What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-06 20:12:19 | Fake Advanced IP Scanner Installer fournit dangereux CobaltStrike Backdoor Fake Advanced IP Scanner Installer Delivers Dangerous CobaltStrike Backdoor (lien direct) |
## Instantané L'équipe Trustwave SpiderLabs a découvert une attaque d'arrosage ciblant les utilisateurs à la recherche de l'outil de scanner IP avancé légitime. ** En savoir plus sur Microsoft \'s [couverture de Cobaltsstrike ici.] (Https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) ** ## Description Les acteurs de la menace ont imité le site Web légitime et abusé des publicités Google pour s'assurer que leur site malveillant se classe fortement dans les résultats de recherche.Le programme d'installation compromis, téléchargé à partir d'un domaine de typo-carré, contenait un module DLL arrière qui a injecté une balise de CobaltStrike dans un processus parent nouvellement créé en utilisant la technique de creux de processus.Cela a permis aux acteurs de menace d'accéder au système et de communiquer avec leurs serveurs de commandement et de contrôle (C2), leur permettant d'émettre des commandes, de voler des données et de se propager à d'autres ordinateurs du réseau. La campagne en cours a également signalé d'autres domaines de la faute de frappe de typo-squatted offrant des alternatives de Cobaltsstrike comme Sliver C2, ainsi que des logiciels malveillants, notamment Danabot, Idatloader et Madmxshell. ## Recommandations ** Guide pour les utilisateurs finaux ** - Pour plus de conseils pour assurer la sécurité de votre appareil, allez sur [Microsoft Security Help & Learning Portal] (https://support.microsoft.com/security). - Pour en savoir plus sur la prévention des chevaux de Troie ou d'autres logiciels malveillants d'affecter les appareils individuels, [en lisez sur la prévention de l'infection des logiciels malveillants] (https://www.microsoft.com/security/business/security-101/what-is-malware). ** Guide pour les administrateurs d'entreprise et les clients de défenseur Microsoft 365 ** Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre à Microsoft Defender pour que le point de terminaison prenne des mesures immédiates sur les alertes à résoudre pour résoudre à résoudreviolations, réduisant considérablement le volume d'alerte. - Utilisez [Discovery Discovery] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/device-discovery) pour augmenter votre visibilité dans votre réseau en trouvant des appareils non gérés sur votre réseau et en les embarquant vers MicrosoftDéfenseur pour le point de terminaison. ## Les références [https://www.trustwave.com/en-us/resources/blogs/spiderLabs-blog/fake-advanced-ip-scanner-installer- | Malware Tool Threat | ||
 |
2024-06-06 15:24:00 | Les pirates exploitent le logiciel Packer légitime pour répandre les logiciels malveillants non détectés Hackers Exploit Legitimate Packer Software to Spread Malware Undetected (lien direct) |
Les acteurs de la menace abusent de plus en plus des logiciels de packer légitimes et disponibles dans le commerce tels que BoxEdApp pour échapper à la détection et distribuer des logiciels malveillants tels que les chevaux de Troie à distance et les voleurs d'informations.
"La majorité des échantillons malveillants attribués ont ciblé les institutions financières et les industries gouvernementales", a déclaré le chercheur de la sécurité de Check Point, Jiri Vinopal, dans une analyse.
Le volume de
Threat actors are increasingly abusing legitimate and commercially available packer software such as BoxedApp to evade detection and distribute malware such as remote access trojans and information stealers. "The majority of the attributed malicious samples targeted financial institutions and government industries," Check Point security researcher Jiri Vinopal said in an analysis. The volume of |
Malware Threat | ||
 |
2024-06-06 12:27:15 | «Opération Endgame» se termine par l'arrestation de 4 suspects cybercriminaux et 100 serveurs “Operation Endgame” Ends with the Arrest of 4 Cybercriminal Suspects and 100 Servers (lien direct) |
Les efforts coordonnés entre les agences d'application de la loi dans neuf pays ont entraîné une perturbation majeure des logiciels malveillants d'un groupe de menaces et ransomware opérations.
Coordinated efforts between law enforcement agencies across nine countries has resulted in a major disruption of a threat group\'s malware and ransomware operations. |
Malware Threat Legislation | ||
 |
2024-06-05 21:45:10 | Tiktok confirme CNN, d'autres comptes de haut niveau détournés via une vulnérabilité à jour zéro TikTok confirms CNN, other high-profile accounts hijacked via zero-day vulnerability (lien direct) |
Méfiez-vous des logiciels malveillants zéro cliquez dans votre DMS Les mécréants ont exploité un jour zéro dans Tiktok pour compromettre les comptes de CNN et d'autres grands noms.Le fabricant d'applications a confirmé qu'il y avait une cyberattaque et qu'il s'est brouillé pour sécuriser les comptes et empêcher toute exploitation supplémentaire.…
Beware of zero-click malware sliding into your DMs Miscreants exploited a zero-day in TikTok to compromised the accounts of CNN and other big names. The app maker has confirmed there was a cyberattack, and that it has scrambled to secure accounts and prevent any further exploitation.… |
Malware Vulnerability Threat | ||
|
2024-06-05 21:10:50 | Les fausses mises à jour du navigateur offrent Bitrat et Lumma Stealer Fake Browser Updates Deliver BitRAT and Lumma Stealer (lien direct) |
## Instantané En mai 2024, l'unité de réponse aux menaces d'Esesentire (TRU) a détecté de fausses mises à jour fournissant Bitrat et Lumma Stealer.L'attaque a commencé avec les utilisateurs visitant une page Web infectée contenant du code JavaScript malveillant, les conduisant à une fausse page de mise à jour. ## Description Le fichier JavaScript dans l'archive Zip a agi comme téléchargeur initial pour les charges utiles, qui comprenait Bittrat et Lumma Stealer.Les deux logiciels malveillants ont des capacités avancées de reconnaissance, de vol de données et d'accès à distance.Le faux leurre de mise à jour du navigateur est devenu courant chez les attaquants comme moyen d'entrée sur un appareil ou un réseau. Il y avait quatre fichiers uniques identifiés dans cette attaque, qui servent tous des objectifs différents: s.png & # 8211;Charge utile de chargeur et du voleur Lumma;z.png & # 8211;Script PowerShell qui crée Runkey pour la persistance et télécharge le chargeur et la charge utile bitrat;a.png & # 8211;Charge utile du chargeur et bitrat;et 0x.png & # 8211;Fichier de persistance BitRat qui relève le relocage a.png et l'exécute.L'utilisation de fausses mises à jour pour fournir une variété de logiciels malveillants affiche la capacité de l'opérateur à tirer parti des noms de confiance pour maximiser la portée et l'impact. ## Recommandations # Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement [Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=mAGICTI_TA_LELARNDOC) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pou | Ransomware Spam Malware Tool Threat | ||
|
2024-06-05 20:12:47 | RansomHub: le nouveau ransomware a des origines dans le chevalier plus âgé RansomHub: New Ransomware has Origins in Older Knight (lien direct) |
## Instantané RansomHub, un nouveau ransomware en tant que service (RAAS), est rapidement devenu une menace majeure de ransomware.L'analyse de Symantec \\ indique que RansomHub est probablement une version évoluée et rebaptisée de l'ancien [Knight Ransomware] (https://sip.security.microsoft.com/intel-explorer/articles/b0b59b62?tid=72f988bf-86f1-41AF-91AB-2D7CD011DB47).Les deux partagent un degré élevé de similitude, tous deux écrits en Go et en utilisant Gobfuscate pour l'obscurcissement, avec un chevauchement de code significatif, ce qui les rend difficiles à distinguer sans indicateurs spécifiques comme les liens intégrés. ## Description Le code source de Knight \\ a été vendu sur des forums souterrains au début de 2024 après que ses créateurs ont arrêté leur opération.Cette vente a probablement conduit au développement de RansomHub \\ par différents acteurs.Knight et RansomHub utilisent une méthode d'obscurcissement de cordes unique où les chaînes cruciales sont codées avec des clés uniques et décodées pendant l'exécution. Les notes de rançon des deux familles de ransomwares contiennent de nombreuses phrases identiques, suggérant des mises à jour minimales du texte d'origine.Une caractéristique clé partagée par les deux est la possibilité de redémarrer un point de terminaison en mode sûr avant de démarrer le chiffrement, une technique également utilisée par [Snatch] (https://security.microsoft.com/intel-explorer/articles/77d8ea16) ransomware.Cependant, Snatch n'a pas les commandes configurables et l'obscurcissement présents dans Knight et RansomHub. Les récentes attaques de RansomHub ont exploité la vulnérabilité de Zerologon ([CVE-2010-1472] (https://security.microsoft.com/intel-profiles/cve-2020-1472)) pour gagner les privilèges des administrateurs de domaine.Les attaquants ont utilisé des outils à double usage comme Atera et Splashtop pour un accès à distance et NetScan pour la reconnaissance du réseau.Ils ont utilisé des outils de ligne de commande IIS pour arrêter les services d'information Internet. La croissance rapide de RansomHub \\, bien qu'elle n'apparaît qu'en février 2024, peut être attribuée à son appel aux anciens affiliés d'autres groupes de ransomwares éminents, tels que Noberus.Selon Symantec, cet établissement rapide suggère que RansomHub est exploité par des cybercriminels expérimentés avec des connexions souterraines substantielles. Lisez la rédaction de Microsoft \\ sur la vulnérabilité Zerologon [ici] (https://security.microsoft.com/intel-profiles/cve-2020-1472). ## Détections / requêtes de chasse ** antivirus ** Microsoft Defender Antivirus détecte les composants et les activités de menace comme logiciels malveillants suivants: - [* ransom: win64 / ransomhub *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=ransom:win64 / ransomhub.b & menaceID = -2147056321) - [* rançon: win64 / knight *] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-DEscription? Name = ransom: win64 / knight.zc! Mtb & menaceID = -2147061874) - [* Trojan: Win64 / Splinter *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/splinter! - [* HackTool: Win32 / Sharpzerologon *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=hacktool:win32/sharpzerologon& ;Theatid=-2147202813) - [* comportement: win32 / cve-2020-1472.a *] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=behavior:win32/cve-2020-1472.d & menaceID = -2147189839) ** Détection et réponse des points de terminaison (EDR) ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Exploitation possible de CVE-2020-1472 * - * Exécution de l'outil de vol d'identification malveillant détecté * ** Microsoft Defender pour l'identité * | Ransomware Malware Tool Vulnerability Threat Patching | ||
 |
2024-06-05 19:13:11 | Cisco Talos: L'acteur Lilacsquid Threat cible plusieurs secteurs dans le monde entier avec des logiciels malveillants de Purpleink Cisco Talos: LilacSquid Threat Actor Targets Multiple Sectors Worldwide With PurpleInk Malware (lien direct) |
Découvrez comment fonctionne l'acteur de menace de cyberespionnage Lilacsquid, puis apprenez à protéger votre entreprise de ce risque de sécurité.
Find out how the cyberespionage threat actor LilacSquid operates, and then learn how to protect your business from this security risk. |
Malware Threat | ||
 |
2024-06-05 19:01:42 | Le schéma de détournement reprend des comptes Tiktok de haut niveau Hijacking Scheme Takes Over High-Profile TikTok Accounts (lien direct) |
Le détournement de logiciels malveillants se propage dans la messagerie directe de Tiktok \\ et n'exige pas la victime de cliquer sur des liens ou de télécharger quoi que ce soit.
Hijacking malware gets spread through TikTok\'s direct messaging and doesn\'t require the victim to click links or download anything. |
Malware | ||
 |
2024-06-05 14:00:00 | Phishing pour l'or: cyber-menaces auxquelles sont confrontés les Jeux olympiques de Paris 2024 Phishing for Gold: Cyber Threats Facing the 2024 Paris Olympics (lien direct) |
Written by: Michelle Cantos, Jamie Collier
Executive Summary Mandiant assesses with high confidence that the Paris Olympics faces an elevated risk of cyber threat activity, including cyber espionage, disruptive and destructive operations, financially-motivated activity, hacktivism, and information operations. Olympics-related cyber threats could realistically impact various targets including event organizers and sponsors, ticketing systems, Paris infrastructure, and athletes and spectators traveling to the event. Mandiant assesses with high confidence that Russian threat groups pose the highest risk to the Olympics. While China, Iran, and North Korea state sponsored actors also pose a moderate to low risk. To reduce the risk of cyber threats associated with the Paris Olympics, organizations should update their threat profiles, conduct security awareness training, and consider travel-related cyber risks. The security community is better prepared for the cyber threats facing the Paris Olympics than it has been for previous Games, thanks to the insights gained from past events. While some entities may face unfamiliar state-sponsored threats, many of the cybercriminal threats will be familiar. While the technical disruption caused by hacktivism and information operations is often temporary, these operations can have an outsized impact during high-profile events with a global audience. Introduction The 2024 Summer Olympics taking place in Paris, France between July and August creates opportunities for a range of cyber threat actors to pursue profit, notoriety, and intelligence. For organizations involved in the event, understanding relevant threats is key to developing a resilient security posture. Defenders should prepare against a variety of threats that will likely be interested in targeting the Games for different reasons: Cyber espionage groups are likely to target the 2024 Olympics for information gathering purposes, due to the volume of government officials and senior decision makers attending. Disruptive and destructive operations could potentially target the Games to cause negative psychological effects and reputational damage. This type of activity could take the form of website defacements, distributed denial of service (DDoS) attacks, the deployment of wiper malware, and operational technology (OT) targeting. As a high profile, large-scale sporting event with a global audience, the Olympics represents an ideal stage for such operations given that the impact of any disruption would be significantly magnified. Information operations will likely leverage interest in the Olympics to spread narratives and disinformation to target audiences. In some cases, threat actors may leverage disruptive and destructive attacks to amplify the spread of particular narratives in hybrid operations. Financially-motivated actors are likely to target the Olympics in v |
Ransomware Malware Threat Studies Mobile Cloud Technical | APT 15 APT 31 APT 42 | |
 |
2024-06-05 12:34:31 | Les chercheurs montrent comment les logiciels malveillants pourraient voler des données de rappel Windows Researchers Show How Malware Could Steal Windows Recall Data (lien direct) |
> Les chercheurs en cybersécurité montrent comment les logiciels malveillants pourraient voler des données collectées par la nouvelle fonctionnalité de rappel Windows.
>Cybersecurity researchers are demonstrating how malware could steal data collected by the new Windows Recall feature. |
Malware | ||
|
2024-06-05 11:52:00 | Les comptes de célébrités Tiktok compromis en utilisant des attaques zéro-clic via DMS Celebrity TikTok Accounts Compromised Using Zero-Click Attack via DMs (lien direct) |
La plate-forme de partage vidéo populaire Tiktok a reconnu un problème de sécurité qui a été exploité par les acteurs de la menace pour prendre le contrôle des comptes de haut niveau sur la plate-forme.
Le développement a été signalé pour la première fois par Semafor et Forbes, qui a détaillé une campagne de rachat de compte de compte zéro-clic qui permet aux logiciels malveillants propagés via des messages directs pour compromettre les comptes de marque et de célébrités sans avoir à
Popular video-sharing platform TikTok has acknowledged a security issue that has been exploited by threat actors to take control of high-profile accounts on the platform. The development was first reported by Semafor and Forbes, which detailed a zero-click account takeover campaign that allows malware propagated via direct messages to compromise brand and celebrity accounts without having to |
Malware Threat | ||
 |
2024-06-05 10:00:00 | Pourquoi les pare-feu ne suffisent pas dans le paysage de la cybersécurité d'aujourd'hui Why Firewalls Are Not Enough in Today\\'s Cybersecurity Landscape (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Firewall technology has mirrored the complexities in network security, evolving significantly over time. Originally serving as basic traffic regulators based on IP addresses, firewalls advanced to stateful inspection models, offering a more nuanced approach to network security. This evolution continued with the emergence of Next-Generation Firewalls (NGFWs), which brought even greater depth through data analysis and application-level inspection. Yet, even with these advancements, firewalls struggle to contend with the increasingly sophisticated nature of cyberthreats. The modern digital landscape presents formidable challenges like zero-day attacks, highly evasive malware, encrypted threats, and social engineering tactics, often surpassing the capabilities of traditional firewall defenses. The discovery of CVE-2023-36845 in September 2023, affecting nearly 12,000 Juniper firewall devices, is a case in point. This zero-day exploit enabled unauthorized actors to execute arbitrary code, circumventing established security measures and exposing critical networks to risk. Incidents like this highlight the growing need for a dynamic and comprehensive approach to network security, one that extends beyond the traditional firewall paradigm. Human Element – The Weakest Link in Firewall Security While the discovery of CVEs highlights vulnerabilities to zero-day exploits, it also brings to the forefront another critical challenge in firewall security: human error. Beyond the sophisticated external threats, the internal risks posed by misconfiguration due to human oversight are equally significant. These errors, often subtle, can drastically weaken the protective capabilities of firewalls. Misconfigurations in Firewall Security Misconfigurations in firewall security, frequently a result of human error, can significantly compromise the effectiveness of these crucial security barriers. These misconfigurations can take various forms, each posing unique risks to network integrity. Common types of firewall misconfigurations include: Improper Access Control Lists (ACLs) Setup: ACLs define who can access what resources in a network. Misconfigurations here might involve setting rules that are too permissive, inadvertently allowing unauthorized users to access sensitive areas of the network. An example could be erroneously allowing traffic from untrusted sources or failing to restrict access to critical internal resources. Faulty VPN Configurations: Virtual Private Networks (VPNs) are essential for secure remote access. Misconfigured VPNs can create vulnerabilities, especially if they are not properly integrated with the firewall\'s rule set. Common errors include not enforcing strong authentication or neglecting to restrict access based on user roles and permissions. Outdated or Redundant Firewall Rules: Over time, the network environment changes, but firewall rules may not be updated accordingly. Outdated rules can create security gaps or unnecessary complexity. Redundant or conflicting rules can also lead to confusion in policy enforcement, potentially leaving the network open to exploitation. Incorrect Port Management: Open ports are necessary for network communication, but unnecessary open ports can be explo | Malware Tool Vulnerability Threat Legislation Industrial | ||
 |
2024-06-05 02:03:46 | Attaques ciblant les serveurs MS-SQL détectés par Ahnlab EDR Attacks Targeting MS-SQL Servers Detected by AhnLab EDR (lien direct) |
Les serveurs MS-SQL sont l'un des principaux vecteurs d'attaque utilisés lors du ciblage des systèmes Windows car ils utilisent des mots de passe simpleset sont ouverts publiquement à Internet externe.Les acteurs de la menace trouvent des serveurs MS-SQL mal gérés et les scanner avant d'effectuer des attaques de force brute ou de dictionnaire pour se connecter avec les privilèges de l'administrateur.Une fois que les acteurs de la menace ont atteint ce point, ils utilisent ensuite divers moyens pour installer des logiciels malveillants et prendre le contrôle des systèmes infectés.Ahnlab Security Intelligence Center (ASEC) moniteurs ...
MS-SQL servers are one of the main attack vectors used when targeting Windows systems because they use simple passwords and are open publicly to the external Internet. Threat actors find poorly managed MS-SQL servers and scan them before carrying out brute force or dictionary attacks to log in with administrator privileges. Once the threat actors have reached this point, they then utilize various means to install malware and gain control over the infected systems. AhnLab SEcurity intelligence Center (ASEC) monitors... |
Malware Threat | ||
 |
2024-06-05 00:00:00 | Rapport cybersécurité WatchGuard : le volume de ransomwares poursuit sa baisse alors que les attaques endpoints explosent (lien direct) | Paris, le 5 juin 2024 – WatchGuard® Technologies, l'un des leaders mondiaux de la cybersécurité unifiée, livre les conclusions de son dernier rapport sur la sécurité Internet (ISR) détaillant les principales tendances en matière de logiciels malveillants et de cybermenaces ciblant les réseaux et endpoints, analysées par les chercheurs du WatchGuard Threat Lab au cours du 1er trimestre 2024. Le rapport révèle notamment que si les détections de malwares sur l'ensemble du réseau ont diminué de près de moitié au cours du trimestre par rapport au précédent, les détections de malwares ciblant les endpoints ont augmenté de 82 %. Deuxième observation importante : les détections de ransomware ont diminué de 23 % par rapport au 4ème trimestre 2023 ! alors qu'elles avaient déjà diminué de 20% entre le 3ème et le 4ème trimestre 2023. De la même manière, les détections de malwares de type " zero-day " ont enregistré une baisse de 36 %. Le rapport indique également que le malware Pandoraspear, qui cible les télévisions connectées fonctionnant sous un système d'exploitation Android open source, est entré dans le top 10 des logiciels malveillants les plus détectés, illustrant ainsi le risque des vulnérabilités des appareils IoT pour la sécurité des entreprises. Corey Nachreiner, Chief Security Officer chez WatchGuard analyse : " Les résultats du rapport sur la sécurité Internet du 1er trimestre 2024 démontrent l'importance pour les organisations de toutes tailles de sécuriser les appareils connectés à Internet, qu'ils soient utilisés à des fins professionnelles ou de divertissement. Comme le démontrent de nombreuses cyberattaques survenues récemment, les attaquants peuvent infiltrer le réseau d'une entreprise par le biais de n'importe quel appareil connecté puis se déplacer latéralement et ainsi causer des dommages considérables aux ressources critiques ou exfiltrer des données. Il est désormais impératif que les entreprises adoptent une approche de sécurité unifiée, qui peut être gérée par des fournisseurs de services managés, comprenant un monitoring étendu de l'ensemble des endpoints et des points d'accès ". Parmi les principales conclusions, le dernier rapport sur la sécurité Internet basé sur des données du 1er trimestre 2024 révèle les éléments suivants : Le volume moyen de détections de malwares par WatchGuard Firebox a chuté de près de moitié (49 %) au cours du premier trimestre, tandis que le nombre de malwares transmis par le biais d'une connexion chiffrée a augmenté de 14 points au cours du premier trimestre, pour atteindre 69 %. Une nouvelle variante de la famille de malware Mirai, qui cible les routeurs TP-Link Archer en utilisant un nouvel exploit (CVE-2023-1389) pour accéder aux systèmes compromis, s'est révélée être l'une des campagnes de logiciels malveillants les plus répandues du trimestre. La variante Mirai a été détectée par près de 9 % des WatchGuard Firebox dans le monde. Ce trimestre, les navigateurs basés sur Chromium ont été à l'origine de plus des trois quarts (78 %) du volume total de malwares provenant d'attaques contre des navigateurs web ou des plugins, ce qui représente une augmentation significative par rapport au trimestre précédent (25 %). Une vulnérabilité dans l'application très répandue | Ransomware Malware Threat Mobile | ||
|
2024-06-04 21:03:00 | Les compagnies d'électricité russes, les entreprises informatiques et les agences gouvernementales frappées par leur trojan pour chiens leurres Russian Power Companies, IT Firms, and Govt Agencies Hit by Decoy Dog Trojan (lien direct) |
Les organisations russes sont à la fin des cyberattaques qui ont été trouvées pour livrer une version Windows d'un logiciel malveillant appelé Decoy Dog.
La société de cybersécurité Positive Technologies suit le cluster d'activités sous le nom de l'opération Lahat, l'attribuant à un groupe avancé de menace persistante (APT) appelée Hellhounds.
"Le groupe Hellhounds compromet les organisations qu'ils sélectionnent et
Russian organizations are at the receiving end of cyber attacks that have been found to deliver a Windows version of a malware called Decoy Dog. Cybersecurity company Positive Technologies is tracking the activity cluster under the name Operation Lahat, attributing it to an advanced persistent threat (APT) group called HellHounds. "The Hellhounds group compromises organizations they select and |
Malware Threat | ★★★ | |
 |
2024-06-04 20:49:34 | N2K Cyberwire et Proofpoint s'associent pour lancer «Only Malware in the Building», le plus récent spectacle sur le podcast Daily Cyberwire N2K CyberWire and Proofpoint Team Up to Launch “Only Malware in the Building,” the Newest Show on the CyberWire Daily Podcast (lien direct) |
Les organisations russes sont à la fin des cyberattaques qui ont été trouvées pour livrer une version Windows d'un logiciel malveillant appelé Decoy Dog.
La société de cybersécurité Positive Technologies suit le cluster d'activités sous le nom de l'opération Lahat, l'attribuant à un groupe avancé de menace persistante (APT) appelée Hellhounds.
"Le groupe Hellhounds compromet les organisations qu'ils sélectionnent et
Russian organizations are at the receiving end of cyber attacks that have been found to deliver a Windows version of a malware called Decoy Dog. Cybersecurity company Positive Technologies is tracking the activity cluster under the name Operation Lahat, attributing it to an advanced persistent threat (APT) group called HellHounds. "The Hellhounds group compromises organizations they select and |
Malware | ||
|
2024-06-04 17:52:04 | Le nouveau carnavalhéiste de la nouvelle banque cible le Brésil avec des attaques de superposition New Banking Trojan CarnavalHeist Targets Brazil with Overlay Attacks (lien direct) |
#### Targeted Geolocations - Brazil #### Targeted Industries - Financial Services ## Snapshot Since February 2024, Cisco Talos has observed a campaign targeting Brazilian users with a new banking trojan called "CarnavalHeist." This malware, also known as AllaSenha, employs tactics common among Brazilian banking trojans. ## Description CarnavalHeist attacks begin with a deceptive, finance-themed email that trick the victim into clicking a malicious link. The link, disguised using a URL shortening service, redirects the user to a fradulent webpage that prompts them to download what appears to be an invoice. Rather, the downloaded file is a malicious payload that uses WebDAV to retrieve a .LNK file, which then further executes malicious scripts. The infection continues by creating a decoy PDF file in the user\'s download directory, ostensibly to distract the user, while simultaneously running a minimized command prompt to execute the next stage of the malware. This involves a batch file that installs Python and runs a script to inject a second-stage payload DLL. The malware checks the system\'s processor architecture and uses a domain generation algorithm (DGA) to contact a server and download the malicious DLL. The server responds with a byte stream containing the DLL and additional Python modules for execution. The malware then dynamically loads the DLL into memory and executes it. The final payload is a banking trojan that attempts to steal credentials for Brazilian financial institutions through overlay attacks, where a fake window is presented over the legitimate application. The malware monitors for specific window titles and replaces them with its own overlays, while also establishing communication with a command and control server using another DGA function. The malware has numerous capabilities, including capturing keystrokes, screenshots, and video, and can remotely control the infected machine. It can also generate QR codes to redirect banking transactions to accounts controlled by the attackers. Cisco Talos assesses with high confidence that CarnavalHeist originated in Brazil and was developed to target Brazilian users as Portuguese is used throughout the infection chain and within the malware and Brazilian slang is used in reference to some banks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Pilot and deploy [phishing-resistant authentication methods for users.](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-mfa-policy) from all devices in all locations at all times. - Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about). Safe Links provides URL scanning and rewriting of inbound email messages in mail flow, and time-of-click verification of URLs and links in email messages, other Microsoft 365 applications such as Teams, and other locations such as SharePoint Online. Safe Links scanning occurs in addition to the regular [anti-spam](https://learn.microsoft.com/en-us/defender-office-365/anti-spam-protection-about) and [anti-malware](https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about) protection in inbound email messages in Microsoft Exchange Online Protection (EOP). Safe Links scanning can help protect your organization from malicious links used in phishing and other attacks. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Tu | Malware Tool Threat | ||
|
2024-06-04 16:49:00 | La prochaine génération de RBI (isolement du navigateur à distance) The Next Generation of RBI (Remote Browser Isolation) (lien direct) |
Le paysage de la sécurité du navigateur a subi des changements importants au cours de la dernière décennie.Bien que l'isolement du navigateur soit autrefois considéré comme l'étalon-or pour se protéger contre les exploits de navigateur et les téléchargements de logiciels malveillants, il est devenu de plus en plus inadéquat et peu sûr dans le monde centré sur le SaaS \\.
Les limites de l'isolement du navigateur, telles que les performances dégradées du navigateur et l'incapacité à aborder
The landscape of browser security has undergone significant changes over the past decade. While Browser Isolation was once considered the gold standard for protecting against browser exploits and malware downloads, it has become increasingly inadequate and insecure in today\'s SaaS-centric world. The limitations of Browser Isolation, such as degraded browser performance and inability to tackle |
Malware | TYPEFRAME | ★★★ |
|
2024-06-04 16:37:00 | Les pirates utilisent la macro MS Excel pour lancer une attaque de logiciels malveillants en plusieurs étages en Ukraine Hackers Use MS Excel Macro to Launch Multi-Stage Malware Attack in Ukraine (lien direct) |
Une nouvelle cyberattaque sophistiquée a été observée ciblant les critères d'évaluation géoloqués en Ukraine dans le but de déployer la grève du cobalt et de prendre le contrôle des hôtes compromis.
La chaîne d'attaque, selon Fortinet Fortiguard Labs, implique un fichier Microsoft Excel qui transporte une macro VBA intégrée pour initier l'infection,
"L'attaquant utilise une stratégie de logiciels malveillants en plusieurs étapes pour livrer le célèbre \\ 'cobalt
A new sophisticated cyber attack has been observed targeting endpoints geolocated to Ukraine with an aim to deploy Cobalt Strike and seize control of the compromised hosts. The attack chain, per Fortinet FortiGuard Labs, involves a Microsoft Excel file that carries an embedded VBA macro to initiate the infection, "The attacker uses a multi-stage malware strategy to deliver the notorious \'Cobalt |
Malware | ★★ | |
|
2024-06-04 15:34:58 | Ukraine frappé par la campagne de grève de Cobalt à l'aide de fichiers Excel malveillants Ukraine Hit by Cobalt Strike Campaign Using Malicious Excel Files (lien direct) |
Méfiez-vous de la macro!Les utilisateurs ukrainiens et la cyberinfrastructure sont frappés par une nouvelle campagne de logiciels malveillants dans laquelle les pirates sont & # 8230;
Beware Macro! Ukrainian users and cyberinfrastructure are being hit by a new malware campaign in which hackers are… |
Malware | ★★★ | |
 |
2024-06-04 14:00:00 | De nouveaux logiciels malveillants en plusieurs étapes ciblent les utilisateurs de Windows en Ukraine New Multi-Stage Malware Targets Windows Users in Ukraine (lien direct) |
Découvert par Fortiguard Labs, l'attaque exploite un fichier Excel intégré à une macro VBA
Discovered by FortiGuard Labs, the attack leverages an Excel file embedded with a VBA macro |
Malware | ★★ | |
|
2024-06-04 12:03:00 | Darkgate Malware remplace Autoit par AutoHotKey dans les dernières cyberattaques DarkGate Malware Replaces AutoIt with AutoHotkey in Latest Cyber Attacks (lien direct) |
Les cyberattaques impliquant l'opération Darkgate malware-as-a-Service (MAAS) se sont éloignées des scripts AutOIT à un mécanisme AutoHotKey pour livrer les dernières étapes, soulignant les efforts continus de la part des acteurs de la menace pour garder une longueur d'avance sur la courbe de détection.
Les mises à jour ont été observées dans la version 6 de Darkgate publiée en mars 2024 par son développeur Rastafareye, qui
Cyber attacks involving the DarkGate malware-as-a-service (MaaS) operation have shifted away from AutoIt scripts to an AutoHotkey mechanism to deliver the last stages, underscoring continued efforts on the part of the threat actors to continuously stay ahead of the detection curve. The updates have been observed in version 6 of DarkGate released in March 2024 by its developer RastaFarEye, who |
Malware Threat | ★★ | |
 |
2024-06-04 06:11:15 | Mois de la sécurité Internet & # 8211;Renforcement des défenses numériques en 2024 Internet Safety Month – Strengthening Digital Defenses in 2024 (lien direct) |
> Nos vies sont de plus en plus tissées dans le tissu numérique.Des services bancaires en ligne aux travaux à distance, les interactions sur les réseaux sociaux au commerce électronique, Internet a révolutionné notre façon de vivre, de travailler et de jouer.Cependant, cette dépendance numérique comporte également des risques accrus.Les cyber-menaces, allant des logiciels malveillants et des attaques de phishing au vol d'identité et aux ransomwares, sont en constante évolution, ciblant & # 8230;
>Our lives are increasingly woven into the digital fabric. From online banking to remote work, social media interactions to e-commerce, the internet has revolutionized how we live, work, and play. However, this digital dependency also comes with heightened risks. Cyber threats, ranging from malware and phishing attacks to identity theft and ransomware, are ever-evolving, targeting … |
Ransomware Malware | ★★ | |
|
2024-06-04 01:40:42 | Menace Unleashed: Excel File Deploys Cobalt Strike at Ukraine (lien direct) | #### Géolocations ciblées - Ukraine ## Instantané La recherche sur les menaces Fortiguard Labs a révélé une cyberattaque sophistiquée ciblant l'Ukraine, en utilisant une stratégie de logiciels malveillants à plusieurs étapes.L'attaque utilise des techniques d'évasion et culmine dans le déploiement de la grève de cobalt, en utilisant diverses API pour exécuter la charge utile et établir la communication avec un serveur de commande et de contrôle (C2). ## Description L'attaque commence par un document Excel malveillant sur le thème de l'armée ukrainienne, conçue pour inciter les utilisateurs à permettre à ses macros VBA.Une fois activé, la macro déploie un téléchargeur de DLL encodé en Hex, qui crée ensuite un raccourci et exécute le fichier DLL.Le téléchargeur, obscurci avec Confuserex, effectue divers processus pour télécharger le fichier requis, établir la persistance et injecter la charge utile finale "Cobalt Strike" à l'aide d'un injecteur DLL. Fortiguard Labs a identifié que l'Ukraine a été une cible significative en raison de sa situation géopolitique ces dernières années.Cette dernière attaque en plusieurs étapes fait partie d'un modèle de complexité et de fréquence croissantes des cyberattaques ciblant l'Ukraine. ## Détections / requêtes de chasse ### ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = comportement: win32 / cobaltstrike & menaceID = -2147077533) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?Nom = Backdoor: Win32 / Cobaltsstrike & menaceID = -2147179418) - [Hacktool: win64 / cobaltstrike] (https: // www.Microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=hacktool:win64/cobaltstrike& ;theatid=-2147190828) Des composants de frappe de cobalt supplémentaires sont détectés avec les signatures suivantes: - [TrojandRopper: PowerShell / Cobacis] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=Trojandropper: PowerShell / Cobacis.a & menaceID = -2147200375) - [Trojan: Win64 / Turtleloader.cs] (https://www.microsoft.com/en-us/wdsi/atherets/malware-Encyclopedia-Description? Name = Trojan: Win64 / Turtleloader & menaceID = -2147116338) - [Exploit: win32 / shellcode.bn] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=Exploit:win32/shellcode.bn& ;theatid=-2147237640)) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité pratique des babillard-bornes en cours détectée (grève de Cobalt) * - * Strike de Cobalt nommé Pipes * - * Attaque opérée par l'homme en utilisant une frappe de cobalt * ## Recommandations Il est important de noter que Cobalt Strike est un outil de compromis post-compromis.Il n'est pas utilisé pour obtenir un accès initial et doit plutôt être compris comme une méthodologie pour maintenir et manipuler l'accès qu'un attaquant a déjà acquis.La mise en œuvre du principe des moindres privilèges, empêchant les fichiers inconnus de se lancer sur un système à travers des règles de réduction de la surface d'attaque et la protection des voies de mouvement latérale sera les meilleurs moyens d'atténuer une menace de frappe de cobalt. Si un attaquant a été identifié dans l'environnement, réinitialisez les mots de passe pour les comptes touchés.Si l'attaquant a exploité Kerberos, les mots de passe ont besoin d'une double réinitialisation au cours de 10 heures pour réinitialiser et invalider les billets existants. Microsoft recommande les atténuations suivantes pour réduire l'imp | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-03 21:15:33 | L'éclipse de citrouille The Pumpkin Eclipse (lien direct) |
## Instantané
Lumen Technologies \\ 'Black Lotus Labs a identifié un événement destructeur qu'ils appellent "The Pumpkin Eclipse" qui a eu lieu sur une période de 72 heures entre le 25 et le 25 octobre 2023, où plus de 600 000 bureaux / bureaux à domicile (Les routeurs SOHO) ont été mis hors ligne appartenant à un seul fournisseur de services Internet (ISP).
## Description
L'incident a perturbé l'accès à Internet dans de nombreux États du Midwest, ce qui a un impact sur un ISP spécifique et trois modèles de routeurs: l'actionTec T3200S, l'actionTec T3260S et Sagemcom F5380.L'incident a rendu les appareils infectés en permanence inopérables et nécessitait un remplacement matériel.La charge utile principale responsable de l'événement a été identifiée comme «Chalubo», un cheval de Troie à distance à distance (rat) qui a utilisé des métiers avertis pour obscurcir son activité.
Chalubo a des charges utiles conçues pour tous les principaux noyaux SOHO / IoT, des fonctionnalités pré-construites pour effectuer des attaques DDOS et peut exécuter n'importe quel script LUA envoyé au bot.La fonctionnalité LUA a probablement été employée par l'acteur malveillant pour récupérer la charge utile destructrice.À l'heure actuelle, il n'est pas clair comment les acteurs de la menace ont initialement eu accès aux routeurs.Cependant, l'enquête a révélé que les acteurs de la menace ont probablement abusé des informations d'identification faibles ou exploité une interface administrative exposée.
Les acteurs de la menace derrière cet événement ont choisi une famille de logiciels malveillants de marchandises pour obscurcir l'attribution, au lieu d'utiliser une boîte à outils développée sur mesure.
## Les références
["Malware Botnet Bricked 600 000 routeurs en mystérieux attaque 2023"] (https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer(Consulté en 2024-06-03)
["The Pumpkin Eclipse"] (https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (consulté en 2024-06-03)
## Snapshot Lumen Technologies\' Black Lotus Labs has identified a destructive event they\'re calling "The Pumpkin Eclipse" that took place over a 72-hour period between October 25-27, 2023, where over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). ## Description The incident disrupted internet access across numerous Midwest states, impacting a specific ISP and three router models: the ActionTec T3200s, ActionTec T3260s, and Sagemcom F5380. The incident rendered the infected devices permanently inoperable and required a hardware-based replacement. The primary payload responsible for the event was identified as “Chalubo,” a commodity remote access trojan (RAT) that employed savvy tradecraft to obfuscate its activity. Chalubo has payloads designed for all major SOHO/IoT kernels, pre-built functionality to perform DDoS attacks, and can execute any Lua script sent to the bot. The Lua functionality was likely employed by the malicious actor to retrieve the destructive payload. At this time, it is unclear how the threat actors initially gained access to the routers. However, the investigation revealed that the threat actors likely abused weak credentials or exploited an exposed administrative interface. The threat actors behind this event chose a commodity malware family to obfuscate attribution, instead of using a custom-developed toolkit. ## References ["Malware botnet bricked 600,000 routers in mysterious 2023 attack"](https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/) BleepingComputer (Accessed 2024-06-03) ["The Pumpkin Eclipse"](https://blog.lumen.com/the-pumpkin-eclipse/) Black Lotus Labs (Accessed 2024-06-03) |
Malware Threat | ★★ | |
|
2024-06-03 19:48:34 | La chasse à Europol \\ commence pour Emotet Malware Mastermind Europol\\'s Hunt Begins for Emotet Malware Mastermind (lien direct) |
L'opération internationale des forces de l'ordre Endgame déplace sa répression pour se concentrer sur les adversaires individuels.
International law enforcement Operation Endgame shifts its crackdown to focus on individual adversaries. |
Malware Legislation | ★★ | |
|
2024-06-03 19:15:00 | Les autorités augmentent les efforts pour capturer le cerveau derrière Emotet Authorities Ramp Up Efforts to Capture the Mastermind Behind Emotet (lien direct) |
Les autorités de l'application des lois derrière l'Opération Endgame recherchent des informations liées à une personne qui porte le nom impair et qui serait le cerveau derrière le malware Emotet. & NBSP;
On dit également que Odd est censé passer par les surnoms Aron, C700, CBD748, Ivanov Odd, Mors, Morse, Veron au cours des dernières années, selon une vidéo publiée par les agences.
"Avec qui travaille-t-il? Quel est le sien
Law enforcement authorities behind Operation Endgame are seeking information related to an individual who goes by the name Odd and is allegedly the mastermind behind the Emotet malware. Odd is also said to go by the nicknames Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron over the past few years, according to a video released by the agencies. "Who is he working with? What is his |
Malware Legislation | ★★ | |
 |
2024-06-03 17:28:06 | Les opérations du groupe insikt de Future \\ de Future ont enregistré par Bledelta Malware ciblant les réseaux européens Recorded Future\\'s Insikt Group details operations by BlueDelta malware targeting European networks (lien direct) |
Enregistré Future \'s Insikt Group de surveillance détaillée du développement d'une infrastructure opérationnelle par des logiciels malveillants Bledelta qui ont été utilisés pour ...
Recorded Future\'s Insikt Group detailed monitoring development of operational infrastructure by BlueDelta malware that has been utilized for... |
Malware | ★★ | |
 |
2024-06-03 15:47:47 | 361 millions de comptes volés divulgués sur le télégramme ajouté à HIBP 361 million stolen accounts leaked on Telegram added to HIBP (lien direct) |
Une trate massive de 361 millions d'adresses e-mail à partir des informations d'identification volées par des logiciels malveillants de voler des mots de passe, dans des attaques de bourrage d'identification, et à partir de violations de données a été ajoutée à la notification de violation de données sur les données, permettant à quiconque de vérifier si leurs comptes ont été compromis.[...]
A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised. [...] |
Data Breach Malware | ★★★ | |
|
2024-06-03 14:03:42 | Faits saillants hebdomadaires, 3 juin 2024 Weekly OSINT Highlights, 3 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend is the exploitation of popular platforms and applications, such as the Google Play store, fake Arc browser ads, and TXZ file attachments in malspam campaigns. Phishing and social engineering attacks also featured prominently this week, exemplified by piano-themed scams and phishing emails masquerading as PDF viewer login pages. Threat actors range from organized APT groups like LilacSquid and Andariel Group (tracked by Microsoft as Onyx Sleet) to financially motivated cybercriminals conducting advance fee fraud scams and phishing attacks. The targets are equally varied, spanning financial institutions, government departments, educational institutions, and sectors like IT, energy, and pharmaceuticals. These articles underscore the growing use of advanced techniques, such as leveraging AI for influence operations, exploiting software features like BitLocker for encryption attacks, and introducing backdoors through supply chain compromises. This highlights the evolving threat landscape where attackers continuously refine their methods to exploit both technological advancements and human vulnerabilities. ## Description 1. [Over 90 Malicious Apps Identified on Google Play Store](https://security.microsoft.com/intel-explorer/articles/e21eabb7): Zscaler ThreatLabz discovered over 90 malicious apps on Google Play, primarily distributing Anatsa malware targeting banking credentials through overlay and accessibility techniques. The malware, affecting financial institutions in various countries, evades detection and communicates with C2 servers to steal user credentials. 2. [Arc Browser Targeted by Malvertising Campaign](https://security.microsoft.com/intel-explorer/articles/9dd6578a): Cybercriminals launched a malvertising campaign impersonating the Arc browser to distribute malware, tricking users with official-looking ads. The malware is stealthily installed alongside the legitimate browser, making detection difficult as it contacts MEGA cloud services for malicious activities. 3. [VBScript Exploits BitLocker for Unauthorized Encryption](https://security.microsoft.com/intel-explorer/articles/7589c689): Kaspersky researchers identified an advanced VBScript exploiting BitLocker to encrypt unauthorized files, targeting systems in Mexico, Indonesia, and Jordan. The script gathers OS information, manipulates disk partitions, and uses a unique encryption key, effectively locking victims out of their data without recovery options. 4. [Piano-Themed AFF Scams Target North American Universities](https://security.microsoft.com/intel-explorer/articles/0bd219dd): Proofpoint uncovered email campaigns using piano-themed messages to lure victims into advance fee fraud scams, primarily targeting North American educational institutions. Threat actors demand shipping payments for fake pianos and collect personal information, with the scams generating significant financial transactions. 5. [TXZ Extension Used in Regionally Targeted Malspam Campaigns](https://security.microsoft.com/intel-explorer/articles/e9845916): SANS Internet Storm Center researchers found threat actors using TXZ extension files as malspam attachments in campaigns targeting regions like Spain, Slovakia, Croatia, and Czechia. The renamed RAR archives distribute malware like GuLoader and FormBook, leveraging Windows 11\'s native support for these file types. 6. [Phishing Emails Masquerade as PDF Viewer Login Pages](https://sip.security.microsoft.com/intel-explorer/articles/01780949): Forcepoint warns of phishing emails targeting Asia-Pacific government departments, using fake PDF viewer login pages to harvest credentials. The emails contain obfuscated JavaScript, redirecting victims to fake invoice pages and stealing their login information. 7. [LilacSquid APT Targets Diverse Sectors for Data Theft](https://security.microsoft.com/intel-explorer/articles/39e87f2a): Cisco Talos | Malware Tool Vulnerability Threat Industrial Prediction Cloud | ★★★ | |
|
2024-06-03 14:00:00 | Ransomwares rebonds: la menace d'extorsion augmente en 2023, les attaquants s'appuient sur les outils accessibles au public et légitimes Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools (lien direct) |
Written by: Bavi Sadayappan, Zach Riddle, Jordan Nuce, Joshua Shilko, Jeremy Kennelly
A version of this blog post was published to the Mandiant Advantage portal on April 18, 2024. Executive Summary In 2023, Mandiant observed an increase in ransomware activity as compared to 2022, based on a significant rise in posts on data leak sites and a moderate increase in Mandiant-led ransomware investigations. Mandiant observed an increase in the proportion of new ransomware variants compared to new families, with around one third of new families observed in 2023 being variants of previously identified ransomware families. Actors engaged in the post-compromise deployment of ransomware continue to predominately rely on commercially available and legitimate tools to facilitate their intrusion operations. Notably, we continue to observe a decline in the use of Cobalt Strike BEACON, and a corresponding increase in the use of legitimate remote access tools. In almost one third of incidents, ransomware was deployed within 48 hours of initial attacker access. Seventy-six percent (76%) of ransomware deployments took place outside of work hours, with the majority occurring in the early morning. Mandiant\'s recommendations to assist in addressing the threat posed by ransomware are captured in our Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints white paper. Introduction Threat actors have remained driven to conduct ransomware operations due to their profitability, particularly in comparison to other types of cyber crime. Mandiant observed an increase in ransomware activity in 2023 compared to 2022, including a 75% increase in posts on data leak sites (DLS), and an over 20% increase in Mandiant-led investigations involving ransomware from 2022 to 2023 (Figure 1). These observations are consistent with other reporting, which shows a record-breaking more than $1 billion USD paid to ransomware attackers in 2023. This illustrates that the slight dip in extortion activity observed in 2022 was an anomaly, potentially due to factors such as the invasion of Ukraine and the leaked CONTI chats. The current resurgence in extortion activity is likely driven by various factors, including the resettling of the cyber criminal ecosystem following a tumultuous year in 2022, new entrants, and new partnerships and ransomware service offerings by actors previously associated with prolific groups that had been disrupted. This blog post provides an overview of the ransomware landscape and common tactics, techniques, and procedures (TTPs) directly observed by Mandiant in 2023 ransomware incidents. Our analysis of TTPs relies primarily on data from Mandiant incident response engagements and therefore represe |
Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Prediction Medical Cloud Commercial | ★★★ | |
|
2024-06-03 13:11:06 | Identités des cybercriminels liés aux chargeurs de logiciels malveillants révélés Identities of Cybercriminals Linked to Malware Loaders Revealed (lien direct) |
> Les forces de l'ordre révèlent l'identité de huit cybercriminels liés à des chargeurs de logiciels malveillants récemment perturbés.
>Law enforcement reveals the identities of eight cybercriminals linked to recently disrupted malware loaders. |
Malware Legislation | ★★ | |
 |
2024-06-03 13:06:36 | À l'intérieur de la boîte: le nouveau terrain de jeu de Malware \\ Inside the Box: Malware\\'s New Playground (lien direct) |
> Recherche de: & # 160; Jiri Vinopal met en évidence: Introduction Au cours des derniers mois, nous avons surveillé les abus croissants de & # 160; BoxedApp & # 160; Products in the Wild.Les produits BoxEdApp sont des emballeurs commerciaux qui fournissent des fonctionnalités avancées telles que le stockage virtuel (système de fichiers virtuels, le registre virtuel), les processus virtuels et un système d'instrumentation universel (crochement de l'API WIN / NT).Même si BoxedApp a été commercialement [& # 8230;]
>Research by: Jiri Vinopal Highlights: Introduction Over the past few months, we have been monitoring the increasing abuse of BoxedApp products in the wild. BoxedApp products are commercial packers that provide advanced features such as Virtual Storage (Virtual File System, Virtual Registry), Virtual Processes, and a universal instrumentation system (WIN/NT API hooking). Even though BoxedApp has been commercially […] |
Malware Commercial | ★★ | |
|
2024-06-03 13:04:00 | Les pirates Andariel ciblent les instituts sud-coréens avec un nouveau logiciel malveillant Dora Rat Andariel Hackers Target South Korean Institutes with New Dora RAT Malware (lien direct) |
L'acteur de menaces en Corée du Nord connue sous le nom d'Andariel a été observé à l'aide d'une nouvelle porte dérobée basée à Golang appelée Dora Rat dans ses attaques ciblant les instituts d'enseignement, les entreprises manufacturières et les entreprises de construction en Corée du Sud.
"Keylogger, infostealer et outils de procuration au-dessus de la porte dérobée ont été utilisés pour les attaques", a déclaré le Rapport Ahnlab Security Intelligence Center (ASEC) dans un rapport
The North Korea-linked threat actor known as Andariel has been observed using a new Golang-based backdoor called Dora RAT in its attacks targeting educational institutes, manufacturing firms, and construction businesses in South Korea. "Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks," the AhnLab Security Intelligence Center (ASEC) said in a report |
Malware Tool Threat | ★★★ | |
 |
2024-06-03 10:00:46 | Il est de menace l'évolution au premier trimestre 2024. Statistiques mobiles IT threat evolution in Q1 2024. Mobile statistics (lien direct) |
Statistiques de logiciels malveillants mobiles pour le premier trimestre 2024: menaces les plus courantes pour Android, les chevaux de Troie des banques mobiles et les chevaux de Troie ransomwares.
Mobile malware statistics for Q1 2024: most common threats for Android, mobile banking Trojans, and ransomware Trojans. |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-03 10:00:27 | It menace évolution Q1 2024 IT threat evolution Q1 2024 (lien direct) |
Dans ce rapport, nous passons en revue les événements les plus importants liés aux logiciels malveillants du T1 2024: la divulgation de la vulnérabilité matérielle utilisée dans la triangulation de l'opération, une méthode légère pour détecter les logiciels malveillants iOS et l'implant Linux Dinodasrat.
In this report, we review the most significant malware-related events of Q1 2024: the disclosure of the hardware vulnerability used in Operation Triangulation, a lightweight method to detect iOS malware and DinodasRAT Linux implant. |
Malware Vulnerability Threat | ★★ | |
|
2024-06-03 10:00:08 | Il menace l'évolution au premier trimestre 2024. Statistiques non mobiles IT threat evolution in Q1 2024. Non-mobile statistics (lien direct) |
Dans ce rapport, Kaspersky partage des statistiques de logiciels malveillants non mobiles pour le premier trimestre 2024, y compris les statistiques de ransomware, de mineurs et de malware macOS.
In this report, Kaspersky shares non-mobile malware statistics for Q1 2024, including ransomware, miner and macOS malware statistics. |
Ransomware Malware Threat | ★★ | |
|
2024-06-03 09:21:00 | Attention: les fausses mises à jour du navigateur offrent des logiciels malveillants Bitrat et Lumma Stealer Beware: Fake Browser Updates Deliver BitRAT and Lumma Stealer Malware (lien direct) |
Les fausses mises à jour du navigateur Web sont utilisées pour livrer des chevaux de Troie (rats) à distance et des logiciels malveillants du voleur d'informations tels que Bitrat et Lumma Stealer (aka Lummac2).
"Les fausses mises à jour du navigateur ont été responsables de nombreuses infections de logiciels malveillants, y compris celles des logiciels malveillants socgholish bien connus", a déclaré la société de cybersécurité Esesentire dans un nouveau rapport."En avril 2024, nous avons observé que Fakebat était distribué
Fake web browser updates are being used to deliver remote access trojans (RATs) and information stealer malware such as BitRAT and Lumma Stealer (aka LummaC2). "Fake browser updates have been responsible for numerous malware infections, including those of the well-known SocGholish malware," cybersecurity firm eSentire said in a new report. "In April 2024, we observed FakeBat being distributed |
Malware | ★★★ | |
 |
2024-06-03 08:07:24 | Pikabot: un guide de ses secrets et opérations profonds PikaBot: a Guide to its Deep Secrets and Operations (lien direct) |
> Cet article de blog fournit une analyse approfondie de Pikabot, en se concentrant sur ses techniques d'anti-analyse implémentées dans les différentes étapes de logiciels malveillants.
la publication Suivante pikabot: un guide de ses secrets profonds etOpérations est un article de blog Sekoia.io .
>This blog post provides an in-depth analysis of PikaBot, focusing on its anti-analysis techniques implemented in the different malware stages. La publication suivante PikaBot: a Guide to its Deep Secrets and Operations est un article de Sekoia.io Blog. |
Malware | ★★★ | |
|
2024-06-01 11:17:34 | Kaspersky publie un outil gratuit qui scanne Linux pour les menaces connues Kaspersky releases free tool that scans Linux for known threats (lien direct) |
Kaspersky a publié un nouvel outil de suppression de virus nommé KVRT pour la plate-forme Linux, permettant aux utilisateurs de scanner leurs systèmes et de supprimer gratuitement les logiciels malveillants et d'autres menaces connues.[...]
Kaspersky has released a new virus removal tool named KVRT for the Linux platform, allowing users to scan their systems and remove malware and other known threats for free. [...] |
Malware Tool | ★★★ | |
|
2024-05-31 22:14:46 | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) (lien direct) | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor | Malware Tool Vulnerability Threat | APT 38 | |
|
2024-05-31 21:10:13 | THREAT ALERT: The XZ Backdoor - Supply Chaining Into Your SSH (lien direct) | ## Instantané La cyberéasie a émis une alerte de menace sur une porte dérobée découverte dans les versions XZ Utils 5.6.0 et 5.6.1, affectant les systèmes d'exploitation Linux.XZ Utils, une bibliothèque de compression utilisée dans diverses distributions Linux, a été compromise dans une attaque de chaîne d'approvisionnement ciblant l'intégrité du protocole SSH. ## Description Cette vulnérabilité, identifiée comme [CVE-2024-3094] (https://security.microsoft.com/intel-profiles/cve-2024-3094), a un score CVSS de 10 et permetMachines.La question affecte principalement les branches de développement de distributions comme Fedora, Debian, Alpine, Kali, OpenSuse et Arch Linux. La porte dérobée a été introduite par un contributeur nommé "Jiat75", qui a établi la crédibilité avant d'introduire des scripts malveillants et des fichiers de test au référentiel.Cet utilisateur a réduit les vérifications de sécurité dans des projets comme Oss-Fuzz dans le but de cacher la porte dérobée.La porte dérobée utilise des fonctions indirectes GNU et des crochets d'audit pour modifier le comportement SSH et est déclenché par un échange de certificat SSH malveillant, permettant l'exécution du code distant. Les modifications malveillantes comprenaient des modifications d'un tarball sur Github, non présentes dans le référentiel Git principal, facilitant l'installation de la porte dérobée.Un script M4 modifié, "M4 / build-to-host.m4", a été utilisé pour initier le chargement de la charge utile malveillante pendant le processus de construction. ## Analyse Microsoft Les menaces contre Linux (GNU / Linux OS) ont fait la une des journaux de SOINT ces derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de prioriser de plus en plus les cibles basées sur Linux.Bien que Linux OS ait longtemps été félicité pour son architecture de sécurité robuste par rapport à ses homologues à source fermée, les dernières années ont connu une augmentation significative des logiciels malveillants ciblant Linux, ce qui remet en question la notion de sa sécurité inhérente. Microsoft a suivi les tendances à travers les rapports récents de logiciels malveillants Linux dans la communauté de la sécurité.Ces tendances comprennent: l'exploitation des erreurs de configuration ou des versions de services précédentes, ciblant les vulnérabilités du service à 1 jour et l'exploitation des ransomwares et des crypto-monnaies. [En savoir plus sur les tendances récentes OSINT en LLinux malware ici.] (https://security.microsoft.com/intel-explorer/articles/ccbece59) ## Détections / requêtes de chasse ### mIcrosoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Comportement: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=bEhavior: Linux / CVE-2024-3094.c & menaceID = -2147061068) - [Exploit: Linux / CVE-2024-3094] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=Exploit:linux/CVE-2024-3094.a& menaced = -2147061017) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Thereats/MAlware-SencyClopedia-Description? Name = Trojan: Linux / Multiverze & menaceID = -2147183877) - Backdoor: Linux / XzBackdoorbuild ### Microsoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Exploitation possible CVE-2024-3094 ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Détrrader XZ utilise une version sans compromis comme 5.4.6 Stable. - Utilisez Defender pour des recommandations cloud pour détecter les ressources vuln | Ransomware Malware Tool Vulnerability Threat Cloud | ||
|
2024-05-31 20:56:23 | Le retrait des logiciels malveillants internationaux a saisi plus de 100 serveurs International Malware Takedown Seized 100+ Servers (lien direct) |
\\ 'Opération Endgame \' est un effort continu pour perturber les botnets, les droppers de logiciels malveillants et les logiciels malveillants en tant que service.
\'Operation Endgame\' is an ongoing effort to disrupt botnets, malware droppers and malware-as-a-service. |
Malware | ||
 |
2024-05-31 18:31:43 | Plus de 600 000 routeurs ont été éliminés en octobre par Chalubo Malware More than 600,000 routers knocked out in October by Chalubo malware (lien direct) |
\\ 'Opération Endgame \' est un effort continu pour perturber les botnets, les droppers de logiciels malveillants et les logiciels malveillants en tant que service.
\'Operation Endgame\' is an ongoing effort to disrupt botnets, malware droppers and malware-as-a-service. |
Malware | ||
|
2024-05-31 15:40:00 | Les pirates russes ciblent l'Europe avec des logiciels malveillants de tête et la récolte d'identification Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting (lien direct) |
L'acteur de menace russe soutenu par GRU APT28 a été attribué comme derrière une série de campagnes ciblant les réseaux à travers l'Europe avec les logiciels malveillants de tête et les pages Web de récolte des informations d'identification.
APT28, également connu sous les noms Bledelta, Fancy Bear, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe avancé de menace persistante (APT) affiliée à
The Russian GRU-backed threat actor APT28 has been attributed as behind a series of campaigns targeting networks across Europe with the HeadLace malware and credential-harvesting web pages. APT28, also known by the names BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, and TA422, is an advanced persistent threat (APT) group affiliated with |
Malware Threat | APT 28 | ★★★ |
|
2024-05-31 15:10:54 | Flyetyeti apt sert des logiciels malveillants de boîte de cuisine à l'aide de winrar FlyingYeti APT Serves Up Cookbox Malware Using WinRAR (lien direct) |
La campagne de phishing de Flyetyeti alignée sur la Russie a exploité les citoyens ukrainiens \\ 'Stress financier pour diffuser des logiciels malveillants de boîte de cuisine.
The Russia-aligned FlyingYeti\'s phishing campaign exploited Ukrainian citizens\' financial stress to spread Cookbox malware. |
Malware | ||
|
2024-05-31 12:40:00 | Europol identifie 8 cybercriminels liés aux botnets de chargeur de logiciels malveillants Europol identifies 8 cybercriminals tied to malware loader botnets (lien direct) |
Europol et les forces de l'ordre allemands ont révélé l'identité de huit cybercriminels liés aux divers compteurs et chargeurs de logiciels malveillants perturbés dans le cadre de l'opération de l'opération d'application de la loi de fin de partie.[...]
Europol and German law enforcement have revealed the identities of eight cybercriminals linked to the various malware droppers and loaders disrupted as part of the Operation Endgame law enforcement operation. [...] |
Malware Legislation | ||
|
2024-05-31 10:28:35 | L'acteur de menace mystérieuse a utilisé des logiciels malveillants Chalubo pour brique 600 000 routeurs Mysterious Threat Actor Used Chalubo Malware to Brick 600,000 Routers (lien direct) |
> Plus de 600 000 routeurs SOHO appartenant à un seul FAI et infectés par le chalussier chalubo ont été rendus inopérables.
>Over 600,000 SOHO routers belonging to a single ISP and infected with the Chalubo trojan were rendered inoperable. |
Malware Threat | ||
|
2024-05-31 00:44:50 | Mystery Miscréant à distance a brique 600 000 routeurs SOHO avec mise à jour du micrologiciel malveillant Mystery miscreant remotely bricked 600,000 SOHO routers with malicious firmware update (lien direct) |
Source et motif de \\ 'Pumpkin Eclipse \' Assault inconnu Les mécréants inconnus ont fait irruption dans plus de 600 000 routeurs appartenant à un seul FAI à la fin de l'année dernière et ont déployé des logiciels malveillants sur les appareils avant de les désactiver totalement en désactiver totalement totalement entièrement les désactiver totalement entièrement en désactivant totalement totalement totalement totalement totalement les déshabiller totalement entièrement désactivé, selon les chercheurs en sécurité.…
Source and motive of \'Pumpkin Eclipse\' assault unknown Unknown miscreants broke into more than 600,000 routers belonging to a single ISP late last year and deployed malware on the devices before totally disabling them, according to security researchers.… |
Malware | ★★★ | |
|
2024-05-30 22:07:00 | Flyetyeti exploite la vulnérabilité Winrar pour livrer des logiciels malveillants de boîte de cuisine en Ukraine FlyingYeti Exploits WinRAR Vulnerability to Deliver COOKBOX Malware in Ukraine (lien direct) |
Cloudflare a déclaré jeudi qu'il avait pris des mesures pour perturber une campagne de phishing d'un mois orchestrée par un acteur de menace aligné par la Russie appelé Flyetyeti ciblant l'Ukraine.
"La campagne Flyetyeti a capitalisé sur l'anxiété concernant la perte potentielle d'accès au logement et aux services publics en attirant des cibles pour ouvrir des fichiers malveillants via des leurres sur le thème de la dette"
Cloudflare on Thursday said it took steps to disrupt a month-long phishing campaign orchestrated by a Russia-aligned threat actor called FlyingYeti targeting Ukraine. "The FlyingYeti campaign capitalized on anxiety over the potential loss of access to housing and utilities by enticing targets to open malicious files via debt-themed lures," Cloudflare\'s threat intelligence team Cloudforce One |
Malware Vulnerability Threat | ★★★ |
To see everything:
