What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-22 19:27:49 | La FCC pousse de nouvelles exigences de divulgation pour l'IA dans les publicités politiques FCC pushes new disclosure requirements for AI in political ads (lien direct) |
> La proposition intervient alors que les campagnes et les super PAC ont cherché à tirer parti des outils d'IA génératifs dans les annonces d'attaque ce cycle électoral.
>The proposal comes as campaigns and super PACs have sought to leverage generative AI tools in attack ads this election cycle. |
Tool | ||
 |
2024-05-22 16:40:47 | Les meilleurs services de protection contre le vol d'identité et de surveillance du crédit de 2024 The best identity theft protection and credit monitoring services of 2024 (lien direct) |
Les meilleurs services de vol d'identité et de surveillance du crédit offrent des outils antivirus, la surveillance des médias sociaux, les alertes et l'assistance en cas de problème.
The best identity theft and credit monitoring services offer antivirus tools, social media monitoring, alerts, and assistance if something goes wrong. |
Tool | ||
 |
2024-05-22 16:31:26 | Grandoreiro Banking Trojan Resurfaces dans Global Campaign Grandoreiro Banking Trojan Resurfaces in Global Campaign (lien direct) |
## Instantané Depuis mars 2024, IBM X-Force a suivi des campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, considéré comme un logiciel malveillant en tant que service (MAAS). Lisez la rédaction de Microsoft \\ sur Grandoreiro [ici] (https://security.microsoft.com/intel-explorer/articles/f07d1d16). ## Description Grandoreiro a connu des mises à jour importantes, notamment le décryptage amélioré des chaînes et un nouvel algorithme générateur de domaine (DGA).Le malware exploite également les clients Microsoft Outlook sur les hôtes infectés pour diffuser des e-mails de phishing. Historiquement, les campagnes ont été principalement limitées à l'Amérique latine, à l'Espagne et au Portugal.Mais la dernière variante est conçue pour cibler spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de commettre une fraude bancaire dans plus de 60 pays, élargissant la portée du malware à des régions comme l'Amérique centrale et du Sud, l'Afrique, l'Europe et l'Indo-Pacifique.Selon IBM, les logiciels malveillants évolués et le ciblage élargi peuvent être en réponse à des mesures d'application de la loi contre Grandoreiro. La chaîne d'infection de Grandoreiro \\ commence par un chargeur personnalisé, qui vérifie si la victime est une cible légitime et non un chercheur ou dans un bac à sable.Il rassemble des données de base de la victime, l'envoie au serveur de commandement et de contrôle (C2) et télécharge le Trojan.La variante récente du Malware \\ comprend un mécanisme de décryptage de chaîne retravaillé, en utilisant un processus complexe et en plusieurs étapes impliquant le cryptage Base64 et AES. Le Troie profil les victimes pour adapter les attaques, ciblant des applications bancaires spécifiques et des portefeuilles de crypto-monnaie.Son algorithme DGA avancé génère plusieurs domaines C2 quotidiennement, améliorant sa résilience.Grandoreiro peut exécuter un large éventail de commandes, de la télécommande et de la gestion des fichiers aux campagnes de spam de keylogging et d'Outlook.Cette capacité à envoyer des e-mails de phishing des clients Infected Outlook contribue à sa propagation. ## Microsoft Intelligence En plus de suivre l'activité de Grandoreiro en Europe, en Afrique et en Amérique latine, Microsoft Threat Intelligence a observé un ciblage de Grandoreiro aux États-Unis. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - * [Trojanspy: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojanspy:win32/grandoreiro& ;TheRatid=-2147235291) * - * [Trojan: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Grandoreiro.MBJr!Mtb& ;heterid=-2147060695) * - * [Trojandownloader: VBS / Grandoreiro] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-Description?name=trojandownOader:win32/grandoreiro.zy!SMS& ;Thereatid=-2147059024) * - * [Trojan: Win64 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win64/grandoreiro.psye!mtb& ;theatid=-2147128454)* - * [Comportement: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/grandoreiro.f & menaceId = -2147139055) * - * [Spyware: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-dercription?naME = Spyware: Win32 / Grandoreiro! Mclg & menaceID = 325649) * ** Microsoft Defender pour le point de terminaison ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Grandoreiro * ## Recommandations Microsoft recommande les atténuations sui | Threat Spam Malware Tool Legislation | ||
 |
2024-05-22 15:53:10 | Snowflake & apos; s signaux d'investissement anvilogiques changent dans le marché SIEM Snowflake's Anvilogic Investment Signals Changes in SIEM Market (lien direct) |
Venant dans les talons de Cisco Buying Splunk, Palo Alto Networks acquérant IBM & APOS; s Qradar et Logrhythm fusionnant avec EXABEAM, l'investissement de Snowflake & apos; de Snowflake met en évidence la pression du marché en cours pour améliorer les outils SOC.
Coming on the heels of Cisco buying Splunk, Palo Alto Networks acquiring IBM's QRadar, and LogRhythm merging with Exabeam, Snowflake's investment highlights the ongoing market pressure to improve SOC tools. |
Tool | ||
|
2024-05-22 15:21:21 | Bad Karma, No Justice: Void Manticore Destructive Activities in Israel (lien direct) | #### Géolocations ciblées - Israël ## Instantané Check Point Research a publié une analyse de l'acteur de menace iranien Void Manticore, l'acteur Microsoft suit en tant que Storm-0842.Affilié au ministère des Intelligences et de la Sécurité (MOIS), le vide Manticore effectue des attaques d'essuyage destructrices combinées à des opérations d'influence.L'acteur de menace exploite plusieurs personnages en ligne, les plus importants d'entre eux étant la justice de la patrie pour des attaques en Albanie et au Karma pour des attaques menées en Israël. ## Description Il y a des chevauchements clairs entre les cibles de vide manticore et de marminé marqué (aka Storm-0861), avec des indications de remise systématique des cibles entre ces deux groupes lorsqu'ils décident de mener des activités destructrices contre les victimes existantes de Manticore marqué.Les procédures de transfert documentées entre ces groupes suggèrent un niveau de planification cohérent et permettent à un accès vide de manticore à un ensemble plus large d'objectifs, facilité par leurs homologues \\ 'avancés.Les postes de collaboration ont annulé Manticore en tant qu'acteur exceptionnellement dangereux dans le paysage des menaces iraniennes. Void Manticore utilise cinq méthodes différentes pour mener des opérations perturbatrices contre ses victimes.Cela comprend plusieurs essuie-glaces personnalisés pour Windows et Linux, ainsi que la suppression manuelle de fichiers et de lecteurs partagés.Dans leurs dernières attaques, Void Manticore a utilisé un essuie-glace personnalisé appelé Bibi Wiper, faisant référence au surnom du Premier ministre d'Israël, Benjamin Netanyahu.L'essorage a été déployé dans plusieurs campagnes contre plusieurs entités en Israël et dispose de variantes pour Linux et Windows. ## Analyse Microsoft Microsoft Threat Intelligence Tracks void Manticore comme [Storm-0842] (https://security.microsoft.com/intel-profiles/0c1349b0f2bd0e545d4f741eeae18dd89888d3c0fbf99540b7cf623ff5bb2bf5) ministère du renseignement et de la sécurité (MOIS).Depuis 2022, Microsoft a observé plusieurs cas où Storm-0842 a déployé un outil destructeur dans un environnement précédemment compromis par [Storm-0861] (https://security.microsoft.com 8DE00), un autre groupe avec des liens avecLes Mois. Depuis 2022, Microsoft a observé que la majorité des opérations impliquant Storm-0842 ont affecté les organisations en [Albanie] (https://security.microsoft.com/intel-explorer/articles/5491ec4b) et en Israël.En particulier, Microsoft a observé des opérateurs associés à Storm-0842 de manière opportuniste [déploiez l'essuie-glace de Bibi en réponse à la guerre d'Israël-Hamas.] (Https://security.microsoft.com/intel-explorer/articles/cf205f30) ## Détections Microsoft Defender Antivirus détecte plusieurs variantes (Windows et Linux) de l'essuie-glace Bibi comme le malware suivant: - [DOS: WIN32 / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=dos:win32/wprblightre.b!dha& ;theratid=-2147072872)(Les fenêtres) - [dos: lINUX / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=dos:linux/wprblightre.a& ;threatid = -2147072991) (Linux) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sigh | Threat Ransomware Malware Tool | APT 34 | |
 |
2024-05-22 14:20:38 | ALERTE NOUVELLES: AI Spera intègre son outil de renseignement Criminal IP \\ 'Criminal Ip dans AWS Marketplace News alert: AI SPERA integrates its \\'Criminal IP\\' threat intelligence tool into AWS Marketplace (lien direct) |
> Torrance, Californie, 22 mai 2024, CyberNewswire & # 8212;AI Spera, un leader des solutions de renseignement cyber-menace (CTI), a annoncé aujourd'hui que son moteur de recherche propriétaire, IP criminel , est maintenant disponible sur le AWS Marketplace .
Cette intégration garantit un achat de logiciel efficace & # 8230; (Plus…)
Le post News Alert: Ai Spera intègre son outil de renseignement Criminal ip \\ 'menace dans AWS Marketplace est apparu pour la première fois sur le dernier chien de garde .
>Torrance,Calif., May 22, 2024, CyberNewsWire — AI SPERA, a leader in Cyber Threat Intelligence (CTI) solutions, announced today that its proprietary search engine, Criminal IP, is now available on the AWS Marketplace. This integration ensures efficient software procurement … (more…) The post News alert: AI SPERA integrates its \'Criminal IP\' threat intelligence tool into AWS Marketplace first appeared on The Last Watchdog. |
Threat Tool | ||
 |
2024-05-22 14:18:49 | Pindrop dévoile Pindrop Pindrop Unveils 2024 Voice Intelligence Security Report & Groundbreaking Pulse Deepfake Warranty (lien direct) |
Pindrop dévoile 2024 Rapport de sécurité du renseignement vocal et révolutionnaire Pulse Deepfake Garantie
La propagation de la désinformation, des pertes financières et de la réputation endommagée figurent parmi les préoccupations critiques prévues pour dégénérer en raison de la prolifération des Fakes Deep et de l'avancement des outils génératifs de l'IA.
-
rapports spéciaux
Pindrop Unveils 2024 Voice Intelligence Security Report & Groundbreaking Pulse Deepfake Warranty The spread of misinformation, financial losses, and damaged reputations are among the critical concerns projected to escalate due to the proliferation of deepfakes and the advancement of generative AI tools. - Special Reports |
Tool | ||
 |
2024-05-22 14:00:00 | Extinction de l'IOC?Les acteurs de cyber-espionnage de Chine-Nexus utilisent des réseaux orbes pour augmenter les coûts des défenseurs IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders (lien direct) |
Written by: Michael Raggi
Mandiant Intelligence is tracking a growing trend among China-nexus cyber espionage operations where advanced persistent threat (APT) actors utilize proxy networks known as “ORB networks” (operational relay box networks) to gain an advantage when conducting espionage operations. ORB networks are akin to botnets and are made up of virtual private servers (VPS), as well as compromised Internet of Things (IoT) devices, smart devices, and routers that are often end of life or unsupported by their manufacturers. Building networks of compromised devices allows ORB network administrators to easily grow the size of their ORB network with little effort and create a constantly evolving mesh network that can be used to conceal espionage operations. By using these mesh networks to conduct espionage operations, actors can disguise external traffic between command and control (C2) infrastructure and victim environments including vulnerable edge devices that are being exploited via zero-day vulnerabilities. These networks often use both rented VPS nodes in combination with malware designed to target routers so they can grow the number of devices capable of relaying traffic within compromised networks. Mandiant assesses with moderate confidence that this is an effort to raise the cost of defending an enterprise\'s network and shift the advantage toward espionage operators by evading detection and complicating attribution. Mandiant believes that if network defenders can shift the current enterprise defense paradigm away from treating adversary infrastructure like indicators of compromise (IOCs) and instead toward tracking ORB networks like evolving entities akin to APT groups, enterprises can contend with the rising challenge of ORB networks in the threat landscape. IOC Extinction and the Rise of ORB Networks The cybersecurity industry has reported on the APT practice of ORB network usage in the past as well as on the functional implementation of these networks. Less discussed are the implications of broad ORB network usage by a multitude of China-nexus espionage actors, which has become more common over recent years. The following are three key points and paradigm shifting implications about ORB networks that require enterprise network defenders to adapt the way they think about China-nexus espionage actors: ORB networks undermine the idea of “Actor-Controlled Infrastructure”: ORB networks are infrastructure networks administered by independent entities, contractors, or administrators within the People\'s Republic of China (PRC). They are not controlled by a single APT actor. ORB networks create a network interface, administer a network of compromised nodes, and contract access to those networks to multiple APT actors that will use the ORB networks to carry out their own distinct espionage and reconnaissance. These networks are not controlled by APT actors using them, but rather are temporarily used by these APT actors often to deploy custom tooling more conventionally attributable to known China-nexus adversaries. ORB network infrastructure has a short lifesp |
Threat Malware Cloud Tool Prediction Commercial Vulnerability | APT 15 APT 5 APT 31 | ★★★ |
 |
2024-05-22 13:24:31 | Aux États-Unis pour investir 50 millions de dollars dans la sécurisation des hôpitaux contre les cybermenaces US to Invest $50 Million in Securing Hospitals Against Cyber Threats (lien direct) |
> ARPA-H a annoncé un investissement de 50 millions de dollars dans des outils pour aider les équipes informatiques à mieux sécuriser les environnements hospitaliers.
>ARPA-H has announced a $50 million investment in tools to help IT teams better secure hospital environments. |
Tool | ★★ | |
 |
2024-05-22 08:41:40 | Innovation grâce à la collaboration: les avantages mutuels des programmes de primes de bogues Innovation through collaboration: the mutual benefits of bug bounty programs (lien direct) |
> Les programmes de primes de bogues sont un outil charnière dans le paysage de la cybersécurité, offrant une situation gagnant-gagnant aux organisations qui cherchent à augmenter leur posture de sécurité.Mais ils fournissent également une source de revenus vitale à de nombreux professionnels de l'INFOSEC dans le monde entier.& # 160;Dans ce billet de blog, nous mettons en évidence & # 160; comment les initiatives de prime de bogue bénéficient aux organisations tout en autonomisant l'éthique [& # 8230;]
>Bug bounty programs are a pivotal tool in the cybersecurity landscape, offering a win-win situation for organizations looking to boost their security posture. But they also provide a vital source of income for many infosec professionals around the globe. In this blog post, we\'ll highlight how bug bounty initiatives benefit organizations while also empowering ethical […] |
Tool | ★★★ | |
|
2024-05-22 07:40:07 | Checkmarx lance AI Security (lien direct) | Checkmarx accélère la sécurité du code généré par IA avec sa nouvelle offre AI Security De nouveaux outils pour sécuriser le code généré par IA mais aussi pour empêcher la fuite de données et la propriété intellectuelle - Produits | Tool | ★★ | |
|
2024-05-22 00:36:51 | Sage Cyber lance l'outil de planification CISO SAGE Cyber Launches CISO Planning Tool (lien direct) |
En tant qu'entreprise nouvellement indépendante, Sage Cyber offrira une plate-forme qui aide les CISO à prendre des décisions basées sur les données et à optimiser leurs défenses de sécurité.
As a newly independent company, SAGE Cyber will offer a platform that helps CISOs make data-driven decisions and optimize their security defenses. |
Tool | ||
 |
2024-05-21 20:48:29 | Couverture des menaces de netskope: Attaques de ransomwares Microsoft Assist rapide Netskope Threat Coverage: Microsoft Quick Assist Ransomware Attacks (lien direct) |
> Introduction Microsoft a récemment mis en évidence l'abus de l'outil de support à distance rapide dans les attaques sophistiquées d'ingénierie sociale conduisant à des infections à ransomwares.Ce billet de blog résume la menace et recommande une stratégie d'atténuation pour les clients de NetSkope.Chaîne d'attaque Un groupe d'adversaire inconnu exploite une aide rapide aux campagnes d'ingénierie sociale ciblées.Ces attaques généralement [& # 8230;]
>Introduction Microsoft has recently highlighted the abuse of the remote support tool Quick Assist in sophisticated social engineering attacks leading to ransomware infections. This blog post summarizes the threat and recommends a mitigation strategy for Netskope customers. Attack Chain An unknown adversary group is exploiting Quick Assist in targeted social engineering campaigns. These attacks typically […] |
Threat Ransomware Tool | ||
|
2024-05-21 15:18:47 | Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct) | #### Géolocations ciblées
- États-Unis
#### Industries ciblées
- Éducation
- L'enseignement supérieur
- agences et services gouvernementaux
## Instantané
Proofpoint a détecté une campagne de Sucregh0st Rat active en mai 2024 destinée aux organisations américaines impliquées dans l'intelligence artificielle, y compris celles du monde universitaire, de l'industrie privée et du gouvernement.
## Description
La campagne utilise une variante de Troie (rat) d'accès à distance de l'ancien GH0Strat.Historiquement, GH0Strat a été utilisé par les acteurs de la menace de langue chinoise pour cibler les utilisateurs d'Asie centrale et de l'Est.
Dans cette campagne, les acteurs de la menace ont utilisé un compte de messagerie gratuit pour envoyer des e-mails de spectre sur le thème de l'IA-AI à des cibles qui leur ont demandé d'ouvrir un fichier zip ci-joint.Lors de l'ouverture du fichier, un fichier de raccourci LNK a déployé un compte-gouttes JavaScript qui a ensuite installé la charge utile de Sugargh0st, en utilisant diverses techniques telles que le codage de base64, l'abus d'outils ActiveX et l'exécution de shellcode à plusieurs étages pour établir des données de persistance et d'exfiltrat.
Proofpoint note qu'il a observé un nombre relativement faible de campagnes impliquant Sugargh0strat depuis sa détection pour la première fois en 2023. Les objectifs précédents incluent une société de télécommunications américaine, une organisation internationale des médias et une organisation gouvernementale sud-asiatique.ProofPoint évalue que ces campagnes sont extrêmement ciblées.Cette campagne la plus récente semble avoir ciblé moins de 10 personnes, qui sont toutes liées à une seule organisation américaine d'intelligence artificielle.
## Les références
[Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat a utilisé pour cibler des experts en intelligence artificielle américaine] (https://www.proalfpoint.com/us/newsroom/news/us-ai-experts-targeted-sugargh0st-ram-campaign).Microsoft (consulté en 2024-05-21)
#### Targeted Geolocations - United States #### Targeted Industries - Education - Higher Education - Government Agencies & Services ## Snapshot Proofpoint has detected a SugarGh0st RAT campaign active during May 2024 aimed at US organizations involved in artificial intelligence, including those in academia, private industry, and government. ## Description The campaign uses a remote access trojan (RAT) variant of the older Gh0stRAT. Historically, Gh0stRAT has been used by Chinese-speaking threat actors to target users in Central and East Asia. In this campaign, the threat actors used a free email account to send AI-themed spearphishing emails to targets that instructed them to open an attached zip file. Upon opening the file, an LNK shortcut file deployed a JavaScript dropper that then installed the SugarGh0st payload, employing various techniques like base64 encoding, ActiveX tool abuse, and multi-stage shellcode execution to establish persistence and exfiltrate data. Proofpoint notes that it has observed a relatively small number of campaigns involving SugarGh0stRAT since it was first detected in 2023. Previous targets include a US telecommunications company, an international media organization, and a South Asian government organization. Proofpoint assesses that these campaigns are extremely targeted. This most recent campaign appears to have targeted less than 10 individuals, all of whom are connected to a single US artificial intelligence organization. ## References [Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts](https://www.proofpoint.com/us/newsroom/news/us-ai-experts-targeted-sugargh0st-rat-campaign). Microsoft (accessed 2024-05-21) |
Threat Tool | ||
 |
2024-05-21 14:02:19 | MSP Brite révèle les dernières stratégies de cybersécurité MSP Brite Reveals The Latest Cybersecurity Strategies (lien direct) |
> Quels outils et techniques votre organisation devrait-elle utiliser pour gérer les risques?& # 8211;Stephen Salinas, responsable du marketing de produit, stellaire Cyber San Jose, Californie & # 8211;21 mai 2024 Les cyberattaques évoluent toujours, tout comme les outils et les techniques que les organisations utilisent pour gérer les risques.Pour obtenir
>What tools and techniques should your organization use to manage risk? – Stephen Salinas, Head of Product Marketing, Stellar Cyber San Jose, Calif. – May 21, 2024 Cyberattacks are always evolving, and so are the tools and techniques organizations use to manage risk. To get |
Tool | ||
|
2024-05-21 14:00:00 | Trous dans votre bitbucket: pourquoi votre pipeline CI / CD fuit des secrets Holes in Your Bitbucket: Why Your CI/CD Pipeline Is Leaking Secrets (lien direct) |
Written by: Mark Swindle
While investigating recent exposures of Amazon Web Services (AWS) secrets, Mandiant identified a scenario in which client-specific secrets have been leaked from Atlassian\'s code repository tool, Bitbucket, and leveraged by threat actors to gain unauthorized access to AWS. This blog post illustrates how Bitbucket Secured Variables can be leaked in your pipeline and expose you to security breaches. Background Bitbucket is a code hosting platform provided by Atlassian and is equipped with a built-in continuous integration and continuous delivery/deployment (CI/CD) service called Bitbucket Pipelines. Bitbucket Pipelines can be used to execute CI/CD use cases like deploying and maintaining resources in AWS. Bitbucket includes an administrative function called "Secured Variables" that allows administrators to store CI/CD secrets, such as AWS keys, directly in Bitbucket for easy reference by code libraries. CI/CD Secrets: CI/CD Secrets serve as the authentication and authorization backbone within CI/CD pipelines. They provide the credentials required for pipelines to interact with platforms like AWS, ensuring pipelines possess the appropriate permissions for their tasks. Secrets are often extremely powerful and are beloved by attackers because they present an opportunity for direct, unabated access to an environment. Maintaining confidentiality of secrets while balancing ease of use by developers is a constant struggle in securing CI/CD pipelines. Bitbucket Secured Variables: Bitbucket provides a way to store variables so developers can quickly reference them when writing code. Additionally, Bitbucket offers an option to declare a variable as a "secured variable" for any data that is sensitive. A secured variable is designed such that, once its value is set by an administrator, it can no longer be read in plain text. This structure allows developers to make quick calls to secret variables without exposing their values anywhere in Bitbucket. Unless… Exporting Secrets from Bitbucket in Plain Text CI/CD pipelines are designed just like the plumbing in your house. Pipes, valves, and regulators all work in unison to provide you with reliable, running water. CI/CD pipelines are a complicated orchestration of events to accomplish a specific task. In order to accomplish this, these pipelines are highly proficient at packaging and deploying large volumes of data completely autonomously. As a developer, this creates countless possibilities for automating work, but, as a security professional, it can be a cause for anxiety and heartburn. Perhaps it\'s a line of code with a hardcoded secret sneaking into production. Maybe it\'s a developer accidentally storing secrets locally on their machine. Or maybe, as we have seen in recent investigations, it\'s a Bitbucket artifact object containing secrets for an AWS environment being published to publicly available locations like S3 Buckets or company websites. Bitbucket secured variables are a convenient way to store secrets locally in Bitbucket for quick reference by developers; however, they come with one concerning characteristic-they can be exposed in plain text through artifact objects. If a Bitbucket variable-secured or not secured-is copied to an artifact object using the artifacts: command, the result will generate a .txt file with |
Threat Studies Tool | ||
 |
2024-05-21 13:37:26 | Gestion des mots de passe meilleures pratiques: dans quelle mesure les gestionnaires de mots de passe sont-ils sécurisés? Password Management Best Practices: How Secure Are Password Managers? (lien direct) |
Les gestionnaires de mots de passe sont des outils pratiques pour stocker, organiser et accéder aux mots de passe.Mais sont-ils à l'abri des cyberattaques?
Password managers are convenient tools for storing, organizing, and accessing passwords. But are they safe from cyber attacks? |
Tool | ||
|
2024-05-21 11:49:00 | Dell Technologies annonce la création de la Dell AI Factory (lien direct) | Dell Technologies accélère l'innovation basée sur l'IA avec la Dell AI Factory Le portefeuille de solutions d'IA le plus étendu du marché, du poste de travail au datacenters en passant par le Cloud, permet aux clients de saisir les opportunités d'IA rapidement et en toute sécurité. • Dell AI Factory offre aux entreprises l'infrastructure, les solutions et les services nécessaires pour adopter et déployer rapidement l'IA à grande échelle. • Les nouveaux PC Dell AI avec Copilot+ permettent aux utilisateurs de se focaliser sur des tâches stratégiques et créatives grâce aux nouvelles expériences d'IA de Microsoft, alimentées par les processeurs Snapdragon® X Elite et Snapdragon X Plus. • Les innovations de Dell en matière de stockage, de protection des données et de mise en réseau offrent des avancées en termes de performances et d'évolutivité pour permettre la prise en charge des déploiements d'IA. • Les solutions d'IA de Dell et les partenaires de l'écosystème simplifient le déploiement des applications d'IA grâce à des logiciels et du matériel intégrés et prétestés. • Dell étoffe son portefeuille de services professionnels en matière d'IA afin de fournir les outils et le cadre nécessaires à la création de plates-formes d'IA et à l'utilisation de copilotes d'IA. • Les optimisations de l'infrastructure et des services de Dell AI Factory with NVIDIA favorisent l'adoption de l'IA et l'innovation. - Produits | Cloud Tool | ||
 |
2024-05-21 10:00:00 | Au-delà de la Silicon Valley: où les professionnels de la cybersécurité se dirigent dans un avenir à dominant IA Beyond Silicon Valley: Where Cybersecurity Pros Are Heading in an AI-Dominant Future (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. 88% of cybersecurity professionals believe that artificial intelligence (AI) will significantly impact their jobs, according to a survey by the International Information System Security Certification Consortium (ISC2). With only 35% of the respondents having already witnessed AI’s effects on their jobs, there’s no question that there is a level of uncertainty regarding the future within the industry and how much of a role AI will play. From the negatives to the silver lining, AI has the potential to greatly transform the cybersecurity landscape in the coming years — a reality that can lead many Silicon Valley professionals to expand their horizons. A Brief Outlook AI is rapidly transforming the modern cybersecurity landscape, according to Station X. “It is enhancing the capabilities of bad actors to perform more sophisticated attacks while empowering cyber security professionals to elevate their defenses.” To highlight a few of many advantages, AI provides immediate access to an extensive knowledge base, serves as a reliable copilot for task execution, automates the protection of systems, and can even augment the workflow of professionals to increase efficiency, Station X points out. Andrew Shikiar, executive director at FIDO Alliance, expands on the threat of AI going forward in 2024. “The threat posed by AI to cybersecurity is real, but there is certainly a ‘hype’ element in how big a share of highly sophisticated new AI attacks and data breaches are going to pose.” Phishing, deep fakes, and disinformation are all identified as threats that AI brings to the table. In regard to phishing, SecurityWeek notes that if AI-as-a-service does emerge in 2024, it will lead to an increase in phishing incidents. Ivan Novikov, founder and CEO at Wallarm warns: “These AI models can provide novice malicious actors with advanced capabilities… which were once the domain of more skilled hackers.” The rise of AI can leave many feeling hopeless regarding the outlook of cybersecurity jobs, with the worry that technological advancements will eliminate valuable positions in the coming years. However, Station X goes on to point out that currently, there is a high demand for skilled cyber professionals in the job market, with an expectation that by 2025 there will be 3.5 million unfilled cybersecurity jobs “due to a lack of skilled professionals and a growing need to secure more and more systems.” A silver lining AI will undoubtedly have a profound impact on sectors like cybersecurity, though there is a silver lining to keep in mind. Infosecurity Magazine dives deeper into the report by ISC2, which reveals that more than four in five respondents (82%) agree that AI will improve job efficiency for cyber professionals (it’s further noted that 42% strongly agree with this statement). Furthermore, the report found that more than half of respondents | Threat Tool Vulnerability | ||
 |
2024-05-21 06:06:47 | Recall de Microsoft – Un outil super pratique ou un gros risque pour votre vie privée ? (lien direct) | Microsoft et Apple créent des outils espions qui enregistrent tout ce qu'on fait sur nos PC, rappelant l'épisode glaçant de Black Mirror. Vie privée et liberté en danger ? | Tool | ||
 |
2024-05-21 05:00:13 | 74% des CISO croient que les gens sont leur plus grande vulnérabilité de leur entreprise, révèle la voix de la voix du CISO 2024 74% of CISOs Believe that People Are Their Company\\'s Biggest Vulnerability, 2024 Voice of the CISO Report Reveals (lien direct) |
Bien que les 12 derniers mois aient peut-être manqué les événements des années précédentes, il a été loin d'être silencieux pour les principaux officiers de sécurité de l'information du monde (CISO).Le besoin désormais permanent de soutenir les travaux à distance et hybride a créé une plus grande surface d'attaque pour de nombreuses entreprises que jamais auparavant.Dans le même temps, les cyber-menaces deviennent plus fréquentes, sophistiquées et dommageables. & Nbsp; & nbsp; Les employés modifient des emplois à des niveaux record et prennent des données avec eux lorsqu'ils partent.Pendant ce temps, l'IA génératrice et les outils standard mettent des menaces dévastatrices entre les mains de quiconque veut payer quelques dollars.Et la recherche pour le rapport inaugural du paysage des pertes de données de Proofpoint a révélé que les employés négligents sont des entreprises \\ '' problème de perte de données. & Nbsp; & nbsp; & nbsp; Pour comprendre comment les CISO se trouvent dans une autre année à succès dans le paysage du cyber-risque, Proofpoint a interrogé 1 600 de ces leaders de la sécurité dans le monde pour en savoir plus sur leurs rôles et leurs perspectives pour les deux prochaines années.Cette année, nous avons interrogé des organisations avec plus de 1 000 employés pour mieux comprendre les pratiques de cybersécurité complexes. & NBSP; Les cisos se sentent plus inquiets mais mieux préparés & nbsp; & nbsp; Qu'ils soient motivés par le chiffre d'affaires des employés, les cyberattaques de plus en plus sophistiquées ou la dépendance croissante à l'égard de la technologie des nuages, la plupart des CISO scannent nerveusement le paysage des menaces.Plus des deux tiers (70%) pensent que leurs entreprises sont à risque de cyberattaque au cours des 12 prochains mois de 68% en 2023 et 48% en 2022. & nbsp; & nbsp; Malgré ces préoccupations, de nombreux CISO que nous avons interrogés ont déclaré que la capacité de leur entreprise ait \\ à faire face aux conséquences.Moins de la moitié (43%) croient qu'ils ne sont pas préparés pour une cyberattaque ciblée de 61% en 2023 et 50% en 2022. & nbsp; & nbsp; Il est encourageant de savoir que plus de cisos se sentent prêts à faire face à des cybermenaces.Cependant, la réalité est que 70% des CISO croient également qu'une attaque est imminente et presque la moitié ne reste pas préparée à son impact. & Nbsp; & nbsp; Les humains restent une préoccupation majeure et NBSP; Cette année, il y a de nombreuses menaces dans l'esprit des CISO, des ransomwares et de la fraude par e-mail aux menaces d'initiés et aux compromis sur le compte cloud.Mais leur peuple leur provoque le plus d'anxiété. & Nbsp; & nbsp; Près des trois quarts (74%) des CISO croient que l'erreur humaine est leur plus grande cyber-vulnérabilité, contre 60% en 2023 et 56% en 2022. Encore plus (80%) croient que le risque humain et la négligence des employés seront des préoccupations clés de cybersécurité pourles deux prochaines années. & nbsp; & nbsp; Nos recherches montrent que les CISO croient généralement que leur peuple est conscient de leur rôle critique dans la défense de l'entreprise contre les cyber-menaces.Que les CISO voient toujours leur peuple comme le principal facteur de risque suggère qu'il y a une déconnexion entre les employés de la compréhension des cybermenaces et leur capacité à garder les menaces à distance.& nbsp; 74% des CISO croient que l'erreur humaine est leur plus grande cyber-vulnérabilité. & NBSP; 86% pensent que leurs employés comprennent leur rôle dans la défense de l'entreprise contre les cybermenaces.Près de la moitié (45%) sont fortement d'accord avec cette déclaration. & NBSP; 41% croient que les attaques de ransomwares sont la principale menace pour leur entreprise au cours des 12 prochains mois. & Nbsp; & nbsp; Les CISO ressentent la pression & nbsp; & nbsp; Les CISO ont cimenté leur place dans la salle de conférence ces dernières années, et bon nombre de ces | Threat Ransomware Cloud Tool Vulnerability | ||
 |
2024-05-20 20:27:37 | Comment l'e-mail Antigena Darktrace a attiré une attaque par e-mail de Fearware How Darktrace Antigena Email Caught A Fearware Email Attack (lien direct) |
DarkTrace détecte et neutralise efficacement les attaques de Fearware Emparant des outils de sécurité de la passerelle.En savoir plus sur la façon dont les e-mails Antigena surpassent les cybercriminels.
Darktrace effectively detects and neutralizes fearware attacks evading gateway security tools. Learn more about how Antigena Email outsmarts cyber-criminals. |
Tool | ||
|
2024-05-20 18:55:02 | Naviguer dans l'avenir de la cybersécurité: les meilleurs défis I&O pour l'année à venir Navigating the Future of Cybersecurity: Top I&O Challenges for the Year Ahead (lien direct) |
La série de blogs «i & # 38; o perspectives» présente des interviews avec des visionnaires de l'industrie et des experts avec des rôles dans la gestion des produits, le conseil, l'ingénierie et plus encore.Notre objectif est de présenter différents points de vue et prédictions sur la façon dont les organisations & # 8217;Le réseautage, l'infrastructure et les opérations (i & # 38; o) sont touchés par le paysage de menace actuel, les outils de réseautage et de cybersécurité existants, ainsi que les implications pour [& # 8230;]
The “I&O Perspectives” blog series features interviews with industry visionaries and experts with roles in product management, consulting, engineering and more. Our goal is to present different viewpoints and predictions on how organizations’ networking, infrastructure and operations (I&O) are impacted by the current threat landscape, existing networking and cybersecurity tools, as well as implications for […] |
Threat Tool | ||
|
2024-05-20 18:50:40 | La vulnérabilité de l'outil de bits courants menace des milliards de déploiements de cloud Fluent Bit Tool Vulnerability Threatens Billions of Cloud Deployments (lien direct) |
> Par deeba ahmed
"Linguistic Lumberjack" menace les violations de données (CVE-2024-4323).Patch maintenant pour protéger vos services cloud à partir de la divulgation d'informations, du déni de service ou même de la prise de contrôle à distance.
Ceci est un article de HackRead.com Lire le post original: La vulnérabilité de l'outil de bits courants menace des milliards de déploiements cloud
>By Deeba Ahmed "Linguistic Lumberjack" Threatens Data Breaches (CVE-2024-4323). Patch now to shield your cloud services from information disclosure, denial-of-service, or even remote takeover. This is a post from HackRead.com Read the original post: Fluent Bit Tool Vulnerability Threatens Billions of Cloud Deployments |
Cloud Tool Vulnerability | ||
|
2024-05-20 14:19:33 | Faits saillants hebdomadaires, 20 mai 2024 Weekly OSINT Highlights, 20 May 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence un éventail diversifié de cyber-menaces sophistiquées ciblant divers secteurs, notamment des infrastructures critiques, des institutions financières et des entités diplomatiques.Les articles soulignent la complexité croissante des vecteurs d'attaque, tels que l'utilisation de campagnes de tunnels DNS, de malvertisation et de phishing sophistiquées.Les acteurs de la menace, allant de groupes à motivation financière comme FIN7, à des entités parrainées par l'État comme Turla, utilisent des techniques avancées comme l'obscurcissement des logiciels malveillants, la stéganographie et l'ingénierie sociale pour atteindre leurs objectifs. ## Description 1. ** [Darkgate Malware Campaign exploite PDF Lures] (https://security.microsoft.com/intel-explorer/articles/055cd342) **: les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants Darkgate qui utilise des rémissions de PDF déguisées sous forme de factures QuickBooks intuites, incitant les utilisateurs à télécharger un fichier malveillant des archives Java (JAR).Le fichier JAR télécharge des charges utiles supplémentaires, y compris un script AutOIT, établissant des connexions distantes et exécutant du code de shell pour communiquer avec les serveurs C2. 2. ** [Campagne d'évolution des logiciels malveillants Ebury] (https://security.microsoft.com/intel-explorer/articles/276a4404) **: Les chercheurs ESET ont indiqué que le malware Ebury, qui cible les serveurs Linux pour un gain financier, a de gain financier,a évolué avec de nouvelles techniques d'obscurcissement et un algorithme de génération de domaine.Le malware, actif depuis 2009, compromet les serveurs pour voler des données de crypto-monnaie et financières, exploitant le trafic SSH et tirant parti de l'infrastructure du fournisseur d'hébergement. 3. ** [DNS Tunneling utilisé pour la communication secrète] (https://security.microsoft.com/intel-explorer/articles/7f0d7aa3) **: les chercheurs de Palo Alto ont mis en évidence l'utilisation du tunneling DNS par des pirates pour exfiltrater les données et communiqueravec les serveurs C2 secrètement.Des campagnes comme "TrkCDN" et "Secshow" utilisent cette technique pour contourner les mesures de sécurité traditionnelles, l'intégration de données malveillantes dans les requêtes et les réponses DNS. 4. ** [La campagne de phishing distribue une nouvelle souche de logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/95ff5bf6)**: AhnLab a identifié une campagne de phishing distribuant des logiciels malveillantsPar e-mails déguisés en avertissements de violation du droit d'auteur, conduisant à l'infostaler et aux ransomwares de bête vidar.Le ransomware crypte les fichiers et se propage via des réseaux, tandis que l'infostaler cible les informations utilisateur et se connecte aux serveurs C2. 5. ** [Profil github utilisé pour distribuer des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/4782de66) **: le groupe INSIKT a découvert une campagne par des acteurs de menace russe à l'aide de GitHub pour distribuer des logiciels malveillantsse faire passer pour un logiciel légitime.La campagne a utilisé des variantes comme le voleur atomique MacOS (AMOS) et le vidar pour infiltrer les systèmes et voler des données sensibles, indiquant un effort coordonné d'un groupe de menaces sophistiqué. 6. ** [Fin7 utilise des sites Web malveillants pour répandre les logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/6c0c8997) **: ESENTIRE observé Fin7, suivi par Microsoft comme [Sangria Tempest] (Https: Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaea4d3565df70afc7c85eaee69f74278), en utilisant des sites Web malveillants qui imposent des marques et des formes de pochette et de la rencontre Google.Les attaques impliquaient Netsupport Rat pour la reconnaissance et la persistance du système, | Threat Ransomware Malware Tool Vulnerability Medical | ||
|
2024-05-20 10:00:00 | Disséquant une attaque de phishing à plusieurs étapes. Dissecting a Multi-stage Phishing Attack. (lien direct) |
Phishing is one of the most common forms of cyber attack that organizations face nowadays. A 2024 risk report states that 94% of organizations fall victim to phishing attacks, and 96% are negatively impacted by them. However, phishing attacks are not only growing in number but are also more sophisticated and successful. This is owing to the modern multi-stage phishing attack, which is common nowadays. The multi-stage phishing attack is a sophisticated and multifaceted technique that increases the likelihood of success of an attack. While these attacks are becoming increasingly common, there needs to be more awareness of them. Therefore, to find relevant measures for mitigating these attacks, organizations must gain crucial insights regarding these multifaceted threats covered in this blog. What is a Multi-stage Phishing Attack? As its name suggests, a multi-stage phishing attack is a complex form of traditional phishing. In a multi-stage setup, a phishing attack relies on more deceptive strategies and phases rather than solely relying on one deceptive email, unlike in a traditional phishing attack. All the phases within the multi-stage phishing attack are designed to build trust and gather relative information about the target over time. Since this approach works discreetly on a multi-phased setup, it allows threat actors to bypass advanced security measures such as residential proxies and phishing detection tools. Multi-stage phishing attacks are a common occurrence in the modern cyber threat landscape. Attackers use this sophisticated layered tactic to deploy targeted ransomware or while conducting successful business email compromise (BEC) attacks. Dissecting a multi-stage phishing attack A multi-stage phishing attack is a sophisticated strategy that relies on a sequence of carefully designed steps. These steps help increase the probability of a successful phishing attack by evading advanced security and detection techniques. A typical multi-stage approach to the attack consists of the following phases: Initial Contact Like any traditional attack, the multi-stage attack starts with the threat actor initiating contact with the target through seemingly innocuous means. These include social media messages, phishing emails, or even physical methods such as USB drops. Establishing Trust After establishing contact with the target, the threat actor builds trust. This often involves impersonating legitimate entities or using communication channels familiar to the target, making it easy for them to fall victim and trust the threat actor. Introducing Complexities As the attack progresses, the threat actor introduces complexities such as using CAPTCHAs, QR Codes, and steganography to create further layers of deception, guaranteeing the attack\'s success. Exploitation The final stage of the attack involves exploiting the target. At this stage, the threat actor could either deploy malware, extract sensitive information, or perform any other malicious activity that might have been the goal of the whole attack. This multi-layered nature of a phishing attack makes it hard to detect through traditional security tools like residential proxies and phishing detection tools. Therefore, it ultimately makes the attack successful. How QR Codes, Captchas, and Steganography Are Used in Layered Phishing Attacks. In a multi-stage phishing attack, QR Codes, steganography, and CAPTCHAs are used to overcome security barriers and increase the attack\'s efficiency. Here is how each of these elements is used to ensure the attack is successful: QR Codes Quick Response or QR codes have become ubiquitous in various applications since they a | Threat Ransomware Malware Tool | ||
|
2024-05-19 07:00:00 | WebCopilot : L\'ultime outil d\'automatisation pour les chasseurs de bugs 🚀 (lien direct) | WebCopilot est un outil d'automatisation puissant conçu pour les chasseurs de bugs. Il énumère les sous-domaines, filtre les paramètres vulnérables et scanne les failles de sécurité pour un gain de temps et d'efficacité considérable lors des tests d'intrusion. | Tool | ★★★★ | |
|
2024-05-17 22:18:40 | L\'IA qui raisonne comme un humain (lien direct) | Les chercheurs du MIT ont développé trois frameworks révolutionnaires qui permettent aux IA de raisonner comme des humains. Ces outils hybrides améliorent les capacités de programmation, de planification et de perception des IA. | Tool | ★★★ | |
|
2024-05-17 19:54:33 | La campagne par e-mail distribue Lockbit Black Ransomware via Phorpiex Botnet Email Campaign Distributes LockBit Black Ransomware via Phorpiex Botnet (lien direct) |
## Instantané Les chercheurs de preuves ont observé des campagnes à volume élevé avec des millions de messages facilités par le botnet Phorpiex et la livraison de ransomwares noirs Lockbit. ## Description L'échantillon Black Lockbit de cette campagne a probablement été construit à partir du constructeur de verrouillage qui a été divulgué au cours de l'été 2023. Les e-mails contenaient un fichier zip joint avec un exécutable (.exe).Cet exécutable a été observé en téléchargeant la charge utile Black Lockbit à partir de l'infrastructure de botnet Phorpiex.Les e-mails ont ciblé les organisations dans plusieurs verticales à travers le monde et semblaient opportunistes par rapport à spécifiquement ciblé. La chaîne d'attaque nécessite l'interaction de l'utilisateur et démarre lorsqu'un utilisateur final exécute l'exécutable compressé dans le fichier zip joint.Lockbit Black (AKA Lockbit 3.0) est une version de Lockbit Ransomware qui a été officiellement publiée avec des capacités améliorées par les affiliés des Ransomware en juin 2022. Le Lockbit Black Builder a fourni aux acteurs de la menace un accès à des ransomwares propriétaires et sophistiqués.La combinaison de ceci avec le botnet Phorpiex de longue date amplifie l'ampleur de ces campagnes de menace et augmente les chances d'attaques de ransomwares réussies. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la durée. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de prendre une action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender p | Threat Ransomware Tool | ★★★ | |
|
2024-05-17 19:11:34 | To the Moon and back(doors): Lunar landing in diplomatic missions (lien direct) | #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land | Threat Malware Tool Technical | ★★ | |
|
2024-05-17 08:00:00 | Surfshark One, votre chien de garde numérique (lien direct) | — Article en partenariat avec Surfshark — Comme vous le savez déjà, la sécurité en ligne est un océan qui subit assez souvent tempêtes et raz-de-marée. Il est donc essentiel de se munir d’outils efficaces pour naviguer en toute tranquillité. C’est là que Surfshark One se distingue, offrant une solution … Suite | Tool | ★★ | |
|
2024-05-16 19:51:14 | (Déjà vu) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct) | ## Instantané Les chercheurs en sécurité AHNLAB ont identifié une nouvelle souche malveillante qui est distribuée par des e-mails de phishing déguisés en avertissements de violation du droit d'auteur. ## Description L'e-mail de phishing contient un hyperlien qui télécharge un fichier compressé.Le fichier compressé téléchargé contient à son tour des fichiers compressés ALZ supplémentaires, qui, lorsqu'ils sont décodés et décompressés, révèlent deux fichiers exécutables - l'infosaler Vidar et le ransomware de la bête. La bête ransomware chiffre les fichiers originaux et ajoute une extension spécifique, tandis que l'infosteller Vidar se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, y compris les données et les fichiers du navigateur Web sur le PC de l'utilisateur \\.La bête ransomware, une évolution du ransomware du monstre, crypte les fichiers originaux et ajoute des extensions spécifiques.Il analyse également les ports de SMB actifs, indiquant une intention de se propager par un mouvement latéral.Le Vidar InfoSteller se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, en utilisant des plateformes publiques pour la communication avec son serveur C2. ## Détections ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / VidaStelleer] (HTtps: //www.microsoft.com/wdsi/therets/malware-encyclopedia-description? name = trojan: win32 / vidarsaler.bm! msr & menaced = -2147194064) ### miCrosoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Informations volant l'activité de logiciels malveillants ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus | Threat Ransomware Spam Malware Tool | ★★★ | |
|
2024-05-16 13:31:01 | Windows Quick Assist ancre Black Basta Ransomware Gambit Windows Quick Assist Anchors Black Basta Ransomware Gambit (lien direct) |
Lorsqu'ils sont abusés par des acteurs de menace ayant des côtelettes sophistiquées de l'ingénierie sociale, les outils d'accès à distance exigent que les entreprises restent nettes dans la stratégie de défense et la formation à la sensibilisation aux employés.
When abused by threat actors with sophisticated social-engineering chops, remote-access tools demand that enterprises remain sharp in both defense strategy and employee-awareness training. |
Threat Ransomware Tool | ★★ | |
|
2024-05-16 12:03:39 | Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat utilisé pour cibler les experts en intelligence artificielle américaine Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct) |
What happened Proofpoint recently identified a SugarGh0st RAT campaign targeting organizations in the United States involved in artificial intelligence efforts, including those in academia, private industry, and government service. Proofpoint tracks the cluster responsible for this activity as UNK_SweetSpecter. SugarGh0st RAT is a remote access trojan, and is a customized variant of Gh0stRAT, an older commodity trojan typically used by Chinese-speaking threat actors. SugarGh0st RAT has been historically used to target users in Central and East Asia, as first reported by Cisco Talos in November 2023. In the May 2024 campaign, UNK_SweetSpecter used a free email account to send an AI-themed lure enticing the target to open an attached zip archive. Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed enough to receive a numerical TA designation. Lure email Following delivery of the zip file, the infection chain mimicked “Infection Chain 2” as reported by Cisco Talos. The attached zip file dropped an LNK shortcut file that deployed a JavaScript dropper. The LNK was nearly identical to the publicly available LNK files from Talos\' research and contained many of the same metadata artifacts and spoofed timestamps in the LNK header. The JavaScript dropper contained a decoy document, an ActiveX tool that was registered then abused for sideloading, and an encrypted binary, all encoded in base64. While the decoy document was displayed to the recipient, the JavaScript dropper installed the library, which was used to run Windows APIs directly from the JavaScript. This allowed subsequent JavaScript to run a multi-stage shellcode derived from DllToShellCode to XOR decrypt, and aplib decompress the SugarGh0st payload. The payload had the same keylogging, command and control (C2) heartbeat protocol, and data exfiltration methods. The main functional differences in the infection chain Proofpoint observed compared to the initial Talos report were a slightly modified registry key name for persistence, CTFM0N.exe, a reduced number of commands the SugarGh0st payload could run, and a different C2 server. The analyzed sample contained the internal version number of 2024.2. Network analysis Threat Research analysis demonstrated UNK_SweetSpecter had shifted C2 communications from previously observed domains to account.gommask[.]online. This domain briefly shared hosting on 103.148.245[.]235 with previously reported UNK_SweetSpecter domain account.drive-google-com[.]tk. Our investigation identified 43.242.203[.]115 hosting the new C2 domain. All identified UNK_SweetSpecter infrastructure appears to be hosted on AS142032. Context Since SugarGh0st RAT was originally reported in November 2023, Proofpoint has observed only a handful of campaigns. Targeting in these campaigns included a U.S. telecommunications company, an international media organization, and a South Asian government organization. Almost all of the recipient email addresses appeared to be publicly available. While the campaigns do not leverage technically sophisticated malware or attack chains, Proofpoint\'s telemetry supports the assessment that the identified campaigns are extremely targeted. The May 2024 campaign appeared to target less than 10 individuals, all of whom appear to have a direct connection to a single leading US-based artificial intelligence organization according to open source research. Attribution Initial analysis by Cisco Talos suggested SugarGh0st RAT was used by Chinese language operators. Analysis of earlier UNK_SweetSpecter campaigns in Proofpoint visibility confirmed these language artifacts. At this time, Proofpoint does not have any additional intelligence to strengthen this attribution. While Proofpoint cannot attribute the campaigns with high confidence to a specific state objective, the lure theme specifically referencing an AI too | Threat Malware Tool Vulnerability | ★★★ | |
 |
2024-05-16 09:35:21 | Comment autonomiser l'activité MSSP avec la plate-forme SOC Sekoia? How to empower the MSSP business with the Sekoia SOC platform? (lien direct) |
> Le marché des services de sécurité gérés fleurit.Statista déclare qu'il est prévu d'atteindre 65,53 milliards de dollars américains en 2028. Bien que ces prévisions semblent prometteuses, les MSSP sont toujours en concurrence et recherchent les bons outils pour gérer plusieurs clients et améliorer leurs offres.Avec la plate-forme multi-locataire Sekoia SOC, les MSSP peuvent centraliser la gestion, s'intégrer à n'importe quelle infrastructure et [& # 8230;]
la publication Suivante comment responsabiliserL'activité MSSP avec la plate-forme SoC Sekoia? est un article de blog Sekoia.io .
>The managed security service market is blooming. Statista states it’s projected to reach 65.53 billion U.S. dollars in 2028. Although this forecast looks promising, MSSPs still compete and seek the right tools to manage multiple clients and enhance their offerings. With the multi-tenant Sekoia SOC platform, MSSPs can centralize management, integrate with any infrastructure, and […] La publication suivante How to empower the MSSP business with the Sekoia SOC platform? est un article de Sekoia.io Blog. |
Tool | ★★★ | |
 |
2024-05-16 08:46:00 | Cybercriminels exploitant la fonction d'assistance rapide de Microsoft \\ dans les attaques de ransomware Cybercriminals Exploiting Microsoft\\'s Quick Assist Feature in Ransomware Attacks (lien direct) |
L'équipe de Microsoft Threat Intelligence a déclaré qu'elle avait observé une menace qu'elle suit sous & nbsp; le nom & nbsp; Storm-1811 & nbsp; abuser de l'outil de gestion de la clientèle aide rapide aux utilisateurs cibler les attaques d'ingénierie sociale.
"Storm-1811 est un groupe cybercriminal motivé financièrement connu pour déployer & nbsp; Black Basta & nbsp; ransomware", la société & nbsp; dit & nbsp; dans un rapport publié le 15 mai 2024.
Le
The Microsoft Threat Intelligence team said it has observed a threat it tracks under the name Storm-1811 abusing the client management tool Quick Assist to target users in social engineering attacks. "Storm-1811 is a financially motivated cybercriminal group known to deploy Black Basta ransomware," the company said in a report published on May 15, 2024. The |
Threat Ransomware Tool | ★★ | |
|
2024-05-16 07:00:00 | Planka – Le tableau kanban en temps réel pour votre suivi de projet (lien direct) | Planka est une solution open source élégante pour le suivi de projet. Avec ses fonctionnalités complètes et sa stack technique moderne, Planka offre une alternative puissante aux outils propriétaires pour gérer efficacement vos projets en équipe. | Tool | ★★★ | |
|
2024-05-16 01:02:40 | Vipersoftx utilise Tesseract basé sur l'apprentissage en profondeur pour exfiltrater des informations ViperSoftX Uses Deep Learning-based Tesseract to Exfiltrate Information (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaquants de Vipersoftx utilisant Tesseract pour exfiltrat les utilisateurs & # 8217;Fichiers d'image.Vipersoftx est une souche malveillante responsable de la résidence sur les systèmes infectés et de l'exécution des attaquants & # 8217;commandes ou voler des informations liées à la crypto-monnaie.Le logiciel malveillant nouvellement découvert cette fois utilise le moteur OCR open-source Tesseract.Tesseract extrait des textes d'images utilisant des techniques d'apprentissage en profondeur.Le malware utilisé dans l'attaque lit les images stockées sur les systèmes infectés et extrait les chaînes à l'aide de l'outil Tesseract.Si le ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered ViperSoftX attackers using Tesseract to exfiltrate users’ image files. ViperSoftX is a malware strain responsible for residing on infected systems and executing the attackers’ commands or stealing cryptocurrency-related information. The malware newly discovered this time utilizes the open-source OCR engine Tesseract. Tesseract extracts texts from images using deep learning techniques. The malware used in the attack reads images stored on the infected systems and extracts strings using the Tesseract tool. If the... |
Malware Tool | ★★★ | |
 |
2024-05-16 00:00:00 | Suivi de la progression de la campagne de cyberespionnage de la Terre en 2024 Tracking the Progression of Earth Hundun\\'s Cyberespionage Campaign in 2024 (lien direct) |
Ce rapport décrit comment WaterBear et DeuterBear - deux des outils de l'arsenal de Terre Hundun \\ opérent, basé sur une campagne de 2024.
This report describes how Waterbear and Deuterbear - two of the tools in Earth Hundun\'s arsenal - operate, based on a campaign from 2024. |
Tool | ★★★ | |
 |
2024-05-15 22:36:39 | Hacking Forum BreachForums saisis par le FBI et le DOJ Hacking Forum BreachForums Seized by FBI and DOJ (lien direct) |
Le FBI a saisi BreachForums, un site Web infâme pour publier des données violées.La saisie a été effectuée mercredi matin dans le cadre d'une enquête en cours sur les perfores et les raidforums.
Cela vient des jours après que les données de la plate-forme Europol pour les experts (EPE) ont été violées.
Alors que le FBI passe par les données backend, les internautes peuvent contacter l'agence s'ils ont des informations sur l'activité cybercriminale sur BreachForums.
Le FBI a réussi la crise avec l'aide du ministère de la Justice et des partenaires internationaux.
Site Web de BreachForums saisi
Le site Web indique que le FBI a désormais un contrôle sur les données backend de site Web.Cela signifie que le bureau d'enquête a accès à toutes les transactions effectuées via le forum de piratage.
Le site Web de BreachForum affiche désormais des logos de plusieurs organismes d'application de la loi, notamment le DOJ, la police néo-zélandaise, la police fédérale australienne, l'agence nationale de crime, etc.
Il a également utilisé la photo de profil du site Web de deux administrateurs, Baphomet et Shinyhunters, pour faire allusion au fait qu'ils seront bientôt derrière les barreaux.
Le FBI a également eu accès au canal télégramme, et le message de saisie est envoyé à partir du compte de l'administration.
La page d'enquête du FBI contient également un formulaire de contact que les victimes peuvent utiliser.
L'agence d'application de la loi a également demandé aux internautes de fournir des informations pour aider l'enquête contre BreachForums V2, BreachForums v1 ou RaidForums.
sur BreachForums |
Tool Legislation | ★★ | |
|
2024-05-15 20:41:19 | Gitcaught: l'acteur de menace exploite le référentiel Github pour les infrastructures malveillantes GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure (lien direct) |
## Instantané Le groupe insikt de l'avenir enregistré a découvert une campagne cybercriminale sophistiquée dirigée par des acteurs de menace russophone du Commonwealth des États indépendants (CIS), en utilisant un profil GitHub pour distribuer des logiciels malveillants sous couvert d'applications logicielles légitimes. ## Description Les applications logicielles comme 1Password, Bartender 5 et Pixelmator Pro ont été usurpées, entre autres.Les variantes de logiciels malveillants observées dans cette campagne comprenaient le voleur de macOS atomique (AMOS) et le vidar.Ils ont été fabriqués pour infiltrer les systèmes et voler des données sensibles, présentant les acteurs en profondeur de la compréhension du développement logiciel et de la confiance des utilisateurs dans ces plateformes.L'analyse de Insikt Group \\ a dévoilé une infrastructure partagée de commandement et de contrôle (C2) parmi ces variantes, indiquant un effort coordonné par un groupe de menaces bien ressourcé capable de lancer des cyberattaques soutenues dans divers systèmes et dispositifs d'exploitation. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-enDPoint / Configure-Block-at-First-Sight-Microsoft-Dender-Antivirus? OCID = MAGICTI_TA_LELARNDOC) dans Microsoft DefEnder Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et STRictly [nécessite MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs cliquant sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un exemple. - Rappeler aux employés que l'entreprise ou les informations d'identification en milieu de travail ne doivent pas être stockées dans des navigateurs ou des coffres de mot de passe garantis avec des informations d'identification personnelles.Les organisations peuvent désactiver la synchronisation des mots de passe dans le navigat | Threat Ransomware Malware Tool | ★★★ | |
|
2024-05-15 20:23:43 | FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads (lien direct) |
## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic | Threat Malware Tool Prediction | ★★★ | |
 |
2024-05-15 17:00:00 | Le verrouillage de détection de vol Android 15 sait quand votre téléphone est volé Android 15 Theft Detection Lock Knows When Your Phone Is Stolen (lien direct) |
Google introduit de nouveaux outils de sécurité alimentés par AI dans Android 15 qui peuvent verrouiller votre téléphone si les voleurs l'aplaient.
Google is introducing new AI-powered safety tools in Android 15 that can lock down your phone if thieves nab it. |
Tool Mobile | ★★★ | |
|
2024-05-15 16:25:00 | Il est temps de maîtriser l'ascenseur et le changement: migration de VMware vSphere à Microsoft Azure It\\'s Time to Master the Lift & Shift: Migrating from VMware vSphere to Microsoft Azure (lien direct) |
Alors que l'adoption du cloud est en tête pour de nombreux professionnels de l'informatique depuis près d'une décennie, & nbsp; it \\ 's & nbsp; seulement ces derniers mois, avec des changements et des annonces de joueurs clés, que beaucoup reconnaissent le temps à & nbsp; faire le & nbsp; déménagerest maintenant.Il peut se sentir & nbsp; comme une tâche intimidante, mais des outils existent pour vous aider à déplacer vos machines virtuelles (VM) vers un fournisseur de cloud public & # 8211;Comme Microsoft Azure
While cloud adoption has been top of mind for many IT professionals for nearly a decade, it\'s only in recent months, with industry changes and announcements from key players, that many recognize the time to make the move is now. It may feel like a daunting task, but tools exist to help you move your virtual machines (VMs) to a public cloud provider – like Microsoft Azure |
Cloud Tool | ★★★ | |
|
2024-05-15 14:57:21 | Étude Cisco : Les développeurs passent plus de temps à lutter contre les problèmes qu\'à innover (lien direct) | Étude Cisco : Les développeurs passent plus de temps à lutter contre les problèmes qu'à innover Les développeurs demandent des solutions d'observabilité full-stack afin d'accélérer la vitesse de déploiement de leurs applications et offrir aux utilisateurs finaux des expériences numériques transparentes et sécurisées. ● Les développeurs estiment que le rythme actuel de l'innovation ne sera pas viable si les entreprises ne n'équipent pas les équipes informatiques des outils dont elles ont besoin. ● En l'absence d'outils adéquats pour comprendre les causes profondes des problèmes de performance des applications et les résoudre rapidement, les développeurs passent des heures en débogage d'applications, au lieu de coder pour lancer de nouvelles applications. ● Les développeurs considèrent l'observabilité full-stack comme un outil essentiel leur permettant de s'affranchir de la surveillance et de favoriser l'innovation. - Investigations | Tool | ★★★ | |
|
2024-05-15 14:17:14 | Project IDX – L\'IDE nouvelle génération de Google arrive en bêta publique ! (lien direct) | Google lance en open beta Project IDX, son environnement de développement nouvelle génération tirant parti de l'IA. Découvrez ses fonctionnalités innovantes comme l'assistant de code Gemini et son intégration aux outils Google. | Tool | ★★★ | |
 |
2024-05-15 12:59:21 | E / S 2024: Ce qui est nouveau dans la sécurité et la confidentialité d'Android I/O 2024: What\\'s new in Android security and privacy (lien direct) |
Posted by Dave Kleidermacher, VP Engineering, Android Security and Privacy
Our commitment to user safety is a top priority for Android. We\'ve been consistently working to stay ahead of the world\'s scammers, fraudsters and bad actors. And as their tactics evolve in sophistication and scale, we continually adapt and enhance our advanced security features and AI-powered protections to help keep Android users safe.
In addition to our new suite of advanced theft protection features to help keep your device and data safe in the case of theft, we\'re also focusing increasingly on providing additional protections against mobile financial fraud and scams.
Today, we\'re announcing more new fraud and scam protection features coming in Android 15 and Google Play services updates later this year to help better protect users around the world. We\'re also sharing new tools and policies to help developers build safer apps and keep their users safe.
Google Play Protect live threat detection
Google Play Protect now scans 200 billion Android apps daily, helping keep more than 3 billion users safe from malware. We are expanding Play Protect\'s on-device AI capabilities with Google Play Protect live threat detection to improve fraud and abuse detection against apps that try to cloak their actions.
With live threat detection, Google Play Protect\'s on-device AI will analyze additional behavioral signals related to the use of sensitive permissions and interactions with other apps and services. If suspicious behavior is discovered, Google Play Protect can send the app to Google for additional review and then warn users or disable the app if malicious behavior is confirmed. The detection of suspicious behavior is done on device in a privacy preserving way through Private Compute Core, which allows us to protect users without collecting data. Google Pixel, Honor, Lenovo, Nothing, OnePlus, Oppo, Sharp, Transsion, and other manufacturers are deploying live threat detection later this year.
Stronger protections against fraud and scams
We\'re also bringing additional protections to fight fraud and scams in Android 15 with two key enhancements to safeguard your information and privacy from bad apps:
Protecting One-time Passwords from Malware: With the exception of a few types of apps, such as wearable companion apps, one-time passwords are now hidden from notifications, closing a common attack vector for fraud and spyware.
Expanded Restricted Settings: To help protect more sensitive permissions that are commonly abused by fraudsters, we\'re expanding Android 13\'s restricted settings, which require additional user approval to enable permissions when installing an app from an Internet-sideloading source (web browsers, messaging apps or file managers).
We are continuing to develop new, AI-powered protections, |
Threat Malware Cloud Tool Mobile | ★★ | |
 |
2024-05-15 12:00:00 | Google étend l'outil de filigrane de contenu synthétique en texte généré par l'IA Google Expands Synthetic Content Watermarking Tool to AI-Generated Text (lien direct) |
Le synthèse de Google Deepmind \\ peut désormais être utilisé pour faire filigraner les images générées par l'AI, l'audio, le texte et la vidéo
Google DeepMind\'s SynthID can now be used to watermark AI-generated images, audio, text and video |
Tool | ★★ | |
|
2024-05-15 06:00:25 | La théorie du coup de pouce à elle seule a gagné \\ 'ne sauvera pas la cybersécurité: 3 considérations essentielles Nudge Theory Alone Won\\'t Save Cybersecurity: 3 Essential Considerations (lien direct) |
After reading the book Nudge: Improving Decisions About Health, Wealth, and Happiness, it is tempting to believe a well-crafted, perfectly timed pop-up message will move people away from engaging in unsafe online behaviors and toward building better cybersecurity habits. But let\'s be honest. If it were that simple, then we wouldn\'t be seeing the ongoing financial losses that many individuals and organizations are experiencing each year. Instead, it is more productive to talk about the judicious application of nudging to this incredibly complex problem. We wish to understand how the practice of nudging fits within the broader scope of cybersecurity education and behavioral change. The purpose of this blog is to lay the conceptual groundwork for deciding when nudging is appropriate, as well as maintaining a realistic understanding of the magnitude of the impact. Toward that end, we will attempt to address three important questions when considering nudging in the context of cybersecurity education and behavioral change: What is a nudge? Conversely, what is not a nudge? Where do we draw the line? Under which conditions are nudges effective, and what is the expected magnitude of the effect? Assuming nudges are cheap and easy to ignore (by definition), what is the alternative? Question 1: What is a nudge? What is not a nudge? As stated above, the concept of a nudge was made popular in 2009 with the publication of Nudge: Improving Decisions About Health, Wealth, and Happiness. In the past 15 years, we have collected ample evidence of its efficacy. One advantage of nudge theory is its broad applicability. It has been shown to facilitate better behaviors in several disparate domains, including auto-enrolling employees into retirement plans, increasing the number of organ donors, and the number of people who pay their taxes on time. These benefits were achieved by architecting sensible defaults and crafting well-designed messages for the target audiences. The broad applicability might be related to the all-encompassing definition of what counts as a “nudge.” The authors Richard H. Thaler, and Cass R. Sunstein define a nudge as, “Any aspect of the choice architecture that alters people\'s behavior in a predictable way without forbidding any options or significantly changing their economic incentives.” One easily overlooked aspect of the nudge definition is, “the intervention must be easy and cheap to avoid” (my emphasis). In other words, a nudge aims to influence the decision a person makes without taking away any options. A good example of this is putting healthier foods at the beginning of a salad bar. You can still wait and choose to fill your plate with desserts. However, given that many people choose the first food that sounds good, having salad ahead of dessert makes people more likely to pick it. By this definition, then, a policy should not be considered a nudge because a policy expressly forbids a specific action, behavior or choice. This is problematic because most cybersecurity behaviors fall under “policy violations.” Consider, for example, an organization that does not allow its employees to use third-party storage solutions like DropBox. If an employee attempts to save their work-related files on an unsupported storage platform, then a data loss prevention (DLP) policy might be triggered, thus preventing them from executing their action (see Figure 1). Figure 1. A DLP warning to the end user that their action has been blocked. If a pop-up message explains what happened, then that would not count as a nudge, under the strict definition, because it prevents the end user from taking their preferred action. Instead, this message might be considered “feedback” or a “just-in-time learning opportunity” that reiterates or reinforces the company\'s DLP policy. It is also important to consider the pragmatics of nudge delivery. Policies ar | Malware Tool | ★★★ | |
|
2024-05-14 20:40:25 | Cent pranskraut: Blazk Basta StopRansomware: Black Basta (lien direct) |
## Instantané
The joint Cybersecurity Advisory (CSA) released by the FBI, CISA, HHS, and MS-ISAC provides detailed information on the Black Basta ransomware variant, a ransomware-as-a-service (RaaS) that has targeted critical infrastructure sectors, including healthcare.
## Description
Les affiliés Black Basta ont un accès initial par le biais de techniques telles que le phishing, l'exploitation des vulnérabilités et abuser des références valides.Une fois à l'intérieur du réseau de la victime, ils utilisent un modèle à double expression, cryptant les systèmes et exfiltrant des données.
Les acteurs de la menace utilisent divers outils pour la numérisation du réseau, la reconnaissance, le mouvement latéral, l'escalade des privilèges, l'exfiltration et le chiffrement, y compris le scanner de réseau SoftPerfect, BitsAdmin, Psexec, Rclone et Mimikatz.
La variante des ransomwares Black Basta, fonctionnant en tant que RAAS, a eu un impact sur 500 organisations dans le monde en mai 2024, en gagnant principalement un accès initial par la spectre, en exploitant des vulnérabilités connues et en abusant des références valides.Les notes de rançon n'incluent généralement pas une première demande de rançon ou des instructions de paiement, mais fournissent plutôt que les victimes un code unique et leur demander de contacter le groupe de ransomware via une URL .onion accessible via le navigateur TOR.
Le conseil exhorte les organisations d'infrastructures critiques, en particulier celles du secteur de la santé et de la santé publique (HPH), à appliquer des atténuations recommandées pour réduire la probabilité de compromis de Black Basta et d'autres attaques de rançongiciels, et les victimes de ransomwares sont encouragées à signaler l'incident à leurBureau de terrain du FBI local ou CISA.
## Les références
["#Stopransomware: Black Basta"] (https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) cisa.(Consulté en 2024-05-13)
## Snapshot The joint Cybersecurity Advisory (CSA) released by the FBI, CISA, HHS, and MS-ISAC provides detailed information on the Black Basta ransomware variant, a ransomware-as-a-service (RaaS) that has targeted critical infrastructure sectors, including healthcare. ## Description Black Basta affiliates gain initial access through techniques such as phishing, exploiting vulnerabilities, and abusing valid credentials. Once inside the victim\'s network, they employ a double-extortion model, encrypting systems and exfiltrating data. The threat actors use various tools for network scanning, reconnaissance, lateral movement, privilege escalation, exfiltration, and encryption, including SoftPerfect network scanner, BITSAdmin, PsExec, RClone, and Mimikatz. The Black Basta ransomware variant, operating as a RaaS, has impacted over 500 organizations globally as of May 2024, primarily gaining initial access through spearphishing, exploiting known vulnerabilities, and abusing valid credentials. The ransom notes do not generally include an initial ransom demand or payment instructions, but instead provide victims with a unique code and instruct them to contact the ransomware group via a .onion URL reachable through the Tor browser. The advisory urges critical infrastructure organizations, especially those in the Healthcare and Public Health (HPH) Sector, to apply recommended mitigations to reduce the likelihood of compromise from Black Basta and other ransomware attacks, and victims of ransomware are encouraged to report the incident to their local FBI field office or CISA. ## References ["#StopRansomware: Black Basta"](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) CISA. (Accessed 2024-05-13) |
Threat Ransomware Tool Vulnerability Medical | ★★★ |
To see everything:
