What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-02-13 16:40:00 | Blizzard de minuit et Cloudflare-Atlassian Cybersecurity Incidents: Que savoir Midnight Blizzard and Cloudflare-Atlassian Cybersecurity Incidents: What to Know (lien direct) |
Les incidents de cybersécurité à minuit et Cloudflare-atlassian ont fait des alarmes sur les vulnérabilités inhérentes aux principales plates-formes SaaS.Ces incidents illustrent les enjeux impliqués dans les violations SaaS - sauvegarder l'intégrité des applications SaaS et leurs données sensibles sont essentielles mais n'est pas facile.Des vecteurs de menace communs tels que le phisseur de lance sophistiqué, les erreurs de configuration et
The Midnight Blizzard and Cloudflare-Atlassian cybersecurity incidents raised alarms about the vulnerabilities inherent in major SaaS platforms. These incidents illustrate the stakes involved in SaaS breaches - safeguarding the integrity of SaaS apps and their sensitive data is critical but is not easy. Common threat vectors such as sophisticated spear-phishing, misconfigurations and |
Vulnerability Threat Cloud | ★★★ | |
 |
2024-02-13 15:52:54 | Les pirates ont utilisé le nouveau défenseur Windows Zero-Day pour déposer des logiciels malveillants Darkme Hackers used new Windows Defender zero-day to drop DarkMe malware (lien direct) |
Microsoft a corrigé aujourd'hui un jour SmartScreen de Windows SmartScreen exploité dans la nature par un groupe de menaces motivés financièrement pour déployer le troin à l'accès à distance Darkme (RAT).[...]
Microsoft has patched today a Windows Defender SmartScreen zero-day exploited in the wild by a financially motivated threat group to deploy the DarkMe remote access trojan (RAT). [...] |
Malware Vulnerability Threat | ★★ | |
 |
2024-02-13 15:31:24 | 33 millions de personnes: les données de près de la moitié de la population de la France volée dans la violation du secteur de la santé 33 million people: Data of almost half of France\\'s population stolen in health sector breach (lien direct) |
33 millions de personnes: les données de près de la moitié de la population de la France volée dans la violation du secteur de la santé
Par Ebin Sandler, analyste des menaces, Cybersixgill
-
mise à jour malveillant
33 million people: Data of almost half of France\'s population stolen in health sector breach By Ebin Sandler, Threat Analyst, Cybersixgill - Malware Update |
Threat | ★★ | |
 |
2024-02-13 15:00:00 | Les États-Unis, le Royaume-Uni et l'Inde parmi les pays le plus à risque d'interférence des élections US, UK and India Among the Countries Most At Risk of Election Cyber Interference (lien direct) |
Le fournisseur de renseignement des menaces Tidal Cyber a constaté que 64 pays organisés des élections en 2024 pourraient faire face à des menaces d'interférence cyber
Threat intelligence provider Tidal Cyber found that 64 countries holding elections in 2024 could face cyber interference threats |
Threat | ★★★ | |
 |
2024-02-13 14:47:15 | CharmingCypress: innovation de persistance CharmingCypress: Innovating Persistence (lien direct) |
> Grâce à ses offres de services de sécurité gérées, la volexité identifie régulièrement des campagnes de phisseur de lance ciblant ses clients.Un acteur de menace persistant, dont la volexité des campagnes observe fréquemment, est l'acteur de menace d'origine iranienne CharmingCypress (alias Charming Kitten, Apt42, TA453).La volexité évalue que CharmingCypress est chargé de collecter des renseignements politiques contre les cibles étrangères, en particulier en se concentrant sur les groupes de réflexion, les ONG et les journalistes.Dans leurs campagnes de phishing, CharmingCypress utilise souvent des tactiques inhabituelles d'ingénierie sociale, comme engager des cibles dans des conversations prolongées par e-mail avant d'envoyer des liens vers un contenu malveillant.Dans une campagne de lance de lance particulièrement notable observée par volexité, CharmingCypress est allé jusqu'à créer une plate-forme de webinaire entièrement fausse à utiliser dans le cadre de l'attrait.CharmingCypress contrôlé un accès à cette plate-forme, nécessitant des cibles pour installer des applications VPN chargées de logiciels malveillants avant d'accorder l'accès.Remarque: Un contenu dans ce blog a récemment été discuté dans le rapport de Microsoft \\, de nouveaux TTP observés dans la campagne de Sandstorm de Mint ciblant des individus de haut niveau dans les universités et [& # 8230;]
>Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress (aka Charming Kitten, APT42, TA453). Volexity assesses that CharmingCypress is tasked with collecting political intelligence against foreign targets, particularly focusing on think tanks, NGOs, and journalists. In their phishing campaigns, CharmingCypress often employs unusual social-engineering tactics, such as engaging targets in prolonged conversations over email before sending links to malicious content. In a particularly notable spear-phishing campaign observed by Volexity, CharmingCypress went so far as to craft an entirely fake webinar platform to use as part of the lure. CharmingCypress controlled access to this platform, requiring targets to install malware-laden VPN applications prior to granting access. Note: Some content in this blog was recently discussed in Microsoft\'s report, New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and […] |
Threat | APT 35 APT 42 | ★★★ |
|
2024-02-13 14:41:50 | Classement Top malware de janvier 2024 : Lockbit3 en tête du classement des menaces de ransomware (lien direct) | Check Point® Software Technologies Ltd.- Classement Top malware de janvier 2024 : Lockbit3 en tête du classement des menaces de ransomware Les chercheurs ont identifié un important fournisseur de menaces en ligne appelé VexTrio, un intermédiaire clé pour les criminels du cyberespace. Parallèlement, LockBit3 est arrivé en tête du classement des groupes actifs de ransomware après une série d'attaques majeures en janvier. En France, Qbot est le malware le plus répandu. - Malwares | Ransomware Malware Threat | ★★ | |
 |
2024-02-13 14:31:26 | Alerte Vert Threat: Février 2024 Patch mardi Analyse VERT Threat Alert: February 2024 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte vert de Microsoft \\ sont les mises à jour de sécurité février 2024.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1093 dès la fin de la couverture.IN-THE-the-wild et divulgué CVES CVE-2024-21351 Ce CVE décrit un contournement dans la fonctionnalité de sécurité SmartScreen Windows.À ce stade, ces contournements sont devenus relativement courants et sont fréquemment présentés dans les mises à jour du patch mardi.SmartScreen vous invite à exécuter certains fichiers téléchargés depuis Internet pour vous avertir que vous devez faire preuve de prudence avant de continuer.SmartScreen fait ...
Today\'s VERT Alert addresses Microsoft\'s February 2024 Security Updates . VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1093 as soon as coverage is completed. In-The-Wild & Disclosed CVEs CVE-2024-21351 This CVE describes a bypass in the Windows SmartScreen Security Feature. At this point, these bypasses have become relatively common and are frequently featured within the Patch Tuesday updates. SmartScreen prompts you when running certain files downloaded from the Internet to warn you that you should exercise caution before proceeding. SmartScreen does... |
Vulnerability Threat | ★★★ | |
|
2024-02-13 12:33:00 | Vulnérabilité ivanti exploitée pour installer \\ 'dslog \\' Backdoor sur 670+ infrastructures informatiques Ivanti Vulnerability Exploited to Install \\'DSLog\\' Backdoor on 670+ IT Infrastructures (lien direct) |
Les acteurs de la menace tirent parti d'une faille de sécurité récemment divulguée impactant Ivanti Connect Secure, Policy Secure et ZTA Gateways pour déployer un nom de porte de porte dérobée & NBSP; DSLOG & NBSP; sur des appareils sensibles.
Que \\ s selon & nbsp; résultats & nbsp; d'Orange Cyberdefense, qui a déclaré avoir observé l'exploitation du CVE-2024-21893 dans les heures suivant la libération publique du code de preuve-le concept (POC).
Threat actors are leveraging a recently disclosed security flaw impacting Ivanti Connect Secure, Policy Secure, and ZTA gateways to deploy a backdoor codenamed DSLog on susceptible devices. That\'s according to findings from Orange Cyberdefense, which said it observed the exploitation of CVE-2024-21893 within hours of the public release of the proof-the-concept (PoC) code. |
Vulnerability Threat | ★★★ | |
 |
2024-02-13 08:27:10 | Meta dit que le risque de vol de compte après le recyclage du numéro de téléphone n'est pas son problème à résoudre Meta says risk of account theft after phone number recycling isn\\'t its problem to solve (lien direct) |
laisse les transporteurs, faisant la promotion d'une plainte auprès des flics de données irlandaises de la b & ecirc de Big Tech \\; te noire Meta a reconnu que la réutilisation du numéro de téléphone qui permet les prises de contrôle de ses comptes "est une préoccupation"Mais le Biz Ad insiste sur le fait que le problème ne se qualifie pas pour son programme de prime de bogue et est une question pour les entreprises de télécommunications.…
Leaves it to carriers, promoting a complaint to Irish data cops from Big Tech\'s bête noire Meta has acknowledged that phone number reuse that allows takeovers of its accounts "is a concern," but the ad biz insists the issue doesn\'t qualify for its bug bounty program and is a matter for telecom companies to sort out.… |
Threat | ★★★ | |
 |
2024-02-13 07:32:08 | Bumblebee bourdonne en noir Bumblebee Buzzes Back in Black (lien direct) |
What happened Proofpoint researchers identified the return of Bumblebee malware to the cybercriminal threat landscape on 8 February 2024 after a four-month absence from Proofpoint threat data. Bumblebee is a sophisticated downloader used by multiple cybercriminal threat actors and was a favored payload from its first appearance in March 2022 through October 2023 before disappearing. In the February campaign, Proofpoint observed several thousand emails targeting organizations in the United States with the subject "Voicemail February" from the sender "info@quarlesaa[.]com" that contained OneDrive URLs. The URLs led to a Word file with names such as "ReleaseEvans#96.docm" (the digits before the file extension varied). The Word document spoofed the consumer electronics company Humane. Screenshot of the voicemail-themed email lure. Screenshot of the malicious Word document. The document used macros to create a script in the Windows temporary directory, for example "%TEMP%/radD7A21.tmp", using the contents of CustomDocumentProperties SpecialProps, SpecialProps1, SpecialProps2 and SpecialProps3. The macro then executed the dropped file using "wscript". Inside the dropped temporary file was a PowerShell command that downloads and executes the next stage from a remote server, stored in file “update_ver”: The next stage was another PowerShell command which in turn downloaded and ran the Bumblebee DLL. The Bumblebee configuration included: Campaign ID: dcc3 RC4 Key: NEW_BLACK It is notable that the actor is using VBA macro-enabled documents in the attack chain, as most cybercriminal threat actors have nearly stopped using them, especially those delivering payloads that can act as initial access facilitators for follow-on ransomware activity. In 2022, Microsoft began blocking macros by default, causing a massive shift in the landscape to attack chains that began using more unusual filetypes, vulnerability exploitation, combining URLs and attachments, chaining scripting files, and much more. Another noteworthy feature of this campaign is that the attack chain is significantly different from previously observed Bumblebee campaigns. Examples used in prior campaigns that distributed Bumblebee with the “NEW_BLACK” configuration included: Emails that contained URLs leading to the download of a DLL which, if executed, started Bumblebee. Emails with HTML attachments that leveraged HTML smuggling to drop a RAR file. If executed, it exploited the WinRAR vulnerability CVE-2023-38831 to install Bumblebee. Emails with zipped, password-protected VBS attachments which, if executed, used PowerShell to download and execute Bumblebee. Emails that contained zipped LNK files to download an executable file. If executed, the .exe started Bumblebee. Out of the nearly 230 Bumblebee campaigns identified since March 2022, only five used any macro-laden content; four campaigns used XL4 macros, and one used VBA macros. Attribution At this time Proofpoint does not attribute the activity to a tracked threat actor. The voicemail lure theme, use of OneDrive URLs, and sender address appear to align with previous TA579 activities. Proofpoint will continue to investigate and may attribute this activity to a known threat actor in the future. Proofpoint assesses with high confidence Bumblebee loader can be used as an initial access facilitator to deliver follow-on payloads such as ransomware. Why it matters Bumblebee\'s return to the threat landscape aligns with a surge of cybercriminal threat activity after a notable absence of many threat actors and malware. Recently, two threat actors-tax-themed actor TA576 and the sophisticated TA866-appeared once again in email campaign data after months-long gaps in activity. Post-exploitation operator TA582 and aviation and aerospace targeting ecrime actor TA2541 both reappeared in the threat landscape in late January after being absent since the end of November. Additionally, DarkGate malware reappeared | Ransomware Malware Vulnerability Threat | ★★ | |
 |
2024-02-13 03:52:20 | Malware de revanche de vengeance sans fichier Fileless Revenge RAT Malware (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution des logiciels malveillants de Revenge Rat qui avaient été développés en fonction deOutils légitimes.Il semble que les attaquants aient utilisé des outils tels que & # 8216; SMTP-Validator & # 8217;et & # 8216; e-mail à SMS & # 8217;.Au moment de l'exécution, le logiciel malveillant crée et exécute à la fois un outil légitime et un fichier malveillant, ce qui rend difficile pour les utilisateurs de réaliser qu'une activité malveillante s'est produite.Comme indiqué dans le code ci-dessous, l'acteur de menace crée et exécute setup.exe ...
AhnLab SEcurity intelligence Center (ASEC) recently discovered the distribution of Revenge RAT malware that had been developed based on legitimate tools. It appears that the attackers have used tools such as ‘smtp-validator’ and ‘Email To Sms’. At the time of execution, the malware creates and runs both a legitimate tool and a malicious file, making it difficult for users to realize that a malicious activity has occurred. As shown in the code below, the threat actor creates and runs Setup.exe... |
Malware Tool Threat | ★★ | |
 |
2024-02-13 00:00:00 | CVE-2024-21412: Water Hydra cible les commerçants avec Microsoft Defender SmartScreen Zero-Day CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day (lien direct) |
L'APT Group Water Hydra a exploité la vulnérabilité de SmartScreen Microsoft Defender zéro-jour (CVE-2024-21412) dans ses campagnes ciblant les commerçants de marchés financiers.Cette vulnérabilité, qui a maintenant été corrigée par Microsoft, a été découverte et divulguée par l'initiative Trend Micro Zero Day.
The APT group Water Hydra has been exploiting the zero-day Microsoft Defender SmartScreen vulnerability (CVE-2024-21412) in its campaigns targeting financial market traders. This vulnerability, which has now been patched by Microsoft, was discovered and disclosed by the Trend Micro Zero Day Initiative. |
Vulnerability Threat Prediction | ★★★ | |
|
2024-02-13 00:00:00 | Vulnérabilité à écran intelligent: CVE-2024-21412 Faits et correctifs SmartScreen Vulnerability: CVE-2024-21412 Facts and Fixes (lien direct) |
Cette entrée vise à fournir un contexte supplémentaire au CVE-2024-21412, comment il peut être utilisé par les acteurs de la menace et comment la tendance protège les clients de cette vulnérabilité spécifique.
This entry aims to provide additional context to CVE-2024-21412, how it can be used by threat actors, and how Trend protects customers from this specific vulnerability. |
Vulnerability Threat Prediction | ★★ | |
 |
2024-02-12 17:58:21 | Raspberry Pi Bitlocker Hack est un nouveau spin sur un exploit bien documenté de deux ans Raspberry Pi Bitlocker hack is a new spin on a years-old, well-documented exploit (lien direct) |
Exploit fonctionne sur des PC avec des puces TPM discrètes, qui sont plus rares dans les systèmes modernes.
Exploit works on PCs with discrete TPM chips, which are rarer in modern systems. |
Hack Threat | ★★★ | |
 |
2024-02-12 16:37:24 | De Cracked à piraté: les logiciels malveillants se propagent via des vidéos YouTube From Cracked to Hacked: Malware Spread via YouTube Videos (lien direct) |
Ce rapport d'analyse des menaces se plongera dans les comptes YouTube compromis utilisés comme vecteur pour la propagation des logiciels malveillants.Il décrira comment ce vecteur d'attaque est exploité pour les campagnes à faible combustion et à faible coût, mettant en évidence les stratégies utilisées par les acteurs de la menace et comment les défenseurs peuvent détecter et prévenir ces attaques. & NBSP;
This Threat Analysis Report will delve into compromised YouTube accounts being used as a vector for the spread of malware. It will outline how this attack vector is exploited for low-burn, low-cost campaigns, highlighting strategies used by threat actors and how defenders can detect and prevent these attacks. |
Malware Threat | ★★★ | |
 |
2024-02-12 16:01:03 | 12 février & # 8211;Rapport de renseignement sur les menaces 12th February – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violation de l'un des plus grands syndicats de Californie, des employés de service international Union internationale (SEIU), la section 1000, a confirmé une attaque de ransomware qui a entraîné des perturbations du réseau.Le gang de ransomware de Lockbit a assumé la responsabilité, affirmant [& # 8230;]
>For the latest discoveries in cyber research for the week of 12th February, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES One of the largest unions in California, Service Employees International Union (SEIU) Local 1000, has confirmed a ransomware attack that led to network disruption. The LockBit ransomware gang has assumed responsibility, claiming to […] |
Ransomware Threat | ★★★ | |
 |
2024-02-12 11:00:25 | La cyber-vengeance de la Chine |Pourquoi la RPC ne soutient pas ses affirmations d'espionnage occidental China\\'s Cyber Revenge | Why the PRC Fails to Back Its Claims of Western Espionage (lien direct) |
Les affirmations de piratage et d'espionnage de la Chine n'ont pas les détails techniques rigoureux observés dans la menace occidentale Intel.Pourquoi l'asymétrie et comment profite-t-elle à la RPC?
China\'s claims of hacks and espionage lack the rigorous technical detail seen in western threat intel. Why the asymmetry, and how does it benefit the PRC? |
Threat Technical | ★★★ | |
|
2024-02-12 08:02:39 | 4 étapes pour empêcher le compromis des e-mails des fournisseurs dans votre chaîne d'approvisionnement 4 Steps to Prevent Vendor Email Compromise in Your Supply Chain (lien direct) |
Supply chains have become a focal point for cyberattacks in a world where business ecosystems are increasingly connected. Email threats are a significant risk factor, as threat actors are keen to use compromised email accounts to their advantage. Every month, a staggering 80% of Proofpoint customers face attacks that originate from compromised vendor, third-party or supplier email accounts. Known as supplier account compromise, or vendor email compromise, these attacks involve threat actors infiltrating business communications between trusted partners so that they can launch internal and external attacks. Their ultimate goal might be to steal money, steal data, distribute malware or simply cause havoc. In this blog post, we\'ll explain how vendor emails are compromised and how you can stop these attacks. Finally, we\'ll tell you how Proofpoint can help. What\'s at stake Supply chain compromise attacks can be costly for businesses. IBM, in its latest Cost of a Data Breach Report, says that the average total cost of a cyberattack that involves supply chain compromise is $4.76 million. That is almost 12% higher than the cost of an incident that doesn\'t involve the supply chain. In addition to the financial implications, compromised accounts can lead to: Phishing scams that result in even more compromised accounts Reputational and brand damage Complex legal liabilities between business partners How does vendor email compromise occur? Supply chain compromise attacks are highly targeted. They can stretch out over several months. And typically, they are structured as a multistep process. The bad actor initiates the assault by gaining access to the email account of a vendor or supplier through various means. Phishing attacks are one example. Once the attacker gains access, they will lay low for an extended period to observe the vendor\'s email communications. During this time, the adversary will study the language and context of messages so that they can blend in well and avoid detection. Attackers might also use this observation period to establish persistence. They will create mail rules and infrastructure so that they can continue to receive and send messages even after the vendor has regained control of the account. Once they establish access and persistence, the attackers will begin to insert themselves into conversations within the supplier\'s company as well as with external partners and customers. By posing as the sender, the attacker takes advantage of established trust between parties to increase their chances of success. Overview of a vendor email compromise attack. Proofpoint has observed a growing trend of attackers targeting accounts within smaller businesses and using them to gain entry into larger companies. Threat actors often assume that small businesses have less protection than large companies. They see them as targets that can help them achieve a bigger payday. How to stop vendor email compromise If you want to defend against these attacks, it\'s critical to understand the methods behind them. Such a formidable problem requires a strategic and multilayered solution. The four broad steps below can help. Step 1: Know your suppliers Your first line of defense against these email attacks sounds simple, but it\'s challenging. It is the ability to intimately “know your supplier” and understand their security strategy. This requires more than a one-time vendor assessment. Your security teams will need to prioritize continuous monitoring of your company\'s business partnerships. On top of that knowledge, you need a thorough understanding of the access and privileges that your business grants to each vendor. Compromised accounts that have uncontrolled access may be able to exfiltrate sensitive data or upload malware like ransomware. So, when you know what your suppliers can (and can\'t) access, you can identify a data breach faster. Other steps, like requiring multifactor authentication (MFA) for vendor accounts, can | Ransomware Data Breach Malware Tool Threat Studies Prediction Cloud | ★★★ | |
|
2024-02-12 07:37:05 | Alerte communautaire: campagne malveillante en cours impactant les environnements cloud Azure Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments (lien direct) |
Over the past weeks, Proofpoint researchers have been monitoring an ongoing cloud account takeover campaign impacting dozens of Microsoft Azure environments and compromising hundreds of user accounts, including senior executives. This post serves as a community warning regarding the attack and offers suggestions that affected organizations can implement to protect themselves from it. What are we seeing? In late November 2023, Proofpoint researchers detected a new malicious campaign, integrating credential phishing and cloud account takeover (ATO) techniques. As part of this campaign, which is still active, threat actors target users with individualized phishing lures within shared documents. For example, some weaponized documents include embedded links to “View document” which, in turn, redirect users to a malicious phishing webpage upon clicking the URL. Threat actors seemingly direct their focus toward a wide range of individuals holding diverse titles across different organizations, impacting hundreds of users globally. The affected user base encompasses a wide spectrum of positions, with frequent targets including Sales Directors, Account Managers, and Finance Managers. Individuals holding executive positions such as “Vice President, Operations”, "Chief Financial Officer & Treasurer" and "President & CEO" were also among those targeted. The varied selection of targeted roles indicates a practical strategy by threat actors, aiming to compromise accounts with various levels of access to valuable resources and responsibilities across organizational functions. Following the attack\'s behavioral patterns and techniques, our threat analysts identified specific indicators of compromise (IOCs) associated with this campaign. Namely, the use of a specific Linux user-agent utilized by attackers during the access phase of the attack chain: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Attackers predominantly utilize this user-agent to access the \'OfficeHome\' sign-in application along with unauthorized access to additional native Microsoft365 apps, such as: \'Office365 Shell WCSS-Client\' (indicative of browser access to Office365 applications) \'Office 365 Exchange Online\' (indicative of post-compromise mailbox abuse, data exfiltration and email threats proliferation) \'My Signins\' (used by attackers for MFA manipulation; for more info about this technique, see our recent Cybersecurity Stop of the Month blog) \'My Apps\' \'My Profile\' Post compromise risks Successful initial access often leads to a sequence of unauthorized post-compromise activities, including: MFA manipulation. Attackers register their own MFA methods to maintain persistent access. We have observed attackers choosing different authentication methods, including the registration of alternative phone numbers for authentication via SMS or phone call. However, in most MFA manipulation instances, attackers preferred to add an authenticator app with notification and code. Examples of MFA manipulation events, executed by attackers in a compromised cloud tenant. Data exfiltration. Attackers access and download sensitive files, including financial assets, internal security protocols, and user credentials. Internal and external phishing. Mailbox access is leveraged to conduct lateral movement within impacted organizations and to target specific user accounts with personalized phishing threats. Financial fraud. In an effort to perpetrate financial fraud, internal email messages are dispatched to target Human Resources and Financial departments within affected organizations. Mailbox rules. Attackers create dedicated obfuscation rules, intended to cover their tracks and erase all evidence of malicious activity from victims\' mailboxes. Examples of obfuscation mailbox rules created by attackers following successful account takeover. Operational infrastructure Our forensic analysis of the attack has surfaced several proxies, | Malware Tool Threat Cloud | ★★★ | |
|
2024-02-12 01:50:22 | Tirer parti de l'AI LLMS pour contrer l'ingénierie sociale: une stratégie de hack-back psychologique Leveraging AI LLMs to Counter Social Engineering: A Psychological Hack-Back Strategy (lien direct) |
Dans le paysage en constante évolution de la cybersécurité, les entreprises et les individus se retrouvent dans une bataille incessante contre la vague de cybercriminalité, qui continue de dégénérer en complexité et en fréquence.Malgré les investissements importants dans les solutions de cybersécurité de pointe, le bilan financier de la cybercriminalité persiste, avec des coûts dégénérant chaque année.Parmi la myriade de cyber-menaces, des attaques d'ingénierie sociale, notamment des compromis par e-mail et des e-mails commerciaux (BEC), se distinguent par leur prévalence et l'impact multiforme qu'ils exercent sur les entreprises.Ces attaques exploitent la psychologie humaine ...
In the ever-evolving landscape of cybersecurity, businesses and individuals find themselves in a relentless battle against the surge of cybercrime, which continues to escalate in complexity and frequency. Despite the significant investments in cutting-edge cybersecurity solutions, the financial toll of cybercrime persists, with costs escalating annually . Among the myriad of cyber threats, social engineering attacks, notably phishing and business email compromise (BEC) , stand out for their prevalence and the multifaceted impact they wield on businesses. These attacks exploit human psychology... |
Threat | ★★ | |
 |
2024-02-10 22:35:42 | Ce malware Android s'exécute automatiquement et peut voler des données sensibles This Android Malware Runs Automatically And Can Steal Sensitive Data (lien direct) |
Les chercheurs en cybersécurité de McAfee ont découvert qu'une version mise à jour du malware Android, Xloader, peut se lancer automatiquement sur les smartphones Android infectés après l'installation sans avoir besoin d'une interaction utilisateur. xloader, également connu sous le nom de Moqhao, est une souche malveillante qui est probablement créée par un acteur de menace motivé financièrement appelé & # 8216; Roaming Mantis \\ '. Ce malware est principalement distribué via des liens URL raccourcis dans les messages texte sur les appareils Android, qui, lorsqu'il est cliqué, vous redirige vers un site Web pour télécharger un fichier d'installation Android APK pour une application mobile. Cela permet aux logiciels malveillants de s'exécuter silencieusement en arrière-plan et d'extraire des informations personnelles et privées à partir d'appareils compromis, y compris des métadonnées de l'appareil, des photos, des messages texte, des listes de contacts, des numéros spécifiques d'appel avec un mode silencieux et des informations potentiellement bancaires, entre autres choses. & # 8220; Moqhao typique oblige les utilisateurs à installer et à lancer l'application pour obtenir leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution.Pendant que l'application est installée, leur activité malveillante commence automatiquement, & # 8221;Explique McAfee, un partenaire Android App App Defence Alliance, Dans un rapport publié cette semaine . & # 8220; Nous avons déjà signalé cette technique à Google et ils travaillent déjà sur la mise en œuvre d'atténuations pour empêcher ce type d'exécution automatique dans une future version Android. & # 8221; Afin de tromper l'utilisateur, le malware se déguise en application légitime, faisant souvent semblant d'être le navigateur Web Google Chrome.Il utilise des chaînes Unicode dans les noms d'applications pour l'obscurcissement, qui lui permet ensuite de rechercher des autorisations risquées sur l'appareil, comme l'envoi et l'accès au contenu SMS, et pour toujours s'exécuter en arrière. De plus, la fausse application Chrome demande également aux utilisateurs s'ils souhaitent le définir en tant qu'application SMS par défaut sous le prétexte que cela aidera à empêcher le spam. En outre, le malware utilise également des messages de phishing, dont le contenu est extrait du champ bio (ou description) à partir de profils frauduleux Pinterest, qui sont ensuite envoyés aux smartphones infectés pour échapper à la détection par le logiciel antivirus. Si le malware n'est pas en mesure d'accéder à Pinterest, il utilise alors des messages de phishing codés en dur qui informent les victimes potentielles qu'il y a quelque chose de louche avec leur compte bancaire et qu'ils doivent prendre des mesures immédiates. Les chercheurs de McAfee \\ ont noté que certains messages contextuels malveillants demandaient des autorisations en anglais, coréen, français, japonais, allemand et hindi, ce qui indique également des cibles actuelles de Xloader.Ils croient qu'en plus du Japon, le malware cible également les utilisateurs d'Android en Corée du Sud, en France, en Allemagne et en Inde. Pour rester protégé contre les logiciels malveillants Xloader, il est conseillé aux utilisateurs de ne pas lacharger les applications ou d'ouvrir des URL courtes dans les messages texte et d'être très prudents tout en accordant des autorisations aux applications qu'ils installent.Limitez également le nombre d'applications installées sur votre téléphone Android et installez les applications uniquement à partir de développeurs réputés. En outre, activez Google Play Protect sur votre smartphone Android afin | Spam Malware Threat Mobile | ★★★ | |
|
2024-02-10 14:42:43 | CISA et Fortinet met en garde contre les nouveaux défauts zéro-jours Fortios CISA and Fortinet Warns of New FortiOS Zero-Day Flaws (lien direct) |
> Par deeba ahmed
Patch maintenant ou soyez piraté: les chercheurs confirment une exploitation potentiellement active de l'un des défauts Fortios dans la nature.
Ceci est un article de HackRead.com Lire le post original: CISA et Fortinet met en garde contre les nouvelles défauts zéro-jours
>By Deeba Ahmed Patch Now or Get Hacked: Researchers Confirm Potentially Active Exploitation of One of the FortiOS Flaws in the Wild. This is a post from HackRead.com Read the original post: CISA and Fortinet Warns of New FortiOS Zero-Day Flaws |
Vulnerability Threat | ★★ | |
 |
2024-02-09 22:49:02 | La France est frappée par sa plus grande violation de données jamais - ce que vous devez savoir France Gets Hit with Its Largest Data Breach Ever - What You Need to Know (lien direct) |
> 
Deux violations massives de données en France ont eu un impact sur environ la moitié de la population de la nation.Les données d'environ 33 millions ...
> 
Two massive data breaches in France have impacted roughly half the nation\'s population. The data of an estimated 33 million...
|
Data Breach Data Breach Threat | ★★★ | |
|
2024-02-09 22:02:00 | Mises à niveau des logiciels malveillants de Raspberry Robin avec dispersion et nouveaux exploits Raspberry Robin Malware Upgrades with Discord Spread and New Exploits (lien direct) |
Les opérateurs de & nbsp; Raspberry Robin & nbsp; utilisent désormais deux nouveaux exploits d'une journée pour réaliser l'escalade des privilèges locaux, même si les logiciels malveillants continuent d'être affinés et améliorés pour le rendre plus furtif qu'auparavant.
Cela signifie que "Raspberry Robin a accès à un vendeur d'exploit ou ses auteurs développent les exploits eux-mêmes en peu de temps"
The operators of Raspberry Robin are now using two new one-day exploits to achieve local privilege escalation, even as the malware continues to be refined and improved to make it stealthier than before. This means that "Raspberry Robin has access to an exploit seller or its authors develop the exploits themselves in a short period of time," Check Point said in a report this |
Malware Threat | ★★ | |
|
2024-02-09 19:04:00 | Moqhao Android Malware évolue avec une capacité d'exécution automatique MoqHao Android Malware Evolves with Auto-Execution Capability (lien direct) |
Les chasseurs de menaces ont identifié une nouvelle variante de logiciels malveillants Android appelés & nbsp; moqhao & nbsp; qui s'exécute automatiquement sur les appareils infectés sans nécessiter d'interaction utilisateur.
"Moqhao typique oblige les utilisateurs à installer et à lancer l'application pour obtenir leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution", McAfee Labs & NBSP; Said & NBSP; dans un rapport publié cette semaine."Pendant que l'application est
Threat hunters have identified a new variant of Android malware called MoqHao that automatically executes on infected devices without requiring any user interaction. "Typical MoqHao requires users to install and launch the app to get their desired purpose, but this new variant requires no execution," McAfee Labs said in a report published this week. "While the app is |
Malware Threat Mobile | ★★ | |
|
2024-02-09 16:28:00 | Revue pratique: Myrror Security Code-Aware et Attack-Aware SCA Hands-on Review: Myrror Security Code-Aware and Attack-Aware SCA (lien direct) |
Introduction
La chaîne d'approvisionnement des logiciels moderne représente un paysage de menace en constante évolution, chaque package ajouté au manifeste introduisant de nouveaux vecteurs d'attaque.Pour répondre aux exigences de l'industrie, les organisations doivent maintenir un processus de développement rapide tout en restant à jour avec les derniers correctifs de sécurité.Cependant, dans la pratique, les développeurs sont souvent confrontés à une grande quantité de travail de sécurité sans
Introduction The modern software supply chain represents an ever-evolving threat landscape, with each package added to the manifest introducing new attack vectors. To meet industry requirements, organizations must maintain a fast-paced development process while staying up-to-date with the latest security patches. However, in practice, developers often face a large amount of security work without |
Threat | ★★★ | |
 |
2024-02-09 16:04:01 | Le Kenya a détecté plus de cyber-menaces 1B au quatrième trimestre Kenya Detected Over 1B Cyber Threats in Q4 (lien direct) |
Les responsables attribuent le volume massif aux capacités de surveillance des cyber-menaces de la nation.
Officials attribute the massive volume to the nation\'s enhanced cyber threat monitoring capabilities. |
Threat | ★★ | |
 |
2024-02-09 14:00:23 | InfoBlox dit que les pros manquent cette méga-menace des cybercriminels mondiaux organisés Infoblox says IT Pros Are Missing This Mega-Threat From Organised Global Cyber Criminals (lien direct) |
L'acteur des menaces de cybersécurité Vextrio vole sous le radar pour la plupart des professionnels de la cybersécurité de la région de l'APAC, car il s'agit d'un homme intermédiaire de distribution du trafic Web plutôt que d'une source de logiciels malveillants.
Cyber security threat actor VexTrio is flying under the radar for most APAC region cyber security professionals because it is a web traffic distribution middle man rather than an endpoint source of malware. |
Malware Threat | ★★★ | |
|
2024-02-09 13:02:17 | Alerte de la Saint-Valentin: ne laissez pas les escrocs vous briser le cœur ou votre compte bancaire Valentine\\'s Alert: Don\\'t Let Scammers Break Your Heart or Your Bank Account (lien direct) |
Comme pour toute grande occasion de vacances ou spéciale, la journée de la Saint-Valentin n'est malheureusement pas à l'abri des escrocs à la recherche d'une occasion d'exploiter des individus sans méfiance.Dans cet article, nous mettons en lumière certaines escroqueries communes de la Saint-Valentin, proposons des conseils sur la façon de vous protéger et de naviguer dans cette journée romantique avec confiance et prudence.
As with any major holiday or special occasion, Valentine\'s Day is unfortunately not immune to scammers looking for an opportunity to exploit unsuspecting individuals. In this article, we spotlight some common Valentine\'s Day scams, offer tips on how to protect yourself and navigate this romantic day with confidence and caution.
|
Threat | ★★ | |
|
2024-02-09 13:00:56 | Janvier 2024 \\’s MALWWare le plus recherché: Opération du courtier Vextrio majeur découvert et Lockbit3 est en tête des menaces de ransomware January 2024\\'s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats (lien direct) |
> Les chercheurs ont découvert un grand distributeur de cyber-menaces connu sous le nom de Vextrio, qui sert de courtier de trafic majeur pour les cybercriminels afin de distribuer un contenu malveillant.Pendant ce temps, Lockbit3 est en tête de la liste des groupes de ransomware actifs et de l'éducation était l'industrie la plus touchée dans le monde entier, notre dernier indice de menace mondial pour le janvier 2024, les chercheurs ont identifié un nouveau système de distribution de trafic omniprésent nommé Vextrio, qui a aidé plus de 60 affiliés via un réseau (TDS)de plus de 70 000 sites compromis.Pendant ce temps, Lockbit3 a été nommé le groupe de ransomware le plus répandu dans un classement nouvellement introduit dans l'indice, et l'éducation est restée l'industrie la plus touchée dans le monde.[& # 8230;]
>Researchers uncovered a large cyber threat distributor known as VexTrio, which serves as a major traffic broker for cybercriminals to distribute malicious content. Meanwhile, LockBit3 topped the list of active ransomware groups and Education was the most impacted industry worldwide Our latest Global Threat Index for January 2024 saw researchers identified a new pervasive traffic distribution system (TDS) named VexTrio, which has aided over 60 affiliates through a network of more than 70,000 compromised sites. Meanwhile, LockBit3 was named the most prevalent ransomware group in a newly introduced ranking in the Index, and Education remained the most impacted industry worldwide. […] |
Ransomware Malware Threat | ★★★ | |
 |
2024-02-09 08:51:15 | Les agences transnationales de cybersécurité publient des conseils conjoints sur l'identification et l'atténuation des techniques de vie Transnational cybersecurity agencies publish joint guidance on identifying, mitigating living-off-the-land techniques (lien direct) |
> Les agences mondiales de cybersécurité ont publié mercredi les directives conjointes pour fournir des informations et des atténuations de détection de menaces applicables à \\ 'Living-Off-the-Land \' (LOTL) ...
>Global cybersecurity agencies published Wednesday joint guidance to provide threat detection information and mitigations applicable to \'living-off-the-land\' (LOTL)... |
Threat | ★★★ | |
|
2024-02-09 06:00:24 | Offensif et défensif: renforcer la sensibilisation à la sécurité avec deux approches d'apprentissage puissantes Offensive and Defensive: Build Security Awareness with Two Powerful Learning Approaches (lien direct) |
“Offensive” security awareness and “defensive” security awareness are two learning approaches that you can use to build a robust security culture in your company. They involve applying different strategies to educate your employees about threats and how they can respond to them safely. You may have heard the terms “offensive cybersecurity” and “defensive cybersecurity.” You use defensive tools and techniques to strengthen security vulnerabilities. And with offensive tools and techniques, you focus on identifying those vulnerabilities before attackers find them first. How do defensive and offensive approaches apply to security awareness? Here\'s a quick overview: With a defensive approach, users learn the fundamentals of security. With an offensive approach, users learn how to protect themselves and the business against future threats. Let\'s use a sports analogy here. You can actively learn to be a defensive goalie and block threats. Then, you can take your skills up a level and learn to score points with protective techniques. With Proofpoint Security Awareness, our industry-leading threat intelligence informs both approaches. We help people learn how to defend against current threats. And we give them the tools for taking offensive action against future threats. Live-action series about Insider Threats. (play video) Defensive security awareness: set the foundation We all have to start with the basics, right? With defensive security awareness, you teach people the fundamentals of security and set the stage for safe behavior. This training is often reactive. It enables people to respond to immediate threats and incidents as they arise. At Proofpoint, we believe in using behavioral science methodologies, like adaptive learning and contextual nudges. We combine this with a threat-driven approach, weaving trend analysis and insights about recent security breaches into our training. A personalized adaptive framework The adaptive learning framework is a personalized defensive approach to training. It recognizes that everyone learns differently; it is the opposite of a one-size-fits-all approach. You can teach security fundamentals in a way that is meaningful for each person based on what they know, what they might do and what they believe. This framework lets you drive behavior change with education that is tailored to each person\'s needs. That can include their professional role, industry, content style and native language. The learner can engage with a wide variety of styles and materials. And each training is tied to a specific learning objective. Adaptive learning recognizes that people learn best in short bursts that are spread over time. Our microlearning video modules are under three minutes, and our nano-learning videos are under one minute. These formats give people the flexibility to learn at their own pace. For instance, our “You\'re Now a Little Wiser” nano series offers bite-size training on topics such as data protection to help users learn about specific threats. Screenshots from a one-minute nano-learning video. Contextual nudges and positive reinforcement Training is essential if you want to build a robust security culture. But it is not enough to change behavior fully. Here is where contextual nudges play a vital role in helping to reinforce positive behavior habits once they are formed. These deliberate interventions are designed to shape how people behave. Nudges are rooted in a deep understanding of human behavior. They can move people toward making better decisions, often without them realizing it. They are gentle reminders that can guide people toward creating optimal outcomes. That, in turn, helps to foster a defensive security-conscious culture in your company. It is important to find the respectful balance of nudging people toward secure behaviors without being too intrusive or complex. For example, when a user fails a phishing simulation exercise, Proofpoint Security Awareness offers “Tea | Ransomware Malware Tool Vulnerability Threat Prediction | ★★★ | |
|
2024-02-08 18:35:00 | Les pirates chinois opèrent non détectés dans les infrastructures critiques des États-Unis pendant une demi-décennie Chinese Hackers Operate Undetected in U.S. Critical Infrastructure for Half a Decade (lien direct) |
Mercredi, le gouvernement américain a déclaré que le groupe de piratage parrainé par l'État chinois connu sous le nom de & nbsp; Volt Typhoon & nbsp; avait été intégré à des réseaux d'infrastructure critiques dans le pays depuis au moins cinq ans.
Les cibles de l'acteur de menace comprennent les secteurs des communications, de l'énergie, des transports et des systèmes d'eau et des eaux usées aux États-Unis et à Guam.
"Volt Typhoon \'s Choix de cibles et de motifs
The U.S. government on Wednesday said the Chinese state-sponsored hacking group known as Volt Typhoon had been embedded into some critical infrastructure networks in the country for at least five years. Targets of the threat actor include communications, energy, transportation, and water and wastewater systems sectors in the U.S. and Guam. "Volt Typhoon\'s choice of targets and pattern |
Threat | Guam | ★★★ |
|
2024-02-08 17:22:40 | Super Bowl Lviii présente une vaste surface d'attaque pour les acteurs de la menace Super Bowl LVIII Presents a Vast Attack Surface for Threat Actors (lien direct) |
La numérisation de la NFL \\ de presque tous les aspects de l'événement signifie qu'il a beaucoup plus de gazon à protéger pour lui-même, et pour les dizaines de millions de fans du jeu.
The NFL\'s digitization of almost all aspects of the event means it has a lot more turf to protect for itself, and for the game\'s tens of millions of fans. |
Threat | ★★ | |
|
2024-02-08 16:34:52 | \Ret \\'Ov3r_Stealer\\' Malware Spreads Through Facebook to Steal Crates of Info (lien direct) |
Un réseau d'attaquants enchevêtrée utilise diverses tactiques de médias sociaux pour propager la nouvelle menace, qui a plusieurs méthodes d'exécution et exfiltre des données à télégramme.
A tangled web of attackers use various social media tactics to propagate the novel threat, which has several execution methods and exfiltrates data to Telegram. |
Malware Threat | ★★ | |
|
2024-02-08 15:58:00 | Hijackloader évolue: les chercheurs décodent les dernières méthodes d'évasion HijackLoader Evolves: Researchers Decode the Latest Evasion Methods (lien direct) |
Les acteurs de la menace derrière un logiciel malveillant de chargeur appelé & nbsp; hijackloader & nbsp; ont ajouté de nouvelles techniques pour l'évasion de la défense, car le malware continue d'être de plus en plus utilisé par d'autres acteurs de la menace pour fournir des charges utiles et des outils supplémentaires.
"Le développeur de logiciels malveillants a utilisé une technique de creux de processus standard couplée à un déclencheur supplémentaire qui a été activé par le processus parent qui écrit sur un tuyau" "
The threat actors behind a loader malware called HijackLoader have added new techniques for defense evasion, as the malware continues to be increasingly used by other threat actors to deliver additional payloads and tooling. "The malware developer used a standard process hollowing technique coupled with an additional trigger that was activated by the parent process writing to a pipe," |
Malware Threat | ★★★ | |
|
2024-02-08 15:16:15 | Hyundai Motor Europe frappé par Black Basta Ransomware Attack Hyundai Motor Europe hit by Black Basta ransomware attack (lien direct) |
La constructeur automobile Hyundai Motor Europe a subi une attaque noire de ransomware de Basta, les acteurs de la menace prétendant avoir volé trois téraoctets de données d'entreprise.[...]
Car maker Hyundai Motor Europe suffered a Black Basta ransomware attack, with the threat actors claiming to have stolen three terabytes of corporate data. [...] |
Ransomware Threat | ★★★ | |
 |
2024-02-08 15:00:00 | Comment lutter contre la fraude avec les informations sur les menaces: voie de pointe How to Combat Fraud with Threat Intelligence: Cutting-Edge Pathway (lien direct) |
> Les organisations ont de plus en plus déplacé des parties importantes de leurs opérations en ligne pour rationaliser les processus de service à la clientèle ....
>Organizations have increasingly moved significant portions of their operations online to streamline customer service processes.... |
Threat | ★★★ | |
 |
2024-02-08 14:51:00 | Attaque d'APT29 \\ sur Microsoft: suivi des empreintes de pas Cozy Bear \\ APT29\\'s Attack on Microsoft: Tracking Cozy Bear\\'s Footprints (lien direct) |
Un chapitre nouveau et préoccupant s'est déroulé en ces temps troublés du chaos géopolitique.L'acteur confortable des menaces d'ours a provoqué des violations importantes ciblant Microsoft et HPE, et d'autres sont susceptibles de venir.Ces récents ...
A new and concerning chapter has unfolded in these troubled times of geopolitical chaos. The Cozy Bear threat actor has caused significant breaches targeting Microsoft and HPE, and more are likely to come. These recent... |
Threat | APT 29 | ★★★ |
 |
2024-02-08 11:00:00 | Avez-vous toujours besoin d'une protection antivirus pour Windows en 2024? Do you still need antivirus protection for Windows in 2024? (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. The question of whether you need antivirus (AV) for Windows devices is always up for debate. The advancements and new technology have made the operating system (OS) more secure and reliable. Nevertheless, the effectiveness and lethality of cyber threats have increased as well. And every year, millions of Windows users fall victim to various digital perils. This article will discuss whether antivirus software is needed for Windows devices. You’ll discover how AVs work and the most common cyberattacks they can prevent. Moreover, we’ll review the benefits and drawbacks of built-in and third-party antivirus software. How does antivirus work? Scanning, removing, preventing – these are the 3 main stages of how an antivirus works. Once you install an AV, it scans every email, app, and file. During this process, it compares the results with its database. If something is off, the antivirus marks it as malware. Then, the AV either quarantines the malicious files or entirely obliterates them. And while all that is happening, a reliable antivirus runs smoothly in the background, preventing intruders from harming your devices and stealing your data. According to Datto’s global research, Windows device users should be the most concerned about their safety. Around 91% of gadgets that use this OS have been targeted by ransomware attacks. Nevertheless, none of the OS are entirely immune to various online perils. Whether using a Mac, Windows, or Android device, it’s better to be safe than sorry and use an AV. That way, you won’t put yourself, your devices, or your precious data at risk. What threats can a Windows antivirus prevent? As we briefly mentioned, a reliable antivirus can protect your device from online dangers. There are a few most common ones. Below, you’ll find them and what threat they pose: Viruses: These malicious programs multiply and spread from one computer to another. Viruses can attach themselves to programs and files, damage the system, and let other malware in. | Ransomware Malware Threat Mobile | ★★★ | |
 |
2024-02-08 10:00:38 | Securonix Threat Labs Monthly Intelligence Insights & # 8211;Janvier 2024 Securonix Threat Labs Monthly Intelligence Insights – January 2024 (lien direct) |
Securonix Threat Labs Monthly Intelligence Insights janvier 2024 fournit un résumé des principales menaces organisées, surveillées et analysées par Securonix Threat Labs.
Securonix Threat Labs Monthly Intelligence Insights January 2024 provides a summary of top threats curated, monitored, and analyzed by Securonix Threat Labs. |
Threat | ★★ | |
|
2024-02-08 09:44:14 | Silobreaker awarded ISO 27001 certification (lien direct) | Silobreaker awarded ISO 27001 certification Certification underscores threat intelligence provider's credibility and ongoing commitment to security excellence - Business News | Threat | ★★★ | |
|
2024-02-08 08:00:40 | Blueshell utilisé dans les attaques contre les systèmes Linux en Corée (2) BlueShell Used in Attacks Against Linux Systems in Korea (2) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a précédemment téléchargé l'article «Blueshell utilisé dans les attaques appropriées contre le coréen et le thaïlandaisCibles »[1] sur le blog ASEC qui a introduit des souches de logiciels malveillants Blueshell qui ont été utilisés contre les systèmes Linux en Thaïlande et en Corée.L'acteur de menace a personnalisé le malware BlueShell Backdoor pour leur attaque et a configuré la condition de fonctionnement des logiciels malveillants pour travailler uniquement dans des systèmes spécifiques.Même après la sortie de l'article, les souches de logiciels malveillants Blueshell développées par le même acteur de menace sont collectées en continu ...
AhnLab SEcurity intelligence Center (ASEC) previously uploaded the article “BlueShell Used in APT Attacks Against Korean and Thai Targets” [1] on the ASEC blog which introduced BlueShell malware strains that were used against Linux systems in Thailand and Korea. The threat actor customized the BlueShell backdoor malware for their attack, and configured the malware’s operating condition to only work in specific systems. Even after the article’s release, the BlueShell malware strains developed by the same threat actor are being continuously collected... |
Malware Threat | ★★★ | |
|
2024-02-08 07:29:53 | Moqhao Evolution: les nouvelles variantes commencent automatiquement juste après l'installation MoqHao evolution: New variants start automatically right after installation (lien direct) |
> 
Rédigé par Dexter Shin Moqhao est une famille de logiciels malveillants Android bien connue associée au groupe d'actrice de menace Mantis itinérante d'abord ...
> 
Authored by Dexter Shin MoqHao is a well-known Android malware family associated with the Roaming Mantis threat actor group first...
|
Malware Threat Mobile | ★★ | |
 |
2024-02-08 00:46:00 | 3 millions de brosses à dents intelligentes n'ont pas été utilisées dans une attaque DDOS après tout, mais cela pourrait arriver 3 million smart toothbrushes were not used in a DDoS attack after all, but it could happen (lien direct) |
[MISE À JOUR] QUELLE \\ est Suivant, le fil dentaire infecté par les logiciels malveillants?Mais sérieusement: c'est un rappel que même les plus petits appareils de maison intelligente peuvent être une menace.Voici comment vous protéger.
[UPDATED] What\'s next, malware-infected dental floss? But seriously: It\'s a reminder that even the smallest smart home devices can be a threat. Here\'s how to protect yourself. |
Threat | ★★★ | |
|
2024-02-08 00:00:33 | Les propriétaires d'iPhone ciblés par des pirates gouvernementaux, explique Google iPhone Owners Targeted By Government Hackers, Says Google (lien direct) |
Le groupe d'analyse des menaces de Google (TAG) de a révélé mardi que les pirates gouvernementaux ciblaient les utilisateurs d'iPhone avec des vulnérabilités zéro jour, en particulier celles considérées comme des utilisateurs «à haut risque», tels que des journalistes, des défenseurs des droits de l'homme, des dissidents etPoliticiens du parti d'opposition.
Mardi, Google a publié «Achat Spinging», un rapport approfondi détaillant les fournisseurs de surveillance commerciale (CSV).Dans le rapport, le géant de la recherche a appelé les États-Unis et d'autres gouvernements à prendre des mesures plus strictes contre les ventes de logiciels espions et l'utilisation abusive des outils de surveillance.
«Ces capacités ont augmenté la demande de technologie des logiciels espions, faisant la place à une industrie lucrative utilisée aux gouvernements et aux acteurs néfastes la possibilité d'exploiter les vulnérabilités dans les appareils de consommation», indique le rapport de balise
«Bien que l'utilisation de logiciels espions affecte généralement un petit nombre de cibles humaines à la fois, ses ondulations plus larges à travers la société en contribuant à des menaces croissantes à la liberté d'expression, à la presse libre et à l'intégrité des élections dans le monde.»
La balise de Google \\, l'équipe de la société qui examine le piratage soutenu par la nation, dans son rapport détaillé comment il suit activement environ 40 CSV de différents niveaux de sophistication et d'exposition publique, qui sont développés, vendus, vendus,et les logiciels espions déployés.
Il fait également la lumière sur plusieurs cyber campagnes dirigées par le gouvernement qui ont utilisé des outils de piratage développés par des vendeurs de logiciels espions et d'exploits, notamment Variston basé à Barcelone, une start-up de la technologie de surveillance et de piratage.
Dans l'une des campagnes, selon Google, les agents du gouvernement ont profité de trois vulnérabilités non identifiées d'iPhone «zéro-jours» qui n'étaient pas connues à Apple à l'époque pour exploiter le système d'exploitation iPhone du géant de Cupertino \\.Le logiciel espion en question, développé par Variston, a été analysé deux fois par Google en 2022 et 2023, indiquant que l'éminence croissante de la société dans le secteur des technologies de surveillance.
Google a déclaré avoir découvert le client Variston inconnu utilisant ces zéro-jours pour cibler les iPhones en Indonésie en mars 2023. Les pirates ont livré un SMS contenant un lien malveillant infectant le téléphone de la cible \\ avec des logiciels espions, puis en redirigeantLa victime d'un article de presse du journal indonésien Pikiran Rakyat.Dans ce cas, Google n'a pas révélé l'identité du client du gouvernement de Variston.
La société a spécifiquement appelé certains CSV, notamment la société israélienne NSO qui a développé les logiciels espions notoires de Pegasus, qui est devenu une menace mondiale pour les défenseurs des droits de l'homme et des droits de l'homme.Les autres sociétés nommées dans le rapport qui développent des logiciels espions comprennent les entreprises italiennes Cy4gate et RCS Labs, la société grecque Intellexa et la société italienne relativement récente Negg Group et Spain \'s Variston.
«Nous espérons que ce rapport servira d'appel à l'action.Tant qu'il y aura une demande des gouvernements pour acheter une technologie de surveillance commerciale, les CSV continueront de développer et de vendre des logiciels espions », indique le rapport de balise
«Nous pensons qu'il est temps que le gouvernement, l'industrie et la société civile se réunissent pour changer la structure incitative qui a permis à ces technologies de se propager si largement», a ajouté le groupe.
Google\'s Threat Analysis Group (TAG) on Tuesday revealed that government hackers ta |
Tool Vulnerability Threat Mobile Commercial | ★★★ | |
|
2024-02-07 21:10:24 | Le nouveau rapport de Flare met en évidence la menace omniprésente des courtiers d'accès initial dans les pays de l'OTAN New Report From Flare Highlights Pervasive Threat of Initial Access Brokers in NATO Countries (lien direct) |
Le groupe d'analyse des menaces de Google (TAG) de a révélé mardi que les pirates gouvernementaux ciblaient les utilisateurs d'iPhone avec des vulnérabilités zéro jour, en particulier celles considérées comme des utilisateurs «à haut risque», tels que des journalistes, des défenseurs des droits de l'homme, des dissidents etPoliticiens du parti d'opposition.
Mardi, Google a publié «Achat Spinging», un rapport approfondi détaillant les fournisseurs de surveillance commerciale (CSV).Dans le rapport, le géant de la recherche a appelé les États-Unis et d'autres gouvernements à prendre des mesures plus strictes contre les ventes de logiciels espions et l'utilisation abusive des outils de surveillance.
«Ces capacités ont augmenté la demande de technologie des logiciels espions, faisant la place à une industrie lucrative utilisée aux gouvernements et aux acteurs néfastes la possibilité d'exploiter les vulnérabilités dans les appareils de consommation», indique le rapport de balise
«Bien que l'utilisation de logiciels espions affecte généralement un petit nombre de cibles humaines à la fois, ses ondulations plus larges à travers la société en contribuant à des menaces croissantes à la liberté d'expression, à la presse libre et à l'intégrité des élections dans le monde.»
La balise de Google \\, l'équipe de la société qui examine le piratage soutenu par la nation, dans son rapport détaillé comment il suit activement environ 40 CSV de différents niveaux de sophistication et d'exposition publique, qui sont développés, vendus, vendus,et les logiciels espions déployés.
Il fait également la lumière sur plusieurs cyber campagnes dirigées par le gouvernement qui ont utilisé des outils de piratage développés par des vendeurs de logiciels espions et d'exploits, notamment Variston basé à Barcelone, une start-up de la technologie de surveillance et de piratage.
Dans l'une des campagnes, selon Google, les agents du gouvernement ont profité de trois vulnérabilités non identifiées d'iPhone «zéro-jours» qui n'étaient pas connues à Apple à l'époque pour exploiter le système d'exploitation iPhone du géant de Cupertino \\.Le logiciel espion en question, développé par Variston, a été analysé deux fois par Google en 2022 et 2023, indiquant que l'éminence croissante de la société dans le secteur des technologies de surveillance.
Google a déclaré avoir découvert le client Variston inconnu utilisant ces zéro-jours pour cibler les iPhones en Indonésie en mars 2023. Les pirates ont livré un SMS contenant un lien malveillant infectant le téléphone de la cible \\ avec des logiciels espions, puis en redirigeantLa victime d'un article de presse du journal indonésien Pikiran Rakyat.Dans ce cas, Google n'a pas révélé l'identité du client du gouvernement de Variston.
La société a spécifiquement appelé certains CSV, notamment la société israélienne NSO qui a développé les logiciels espions notoires de Pegasus, qui est devenu une menace mondiale pour les défenseurs des droits de l'homme et des droits de l'homme.Les autres sociétés nommées dans le rapport qui développent des logiciels espions comprennent les entreprises italiennes Cy4gate et RCS Labs, la société grecque Intellexa et la société italienne relativement récente Negg Group et Spain \'s Variston.
«Nous espérons que ce rapport servira d'appel à l'action.Tant qu'il y aura une demande des gouvernements pour acheter une technologie de surveillance commerciale, les CSV continueront de développer et de vendre des logiciels espions », indique le rapport de balise
«Nous pensons qu'il est temps que le gouvernement, l'industrie et la société civile se réunissent pour changer la structure incitative qui a permis à ces technologies de se propager si largement», a ajouté le groupe.
Google\'s Threat Analysis Group (TAG) on Tuesday revealed that government hackers ta |
Threat | ★★ | |
 |
2024-02-07 21:04:11 | THREAT ALERT: Ivanti Connect Secure VPN Zero-Day Exploitation (lien direct) | #### Description
Les appareils VPN Ivanti ont été exploités par deux vulnérabilités critiques, CVE-2023-46805 et CVE-2024-21887, qui n'ont pas été corrigées au moment de la divulgation.Ces vulnérabilités permettent l'exécution des commandes non autorisées et l'accès du système sur les dispositifs de sécurité orientés Internet, compromettant l'intégrité des tunnels VPN sécurisés et exposant des réseaux internes privés à l'espionnage potentiel et au vol de données.
Les attaquants ont exploité ces vulnérabilités pour modifier les composants sécurisés légitimes de l'Ivanti Connect, en arrière-plan du fichier compcheckResult.cgi pour activer l'exécution de commandes distantes et modifier les fichiers JavaScript dans le composant VPN Web Web pour capturer et exfiltrat des informations de connexion de l'utilisateur.Les vulnérabilités supplémentaires divulguées par Ivanti le 31 janvier, CVE-2024-21888 et CVE-2024-21893, permettent également une exécution de commande à distance non authentifiée avec des privilèges élevés, augmentant la surface d'attaque pour les acteurs malveillants.
L'impact de ces vulnérabilités est profond, permettant aux attaquants de contourner l'authentification multi-facteurs, de voler des informations confidentielles, d'établir des canaux de commande et de contrôle secrètes et de perturber potentiellement les opérations critiques.L'analyse de l'attribution de Mandiant indique que ces vulnérabilités ont d'abord été exploitées activement par un acteur de menace d'espionnage de China-Nexus, connu sous le nom de UNC5221, ainsi que d'autres groupes de menaces non classés par le biais de méthodes automatisées.L'enquête sur l'exploitation des vulnérabilités d'Ivanti a produit plusieurs observations critiques, en mettant en lumière les tactiques, techniques et procédures (TTP) employées par les attaquants, ainsi que les implications plus larges de ces infractions de sécurité.Les techniques d'exploitation sophistiquées, l'automatisation et le ciblage large, les techniques d'évasion et le vol et le détournement de session sont quelques-unes des observations clés.
#### URL de référence (s)
1. https://www.cybereason.com/blog/thereat-lert-ivanti-connect-secure-vpn-zero-day-explotation
2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-ay-vulnerabilities-in-ivanti-connect-secure-vpn/
3. https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerability/
4. https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
#### Date de publication
5 février 2024
#### Auteurs)
Équipe de services de sécurité de la cyberéasie
#### Description Ivanti VPN appliances have been exploited through two critical vulnerabilities, CVE-2023-46805 and CVE-2024-21887, which were not patched at the time of disclosure. These vulnerabilities allow unauthorized command execution and system access on Internet-facing security devices, compromising the integrity of secure VPN tunnels and exposing private internal networks to potential espionage and data theft. Attackers exploited these vulnerabilities to modify legitimate Ivanti Connect Secure components, backdooring the compcheckresult.cgi file to enable remote command execution and altering JavaScript files within the Web SSL VPN component to capture and exfiltrate user login credentials. The additional vulnerabilities disclosed by Ivanti on January 31st, CVE-2024-21888 and CVE-2024-21893, also allow for unauthenticated remote command execution with elevated privileges, increasing the attack surface for malicious actors. The impact of these vulnerabilities is profound, enabling attackers to bypass multi-factor authentication, steal confidential information, establish covert command and control channels, and potentially disrupt critical operations. Attribution analysis by Mandiant indicates that these vulnerabiliti |
Vulnerability Threat | ★★ | |
|
2024-02-07 20:41:00 | Après le retrait du FBI, les opérateurs de KV-Botnet changent de tactique pour tenter de rebondir After FBI Takedown, KV-Botnet Operators Shift Tactics in Attempt to Bounce Back (lien direct) |
Les acteurs de la menace derrière le & nbsp; kv-botnet & nbsp; ont apporté des "modifications comportementales" au réseau malveillant alors que les forces de l'ordre américaines ont commencé à émettre des commandes pour neutraliser l'activité.
KV-Botnet est le nom donné à un réseau de routeurs et d'appareils de pare-feu compromis de petit bureau et de bureau à domicile (SOHO) à travers le monde, avec un cluster spécifique agissant comme un système de transfert de données secret pour d'autres chinois
The threat actors behind the KV-botnet made "behavioral changes" to the malicious network as U.S. law enforcement began issuing commands to neutralize the activity. KV-botnet is the name given to a network of compromised small office and home office (SOHO) routers and firewall devices across the world, with one specific cluster acting as a covert data transfer system for other Chinese |
Threat | ★★ | |
|
2024-02-07 18:17:02 | Patch maintenant: le bogue Critical TeamCity permet les prises de contrôle du serveur Patch Now: Critical TeamCity Bug Allows for Server Takeovers (lien direct) |
Les cyberattaquants peuvent exploiter une vulnérabilité dans le serveur continu et livraison continu de JetBrain \\ (CI / CD) (une cible APT populaire) pour obtenir un contrôle administratif.
Cyberattackers can exploit a vulnerability in JetBrain\'s continuous integration and delivery (CI/CD) server (a popular APT target) to gain administrative control. |
Vulnerability Threat | ★★ |
To see everything:
Our RSS (filtrered)
