |
Threat | ★★★ | |
 |
2024-05-16 12:00:38 | Sécurité par e-mail réinventée: comment l'IA révolutionne la défense numérique Email Security Reinvented: How AI is Revolutionizing Digital Defense (lien direct) |
Explorez les nombreuses façons dont la défense de la menace par e-mail sécurisée exploite une AI et ML sophistiquées pour protéger contre les menaces avancées. 
Explore the many ways that Secure Email Threat Defense leverages sophisticated AI and ML to protect against advanced threats. |
Threat | ★★★ | |
 |
2024-05-16 11:09:41 | Android 15 apporte une amélioration des fraudes et des protections de logiciels malveillants Android 15 Brings Improved Fraud and Malware Protections (lien direct) |
> Google stimule les protections de fraude et de logiciels malveillants dans Android 15 avec une détection de menace en direct et des paramètres restreints élargis.
>Google is boosting fraud and malware protections in Android 15 with live threat detection and expanded restricted settings. |
Malware Threat Mobile | ★★★ | |
 |
2024-05-16 09:27:27 | La guerre invisible : les enjeux du Cyber Command Belge dans la lutte contre les manipulations électroniques (lien direct) | Le général-major Michel Van Strythem, à la tête du nouveau Cyber Command de l'armée belge, a récemment révélé dans une interview accordée au journal De Morgen les nombreuses menaces insidieuses qui se cachent derrière nos écrans de smartphone.... | Threat | ★★ | |
|
2024-05-16 08:46:00 | Cybercriminels exploitant la fonction d'assistance rapide de Microsoft \\ dans les attaques de ransomware Cybercriminals Exploiting Microsoft\\'s Quick Assist Feature in Ransomware Attacks (lien direct) |
L'équipe de Microsoft Threat Intelligence a déclaré qu'elle avait observé une menace qu'elle suit sous & nbsp; le nom & nbsp; Storm-1811 & nbsp; abuser de l'outil de gestion de la clientèle aide rapide aux utilisateurs cibler les attaques d'ingénierie sociale.
"Storm-1811 est un groupe cybercriminal motivé financièrement connu pour déployer & nbsp; Black Basta & nbsp; ransomware", la société & nbsp; dit & nbsp; dans un rapport publié le 15 mai 2024.
Le
The Microsoft Threat Intelligence team said it has observed a threat it tracks under the name Storm-1811 abusing the client management tool Quick Assist to target users in social engineering attacks. "Storm-1811 is a financially motivated cybercriminal group known to deploy Black Basta ransomware," the company said in a report published on May 15, 2024. The |
Ransomware Tool Threat | ★★ | |
|
2024-05-16 08:31:00 | Google patchs encore une autre vulnérabilité chromée chromée activement Google Patches Yet Another Actively Exploited Chrome Zero-Day Vulnerability (lien direct) |
Google a déployé des correctifs pour aborder & nbsp; un ensemble de & nbsp; neuf problèmes de sécurité dans son navigateur Chrome, y compris un nouveau jour zéro qui a & nbsp; a été exploité & nbsp; à l'état sauvage.
Affecté l'identifiant CVE & NBSP; CVE-2024-4947, la vulnérabilité se rapporte à un bug de confusion de type dans le moteur V8 JavaScript et WebAssembly.Il & nbsp; a été signalé & nbsp; par les chercheurs de Kaspersky Vasily Berdnikov et Boris
Google has rolled out fixes to address a set of nine security issues in its Chrome browser, including a new zero-day that has been exploited in the wild. Assigned the CVE identifier CVE-2024-4947, the vulnerability relates to a type confusion bug in the V8 JavaScript and WebAssembly engine. It was reported by Kaspersky researchers Vasily Berdnikov and Boris |
Vulnerability Threat | ★★★ | |
 |
2024-05-16 08:26:42 | Google Chrome corrige sa deuxième vulnérabilité exploitable de 2024 (lien direct) | Google a publié une mise à jour de Chrome pour corriger une nouvelle vulnérabilité Zero Day. Selon la société, cette faille est activement exploitée dans des cyberattaques. | Threat | ★★ | |
|
2024-05-16 06:00:32 | De nouvelles informations sur les menaces révèlent que les cybercriminels ciblent de plus en plus le secteur de la pharmacie New Threat Insights Reveal That Cybercriminals Increasingly Target the Pharmacy Sector (lien direct) |
La dernière fois que j'ai discuté de l'efficacité de la cybersécurité dans les soins de santé, j'ai détaillé l'importance de suivre la surface de l'attaque humaine.Cela est essentiel car cela vous aide à concentrer les efforts de sécurité sur ce qui se passe vraiment dans le paysage des menaces.Lorsque vous connaissez les attaquants \\ 'cibles réelles et pourquoi elles sont intéressées par eux, vous pouvez adopter une stratégie de sécurité centrée sur l'homme et mieux utiliser vos ressources limitées. & NBSP; Ces éléments sont essentiels à ce type d'approche: & nbsp; Une base de référence des données centrées sur l'homme à suivre & nbsp; La capacité de surveiller les écarts qui signalent un changement dans le paysage de la menace et le NBSP; La possibilité de s'adapter aux conditions et NBSP; Il est maintenant temps de regarder les tendances plus importantes dans l'industrie des soins de santé.Ce blog entre en détail sur ce que les recherches récentes de la preuve ont découvertes sur l'endroit où les attaquants concentrent leurs efforts. & NBSP; Analyser nos données et NBSP; Pour nos recherches sur l'industrie des soins de santé en 2023, Proofpoint a créé un groupe de pairs de soins de santé de plus de 50 systèmes hospitaliers similaires à suivre dans la plate-forme de protection contre les attaques ciblées (TAP).Nous avons méticuleusement analysé les «données des personnes» de ces systèmes.Notre objectif était d'identifier les schémas et les tendances de la cyberattaque.Voici ce que nous avons suivi: & nbsp; Index d'attaque et NBSP; Cliquez sur les taux et NBSP; Volume de messages malveillants et NBSP; Clics totaux sur divers départements et NBSP; Après avoir analysé les données, nous avons appris que les attaquants ont tendance à cibler les personnes dans des rôles d'emploi liés aux finances et VIP.Leur intérêt pour ces utilisateurs avait du sens, ce qui est devenu notre ligne de base. & NBSP; Lorsque nous avons examiné les données des groupes de pairs des soins de santé du premier trimestre de 2024, nous avons vu un excellent exemple d'écart par rapport à cette base de référence.Cela a également mis en évidence un éventuel changement dans les attaquants \\ 'focus dans l'industrie des soins de santé. & Nbsp; & nbsp; Les données: les attaques contre certains rôles ont augmenté et NBSP; Au niveau du département de la taxonomie, les rôles d'emploi «pharmacie» ont progressé du rang de 35 dans la moyenne de l'indice d'attaque par utilisateur en 2023 à la première place de la moyenne de l'indice d'attaque par utilisateur au premier trimestre 2024. Les rôles de travail VIP se classent en deuxième position, tandis queLes rôles de services financiers se classent quatrième. & NBSP; Les quatre départements les plus élevés par indice d'attaque moyen et le taux de clics en 2023 contre T1 2024. & nbsp; & nbsp; & nbsp; Les données que nous avons collectées au T1 2024 montrent une augmentation spectaculaire de tous les indicateurs suivis pour le rôle de travail de pharmacie.Voici quelques-unes de nos principales conclusions. & NBSP; Augmentation de 80% sur le volume de messages malveillants et NBSP; Augmentation de 46% de l'indice d'attaque d'un trimestre moyen et NBSP; Augmentation de 35% des clics totaux par rapport au pic trimestriel en 2023 & nbsp; & nbsp; Si l'indice d'attaque mesure ce qu'il est conçu pour mesurer, alors les rôles de travail en pharmacie viennent de considérablement plus spécifiques, sophistiqués et graves jusqu'à présent cette année. & NBSP; Tendance de l'indice d'attaque moyen de la pharmacie, Q4 2022 au premier trimestre 2024. & NBSP; Pharmacie Tendance de volume de messages malveillants, Q4 2022 à T1 2024. & NBSP; La tendance des clics totaux de pharmacie, Q4 2022 & # 8211;Q1 2024. & NBSP; Le début d'une tendance émergente? & Nbsp; Le changement dramatique dans les attaquants \\ 'focus que nous avons observé au T1 2024 est unique aux titres de pharmacie et aux rôles de trav | Threat Prediction Medical | ★★★ | |
 |
2024-05-15 23:17:39 | Les smins sophistiqués compromettent les comptes des employés, accède aux systèmes de cartes-cadeaux d'entreprise Sophisticated Smishing Compromises Employee Accounts, Accesses Corporate Gift Card Systems (lien direct) |
> Chez Slashnext, nous souhaitons attirer l'attention sur la tendance alarmante des cybercriminels exploitant des techniques avancées pour cibler les sociétés de vente au détail, comme le souligne la récente notification de l'industrie privée du FBI (PIN).Le groupe d'acteurs de menace connu sous le nom de Storm-0539 a mené des campagnes sophistiquées de smirs pour compromettre les comptes des employés et obtenir un accès non autorisé à la carte-cadeau d'entreprise [& # 8230;]
Le post sophistiqué les compromis pour les employés, accède aux systèmes de cartes-cadeaux d'entreprise. est apparu pour la première fois sur slashnext .
>We at SlashNext want to draw attention to the alarming trend of cybercriminals exploiting advanced techniques to target retail corporations, as highlighted in the recent FBI Private Industry Notification (PIN). The threat actor group known as STORM-0539 has been conducting sophisticated smishing campaigns to compromise employee accounts and gain unauthorized access to corporate gift card […] The post Sophisticated Smishing Compromises Employee Accounts, Accesses Corporate Gift Card Systems first appeared on SlashNext. |
Threat Prediction | ★★★★ | |
|
2024-05-15 21:32:04 | La faille dans la norme Wi-Fi peut permettre des attaques de confusion SSID Flaw in Wi-Fi Standard Can Enable SSID Confusion Attacks (lien direct) |
Les attaquants peuvent exploiter le problème pour inciter les utilisateurs à se connecter aux réseaux sans sécurité, mais cela ne fonctionne que dans des conditions spécifiques.
Attackers can exploit the issue to trick users into connecting to insecure networks, but it works only under specific conditions. |
Threat | ★★★ | |
|
2024-05-15 20:41:19 | Gitcaught: l'acteur de menace exploite le référentiel Github pour les infrastructures malveillantes GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure (lien direct) |
## Instantané Le groupe insikt de l'avenir enregistré a découvert une campagne cybercriminale sophistiquée dirigée par des acteurs de menace russophone du Commonwealth des États indépendants (CIS), en utilisant un profil GitHub pour distribuer des logiciels malveillants sous couvert d'applications logicielles légitimes. ## Description Les applications logicielles comme 1Password, Bartender 5 et Pixelmator Pro ont été usurpées, entre autres.Les variantes de logiciels malveillants observées dans cette campagne comprenaient le voleur de macOS atomique (AMOS) et le vidar.Ils ont été fabriqués pour infiltrer les systèmes et voler des données sensibles, présentant les acteurs en profondeur de la compréhension du développement logiciel et de la confiance des utilisateurs dans ces plateformes.L'analyse de Insikt Group \\ a dévoilé une infrastructure partagée de commandement et de contrôle (C2) parmi ces variantes, indiquant un effort coordonné par un groupe de menaces bien ressourcé capable de lancer des cyberattaques soutenues dans divers systèmes et dispositifs d'exploitation. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-enDPoint / Configure-Block-at-First-Sight-Microsoft-Dender-Antivirus? OCID = MAGICTI_TA_LELARNDOC) dans Microsoft DefEnder Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et STRictly [nécessite MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs cliquant sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un exemple. - Rappeler aux employés que l'entreprise ou les informations d'identification en milieu de travail ne doivent pas être stockées dans des navigateurs ou des coffres de mot de passe garantis avec des informations d'identification personnelles.Les organisations peuvent désactiver la synchronisation des mots de passe dans le navigat | Ransomware Malware Tool Threat | ★★★ | |
|
2024-05-15 20:23:43 | FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads (lien direct) |
## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic | Malware Tool Threat Prediction | ★★★ | |
 |
2024-05-15 19:26:50 | Détection du compromis de CVE-2024-3400 sur les appareils GlobalProtect de Palo Alto Networks Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices (lien direct) |
> Le mois dernier, Volexity a rendu compte de sa découverte de l'exploitation zéro-jour dans la fenêtre du CVE-2024-3400 dans la fonctionnalité GlobalProtect de Palo Alto Networks Pan-OS par une volexité d'acteur de menace suit la volexité comme UTA0218.Palo Alto Networks a publié une signature de conseil et de protection contre les menaces pour la vulnérabilité dans les 48 heures suivant la divulgation par Volexity \\ du problème aux réseaux Palo Alto, avec des correctifs et des correctifs officiels qui suivent peu de temps après.Volexity a mené plusieurs enquêtes supplémentaires sur la réponse aux incidents et des analyses proactives des appareils de pare-feu Palo Alto Networks depuis les deux premiers cas décrits dans le blog de volexity \\.Ces enquêtes récentes ont été basées principalement sur des données collectées auprès des clients générant un fichier de support technologique (TSF) à partir de leurs appareils et leur fournissant au volexité.À partir de ces investigations et analyses, le volexité a observé ce qui suit: Peu de temps après la libération de l'avis de CVE-2024-3400, la numérisation et l'exploitation de la vulnérabilité ont immédiatement augmenté.La hausse de l'exploitation semble avoir été associée [& # 8230;]
>Last month, Volexity reported on its discovery of zero-day, in-the-wild exploitation of CVE-2024-3400 in the GlobalProtect feature of Palo Alto Networks PAN-OS by a threat actor Volexity tracks as UTA0218. Palo Alto Networks released an advisory and threat protection signature for the vulnerability within 48 hours of Volexity\'s disclosure of the issue to Palo Alto Networks, with official patches and fixes following soon after. Volexity has conducted several additional incident response investigations and proactive analyses of Palo Alto Networks firewall devices since the initial two cases described in Volexity\'s blog post. These recent investigations were based primarily on data collected from customers generating a tech support file (TSF) from their devices and providing them to Volexity. From these investigations and analyses, Volexity has observed the following: Shortly after the advisory for CVE-2024-3400 was released, scanning and exploitation of the vulnerability immediately increased. The uptick in exploitation appears to have been associated […] |
Vulnerability Threat | ★★★ | |
|
2024-05-15 16:01:17 | Microsoft Patches 2 exploite activement des jours zéro, 61 défauts Microsoft Patches 2 Actively Exploited Zero-Days, 61 Flaws (lien direct) |
Microsoft a publié mardi son patch de mai 2024 mardi, qui comprend des correctifs pour 61 vulnérabilités. Ce patch mardi corrige deux vulnérabilités zéro jour affectant Windows MSHTML (CVE-2024-30040) et la bibliothèque de base de la fenêtre de bureau (DWM) (CVE-2024-30051). Il corrige également une vulnérabilité critique de code distant (RCE) affectant le serveur Microsoft SharePoint (CVE-2024-30044). Les deux vulnérabilités activement exploitées zéro-jours que Microsoft adresse dans la mise à jour du patch de mai 2024 est: | Vulnerability Threat | ★★★ | |
|
2024-05-15 15:42:28 | Routeurs D-Link vulnérables à la prise de contrôle via l'exploit pour zéro jour D-Link Routers Vulnerable to Takeover Via Exploit for Zero-Day (lien direct) |
Une vulnérabilité dans le protocole de demande de connexion HNAP qui affecte une famille de périphériques donne un accès racine non authentifié pour l'exécution des commandes.
A vulnerability in the HNAP login request protocol that affects a family of devices gives unauthenticated users root access for command execution. |
Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
