What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-16 16:30:00 | Prévention et détection des menaces dans les environnements SaaS - 101 Threat Prevention & Detection in SaaS Environments - 101 (lien direct) |
Les menaces basées sur l'identité sur les applications SaaS sont une préoccupation croissante parmi les professionnels de la sécurité, bien que peu aient les capacités de détecter et de les répondre. & NBSP;
Selon l'Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA), 90% de toutes les cyberattaques commencent par le phishing, une menace basée sur l'identité.Jetez des attaques qui utilisent des informations d'identification volées, des comptes trop fournis, et
Identity-based threats on SaaS applications are a growing concern among security professionals, although few have the capabilities to detect and respond to them. According to the US Cybersecurity and Infrastructure Security Agency (CISA), 90% of all cyberattacks begin with phishing, an identity-based threat. Throw in attacks that use stolen credentials, over-provisioned accounts, and |
Threat Cloud | ||
 |
2024-07-16 15:36:53 | Cette réunion aurait dû être un e-mail: un voleur de la RPDC, surnommé Beavertail, cible les utilisateurs via une application de réunion trojanisée This Meeting Should Have Been an Email: A DPRK stealer, dubbed BeaverTail, targets users via a trojanized meeting app (lien direct) |
## Instantané Patrick Wardle de la Fondation Objective-See a publié des recherches sur une variante MAC de Beavertail malware, qui cible les utilisateurs via une application de réunion trojanisée. ## Description Le malware, qui a été attribué aux pirates nord-coréens, a été distribué à travers un site d'application légitime cloné, Mirotalk \ [. \] Net, qui offre "des appels vidéo en temps réel basés sur un navigateur" sans téléchargements, des plug-ins,ou log-ins.Cette variante du malware de Beavertail est en mesure de voler des informations aux navigateurs, d'effectuer un keylogging et d'exécuter des charges utiles supplémentaires, telles que InvisibleFerret.[InvisibleFerret] (https://unit42.paloaltonetworks.com/two-campaign-by-north-korea-bad-acteurs-target-job-hunters/) est une porte dérobée multiplateforme qui a une empreinte digitale, une télécommande, un keylogging,et les capacités d'exfiltration des données, entre autres. ## Analyse Microsoft Une fois considérés comme un paradis à partir de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées alors que les acteurs de la menace s'adaptent et mettent de plus en plus des techniques d'attaque améliorées.En savoir plus sur les tendances récentes de l'Osint dans les menaces pour macOS [ici] (https://security.microsoft.com/intel-explorer/articles/3d13591e). ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Antivirus] (Https: //learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-antivirus-windows? ocid = mAGICTI_TA_LELARNDOC) pour protéger de cette menace. - Allumez et soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Éduquer les utilisateurs sur [Protéger les informations personnelles et commerciales] (https://www.microsoft.com/en-us/security/business/security-101/what-is-email-security?ocid=Magicti_TA_ABRREVIEDMKTGPAGE) dans les médias sociaux, dans les médias sociaux, les médias sociaux,Filtrage de la communication non sollicitée, identifiant les leurres dans les e-mails et les trous d'arrosage des lances et les tentatives de reconnaissance et d'autres activités suspectes. - Educate users about [preventing malware infections,](https://www.microsoft.com/en-us/security/business/security-101/what-is-malware?ocid=magicti_ta_abbreviatedmktgpage) such as ignoring or deleting unsolicited anddes e-mails ou des pièces jointes inattendues envoyées via des applications de messagerie instantanées ou des réseaux sociaux. - Allumez [Protection de somper pour macOS] (https: //learn.microsOFT.com/defender-endpoint/tamperprotection-macos?ocid=Magicti_TA_LearnDoc) dans Microsoft Defender pour le point de terminaisont pour prévenir les modifications malveillantes des paramètres de sécurité. - Encouragez les utilisateurs à pratiquer une bonne [hygeine d'identification] (https://www.microsoft.com/en-us/security/business/security-101/what-is-login-security?ocid=magicti_ta_abbreviatedmktgpage) et allumer le MicrosoftPare-feu du défenseur pour prévenir l'infection des logiciels malveillants et étouffer la propagation. - Prenez des mesures immédiates pour lutter contre l'activité malveillante sur l'appareil touché.Si un code malveillant a été lancé, l'attaquant a probablement pris le contrôle total de l'appareil.Isoler immédiatement le système et effectuer une réinitialisation des informations d'identification et des jetons.Étudiez le calendrier de l'appareil pour les indications des activités de mouvement latéral à l'aide de l'un des comptes compromis.Vérifiez les outils supplémentaires que les attaquants auraient pu abandonner pour permet | Malware Tool Threat | ||
|
2024-07-16 15:25:11 | De fausses équipes Microsoft pour Mac délivre un voleur atomique Fake Microsoft Teams for Mac delivers Atomic Stealer (lien direct) |
## Instantané Une nouvelle campagne de malvertising cible les utilisateurs de Mac avec une publicité frauduleuse pour les équipes de Microsoft.La campagne a utilisé des techniques de filtrage avancées pour échapper à la détection et à rediriger les victimes vers une page de leurre pour télécharger une application malveillante. ## Description L'annonce malveillante, malgré l'affichage de l'URL Microsoft.com, n'était pas liée à Microsoft et n'a probablement pas été payée par un compte Google compromis.Les victimes atterrissent sur une page de leurre montrant un bouton pour télécharger des équipes.Une demande est faite à un domaine différent où une charge utile unique est générée pour chaque visiteur.Une fois le fichier téléchargé monté, les utilisateurs sont invités à l'ouvrir en un clic droit pour contourner le mécanisme de protection intégré d'Apple \\ pour les installateurs non signés.Suivant le vol de données est l'étape d'exfiltration des données, uniquement visible via un outil de collecte de paquets réseau.Une seule demande de publication est effectuée sur un serveur Web distant avec les données en cours de codé. MalwareBytes détecte cette menace en tant que OSX.atomster.Sur la base du suivi des logiciels malveillants, les équipes de Microsoft sont de retour en tant qu'acteurs de menaces de mots clés populaires qui soumissionnent, et c'est la première fois qu'ils le viennent utilisés par le voleur atomique. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité, pour inclure des publicités malveillantes et une distribution de logiciels.La fréquence des incidents de malvertisation a fortement augmenté à mesure que les acteurs de la menace utilisent des techniques plus avancées.De plus, les voleurs d'informations comme le voleur MacOS atomique (AMOS) sont tendance dans les menaces de malvertisation pour le macOS. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'instal | Ransomware Spam Malware Tool Threat | ||
 |
2024-07-16 14:30:59 | Void Banshee APT exploite Microsoft Zero-Day dans les attaques de lance-phishing Void Banshee APT Exploits Microsoft Zero-Day in Spear-Phishing Attacks (lien direct) |
Le groupe de menaces a utilisé le CVE-2024-38112 et une version "zombie" d'IE pour répandre le voleur d'Atlandida à travers des versions PDF prétendues de livres de référence.
The threat group used CVE-2024-38112 and a "zombie" version of IE to spread Atlantida Stealer through purported PDF versions of reference books. |
Vulnerability Threat | ||
|
2024-07-16 14:30:00 | Void Banshee APT exploite Microsoft Mhtml Flaw pour répandre le voleur d'Atlantida Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer (lien direct) |
Un groupe avancé de menace persistante (APT) appelée Void Banshee a été observé en exploitant une faille de sécurité récemment divulguée dans le moteur de navigateur Microsoft MHTML comme un jour zéro pour fournir un voleur d'informations appelé Atlantida.
La société de cybersécurité Trend Micro, qui a observé l'activité à la mi-mai 2024, la vulnérabilité & # 8211;suivi comme CVE-2024-38112 & # 8211;a été utilisé dans le cadre d'une attaque à plusieurs étages
An advanced persistent threat (APT) group called Void Banshee has been observed exploiting a recently disclosed security flaw in the Microsoft MHTML browser engine as a zero-day to deliver an information stealer called Atlantida. Cybersecurity firm Trend Micro, which observed the activity in mid-May 2024, the vulnerability – tracked as CVE-2024-38112 – was used as part of a multi-stage attack |
Vulnerability Threat Prediction | ||
 |
2024-07-16 14:00:39 | Vérifier le point reconnu comme un leader de Forrester Wave pour les solutions de défense des menaces mobiles Check Point Recognized as a Leader in Forrester Wave for Mobile Threat Defense Solutions (lien direct) |
> Dans le monde mobile-premier de la journée, la sécurité des appareils mobiles est primordiale pour les organisations de toutes tailles.Check Point est un pionnier de cet espace, après avoir développé sa solution de défense de menace mobile (MTD), Harmony Mobile, qui protège les organisations depuis plus d'une décennie.Depuis ses débuts, Harmony Mobile a réussi à bloquer des millions d'attaques, démontrant son efficacité dans la protection des flottes mobiles contre les menaces en constante évolution.Aujourd'hui, nous sommes ravis d'annoncer que l'harmonie de chèque a été nommée leader dans le rapport Forrester Wave ™: Mobile Threat Defence Solutions, Rapport du Q3 2024.Cette reconnaissance de Forrester, une société de recherche indépendante renommée, [& # 8230;]
>In today’s mobile-first world, the security of mobile devices is paramount for organizations of all sizes. Check Point is a pioneer in this space, having developed its Mobile Threat Defense (MTD) solution, Harmony Mobile, which has been safeguarding organizations for over a decade. Since its debut, Harmony Mobile has successfully blocked millions of attacks, demonstrating its effectiveness in protecting mobile fleets against ever-evolving threats. Today, we are thrilled to announce that Check Point’s Harmony Mobile has been named a Leader in The Forrester Wave™: Mobile Threat Defense Solutions, Q3 2024 report. This recognition from Forrester, a renowned independent research firm, […] |
Threat Mobile Commercial | ||
 |
2024-07-16 13:37:05 | Sentinélone a annoncé la disponibilité générale de la sécurité indigène du cloud de singularité dans l'Union européenne SentinelOne announced the general availability of Singularity Cloud Native Security in the European Union (lien direct) |
Sentinelone transforme la sécurité du nuage en Europe avec la Sindularity Cloud Native Security
Le CNAPP, le leader du marché, est le meilleur de l'industrie fournit une résidence de données et la détection des menaces la plus complète sur le marché, permettant aux entreprises de sécuriser les environnements cloud de manière intelligente, rapide et conforme
-
revues de produits
SentinelOne transforms cloud security in Europe with Singularity Cloud Native Security Market-leading CNAPP rated best in industry provides data residency and most comprehensive threat detection in market, empowering enterprises to secure cloud environments in smart, fast, compliant way - Product Reviews |
Threat Cloud | ||
 |
2024-07-16 13:00:28 | Nullbulge |L'acteur de menace se masque en tant que groupe hacktiviste se rebeller contre l'IA NullBulge | Threat Actor Masquerades as Hacktivist Group Rebelling Against AI (lien direct) |
L'acteur se faisait passer pour des hacktivistes ciblant les communautés centrées sur l'IA avec des logiciels malveillants de marchandises et des charges utiles de verrouillage personnalisées.
Actor are masquerading as hacktivists targeting AI-centric communities with commodity malware and customized lockbit payloads. |
Malware Threat | ||
 |
2024-07-16 12:38:09 | Zdi claque Microsoft pour ne pas l'avoir crédité dans le patch de la semaine dernière \\ mardi ZDI Slams Microsoft for Not Crediting It in Last Week\\'s Patch Tuesday (lien direct) |
Microsoft fait face à la réaction de Zero Day Initiative (ZDI) et des chercheurs en sécurité contre le manque de transparence dans la divulgation de la vulnérabilité & # 8230;
Microsoft faces backlash from Zero Day Initiative (ZDI) and security researchers over lack of transparency in vulnerability disclosure… |
Vulnerability Threat | ||
 |
2024-07-16 10:00:00 | CVE-2024-30078: Patchez votre Wi-Fi maintenant! CVE-2024-30078: Patch Your Wi-Fi Now! (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. The relentless battle against cyber threats continues, and CVE-2024-30078 stands as a stark reminder of the ever-present need for vigilance. A critical vulnerability (CVE-2024-30078) has been identified in Wi-Fi drivers for various Microsoft Windows versions. This flaw allows attackers within Wi-Fi range to remotely execute malicious code (RCE) on vulnerable systems. Immediate patching is recommended. Understanding the Threat: Remote Code Execution via Wi-Fi CVE-2024-3078 lurks within the Wi-Fi drivers of various Windows operating systems. These drivers act as interpreters, facilitating communication between the operating system and the Wi-Fi adapter hardware. The vulnerability lies in how these drivers handle specific data packets received over Wi-Fi networks. An attacker can exploit this flaw by crafting a malicious packet containing specially crafted code. When a vulnerable system receives this packet, the Wi-Fi driver misinterprets it, leading to the execution of the attacker\'s code on the target machine. This technique, known as Remote Code Execution (RCE), is particularly severe because it grants attackers full control over the compromised device. Discovery and Responsible Disclosure The discovery of CVE-2024-3078 deserves recognition. A team of researchers from Cyber Kunlun identified and responsibly disclosed this vulnerability, significantly contributing to the security of millions of Windows users. Their adherence to established disclosure protocols ensured Microsoft had ample time to develop and release a patch before public details were released. Technical Breakdown for the Keen-Eyed For those with a deeper understanding of security concepts, a closer look at the technical aspects of CVE-2024-3078 is insightful: Vulnerability Type: Memory Corruption. The malicious packet can potentially overwrite memory locations within the Wi-Fi driver, resulting in erratic behavior and possible code execution. Attack Vector: Adjacent (AV:A). The attacker must be within Wi-Fi range of the target device. Techniques like setting up a rogue access point or exploiting existing Wi-Fi networks can be employed. Attack Complexity: Low (AC:L). Exploiting this vulnerability requires minimal user interaction, making it highly attractive to attackers. Privileges Required: None (PR:N). The attacker doesn\'t need any prior privileges on the target system, further increasing the threat level. User Interaction: None (UI:N). No user action is required for exploitation. Impact: Confidentiality (C): High. Successful exploitation can lead to the theft of sensitive data stored on the compromised system. Integrity (I): High. Attackers can alter or corrupt data on the system, rendering it unusable. Availability (A): High. Attackers can disable the affected system entirely, causing a denial-of-service (DoS). CVSS Scores: CVSS v3: 8.8 (HIGH) These scores highlight the critical nature of this vulnerability, underscoring the need for immediate action. Affected Microsoft Windows Versions: Windows 10 (all versions) | Malware Vulnerability Threat Patching Technical | ||
 |
2024-07-16 07:26:11 | Acteurs de menace \\ 'Arsenal: comment les pirates ciblent les comptes cloud Threat Actors\\' Arsenal: How Hackers Target Cloud Accounts (lien direct) |
Introduction In today\'s interconnected world, cloud computing has become the backbone of countless businesses. However, with this rise in cloud adoption, malicious actors have adapted their strategies to compromise sensitive data stored in cloud environments and propagate threats throughout supply chains. One prevalent method is the use of tools specifically designed to automate attacks against cloud accounts, resulting in account takeover (ATO) and business email compromise (BEC) incidents. Keeping up with a tradition of trying to understand the attackers\' perspective, Proofpoint cloud threat researchers have obtained and analyzed various hacking tools used by threat actors. In this blog series, we\'ll showcase a few examples and explore the largely uncovered world of these tools, while examining their functionalities, the risks they pose, and how organizations can defend against them. Understanding toolsets: basic concepts and terminology Attack toolsets are purposefully crafted to enable, automate, and streamline cyber-attacks en masse. These toolsets exploit diverse weaknesses, from frequent misconfigurations to old authentication mechanisms, in order to gain access to selected resources. Often, attack toolsets are designed with specific aims in mind. In recent years, cloud accounts have become prime targets. But getting your hands on effective tools is not so trivial. Some toolsets are only sold or circulated within restricted channels, such as closed Darknet hacking forums, while others (especially older versions) are publicly available online. With a rising demand for hacking capabilities, hacking-as-a-service (HaaS) has become a prominent business model in today\'s cyber threat landscape, providing convenient access to advanced hacking capabilities in exchange for financial gain. As such, it lowers entry barriers for cybercriminals, allowing them to execute attacks with minimal effort. Regardless of their complexity, every attack tool aiming to compromise cloud accounts must utilize an initial threat vector to gain unauthorized access. Proofpoint\'s ongoing monitoring of the cloud threat landscape has led its researchers to categorize the majority of observed attacks into two primary threat vectors: brute-force attacks and precision attacks. In terms of sheer volume, brute-force attacks, encompassing techniques such as password guessing and various other methods, continue to maintain their status as the most prevalent threat vector. Despite the statistical nature of these attacks and their reliance on a "spray and pray" approach, they remain a significant threat. According to our research, roughly 20% of all organizations targeted by brute-force attacks in 2023 experienced at least one successful account compromise instance. The surprising effectiveness of brute-force methods, combined with their relative simplicity, makes this vector appealing not only to common cybercriminals, but also to sophisticated actors. In January 2024, Microsoft disclosed that it had fallen victim to a nation-state attack attributed to the Russian state-sponsored group APT29 (also known as TA421 and Midnight Blizzard). According to Microsoft\'s announcement, the attackers employed password spraying to compromise a legacy, non-production test tenant account that lacked multifactor authentication (MFA). After gaining access, attackers were able to quickly leverage it and hijack additional assets, ultimately exfiltrating sensitive data from various resources. This incident emphasizes the potential risk that brute-force and password spraying attacks pose to inadequately protected cloud environments. A brute-force attack kill chain, targeting cloud environments using leaked credentials and proxy networks. Combo lists, proxy lists and basic authentication Combo lists play a crucial role in facilitating systematic and targeted credential stuffing attacks. These lists, comprised of curated email address and password pairs, serve as the basic ammunition for most tools. Attackers leverage combo lists to automate the pr | Spam Malware Tool Threat Prediction Cloud Technical | APT 29 | |
|
2024-07-16 00:48:31 | Akira Ransomware attaquant l'industrie du transport aérien avec des outils légitimes Akira Ransomware Attacking Airline Industry With Legitimate Tools (lien direct) |
#### Géolocations ciblées - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Systèmes de transport ## Instantané Les chercheurs en cybersécurité de Blackberry ont identifié une attaque ciblée sur une compagnie aérienne latino-américaine par le groupe Akira Ransomware.The attackers used SSH for initial access and employed legitimate tools and LOLBAS ([Living Off the Land Binaries](https://security.microsoft.com/threatanalytics3/96666263-eb70-4b24-b2e7-c8b39822101f/analystreport) and Scripts) toMaintenez la persistance et les données exfiltrates avant de déployer le ransomware. ## Description L'attaque a commencé par exploiter un serveur de sauvegarde Veeam non corrigé via [CVE-2023-27532] (https://security.microsoft.com/intel-explorer/cves/cve-2023-27532/).Après avoir acquis une entrée via SSH et créé un utilisateur d'administration, les attaquants ont réalisé une reconnaissance à l'aide du scanner IP avancé et des données exfiltrées via WinSCP.La protection antivirus a été désactivée et le réseau a été infecté par le ransomware Akira, qui a supprimé des copies d'ombre pour entraver la récupération.Les attaquants ont utilisé des outils comme SMBEXEC d'Impacket, NetScan et AnyDesk pour la persistance, indiquant une approche sophistiquée visant à maximiser les dommages et les exigences de rançon. Cette attaque met en évidence la polyvalence des ransomwares Akira, qui ne cible pas seulement les systèmes Windows mais dispose également de variantes Linux.Le ransomware Akira, également connu sous le nom de [Storm-1567] (https://security.microsoft.com/intel-profiles/675eee77614a60e98bc69cd4177522142e7d283eaaab5d2107a2e7a53b964af36) Organisations du monde depuis sa création en mars 2023.Auparavant, les opérateurs d'Akira gagnés ont acquis un accès initial en tirant parti de CVE-2020-3259 et CVE-2023-20269 ## Analyse Microsoft Akira est une souche de ransomware observée pour la première fois par Microsoft Threat Intelligence en mars 2023. L'analyse d'Akira révèle des caractéristiques communes observées dans d'autres souches de ransomware comme l'utilisation de l'algorithme de cryptage Chacha, du PowerShell et de l'instrumentation de gestion Windows (WMI).Les opérateurs de ransomwares Akira exfiltrent également les données avant le déploiement des ransomwares pour une double extorsion et menacent d'exposer les données à leur site de fuite si la rançon n'est pas payée. [Trend Micro chercheurs identifiés] (https://security.microsoft.com/intel-explorer/articles/8dc2fa00) qu'Akira semble être basé sur le ransomware continu: il partage des routines similaires avec Conti, telles que l'obfuscation de la chaîne et l'encryption de fichiers:, et évite les mêmes extensions de fichiers que Conti évite. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Ransom: win32 / akira] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win32/akira.a!ibt& ;Theratid=-2147119980) - [Ransom: win64 / akira] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:win64/akira.pb!mtb& ;Thereatid=-2147122925) - [Ransom: Linux / AkiRA] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:linux/akira.a!mtb&Theretid=-2147116283) Microsoft Defender pour le point final Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Le groupe d'activités lié aux ransomwares Storm-0844 détecté ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransom | Ransomware Malware Tool Threat | ||
 |
2024-07-16 00:00:00 | Faire équipe avec IBM pour sécuriser les charges de travail SAP critiques Teaming up with IBM to secure critical SAP workloads (lien direct) |
Trend Micro s'associe à IBM pour offrir une détection et une réponse avancées pour la protection des infrastructures critiques fonctionnant sur des serveurs d'alimentation IBM
Trend Micro partners with IBM to offer advanced threat detection and response for protecting critical infrastructures running on IBM Power servers |
Threat Prediction | ||
 |
2024-07-15 18:20:12 | Le rôle évolutif des CISO dans un monde de cybersécurité amélioré en AI The Evolving Role of CISOs in an AI-enhanced Cybersecurity World (lien direct) |
> Comme les entreprises comptent de plus en plus sur les infrastructures numériques, les menaces qui visent à exploiter ces technologies évoluent également.Il ne s'agit plus seulement de sauvegarder contre un accès non autorisé;Il s'agit de comprendre et d'atténuer les risques complexes introduits par l'IA et l'apprentissage automatique-Topics i & # 8217; J'ai souvent discuté, soulignant la nécessité d'une stratégie de cybersécurité avancée qui évolue aussi rapidement [& # 8230;]
>As businesses increasingly rely on digital infrastructures, the threats that aim to exploit these technologies also evolve. It’s no longer just about safeguarding against unauthorized access; it’s about understanding and mitigating the complex risks introduced by AI and machine learning-topics I’ve often discussed, emphasizing the need for an advanced cybersecurity strategy that evolves as quickly […] |
Threat | ||
|
2024-07-15 15:54:00 | CRYSTALRAY Hackers Infect Over 1,500 Victims Using Network Mapping Tool (lien direct) | A threat actor that was previously observed using an open-source network mapping tool has greatly expanded their operations to infect over 1,500 victims.
Sysdig, which is tracking the cluster under the name CRYSTALRAY, said the activities have witnessed a 10x surge, adding it includes "mass scanning, exploiting multiple vulnerabilities, and placing backdoors using multiple [open-source software]
A threat actor that was previously observed using an open-source network mapping tool has greatly expanded their operations to infect over 1,500 victims. Sysdig, which is tracking the cluster under the name CRYSTALRAY, said the activities have witnessed a 10x surge, adding it includes "mass scanning, exploiting multiple vulnerabilities, and placing backdoors using multiple [open-source software] |
Tool Vulnerability Threat | ||
|
2024-07-15 14:50:05 | 15th July – Threat Intelligence Report (lien direct) | >For the latest discoveries in cyber research for the week of 15th July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American telecom giant AT&T has disclosed a massive data breach that exposed personal information of 110M of its customers. The data was stolen from the company\'s workspace on a third-party cloud platform, […]
>For the latest discoveries in cyber research for the week of 15th July, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES American telecom giant AT&T has disclosed a massive data breach that exposed personal information of 110M of its customers. The data was stolen from the company\'s workspace on a third-party cloud platform, […] |
Data Breach Threat Cloud | ||
|
2024-07-15 14:49:45 | New BugSleep Backdoor Deployed in Recent MuddyWater Campaigns (lien direct) | >Key Findings Introduction MuddyWater, an Iranian threat group affiliated with the Ministry of Intelligence and Security (MOIS), is known to be active since at least 2017. During the last year, MuddyWater engaged in widespread phishing campaigns targeting the Middle East, with a particular focus on Israel. Since October 2023, the actors\' activities have increased significantly. Their methods […]
>Key Findings Introduction MuddyWater, an Iranian threat group affiliated with the Ministry of Intelligence and Security (MOIS), is known to be active since at least 2017. During the last year, MuddyWater engaged in widespread phishing campaigns targeting the Middle East, with a particular focus on Israel. Since October 2023, the actors\' activities have increased significantly. Their methods […] |
Threat | ||
 |
2024-07-15 14:00:00 | Scaling Up Malware Analysis with Gemini 1.5 Flash (lien direct) | Written by:Bernardo Quintero, Founder of VirusTotal and Security Director, Google Cloud SecurityAlex Berry, Security Manager of the Mandiant FLARE Team, Google Cloud SecurityIlfak Guilfanov, author of IDA Pro and CTO, Hex-RaysVijay Bolina, Chief Information Security Officer & Head of Cybersecurity Research, Google DeepMind
In our previous post, we explored how Gemini 1.5 Pro could be used to automate the reverse engineering and code analysis of malware binaries. Now, we\'re focusing on Gemini 1.5 Flash, Google\'s new lightweight and cost-effective model, to transition that analysis from the lab to a production-ready system capable of large-scale malware dissection. With the ability to handle 1 million tokens, Gemini 1.5 Flash offers impressive speed and can manage large workloads. To support this, we\'ve built an infrastructure on Google Compute Engine, incorporating a multi-stage workflow that includes scaled unpacking and decompilation stages. While promising, this is just the first step on a long journey to overcome accuracy challenges and unlock AI\'s full potential in malware analysis. VirusTotal analyzes an average of 1.2 million unique new files each day, ones that have never been seen before on the platform. Nearly half of these are binary files (PE_EXE, PE_DLL, ELF, MACH_O, APK, etc.) that could benefit from reverse engineering and code analysis. Traditional, manual methods simply cannot keep pace with this volume of new threats. Building a system to automatically unpack, decompile, and analyze this quantity of code in a timely and efficient manner is a significant challenge, one that Gemini 1.5 Flash is designed to help address. Building on the extensive capabilities of Gemini 1.5 Pro, the Gemini 1.5 Flash model was created to optimize efficiency and speed while maintaining performance. Both models share the same robust, multimodal capabilities and are capable of handling a context window of over 1 million tokens; however, Gemini 1.5 Flash is particularly designed for rapid inference and cost-effective deployment. This is achieved through parallel computation of attention and feedforward components, as well as the use of online distillation techniques. The latter enables Flash to learn directly from the larger and more complex Pro model during training. These architectural optimizations allow us to utilize Gemini 1.5 Flash to process up to 1,000 requests per minute and 4 million tokens per minute. To illustrate how this pipeline works, we\'ll first showcase examples of Gemini 1.5 Flash analyzing decompiled binaries. Then we\'ll briefly outline t |
Malware Tool Threat Cloud | ||
|
2024-07-15 13:01:20 | Restez en sécurité pendant Amazon Prime Day (lien direct) | Restez en sécurité pendant Amazon Prime Day avec les conseils d'experts de Keeper Security Amazon Prime Days, l'un des événements en ligne les plus fréquentés de l'année, est également une cible privilégiée pour les cyberattaques. Keeper Security fournit des pratiques essentielles pour aider les acheteurs à atténuer les menaces et à protéger leurs informations personnelles. - Points de Vue | Threat | ||
 |
2024-07-15 11:45:00 | Attackers Exploit URL Protections to Disguise Phishing Links (lien direct) | Barracuda has observed attackers using three different URL protection services to mask their phishing URLs, bypassing email security tools
Barracuda has observed attackers using three different URL protection services to mask their phishing URLs, bypassing email security tools |
Tool Threat | ||
|
2024-07-15 11:27:07 | Weekly OSINT Highlights, 15 July 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, showcasing the prominence of sophisticated malware, information stealers, and ransomware attacks. Attack vectors frequently include compromised websites, phishing emails, malicious advertisements, and exploitation of known vulnerabilities, particularly in widely-used software like Oracle WebLogic and Microsoft Exchange. Threat actors range from organized state-sponsored groups, such as China\'s APT41 (tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6)) and APT40 (tracked by Microsoft as [Gingham Typhoon](https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6)), to individual developers using platforms like GitHub to distribute malware. The targets are varied, encompassing financial institutions, cryptocurrency exchanges, government agencies, and sectors like healthcare, education, and manufacturing, with a notable focus on high-value data and critical infrastructure across multiple countries. ## Description 1. [Clickfix Infection Chain](https://security.microsoft.com/intel-explorer/articles/85fea057): McAfee Labs discovered the "Clickfix" malware delivery method that uses compromised websites and phishing emails to trick users into executing PowerShell scripts. This method is being used to deliver [Lumma](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad)[Stealer](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) and [DarkGate](https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648) malware across multiple countries, including the US, Canada, and China. 2. [CRYSTALRAY Expands Targeting](https://security.microsoft.com/intel-explorer/articles/ecea26df): Sysdig researchers identified the threat actor CRYSTALRAY, who has scaled operations to over 1,500 victims using SSH-Snake and various vulnerabilities for lateral movement and data exfiltration. Targets include systems vulnerable to CVE-2022-44877, CVE-2021-3129, and CVE-2019-18394. 3. [DodgeBox Loader by APT41](https://security.microsoft.com/intel-explorer/articles/3524d2ae): Zscaler ThreatLabz reported on DodgeBox, a reflective DLL loader used by the Chinese APT41 group, also known as Brass Typhoon. The loader delivers the MoonWalk backdoor and employs sophisticated techniques like call stack spoofing to avoid detection. 4. [ViperSoftX Information Stealer](https://security.microsoft.com/intel-explorer/articles/8084ff7b): Trellix researchers highlighted ViperSoftX, an information stealer spread through cracked software and malicious eBooks. The malware uses PowerShell and AutoIt for data exfiltration and evasion, targeting cryptocurrency wallets and other sensitive information. 5. [Coyote Banking Trojan](https://security.microsoft.com/intel-explorer/articles/201d7c4d): BlackBerry detailed Coyote, a .NET banking trojan targeting Brazilian financial institutions. Delivered likely via phishing, it performs various malicious functions like screen capture and keylogging, communicating with C2 servers upon detecting target domains. 6. [Kematian-Stealer on GitHub](https://security.microsoft.com/intel-explorer/articles/4e00b1b4): CYFIRMA identified Kematian-Stealer, an open-source information stealer hosted on GitHub. It targets applications like messaging apps and cryptocurrency wallets, employing in-memory execution and anti-debugging measures to evade detection. 7. [Eldorado Ransomware-as-a-Service](https://security.microsoft.com/intel-explorer/articles/3603cd85): Group-IB reported on Eldorado, a RaaS targeting various industries and countries, primarily the US. Written in Golang, it uses Chacha20 and RSA-OAEP encryption and has customizable features for targeted attacks. 8. [DoNex Ransomware Flaw](https://security.microsoft.com | Ransomware Malware Tool Vulnerability Threat Legislation Prediction Medical | APT 41 APT 40 | |
|
2024-07-15 10:00:24 | MuddyWater Threat Group Deploys New BugSleep Backdoor (lien direct) | >Check Point Research (CPR) warns that Iranian threat group MuddyWater has significantly increased its activities against Israel and is deploying a new, previously undocumented backdoor campaign. Key Findings MuddyWater, an Iranian threat group affiliated with the Ministry of Intelligence and Security (MOIS), has significantly increased its activities in Israel since the beginning of the Israel-Hamas war in October 2023. This parallels with activities against targets in Saudi Arabia, Turkey, Azerbaijan, India and Portugal The threat actors consistently use phishing campaigns sent from compromised organizational email accounts, leading to the deployment of legitimate Remote Management Tools such as Atera Agent and […]
>Check Point Research (CPR) warns that Iranian threat group MuddyWater has significantly increased its activities against Israel and is deploying a new, previously undocumented backdoor campaign. Key Findings MuddyWater, an Iranian threat group affiliated with the Ministry of Intelligence and Security (MOIS), has significantly increased its activities in Israel since the beginning of the Israel-Hamas war in October 2023. This parallels with activities against targets in Saudi Arabia, Turkey, Azerbaijan, India and Portugal The threat actors consistently use phishing campaigns sent from compromised organizational email accounts, leading to the deployment of legitimate Remote Management Tools such as Atera Agent and […] |
Tool Threat | ||
|
2024-07-15 10:00:00 | Smart Hotel Technologies and the Cybersecurity Risks They Bring (lien direct) | The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Smart technologies are being quickly adopted by the hospitality sector in order to improve guest experiences and improve operations. However, hotels are also popular targets for cybercriminals due to their extensive collection of data and increased connectivity. These linked devices have flaws that could allow for illegal access and data breaches, risking the security and privacy of visitors. This article examines the cybersecurity risks related to these technologies and provides helpful advice on how passengers may protect their data while taking advantage of these benefits. Smart Technologies and the Risks that They Bring A new wave of technology in the hotel sector promises to improve visitor experiences and operational effectiveness. Smart technologies like IoT-enabled gadgets and AI-powered services are being incorporated into modern hotels. These include mobile check-in, keyless entry for a quick, contactless experience, AI-powered chatbots and automated concierge systems for smooth guest interactions, smart in-room entertainment systems that allow guests to control various aspects of their environment via voice commands or smartphone apps, and smart thermostats for customized climate control. While these innovations significantly enhance convenience and personalization, they also introduce considerable cybersecurity risks. The interconnected nature of these devices and the vast amounts of data they handle make hotels and Airbnb rooms attractive targets for cybercriminals. Here are some of the most dangerous cybersecurity threats facing modern hospitality settings. Data Breaches Data breaches are a major concern in the hospitality industry due to the vast amounts of sensitive guest information collected and stored. High-profile incidents, such as the Marriott data breach in 2018, which affected up to 500 million guest records, underscore the severity of this threat. Compromised data often includes personal identification details, credit card information, and even passport numbers, leading to significant financial and reputational damage for the affected hotels and Airbnb hosts. IoT Vulnerabilities The globalization of IoT devices in accommodation businesses like hotels and Airbnb properties increases the attack surface for cybercriminals. Each connected device represents a potential entry point for hackers. For instance, vulnerabilities in smart thermostats or lighting systems can be exploited to gain access to the broader network, compromising other critical systems and guest data. Phishing and Social Engineering Phishing attacks and social engineering tactics are prevalent in the hospitality industry. Cybercriminals often target staff and guests with deceptive emails or messages designed to steal login credentials or other sensitive information. These attacks can lead to unauthorized access to systems and data breaches. Point of Sale (POS) Systems POS systems handle numerous financial transactions, making them attractive to hackers. Attacks on POS systems can involve malware that captures credit card information before it is encrypted. Such inci | Ransomware Data Breach Malware Vulnerability Threat Mobile | ||
|
2024-07-15 08:45:01 | WithSecure™ warns that Paris 2024 faces a greater risk of malicious cyber activity than previous Olympics (lien direct) | WithSecure™ warns that Paris 2024 faces a greater risk of malicious cyber activity than previous Olympics
The world\'s biggest sporting event draws potential attacks from criminal and nation-state threat actors, with various objectives and capabilities.
-
Opinion
WithSecure™ warns that Paris 2024 faces a greater risk of malicious cyber activity than previous Olympics The world\'s biggest sporting event draws potential attacks from criminal and nation-state threat actors, with various objectives and capabilities. - Opinion |
Threat | ||
|
2024-07-15 00:00:00 | CVE-2024-38112: Void Banshee Targets Windows Users Through Zombie Internet Explorer in Zero-Day Attacks (lien direct) | Our threat hunters discovered CVE-2024-38112, which was used as a zero-day by APT group Void Banshee, to access and execute files through the disabled Internet Explorer using MSHTML. We promptly identified and reported this zero-day vulnerability to Microsoft, and it has been patched.
Our threat hunters discovered CVE-2024-38112, which was used as a zero-day by APT group Void Banshee, to access and execute files through the disabled Internet Explorer using MSHTML. We promptly identified and reported this zero-day vulnerability to Microsoft, and it has been patched. |
Vulnerability Threat | ||
 |
2024-07-14 05:53:56 | La collaboration internationale émerge comme critique pour stimuler la cybersécurité OT et ICS au milieu d'une menace croissante International collaboration emerges as critical for boosting OT and ICS cybersecurity amid rising threat (lien direct) |
> L'escalade des cyber-menaces et des attaques a nécessité une collaboration internationale accrue dans des environnements de cybersécurité OT et ICS à aborder ...
>Escalating cyber threats and attacks have necessitated heightened international collaboration in OT and ICS cybersecurity environments to address... |
Threat Industrial | ||
|
2024-07-13 11:21:00 | AT&T confirme la violation de données affectant presque tous les clients sans fil AT&T Confirms Data Breach Affecting Nearly All Wireless Customers (lien direct) |
Le fournisseur de services américains de télécommunications AT & t a confirmé que les acteurs de la menace avaient réussi à accéder aux données appartenant à "presque toutes" de ses clients sans fil ainsi qu'aux clients d'opérateurs de réseau virtuel mobile (MVNO) à l'aide du réseau sans fil AT & t \\.
"Les acteurs de la menace ont accédé illégalement à un espace de travail AT & T sur une plate-forme cloud tiers et, entre le 14 avril et le 25 avril 2024, exfiltré
American telecom service provider AT&T has confirmed that threat actors managed to access data belonging to "nearly all" of its wireless customers as well as customers of mobile virtual network operators (MVNOs) using AT&T\'s wireless network. "Threat actors unlawfully accessed an AT&T workspace on a third-party cloud platform and, between April 14 and April 25, 2024, exfiltrated |
Data Breach Threat Mobile Cloud | ||
|
2024-07-12 21:43:55 | Ransomware: les niveaux d'activité restent élevés malgré les perturbations Ransomware: Activity Levels Remain High Despite Disruption (lien direct) |
## Instantané L'équipe de Hunter de menace de Symantec a identifié une légère baisse de l'activité des ransomwares au cours du premier trimestre de 2024, attribuée aux opérations d'application de la loi ciblant deux grands groupes de ransomwares.Malgré cela, les niveaux d'activité globaux continuent d'augmenter, 962 attaques réclamées au T1 2024. ## Description Lockbit a maintenu sa position en tant que menace de ransomware supérieure, suivie de Play, Phobos Affiliate 8Base et Ransomware Qilin émergent.L'analyse de Symantec \\ a révélé des disparités entre les attaques prétendues publiquement et celles étudiées, indiquant différents taux de réussite pour différentes familles de ransomwares.L'exploitation des vulnérabilités connues dans les applications accessibles au public reste le principal vecteur d'attaque, avec des campagnes récentes ciblant les serveurs Web via une vulnérabilité PHP récemment divulguée ([CVE-2024-4577] (https://security.microsoft.com/intel-profiles/CVE-2024-4577)).De plus, le retour du ransomware CLOP, exploité par le groupe Snakefly, suggère un passage aux attaques conventionnelles à double extorsion.Les groupes de ransomwares continuent de favoriser la tactique du conducteur de vulnérable (BYOVD), avec l'utilisation récente de l'outil Warp AV Killer par un affilié Lockbit pour désactiver les produits de sécurité.Malgré les perturbations, les ransomwares devraient rester une menace importante pour les entreprises dans un avenir prévisible. Microsoft Tracks Threat Actor [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eee69f74278) en tant que déménagement Ransomware. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: [Exploit: PHP / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encycopedia-description?name=Exploit:php/CVE-2024-4577!mr&menaceid = -2147054383) [Exploit: Python / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/atherets/malware-secdcopedia-description? name = exploit: python / cve-2024-4577! msr & menaceID = -2147054386) [Backdoor: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-dercription?name=backdoor:win32/clop) [Trojan: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/clop) [Ransom: WIN32 / CLOP] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=ransom:win32/clop) Microsoft Defender pour le point final Les alertes suivantes pourraient également indiquer une activité de menace associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. Exploitation de vulnérabilité PHP-CGI possible Processus MSHTA suspect lancé Un comportement suspect par une application HTML a été observé Fichier téléchargé à partir d'une source non fiable ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces ransomeware. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint / configurer-block-at-premier-sight-microsoft-defender-anvivirus? ocid = magicti_ta_learndoc) dans Microsoft Defender aNtivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d | Ransomware Malware Tool Vulnerability Threat Legislation | ||
|
2024-07-12 17:30:23 | ClickFix Deception: A Social Engineering Tactic to Deploy Malware (lien direct) | ## Instantané McAfee Labs a découvert une nouvelle méthode de livraison de logiciels malveillants connue sous le nom de chaîne d'infection "ClickFix". ## Description Les chercheurs de McAfee ont observé que Clickfix était utilisé de deux manières différentes.La première chaîne d'attaque commence lorsque les utilisateurs visitent des sites Web légitimes mais compromis, qui les redirigent vers des domaines hébergeant de fausses fenêtres contextuelles.Ces Windows demandent aux utilisateurs de coller un script dans un terminal PowerShell.La seconde commence par des e-mails de phishing avec des pièces jointes HTML se faisant passer pour les documents de mots à la boîte de réception d'une victime.En cliquant sur les invites de ces e-mails, JavaScript qui copie un script PowerShell dans le presse-papiers, demandant aux utilisateurs de l'exécuter. Une fois exécutés, ces scripts permettent aux logiciels malveillants d'infiltrer le système, conduisant potentiellement à un vol de données ou à une propagation supplémentaire.Des familles de logiciels malveillants comme Lumma Stealer et [Darkgate] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaaad126192697e6b648) ont été observés en utilisant ce technique.Darkgate est un logiciel malveillant de marchandises qui peut voler des informations, fournir un accès à distance et établir des portes bordées pendant que [Lumma Stealer] (https: //security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) est un voleur d'informations malware-as-a-tas (maas). McAfee a observé le clicCorrection de la technique utilisée aux États-Unis, au Canada, au Mexique, en Australie, au Brésil et en Chine, entre autres. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus ### Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / DarkgatE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/darkgate.rpx!mtb& ;troatid=-2147076849& ocid=Magicti_ta_ency) - [Trojan: win64 / darkgate] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/darkgate!mtb& ;theatid=-2147076814&-2147076849 & ocid = magicti_ta_ency) - [Trojan: vbs / darkgate] (https://www.microsoft.com/en-us/wdssi/therets/malware-encyclopedia-dercription?name=trojan:vbs/darkgate.ba!msr& threattid=-2147075963&ocid = magicti_ta_ency) - [comportementou: win32 / darkgate] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.aa&theatid=-2147075677) - [Trojan: Win32 / Lummacstealer] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyClopedia-Description? Name = Trojan: Win32 / Lummacstealer! Mtb & menaceID = -2147117932) - [PWS: Win32 / Lumma] (https://www.microsoft.com/en-us/wdsi/Thereats/ Malware-SencyClopedia-Description? Name = PWS: WIN32 / LUMMA! ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_TA_LearnDoc) pour les utilisateurs. - Implémentez [Force d'authentification d'accès conditionnel] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-strengs?ocid=Magicti_TA_Learndoc) pour nécessiter une authentification de phishing-résistants pour les employés et les utilisateurs externes pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour la critique pour l | Malware Threat Cloud | ||
|
2024-07-12 16:21:00 | La vulnérabilité critique du serveur de messagerie exim expose des millions à des pièces jointes malveillantes Critical Exim Mail Server Vulnerability Exposes Millions to Malicious Attachments (lien direct) |
Un problème de sécurité critique a été divulgué dans l'agent de transfert de courrier EXIM qui pourrait permettre aux acteurs de menace de livrer des pièces jointes malveillantes aux utilisateurs cibles \\ 'de réception.
La vulnérabilité, suivie comme CVE-2024-39929, a un score CVSS de 9,1 sur 10,0.Il a été abordé dans la version 4.98.
"EXIM à 4,97.1 erroné un nom de fichier d'en-tête RFC 2231 multiliné
A critical security issue has been disclosed in the Exim mail transfer agent that could enable threat actors to deliver malicious attachments to target users\' inboxes. The vulnerability, tracked as CVE-2024-39929, has a CVSS score of 9.1 out of 10.0. It has been addressed in version 4.98. "Exim through 4.97.1 misparses a multiline RFC 2231 header filename, and thus remote attackers can bypass |
Vulnerability Threat | ||
|
2024-07-12 15:00:00 | Mémo sur les menaces du cloud: Cloudsorcerer, un APT récemment découvert, exploite plusieurs services cloud légitimes Cloud Threats Memo: CloudSorcerer, a Recently Discovered APT, is Exploiting Multiple Legitimate Cloud Services (lien direct) |
> Une menace persistante avancée récemment découverte (APT) fournit un exemple particulièrement significatif de la façon dont plusieurs services cloud peuvent être combinés à l'intérieur de la même chaîne d'attaque pour ajouter des couches de sophistication et d'évasion.Cloudsorcerer est le nom que les chercheurs de Kaspersky ont inventé pour décrire un acteur de menace avancé ciblant les entités gouvernementales russes.Comme le nom [& # 8230;]
>A recently discovered advanced persistent threat (APT) provides a particularly meaningful example of how multiple cloud services can be combined inside the same attack chain to add layers of sophistication and evasion. CloudSorcerer is the name that researchers at Kaspersky have coined to describe an advanced threat actor targeting Russian government entities. As the name […] |
Threat Cloud | ||
|
2024-07-12 14:55:44 | Crystalray Hacker s'étend à 1 500 systèmes violés à l'aide de l'outil SSH-Snake CRYSTALRAY hacker expands to 1,500 breached systems using SSH-Snake tool (lien direct) |
## Instantané Les chercheurs de Sysdig ont identifié un nouvel acteur de menace, "Crystalray", qui a élargi leur portée de ciblage à plus de 1 500 victimes.Les chercheurs ont suivi l'acteur de menace depuis février.Initialement, l'utilisation du ver open-source SSH-Sake pour se déplacer latéralement sur les réseaux violés, Crystalray a maintenant augmenté ses opérations, utilisant un scanner de masse, exploitant plusieurs vulnérabilités et déploiement de déchets à l'aide de divers outils de sécurité OSS. ## Description Le principal outil principal de l'acteur de menace pour la propogande du réseau et l'exfiltration des données est le SSH-Sake, un ver open source qui vole les clés privées SSH sur les serveurs compromis et les utilise pour se déplacer latéralement vers d'autres serveurs tout en supprimant des charges utiles supplémentaires sur les systèmes infiltrés.Additionally, CRYSTALRAY uses modified proof-of-concept (PoC) exploits delivered to targets using the [Sliver post-exploitation toolkit](https://security.microsoft.com/intel-profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c), and the Platypus web-basedGestionnaire pour gérer plusieurs séances de shell inverse.Avant de lancer les exploits, les attaquants effectuent des vérifications approfondies pour confirmer les défauts à travers les noyaux. Les vulnérabilités cibles de cristalray dans ses opérations actuelles sont: [CVE-2022-44877] (https://security.microsoft.com/intel-Explorer / cves / cve-2022-44877 /) (Arbitrary Command Exécution Flaw in Control Web Pannel), [CVE-2021-3129] (https://security.microsoft.com/intel-explorer/cves/cve-2021-3129 /) (Bogue d'exécution de code arbitraire impactant l'allumage,Laravel), et [CVE-2019-18394] (https://security.microsoft.com/intel-explorer/cves/cve-2019-18394/) (Forgeron de la demande de serveur (SSRF).Les motivations de Crystalray comprennent la collecte et la vente de références, le déploiement de cryptomineurs et le maintien de la persistance dans les environnements victimes. ## Recommandations Microsoft vous recommande de valider l'applicabilité avant de mettre en œuvre dans votre propre environnement. CVE-2022-44877 [Exécutez "Yum Update" sur votre système] (https://security.microsoft.com/intel-explorer/articles/aeca0c35) pour appliquer la mise à jour 0.9.8.1147 à votre système à l'aide du repo personnalisé ajouté par le vendeur \\ 'S script d'installation.Les OSO plus récentes peuvent utiliser "Update DNF" au lieu de la commande YUM. Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-Politique? OCID = magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentificatio | Ransomware Tool Vulnerability Threat | ||
|
2024-07-12 14:00:00 | Les États-Unis saisissent les domaines utilisés par la ferme de bot russe propulsée par l'IA pour la désinformation U.S. Seizes Domains Used by AI-Powered Russian Bot Farm for Disinformation (lien direct) |
Le ministère américain de la Justice (DOJ) a déclaré avoir saisi deux domaines Internet et fouillé près de 1 000 comptes de médias sociaux que les acteurs de la menace russe auraient utilisés pour diffuser secrètement la désinformation du pro-kremlin dans le pays et à l'étranger à grande échelle.
«La ferme de bot sur les médias sociaux a utilisé des éléments de l'IA pour créer
The U.S. Department of Justice (DoJ) said it seized two internet domains and searched nearly 1,000 social media accounts that Russian threat actors allegedly used to covertly spread pro-Kremlin disinformation in the country and abroad on a large scale. "The social media bot farm used elements of AI to create fictitious social media profiles - often purporting to belong to individuals in the |
Threat | ★★★ | |
|
2024-07-12 12:04:00 | Optiv fait ses débuts sur le service de détection et de réponse gérés sur Google Secops, améliorer la gestion des menaces Optiv debuts managed detection and response service on Google SecOps, enhancing threat management (lien direct) |
Cyber Advisory and Solutions Company Optiv a lancé son service de détection et de réponse gérés, Optiv MDR, sur le ...
Cyber advisory and solutions company Optiv has launched its managed detection and response service, Optiv MDR, on the... |
Threat | ||
 |
2024-07-12 10:02:04 | Detecting Living Off The Land attacks with Wazuh (lien direct) | Threat actors commonly use Living Off The Land (LOTL) techniques to evade detection. Learn more from Wazuh about how its open source XDR/SIEM #cybersecurity platform can detect LOTL attacks. [...]
Threat actors commonly use Living Off The Land (LOTL) techniques to evade detection. Learn more from Wazuh about how its open source XDR/SIEM #cybersecurity platform can detect LOTL attacks. [...] |
Threat | ||
|
2024-07-12 09:37:32 | Une violation massive des données AT&T expose les journaux d'appels de 109 millions de clients Massive AT&T data breach exposes call logs of 109 million customers (lien direct) |
AT & t est en avertissement d'une violation de données massive où les acteurs de la menace ont volé les journaux d'appels pour environ 109 millions de clients, ou presque tous ses clients mobiles, à partir d'une base de données en ligne sur le compte Snowflake de la société.[...]
AT&T is warning of a massive data breach where threat actors stole the call logs for approximately 109 million customers, or nearly all of its mobile customers, from an online database on the company\'s Snowflake account. [...] |
Data Breach Threat Mobile | ||
|
2024-07-11 22:03:33 | Dodgebox: une plongée profonde dans l'arsenal mis à jour d'APT41 |Partie 1 DodgeBox: A deep dive into the updated arsenal of APT41 | Part 1 (lien direct) |
## Instantané
En avril 2024, Zscaler ThreatLabz a découvert un nouveau chargeur nommé Dodgebox, une version améliorée et évoluée de Stealthvector, un outil précédemment utilisé par le groupe chinois APT, APT41, suivi par Microsofoft.com / Intel-Profiles / ByExternalid / E49C4119AFE798DB103058C3FFDA5BD85E83534940247449478524d61ae6817a).
## Description
Après leur analyse de Dodgebox, les chercheurs de Zscaler KenenceLabz évaluent que le malware est une version améliorée du chargeur Stealthvector car il existe des similitudes importantes entre les deux Malwares.Écrit en C, Dodgebox est un chargeur de DLL réfléchissant qui a un certain nombre d'attributs, y compris la possibilité de décrypter et de charger des DLL intégrées, d'effectuer des vérifications de l'environnement et d'effectuer des procédures de nettoyage.Notamment, Dodgebox utilise également l'usurpation de pile d'appels, une technique utilisée par les logiciels malveillants pour obscurcir les origines des appels API, ce qui rend difficile la détection et les programmes de réponse aux points finaux (EDR) et les programmes antivirus pour détecter les logiciels malveillants.Dodgebox a été utilisé par APT41 pour livrer la porte dérobée Moonwalk, une nouvelle porte dérobée utilisée par le groupe de menaces.
Dodgebox et Stealthvector ont tous deux des similitudes dans leur:
- Ducchissement de la somme de contrôle et de la configuration,
- Format de configuration déchiffré,
- Keying environnemental
- Stratégie de correction de la Flux Guard (CFG), et
- Utilisation de DLL CALOWING
Zscaler note que leur confiance dans l'attribution des activités Dodgebox à APT41 est modérée car la charge de touche DLL est une technique souvent utilisée par les groupes chinois APT.De plus, les échantillons de Dodgebox téléchargés sur Virustotal proviennent de la Thaïlande et de Taïwan, alimentant avec le ciblage historique de l'Asie du Sud-Est par APT41 en utilisant Stealthvector.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- * [Trojan: win64 / dllhijack] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/dllhijack.ah!mtb)*
- * [Trojan: Win64 / CoBaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/cobaltsstrike.off!mtb) *
## Les références
[Dodgebox: une plongée profonde dans l'aresenal mis à jour d'APT41 |Partie 1] (https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-parte-1).Zscaler (consulté en 2024-07-11)
## Snapshot In April 2024, Zscaler ThreatLabz discovered a new loader named DodgeBox, an upgraded and evolved version of StealthVector, a tool previously used by the Chinese APT group, APT41, tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/byExternalId/e49c4119afe798db103058c3ffda5bd85e83534940247449478524d61ae6817a). ## Description After their analysis of DodgeBox, researchers from Zscaler ThreatLabz assess that the malware is an enhanced version of StealthVector loader as there are significant similarities between the two malwares. Written in C, DodgeBox is a reflective DLL loader that has a number of attributes, including the ability to decrypt and load embedded DLLs, perform environment checks, and carry out cleanup procedures. Notably, DodgeBox also employs call stack spoofing, a technique used by malware to obfuscate the origins of API calls, making it difficult for Endpoint Detection and Response (EDR) solutions and antivirus programs to detect the malware. DodgeBox has been used by APT41 to deliver the MoonWalk backdoor, a new backdoor being employed by the threat group. DodgeBox and StealthVector both have similarities in their: - checksum and configuration decryption, - decrypted conf |
Malware Tool Threat Patching | APT 41 | ★★★ |
|
2024-07-11 20:36:00 | 60 nouveaux forfaits malveillants découverts dans l'attaque de la chaîne d'approvisionnement de NuGet 60 New Malicious Packages Uncovered in NuGet Supply Chain Attack (lien direct) |
Des acteurs de menace ont été observés publiant une nouvelle vague de packages malveillants au gestionnaire de packages NuGet dans le cadre d'une campagne en cours qui a commencé en août 2023, tout en ajoutant une nouvelle couche de furtivité pour échapper à la détection.
Les packages frais, d'environ 60 au nombre et couvrant 290 versions, démontrent une approche raffinée de l'ensemble précédent qui a été révélé en octobre 2023, Supply Software
Threat actors have been observed publishing a new wave of malicious packages to the NuGet package manager as part of an ongoing campaign that began in August 2023, while also adding a new layer of stealth to evade detection. The fresh packages, about 60 in number and spanning 290 versions, demonstrate a refined approach from the previous set that came to light in October 2023, software supply |
Threat | ★★★ | |
|
2024-07-11 19:38:48 | (Déjà vu) La mécanique de Vipersoftx: exploiter AutOIT et CLR pour une exécution furtive PowerShell The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution (lien direct) |
## Instantané Des chercheurs de Trellix ont publié un rapport sur Vipersoftx, un malware sophistiqué d'informations qui se propage principalement via des logiciels fissurés, et récemment, en tant que livres électroniques sur des sites torrent.En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description Détecté pour la première fois en 2020, Vipersoftx utilise le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans AutOIT, éluant la détection en intégrant la fonctionnalité PowerShell.Les attaquants modifient les scripts de sécurité offensive existants pour s'aligner sur leurs objectifs malveillants, améliorant les tactiques d'évasion des logiciels malveillants. La chaîne d'infection commence lorsque les utilisateurs téléchargent un ebook à partir d'un lien torrent malveillant, contenant des menaces cachées telles que les fichiers de raccourci et les scripts PowerShell déguisés en fichiers JPG.Lorsque l'utilisateur exécute le raccourci, il initie des commandes qui informent un dossier, configurez le planificateur de tâches Windows et copiez des fichiers dans le répertoire système.Le code PowerShell, caché dans des espaces vides, effectue diverses actions malveillantes, y compris l'exfiltration des données et la manipulation du système. Vipersoftx exploite AutOIT pour exécuter les commandes PowerShell en interagissant avec le framework .NET CLR.Le malware corrige l'interface de balayage anti-logiciels (AMSI) pour échapper à la détection, ce qui lui permet de fonctionner non détecté.Il rassemble des informations système, analyse les portefeuilles de crypto-monnaie et envoie des données à son serveur de commande et de contrôle (C2).Le malware télécharge également dynamiquement des charges utiles et des commandes supplémentaires en fonction des réponses du serveur C2. ### Analyse supplémentaire Vipersoftx est un voleur d'informations malveillant connu pour ses capacités d'infiltration et d'exfiltration.L'utilisation principale du malware \\ a été en tant que voleur de crypto-monnaie, et il aurait ciblé 17 portefeuilles de crypto-monnaie différents, notamment Bitcoin, Binance, Delta, Electrum, Exodus, Ledger Live, Metamask, Atomic Wallet et Coinbase.In their April 2023 [report](https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html) on ViperSoftX, Trend Micro noted that consumer and enterprise sectors inL'Australie, le Japon et les États-Unis ont été le plus victimes par les logiciels malveillants. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
|
2024-07-11 19:04:15 | Advance Auto Parts La violation des données affecte 2,3 millions de clients Advance Auto Parts Data Breach Affects 2.3M Customers (lien direct) |
Les acteurs de la menace ont eu accès aux réseaux du fournisseur automobile pendant plus d'un mois avant leur découverte.
Threat actors had access to the automotive provider\'s networks for more than a month before they were discovered. |
Data Breach Threat | ★★★ | |
|
2024-07-11 18:01:00 | Chinese APT41 améliore le malware Arsenal avec Dodgebox et Moonwalk Chinese APT41 Upgrades Malware Arsenal with DodgeBox and MoonWalk (lien direct) |
Le groupe de menace persistante avancée (APT), lié à la Chine, le nom du nom du nom de code APT41 est soupçonné d'utiliser une "version avancée et améliorée" d'un logiciel malveillant connu appelé Stealthvector pour livrer une porte dérobée non documentée précédemment surnommée Moonwalk.
La nouvelle variante de Stealthvector & # 8211;qui est également appelé poussière & # 8211;a été nommé Dodgebox de Zscaler KenenceLabz, qui a découvert la souche de chargeur
The China-linked advanced persistent threat (APT) group codenamed APT41 is suspected to be using an "advanced and upgraded version" of a known malware called StealthVector to deliver a previously undocumented backdoor dubbed MoonWalk. The new variant of StealthVector – which is also referred to as DUSTPAN – has been codenamed DodgeBox by Zscaler ThreatLabz, which discovered the loader strain in |
Malware Threat | APT 41 | ★★★ |
|
2024-07-11 16:30:00 | Solutions de sécurité rationalisées: PAM pour les petites et moyennes entreprises Streamlined Security Solutions: PAM for Small to Medium-sized Businesses (lien direct) |
Aujourd'hui, toutes les organisations sont exposées à la menace des cyber violations, quelle que soit leur échelle.Historiquement, les grandes entreprises étaient des objectifs fréquents en raison de leurs ressources substantielles, de leurs données sensibles et de leurs responsabilités réglementaires, tandis que les petites entités ont souvent sous-estimé leur attractivité pour les pirates.Cependant, cette hypothèse est précaire, alors que les cybercriminels exploitent fréquemment
Today, all organizations are exposed to the threat of cyber breaches, irrespective of their scale. Historically, larger companies were frequent targets due to their substantial resources, sensitive data, and regulatory responsibilities, whereas smaller entities often underestimated their attractiveness to hackers. However, this assumption is precarious, as cybercriminals frequently exploit |
Threat | ★★★ | |
 |
2024-07-11 15:09:32 | Apple alerte les utilisateurs d'iPhone d'attaques de logiciels espions Apple Is Alerting iPhone Users of Spyware Attacks (lien direct) |
Pas beaucoup de Détails :
Apple a émis une nouvelle série de notifications de menace aux utilisateurs d'iPhone dans 98 pays, les avertissant des attaques potentielles de logiciels spymétriques.Il est la deuxième campagne d'alerte de la société cette année, après un similaireNotification envoyée aux utilisateurs dans 92 nations En avril.
Not a lot of details: Apple has issued a new round of threat notifications to iPhone users across 98 countries, warning them of potential mercenary spyware attacks. It’s the second such alert campaign from the company this year, following a similar notification sent to users in 92 nations in April. |
Threat Mobile | ★★★ | |
|
2024-07-11 12:23:01 | Nozomi rapporte les défis du paysage et de la réglementation des menaces OT / IoT, mettant en évidence l'évolution mondiale de la cyber-menace Nozomi reports on OT/IoT threat landscape and regulatory challenges, highlighting global cyber threat evolution (lien direct) |
Nozomi Networks Labs a publié un rapport évaluant le paysage des menaces OT / IoT en analysant les derniers ICS CVE ...
Nozomi Networks Labs has released a report assessing the OT/IoT threat landscape by analyzing the latest ICS CVEs... |
Threat Studies Industrial | ★★★★ | |
|
2024-07-11 10:49:00 | La vulnérabilité PHP exploitée pour répandre les logiciels malveillants et lancer des attaques DDOS PHP Vulnerability Exploited to Spread Malware and Launch DDoS Attacks (lien direct) |
Plusieurs acteurs de menaces ont été observés exploitant une faille de sécurité récemment divulguée en PHP pour livrer des chevaux de Troie à distance, des mineurs de crypto-monnaie et des botnets de déni de service distribué (DDOS).
La vulnérabilité en question est CVE-2024-4577 (score CVSS: 9.8), qui permet à un attaquant d'exécuter à distance des commandes malveillantes sur les systèmes Windows à l'aide de lieux chinois et japonaise.Il
Multiple threat actors have been observed exploiting a recently disclosed security flaw in PHP to deliver remote access trojans, cryptocurrency miners, and distributed denial-of-service (DDoS) botnets. The vulnerability in question is CVE-2024-4577 (CVSS score: 9.8), which allows an attacker to remotely execute malicious commands on Windows systems using Chinese and Japanese language locales. It |
Malware Vulnerability Threat | ★★★ | |
|
2024-07-11 09:50:31 | (Déjà vu) June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline (lien direct) | Recherche |Cybersécurité |Rapport sur les menaces mondiales
Juin 2024 \'s Mostware le plus recherché: RansomHub prend la première place en tant que groupe de ransomware le plus répandu à la sillage de Lockbit3 Decline
L'indice de menace de Check Point \\ met en évidence un changement dans le paysage Ransomware-as-a-Service (RAAS), avec RansomHub dépassant Lockbit3 pour s'arrêter le haut comme le groupe le plus répandu.Pendant ce temps, les chercheurs ont identifié une campagne de porte dérobée de Badspace Windows via de fausses mises à jour du navigateur
-
mise à jour malveillant
Research | Cyber Security | Global Threat Report June 2024\'s Most Wanted Malware: RansomHub Takes Top Spot as Most Prevalent Ransomware Group in Wake of LockBit3 Decline Check Point\'s Threat Index highlights a shift in the Ransomware-as-a-Service (RaaS) landscape, with RansomHub surpassing LockBit3 to take top stop as the most prevalent group. Meanwhile, researchers identified a BadSpace Windows backdoor campaign spread via fake browser updates - Malware Update |
Ransomware Malware Threat | ★★★ | |
 |
2024-07-11 05:31:58 | L'agence spatiale japonaise a repéré des attaques zéro-jour tout en nettoyant l'attaque sur M365 Japanese space agency spotted zero-day attacks while cleaning up attack on M365 (lien direct) |
Attaque de logiciels malveillants multiples a vu des données personnelles acées, mais la science des fusées est restée sûre L'Agence japonaise d'exploration spatiale (JAXA) a découvert qu'elle était attaquée à l'aide d'exploits zéro-jour tout en travaillant avec Microsoft pour sonder une cyberattaque de 2023 en 2023sur ses systèmes.… | Malware Vulnerability Threat | ★★★ | |
 |
2024-07-11 01:00:00 | Akira Ransomware cible l'industrie du compagnie aérienne LATAM Akira Ransomware Targets the LATAM Airline Industry (lien direct) |
En juin 2024, un groupe de menaces utilisant un ransomware Akira a été découvert ciblant une compagnie aérienne latino-américaine.Akira est le ransomware associé au groupe Ransomware-as-a-Service (RAAS) appelé Storm-1567.Dans ce blog, nous examinerons la chaîne d'attaque d'Akira \\.
In June 2024, a threat group utilizing Akira ransomware was discovered targeting a Latin American airline. Akira is the ransomware associated with the Ransomware-as-a-Service (RaaS) group referred to as Storm-1567. In this blog, we\'ll examine Akira\'s attack chain. |
Ransomware Threat | ★★★ | |
|
2024-07-10 20:50:57 | Coyote Banking Trojan Targets LATAM with a Focus on Brazilian Financial Institutions (lien direct) | #### Géolocations ciblées - Brésil - Amérique du Sud - L'Amérique centrale et les Caraïbes #### Industries ciblées - Services financiers ## Instantané BlackBerry a publié un rapport détaillant Coyote, un Trojan bancaire .NET qui cible les institutions financières brésiliennes depuis son identification en février 2024. ## Description Les analystes de BlackBerry n'ont pas été en mesure de déterminer exactement comment le coyote est livré aux machines victimes;Cependant, ils évaluent qu'il est probablement livré par attachement de phishing.Coyote déguise son chargeur initial en Squirrel, un logiciel de gestion des applications Windows légitime.Une fois exécuté, Coyote vérifie continuellement la fenêtre du navigateur Internet pour déterminer quand la victime a accédé à un domaine cible.Lorsque cela se produit, Coyote commence la communication avec ses serveurs de commande et de contrôle (C2).Coyote Malware est capable d'exécuter 24 commandes et fonctions, y compris la capture d'écran, affichant des fenêtres de superposition, apportant des modifications du registre, déplaçant la souris de la victime, le keylogging et l'arrêt de la machine. Dans son rapport, Blackberry a inclus les noms de 59 domaines légitimes connus que Coyote a ciblés.Il s'agit notamment des institutions financières brésiliennes, un échange mondial de crypto-monnaie. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le suivant MALLAGIE: - * [Trojan: Msil / Coyote] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:msil/coyote!msr& ;threatid = -2147064768) * - * [Trojan: Win32 / Malgent] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/malgent& threattid=-2147172466) * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection livrée par les nuages] (Https: //learn.microsoft.com/en-us/defender-endpoint/cloud-protection-microsoft-defender-antivirus) dans Microsoft Defender aNtivirus ou l'équiva | Malware Tool Threat | ★★★ | |
|
2024-07-10 19:59:19 | Les attaquants tirent parti de Microsoft Zero-Day depuis 18 mois Attackers Have Been Leveraging Microsoft Zero-Day for 18 Months (lien direct) |
Probablement deux acteurs de menaces distinctes utilisent le CVE-2024-38112 du CVE 2024-38112 dans des campagnes d'infostaler ciblées et simultanées.
Likely two separate threat actors are using the just-patched CVE-2024-38112 in targeted, concurrent infostealer campaigns. |
Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
