What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-25 09:02:00 | Plusieurs plugins WordPress compromis: les pirates créent des comptes d'administration voyous Multiple WordPress Plugins Compromised: Hackers Create Rogue Admin Accounts (lien direct) |
Plusieurs plugins WordPress ont été arrière pour injecter du code malveillant qui permet de créer des comptes d'administrateur voyous dans le but d'effectuer des actions arbitraires.
"Le logiciel malveillant injecté tente de créer un nouveau compte utilisateur administratif, puis renvoie ces détails au serveur contrôlé par l'attaquant", a déclaré le chercheur de la sécurité de Wordfence Chloe Chamberland dans une alerte du lundi.
Multiple WordPress plugins have been backdoored to inject malicious code that makes it possible to create rogue administrator accounts with the aim of performing arbitrary actions. "The injected malware attempts to create a new administrative user account and then sends those details back to the attacker-controlled server," Wordfence security researcher Chloe Chamberland said in a Monday alert. |
Malware | ||
 |
2024-06-24 20:35:34 | LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations (lien direct) | #### Géolocations ciblées
- Chine
## Instantané
LevelBlue Labs a récemment découvert un nouveau chargeur hautement évasif qui est livré à des cibles spécifiques par des pièces jointes de phishing.
## Description
Levelblue Labs a nommé ce malware «Squidloader», compte tenu de ses efforts clairs sur leur leurre et ses délais.
Le logiciel malveillant en charge utile de deuxième étape que Squidloader a livré est un échantillon de frappe Cobalt, qui avait été modifié pour le durcir contre l'analyse statique.Sur la base de la configuration de SquidLoader \\, LevelBlue Labs a évalué que ce même acteur inconnu a été observé pour offrir des campagnes sporadiques au cours des deux dernières années, ciblant principalement les victimes de langue chinoise.Malgré l'étude d'un acteur de menace qui semble se concentrer sur un pays spécifique, leurs techniques et tactiques peuvent être reproduites, peut-être contre des organisations non chinaises dans un avenir proche par d'autres acteurs ou créateurs de logiciels malveillants qui tentent d'éviter les détections.
## Les références
[LevelBlue Labs découvre un nouveau chargeur hautement évasif ciblant les organisations chinoises] (https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (consulté en 2024-06-24)
#### Targeted Geolocations - China ## Snapshot LevelBlue Labs recently discovered a new highly evasive loader that is being delivered to specific targets through phishing attachments. ## Description LevelBlue Labs has named this malware “SquidLoader,” given its clear efforts at decoy and evasion. The second-stage payload malware that SquidLoader delivered is a Cobalt Strike sample, which had been modified to harden it against static analysis. Based on SquidLoader\'s configuration, LevelBlue Labs has assessed that this same unknown actor has been observed delivering sporadic campaigns during the last two years, mainly targeting Chinese-speaking victims. Despite studying a threat actor who seems to focus on a specific country, their techniques and tactics may be replicated, possibly against non-Chinese speaking organizations in the near future by other actors or malware creators who try to avoid detections. ## References [LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations](https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations) LevelBlue (Accessed 2024-06-24) |
Malware Threat | ||
 |
2024-06-24 20:31:15 | Pratiquer une bonne hygiène numérique sur la macOS Apple Practicing Good Digital Hygiene on Apple macOS (lien direct) |
> Gardez le macOS et le logiciel mis à jour pour bloquer les logiciels malveillants.Vous remarquez des ralentissements ou des pop-ups?Agir rapidement: déconnecter, exécuter un antivirus et signaler.Restez protégé et sécurisé.
>Keep macOS and software updated to block malware. Notice slowdowns or pop-ups? Act fast: disconnect, run antivirus, and report. Stay protected and secure. |
Malware | ||
 |
2024-06-24 16:15:00 | Modular malware boolka \\ 's Bmanager Trojan exposé Modular Malware Boolka\\'s BMANAGER Trojan Exposed (lien direct) |
Le groupe a été observé exploitant des vulnérabilités grâce à des attaques d'injection SQL depuis 2022
The group has been observed exploiting vulnerabilities through SQL injection attacks since 2022 |
Malware Vulnerability | ||
|
2024-06-24 15:30:00 | Les utilisateurs d'Android ont mis en garde contre l'augmentation de la menace de logiciels malveillants de Rafel Rat Android Users Warned of Rising Malware Threat From Rafel RAT (lien direct) |
Une publication antérieure par Check Point Research avait déjà lié Rafel à l'équipe APT-C-35 / Donot
An earlier publication by Check Point Research had already linked Rafel to the APT-C-35/DoNot Team |
Malware Threat Mobile | ||
 |
2024-06-24 15:27:14 | L'utilisation généralisée de Rafel Rat met 3,9 milliards de dispositifs Android à risque Widespread Use of Rafel RAT Puts 3.9 Billion Android Devices at Risk (lien direct) |
Le nouveau Rafel Rat est un malware Android capable de voler des données, d'espionner et même de verrouiller votre téléphone.Gardez votre Android à jour, téléchargez des applications en toute sécurité et évitez les attaques de phishing pour rester en sécurité.
The new Rafel RAT is an Android malware capable of stealing data, spy on you, and even lock your phone. Keep your Android updated, download apps safely, and avoid phishing attacks to stay secure. |
Malware Mobile | ||
|
2024-06-24 12:48:47 | Faits saillants hebdomadaires OSINT, 24 juin 2024 Weekly OSINT Highlights, 24 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a persistent focus on sophisticated cyber espionage and ransomware campaigns by state-sponsored threat actors and advanced cybercriminal groups. Key trends include the exploitation of known vulnerabilities in network devices and hypervisors by Chinese groups like Velvet Ant and UNC3886, leveraging custom malware for long-term access and data theft. Meanwhile, actors active in the Middle Eastern and South Asian such as Arid Viper and UTA0137 continue to target adversaries with trojanized apps and Linux malware, respectively. Additionally, innovative social engineering techniques, like those used by TA571 and ClearFake, highlight the evolving methods threat actors employ to deliver diverse payloads, including ransomware and information stealers. The consistent targeting of critical infrastructure, government entities, and high-value enterprises underscores the need for robust, multi-layered cybersecurity defenses to mitigate these sophisticated and persistent threats. ## Description 1. **[Arid Viper Espionage Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/19d9cd7d)**: ESET researchers uncovered Arid Viper\'s espionage campaigns targeting Android users in Egypt and Palestine. The campaigns distribute trojanized apps through dedicated websites, focusing on user data espionage with their AridSpy malware, a sophisticated multistage Android spyware. 2. **[Velvet Ant Exploits F5 BIG-IP](https://sip.security.microsoft.com/intel-explorer/articles/e232b93d)**: Sygnia analysts revealed that the Chinese cyberespionage group Velvet Ant exploited vulnerabilities in F5 BIG-IP appliances to deploy malware like PlugX, enabling long-term access and data theft. These incidents emphasize the threat posed by persistent threat groups exploiting network device vulnerabilities. 3. **[UNC3886 Targets Hypervisors](https://sip.security.microsoft.com/intel-explorer/articles/faed9cc0)**: Google Cloud reported that Mandiant investigated UNC3886, a suspected Chinese cyberespionage group, targeting hypervisors with sophisticated malware and exploiting vulnerabilities in FortiOS and VMware technologies. The group utilized rootkits and custom malware for persistence and command and control. 4. **[UTA0137 Cyber-Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bc2b5c55)**: Volexity identified Pakistan-based UTA0137 targeting Indian government entities with DISGOMOJI malware, which uses Discord for command and control. The campaign targets Linux systems, employing various persistence mechanisms and exploiting vulnerabilities like DirtyPipe for privilege escalation. 5. **[Proofpoint Highlights Copy-Paste Attacks](https://sip.security.microsoft.com/intel-explorer/articles/c75089e9)**: Proofpoint researchers reported that threat actors, including TA571 and ClearFake, are using techniques that prompt users to copy and paste malicious PowerShell scripts. These campaigns deliver various malware, including DarkGate and NetSupport, through clever social engineering tactics that trick users into compromising their systems. 6. **[Shinra and Limpopo Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b7a96cbd)**: FortiGuard Labs identified the emergence of Shinra and Limpopo ransomware strains in early 2024. Shinra ransomware exfiltrates data before encryption, while Limpopo targets ESXi environments, affecting multiple countries and causing significant disruptions. 7. **[CVE-2024-4577 Vulnerability Exploits](https://sip.security.microsoft.com/intel-explorer/articles/8635c515)**: Cyble Global Sensor Intelligence detected multiple scanning attempts exploiting CVE-2024-4577, a vulnerability in Windows affecting PHP installations. Threat actors are using this flaw to deploy ransomware and malware, emphasizing the urgent need for organizations to upgrade PHP versions to mitigate risks. 8. **[SmallTiger Malware Targets South Korea](https://sip.security.microsoft.com/intel-explorer/articles/3f29a6c8)**: The AhnLab Securi | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT-C-23 | |
 |
2024-06-22 23:25:53 | Entrez Sandbox 28: Extraction des primitives d'accès automatisé Enter Sandbox 28: Automated access primitives extraction (lien direct) |
Dans mon article précédent sur Ti, j'ai laissé entendre que le malware échantillonnait le sandboxing (F.Ex. Extraction de configurations, d'identification, de domaines, de courriels, (s) comptes FTP) & # 8211;L'identification de TTPS est une excellente source de données TI & # 8230;Je dois admettre qu'il y a tellement de jus à absorber & # 8230; Continuer la lecture & # 8594;
In my previous post about TI I hinted that malware sample sandboxing (f.ex. extracting configs, credentials, domains, emails, (S)FTP accounts) – identifying TTPs is a great TI data source… I must admit that there is so much juice to absorb … Continue reading → |
Malware | ||
|
2024-06-22 18:38:53 | Nouvelle campagne NetSupport livrée via des packages MSIX New NetSupport Campaign Delivered Through MSIX Packages (lien direct) |
## Instantané Xavier Mertens a identifié une nouvelle campagne NetSupport qui offre un client NetSupport malveillant via des packages MSIX.Les attaquants tirent parti de cette technique pour communiquer avec des ordinateurs infectés sans avoir besoin de développer leur propre infrastructure de commandement et de contrôle (C2). ## Description Le fichier MALICIET MSIX contient tous les composants pour télécharger et installer le client NetSupport, y compris une version portable 7ZIP utilisée pour déballer le client.Le script dans le fichier ouvre d'abord un navigateur pour afficher la page de téléchargement Chrome, vérifie alors si l'ordinateur fait partie d'un domaine Microsoft avant d'installer le client.Le client NetSupport est double compressé et le fichier de configuration révèle l'adresse IP du serveur C2, qui est en baisse pour le moment.Cette campagne représente une méthode à faible coût pour que les attaquants compromettent davantage de victimes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - Trojan: Win32 / Seheq ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et des logiciels malveillants hôte. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magicti_TA_LearnDdoc) pour bloquerConnexions avec des domaines malveillants et des adresses IP. - Éduquer les utilisateurs à utiliser le navigateur URL du navigateur pour valider cela en cliquant sur un lien dans les résultats de recherche, ils sont arrivés dans un domaine légitime attendu. - Éduquer les utilisateurs à vérifier que le logiciel installé devrait être publié par un éditeur légitime. - Allumez [Protection en cas de nuage] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antvirus?View = O365 Worldwide & ocid = magicti_ta_learndoc) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent la plupart des variantes nouvelles et inconnues. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=O365-Worldwide & ocid = magicti_ta_learndoc) afin que Microsoft Defender pour le point final puisse bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Investigation and Remediation] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide& ;ocid=magicti_ta_learndoc) en mode automatisé complet en mode automatisé;Pour permettre à Microsoft Defender for Endpoint de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Allumez [Tamper Protection] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=O365 worldwide & ocid = magicti_ta_learndoc) pour empêcher les attaquants d'empêcher les ser | Malware Tool Threat | ||
 |
2024-06-22 10:19:38 | Rafel Rat cible les téléphones Android obsolètes dans des attaques de ransomwares Rafel RAT targets outdated Android phones in ransomware attacks (lien direct) |
Un logiciel malveillant Android open source nommé \\ 'rafel rat \' est largement déployé par plusieurs cybercriminels pour attaquer les appareils obsolètes, certains visant à les verrouiller avec un module de ransomware qui exige le paiement sur Telegram.[...]
An open-source Android malware named \'Rafel RAT\' is widely deployed by multiple cybercriminals to attack outdated devices, some aiming to lock them down with a ransomware module that demands payment on Telegram. [...] |
Ransomware Malware Mobile | ||
 |
2024-06-22 08:16:12 | De la sécurité du réseau à NYET travaille à perpétuité: qu'est-ce qui se passe avec l'interdiction des États-Unis de Kaspersky? From network security to nyet work in perpetuity: What\\'s up with the Kaspersky US ban? (lien direct) |
Cela a été longtemps à venir.Maintenant, nos journaux parlent leur cerveau Kettle Le gouvernement américain a interdit jeudi à Kaspersky Lab de vendre ses antivirus et autres produits en Amérique à partir de la fin juillet et de la publication de signatures de mises à jour et de logiciels malveillants à partir de ses signaturesOctobre.… | Malware | ||
|
2024-06-21 19:12:00 | Les pirates chinois déploient Spicerat et Sugargh0st dans Global Espionage Campaign Chinese Hackers Deploy SpiceRAT and SugarGh0st in Global Espionage Campaign (lien direct) |
Un acteur de menace chinois auparavant sans papiers, le nom de la menace chinoise, Sneakychef a été lié à une campagne d'espionnage ciblant principalement les entités gouvernementales à travers l'Asie et l'EMEA (Europe, Moyen-Orient et Afrique) avec des logiciels malveillants de Sugargh 0st depuis au moins août 2023.
"Sneakychef utilise des leurres qui sont des documents scannés des agences gouvernementales, dont la plupart sont liées à divers pays \\ 'Ministères
A previously undocumented Chinese-speaking threat actor codenamed SneakyChef has been linked to an espionage campaign primarily targeting government entities across Asia and EMEA (Europe, Middle East, and Africa) with SugarGh0st malware since at least August 2023. "SneakyChef uses lures that are scanned documents of government agencies, most of which are related to various countries\' Ministries |
Malware Threat | ||
|
2024-06-21 18:31:00 | L'escroquerie par e-mail sur le thème militaire répand les logiciels malveillants pour infecter les utilisateurs pakistanais Military-themed Email Scam Spreads Malware to Infect Pakistani Users (lien direct) |
Les chercheurs en cybersécurité ont fait la lumière sur une nouvelle campagne de phishing qui a été identifiée comme ciblant les personnes au Pakistan à l'aide d'une porte dérobée personnalisée.
Surnommée Phantom # Spike par Securonix, les acteurs de la menace inconnus derrière l'activité ont mis à profit les documents de phishing liés à l'armée pour activer la séquence d'infection.
"Bien qu'il existe de nombreuses méthodes utilisées aujourd'hui pour déployer des logiciels malveillants, les acteurs de la menace
Cybersecurity researchers have shed light on a new phishing campaign that has been identified as targeting people in Pakistan using a custom backdoor. Dubbed PHANTOM#SPIKE by Securonix, the unknown threat actors behind the activity have leveraged military-related phishing documents to activate the infection sequence. "While there are many methods used today to deploy malware, the threat actors |
Malware Threat | ||
 |
2024-06-21 13:00:17 | A Step-by-Step Guide to Spotting and Preventing Frame Injections (lien direct) | > Imaginez une jungle numérique florissante où les applications sur le Web sont la faune abondante, et les cybercriminels qui se cachent sont des cybercriminels, toujours prêts à bondir.Parmi leurs méthodes astucieuses, il y a & # 8216; injection de cadre, & # 8217;Une tactique sournoise qui transforme les applications Web en pavés de lancement pour le phishing et les logiciels malveillants s'ils ne sont pas rapidement détectés et écrasés.Heureusement, il existe des méthodes pour atténuer efficacement les attaques d'injection de cadre.Armé d'un guide étape par étape simple, nous pouvons garder notre paysage numérique et travailler pour le garder en sécurité.Protéger les utilisateurs, la réputation et les attaques d'injection de trame de base sont un sous-ensemble d'attaques d'injection de code où les mauvais acteurs manipulent la structure du site Web [& # 8230;]
>Imagine a thriving digital jungle where web-based applications are the abundant wildlife, and lurking amongst them are cyber criminals, ever ready to pounce. Among their crafty methods is ‘frame injection,’ a sneaky tactic that turns web applications into launchpads for phishing and malware if not quickly detected and squashed. Thankfully, there are methods to mitigate frame injection attacks effectively. Armed with a straightforward step-by-step guide, we can guard our digital landscape and work to keep it secure. Protect Users, Reputation, and Bottom Line Frame injection attacks are a subset of code injection attacks where bad actors manipulate the website’s structure […] |
Malware | ||
|
2024-06-21 02:03:23 | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns (lien direct) |
#### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T | Malware Threat Mobile | APT-C-23 | ★★ |
 |
2024-06-20 21:48:11 | Les télécommunications frappent le plus durement par les logiciels malveillants cloud, le rapport trouve le rapport Telcos Hit Hardest by Cloud Malware, Report Finds (lien direct) |
Les sociétés de télécommunications sont ciblées par des acteurs malveillants à un rythme alarmant, selon un nouveau rapport de Netskope Threat Labs.Le rapport met en évidence une tendance préoccupante des attaquants exploitant des applications cloud populaires comme Microsoft Onedrive et Github pour livrer des logiciels malveillants aux victimes sans méfiance dans l'industrie des télécommunications.Cela suit une tendance tout aussi troublante découverte [& # 8230;]
Le post Telcos frappe le plus durement par Cloud Mahware, Le rapport trouve apparu pour la première fois sur gourou de la sécurité informatique .
Telecom companies are being targeted by malicious actors at an alarming rate, according to a new report by Netskope Threat Labs. The report highlights a concerning trend of attackers exploiting popular cloud apps like Microsoft OneDrive and GitHub to deliver malware to unsuspecting victims in the telecoms industry. This follows a similarly unsettling trend uncovered […] The post Telcos Hit Hardest by Cloud Malware, Report Finds first appeared on IT Security Guru. |
Malware Threat Prediction Cloud | ★★★ | |
|
2024-06-20 19:50:16 | Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) | ## Instantané En septembre 2022, Google Cloud a rendu compte des enquêtes de Mandiant \\ sur "UNC3886", soupçonnées de mandiant d'être un groupe de cyber-espionnage lié au chinois, après la découverte de logiciels malveillants dans les hyperviseurs Esxi.UNC3886 ciblé globalOrganisations stratégiques, exploitation des vulnérabilités dans Fortios ([CVE-2022-41328] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview)) et VMware Technologies ([CVE-2022-22948](https://security.microsoft.com/vulnerabilities/vulnerability/cve-2022-22948/overview), [cve-2023-20867] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-com20867 / Overview)), y compris une vulnérabilité zéro-jour dans VMware vcenter ([CVE-2023-34048] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-34048/aperçu)). ## Description L'UNC3886 a utilisé des mécanismes de persistance sophistiqués à travers les dispositifs de réseau, les hyperviseurs et les machines virtuelles, en utilisant des rootkits comme Reptile et Medusa, avec Medusa installé via son composant d'installation, Sealfe, pour un accès à long terme.L'acteur de menace a également déployé des logiciels malveillants personnalisés tels que MopSled et Riflespine, tirant parti des services tiers de confiance pour la commande et le contrôle.Mandiant a également oberved partage C6) De plus, Mandiant rapporte que l'acteur de menace a tenté d'étendre son accès aux appareils réseau en ciblant un serveur TACACS + en utilisant le revers de renifleur.En outre, UNC3886 les délais exploités pour exploiter l'interface de communication virtuelle (VMCI), y compris des variantes comme VirtualShine, VirtualPie et VirtualSphere, pour faciliter l'exécution de la commande et le mouvement latéral dans des environnements ciblés. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: LiNux / Reptile] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:linux/reptile.a& ;thered=-2147118004) - [Backdoor: Linux / Reptile] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description? Name = Backdoor: Linux / Reptile! Mtb & menaceID = -2147058920) - [Trojan: Win32 / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/medusa.a& threattid=-2147462289) - [Trojandownloader: sh / medusa] (https: //www.miCrosost.com/nus/wds/threets/malwaore-encycription.metcrid - Salut: Py: PyThon / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=pua:pyTHON / MEDUSA.A & AMP; NOFENID = 314289) - [Trojandownloader: sh / medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: sh / medusa.a! mtb & menaceid = -2147127030) - [Comportement: win32 / medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/medusa.a&theatid=-2147078674) - [Trojan: Msil / Medusa] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: MSIL / MEDUSA! - [Trojan: Python / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:python/medusa.c& threattid=-2147066576) - [Trojan: Bat / Medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:bat/medusa!mtb&theretid=-2147064383) ## Recommandations [CVE-2022-41328] (HTtps: //security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview) Mettez à niveau vers Fortinet Fortios version 7.2.4, 7.0.10 ou 6.4.11 pour atténuer cette vulnérabilité. [CVE-2022-22948] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-22948/overview) Passez à la dernière version de VMware vCenter Server et Cloud Foundation. [CVE | Malware Vulnerability Threat Cloud | ★★ | |
 |
2024-06-20 15:54:24 | \\ 'Vortax \\' Meeting Le logiciel construit une marque élaborée, répartit les infostelleurs \\'Vortax\\' Meeting Software Builds Elaborate Branding, Spreads Infostealers (lien direct) |
Les acteurs de la menace "Markopolo" ont construit une marque convaincante et une présence sur le Web pour de faux logiciels pour fournir le dangereux voleur de macos atomique, entre autres logiciels malveillants, pour exercer des braquages de crypto-monnaie.
The "Markopolo" threat actors built a convincing brand and Web presence for fake software to deliver the dangerous Atomic macOS stealer, among other malware, to carry out cryptocurrency heists. |
Malware Threat | ★★ | |
|
2024-06-20 15:00:36 | RAFEL RAT, Android Malware de l'espionnage aux opérations de ransomware Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) |
> En ce qui concerne les appareils mobiles, Android est le système d'exploitation le plus populaire et le plus utilisé avec plus de 3,9 milliards d'utilisateurs actifs dans plus de 190 pays.Les trois quarts de tous les appareils mobiles fonctionnent sur Android.Cependant, avec son adoption généralisée et son environnement ouvert vient le risque d'activité malveillante.Android Malware, un logiciel malveillant conçu pour cibler les appareils Android, constitue une menace importante pour les utilisateurs & # 8217;confidentialité, sécurité et intégrité des données.Ces programmes malveillants se présentent sous diverses formes, y compris les virus, les chevaux de Troie, les ransomwares, les logiciels espions et les logiciels publicitaires, et ils peuvent infiltrer des appareils via plusieurs vecteurs, tels que les téléchargements d'applications, les sites Web malveillants, les attaques de phishing et même [& # 8230;]
>When it comes to mobile devices, Android is the most popular and used operating system with over 3.9 billion active users in over 190 countries. Three-quarters of all mobile devices run on Android. However, with its widespread adoption and open environment comes the risk of malicious activity. Android malware, a malicious software designed to target Android devices, poses a significant threat to users’ privacy, security, and data integrity. These malicious programs come in various forms, including viruses, Trojans, ransomware, spyware, and adware, and they can infiltrate devices through multiple vectors, such as app downloads, malicious websites, phishing attacks, and even […] |
Ransomware Malware Threat Mobile | ★★ | |
|
2024-06-20 15:00:00 | Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) | > Recherche de: Antonis Terefos, Bohdan Melnykov Introduction Android, le système d'exploitation mobile le plus populaire de Google, alimente des milliards de smartphones et de tablettes à l'échelle mondiale.Connu pour sa nature open source et sa flexibilité, Android offre aux utilisateurs un large éventail de fonctionnalités, d'options de personnalisation et d'accès à un vaste écosystème d'applications via le Google Play Store et d'autres sources.Cependant, [& # 8230;]
>Research by: Antonis Terefos, Bohdan Melnykov Introduction Android, Google\'s most popular mobile operating system, powers billions of smartphones and tablets globally. Known for its open-source nature and flexibility, Android offers users a wide array of features, customization options, and access to a vast ecosystem of applications through the Google Play Store and other sources. However, […] |
Ransomware Malware Mobile | ★★ | |
|
2024-06-20 13:39:00 | Le nouveau logiciel malveillant basé sur la rouille utilise PowerShell pour le contournement de l'UAC et l'exfiltration des données New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration (lien direct) |
Un nouveau voleur d'informations basé sur la rouille appelée Fickle Stealer a été observé via plusieurs chaînes d'attaque dans le but de récolter des informations sensibles auprès d'hôtes compromis.
Fortinet Fortiguard Labs a déclaré qu'il était conscient de quatre méthodes de distribution différentes - à savoir le dropper VBA, le téléchargeur VBA, le téléchargeur de lien et le téléchargeur exécutable - avec certains d'entre eux en utilisant un
A new Rust-based information stealer malware called Fickle Stealer has been observed being delivered via multiple attack chains with the goal of harvesting sensitive information from compromised hosts. Fortinet FortiGuard Labs said it\'s aware of four different distribution methods -- namely VBA dropper, VBA downloader, link downloader, and executable downloader -- with some of them using a |
Malware | ★★★ | |
 |
2024-06-20 12:20:37 | Rester en sécurité avec les extensions chromées Staying Safe with Chrome Extensions (lien direct) |
Posted by Benjamin Ackerman, Anunoy Ghosh and David Warren, Chrome Security Team
Chrome extensions can boost your browsing, empowering you to do anything from customizing the look of sites to providing personalized advice when you\'re planning a vacation. But as with any software, extensions can also introduce risk.
That\'s why we have a team whose only job is to focus on keeping you safe as you install and take advantage of Chrome extensions. Our team:
Provides you with a personalized summary of the extensions you\'ve installed
Reviews extensions before they\'re published on the Chrome Web Store
Continuously monitors extensions after they\'re published
A summary of your extensions
The top of the extensions page (chrome://extensions) warns you of any extensions you have installed that might pose a security risk. (If you don\'t see a warning panel, you probably don\'t have any extensions you need to worry about.) The panel includes:
Extensions suspected of including malware
Extensions that violate Chrome Web Store policies
Extensions that have been unpublished by a developer, which might indicate that an extension is no longer supported
Extensions that aren\'t from the Chrome Web Store
Extensions that haven\'t published what they do with data they collect and other privacy practices
You\'ll get notified when Chrome\'s Safety Check has recommendations for you or you can check on your own by running Safety Check. Just type “run safety check” in Chrome\'s address bar and select the corresponding shortcut: “Go to Chrome safety check.”
User flow of removing extensions highlighted by Safety Check.
Besides the Safety Check, you can visit the extensions page directly in a number of ways:
Navigate to chrome://extensions
Click the puzzle icon and choose “Manage extensions”
Click the More choices menu and choose menu > Extensions > Manage Extensions
Reviewing extensions before they\'re published
Before an extension is even accessible to install from the Chrome Web Store, we have two levels of verification to ensure an extension is safe:
An automated review: Each extension gets examined by our machine-learning systems to spot possible violations or suspicious behavior.
A human review: Next, a team member examines the images, descriptions, and public policies of each extension. Depending on the results of both the automated and manual review, we may perform an even deeper and more thorough review of the code.
This review process weeds out the overwhelming majority of bad extensions before they even get published. In 2024, less than 1% of all installs from the Chrome Web Store were found to include malware. We\'re proud of this record and yet some bad extensions still get through, which is why we also monitor published extensions.
Monitoring published ext |
Malware Technical | ★★ | |
 |
2024-06-20 12:17:04 | Les Allemands dans l'orage des cyber-menaces: contenu pour les adultes, streaming vidéo et Office vigoureux365-links Deutsche im Gewitter von Cyberbedrohungen: Inhalte für Erwachsene, Videostreaming und gefälschte Office365-Links gehören zu den größten Bedrohungen (lien direct) |
Selon une nouvelle étude de NORDVPN, une récente entreprise de cybersécurité, le contenu est pour les adultes, les pages et les pages gratuites du four vidéo qui prétendent être des marques connues et sérieuses, au St & Auml; affecté. - rapports spéciaux / / | Malware | ★★ | |
|
2024-06-20 12:04:00 | Les experts découvrent de nouveaux logiciels malveillants de squidloader évasif ciblant les organisations chinoises Experts Uncover New Evasive SquidLoader Malware Targeting Chinese Organizations (lien direct) |
Les chercheurs en cybersécurité ont découvert un nouveau chargeur de logiciels malveillants évasif nommé Squidloader qui se propage via des campagnes de phishing ciblant les organisations chinoises.
AT & t LevelBlue Labs, qui a observé pour la première fois les logiciels malveillants fin avril 2024, a déclaré qu'il intègre des fonctionnalités conçues pour contrecarrer une analyse statique et dynamique et finalement échapper à la détection.
Les chaînes d'attaque exploitent les e-mails de phishing qui
Cybersecurity researchers have uncovered a new evasive malware loader named SquidLoader that spreads via phishing campaigns targeting Chinese organizations. AT&T LevelBlue Labs, which first observed the malware in late April 2024, said it incorporates features that are designed to thwart static and dynamic analysis and ultimately evade detection. Attack chains leverage phishing emails that |
Malware | ★★★ | |
 |
2024-06-20 11:24:25 | Les logiciels malveillants très évasive Squidloader cible la Chine Highly Evasive SquidLoader Malware Targets China (lien direct) |
> Un acteur de menace ciblant les victimes de langue chinoise a utilisé le chargeur de logiciels malveillants Squidloader dans les attaques récentes.
>A threat actor targeting Chinese-speaking victims has been using the SquidLoader malware loader in recent attacks. |
Malware Threat | ★★★ | |
|
2024-06-20 11:15:58 | Le nouveau voleur en vol exploite des défauts logiciels pour voler la crypto, les données du navigateur New Fickle Stealer Exploits Software Flaws to Steal Crypto, Browser Data (lien direct) |
Fortiguard Labs de Fortinet \\ expose le voleur détruit, un malware utilisant plusieurs méthodes d'attaque pour voler des connexions, des détails financiers, etc.Apprenez à vous protéger de cette menace en évolution.
Fortinet\'s FortiGuard Labs exposes the Fickle Stealer, a malware using multiple attack methods to steal logins, financial details, and more. Learn how to protect yourself from this evolving threat. |
Malware Threat | ★★★ | |
|
2024-06-19 19:28:22 | Les pirates utilisent des logiciels malveillants Big-IP F5 pour voler furtivement des données pendant des années Hackers use F5 BIG-IP Malware to Stealthily Steal Data for Years (lien direct) |
## Instantané Les analystes de Sygnia ont constaté que le groupe de cyberespionnage chinois fourmi en velours utilisait des logiciels malveillants personnalisés sur des appareils Big-IP F5 pour établir plusieurs anciensréseau. Lire la couverture de Microsoft \\ de [Plugx ici.] (Https://security.microsoft.com/intel-profiles/028c3995955a4a710d67d5d4e9a5f067355bc7ad58e5c5d1c1931e708e41b38) ## Dépissage Les attaquants ont initialement compromis les appareils Big-IP F5 en utilisant des défauts d'exécution de code distants connus, leur permettant de déployer divers logiciels malveillants, y compris Plugx, PMCD, MCDP, Samrid et Esrde.Cela a permis aux acteurs de la menace de voler furtivement des informations sensibles aux clients et financières pendant près de trois ans sans détection. Malgré les efforts d'éradication, les pirates ont redémarré le plugx avec de nouvelles configurations pour éviter la détection, en utilisant des dispositifs internes compromis comme les appareils F5 pour conserver l'accès.De plus, l'article mentionne d'autres cas d'acteurs de menace parrainés par l'État exploitant des vulnérabilités dans les appareils réseau, tels que Fortinet, Sonicwall, Barracuda et Palo Alto Networks, pour installer des logiciels malveillants personnalisés et voler des données.Ces incidents mettent en évidence la menace continue posée par des groupes de menaces sophistiqués et persistants, soulignant la nécessité d'une approche de sécurité multicouche et holistique pour détecter et atténuer ces attaques. ## Détections / requêtes de chasse ### Microsoft Dantivirus efender Microsoft Defender Antivirus détecte les composants de la menace Plugx. - [Backdoor: win32 / plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Backdoor: Win32 / Plugx) - [Trojan: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [tRojandRopper: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [Trojan: Msil / Plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Trojan: MSIL / Plugx) Microsoft Defender Antivirus détecte les composants de la menace KorPlug. - [Trojan: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/korplug!msr&Theratid=214752072) - [Backdoor: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=backdoor:win32/korplug) - [TrojandRopper: Win32 / KorPlug] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojandropper: win32 / korplug & menaceid = -2147068922) - [Trojan: VBS / Korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-enCyclopedia-Description? Name = Trojan: VBS / KorPlug! McLg & menaceID = -2147156848) ### Chasse avancée ** Chargement des lecteurs avec le caractère NBSP dans le chemin du fichier ** Identifiez les événements de charge d'image amovibles où le chemin de fichier comprend le caractère NBSP.Ce chemin de fichier peut être associé à l'activité Plugx sur le système.Exécutez la requête dans Microsoft 365 Security Center. Laissez NBSP = MAKe_string (tolong (\\ '0xa0 \'));// Caractère d'espace non révolutionnaire Laisse nbspdir = strcat (@ "\", nbsp, @ "\"); DeviceMageLoADADEVENTS |où folDerpath! Startwith "C:" // Chasse sur les médias amovibles |où le pistolet a_cs nbspdir |Project-Reorder DeviceName, nom de fichier, Folderpath, SHA1, InitiantProcessFilename ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/enable-cloud-protection-microsoft-defender-antivi | Malware Vulnerability Threat | ★★★★ | |
|
2024-06-19 15:48:55 | DISGOMOJI Malware Used to Target Indian Government (lien direct) | ## Snapshot Volexity identified a cyber-espionage campaign by a suspected Pakistan-based threat actor, "UTA0137", targeting Indian government entities using DISGOMOJI malware. This Golang-written malware, designed for Linux systems, uses the Discord messaging service for command and control, leveraging emojis for communication. ## Description DISGOMOJI malware gains initial access using Linux malware paired with decoy documents, specifically targeting users of the Indian government\'s who use a custom Linux distribution named BOSS as their daily desktop. DISGOMOJI employs various persistence mechanisms, including cron jobs and XDG autostart entries, and is capable of data exfiltration, including USB device content. Volexity also uncovered UTA0137\'s use of the DirtyPipe ([CVE-2022-0847](https://security.microsoft.com/intel-explorer/cves/CVE-2022-0847/)) privilege escalation exploit against “BOSS 9” systems which, after analysis, Volexity determined are still vulnerable to this years-old exploit. UTA0137 has improved DISGOMOJI over time, including the change to the way Discord tokens are managed by the malware, making it harder for Discord to act against the attacker\'s servers, as the client configuration can simply be updated by the attacker when required. Additionally, BleepingComputer writes about further concerns with the use of emojis instead of text, possibly allowing malware to go undetected by security software. Post-exploitation activities involve network scanning with Nmap, network tunneling with Chisel and Ligolo, and social engineering via malicious dialog boxes created with Zenity. Volexity attributes this activity to Pakistan, due to the time zone settings, language use, infrastructure links, and targeted organizations. ## Recommendations Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) 365 brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically [identify and block malicious websites](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://docs.microsoft.com/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of | Malware Threat | ★★ | |
|
2024-06-19 15:38:00 | AVERTISSEMENT: l'escroquerie de Markopolo \\ ciblant les utilisateurs de crypto via un faux logiciel de réunion Warning: Markopolo\\'s Scam Targeting Crypto Users via Fake Meeting Software (lien direct) |
Un acteur de menace qui passe par Alias Markopolo a été identifié comme derrière une arnaque multiplateforme à grande échelle qui cible les utilisateurs de monnaie numérique sur les réseaux sociaux avec des logiciels malveillants d'informations et propose un vol de crypto-monnaie.
Les chaînes d'attaque impliquent l'utilisation d'un prétendu logiciel de réunion virtuel nommé Vortax (et 23 autres applications) qui sont utilisés comme un conduit pour livrer des Rhadamanthys, Stealc,
A threat actor who goes by alias markopolo has been identified as behind a large-scale cross-platform scam that targets digital currency users on social media with information stealer malware and carries out cryptocurrency theft. The attack chains involve the use of a purported virtual meeting software named Vortax (and 23 other apps) that are used as a conduit to deliver Rhadamanthys, StealC, |
Malware Threat | ★★ | |
|
2024-06-19 07:47:05 | WithSecuretm rend la lutte contre la cybercriminalité visible en capturant les logiciels malveillants dans l'art WithSecureTM Makes Fight Against Cyber Crime Visible by Capturing Malware in Art (lien direct) |
Withsecuretm rend la lutte contre la cybercriminalité visible en capturant les logiciels malveillants dans l'art
Première exposition du nouveau musée d'art malware pré-lancé, rejoignez la création de la sculpture du virus iloveyou en donnant de vieilles souris informatiques
-
actualités du marché
WithSecureTM Makes Fight Against Cyber Crime Visible by Capturing Malware in Art First exhibit of the new Museum of Malware Art pre-launched, join the creation of the ILOVEYOU virus sculpture by donating old computer mice - Market News |
Malware | ★★ | |
|
2024-06-19 07:27:28 | Ce PowerShell \\ 'fix \\' pour votre racine Cert \\ 'Problème \\' est un chargeur de logiciels malveillant déguisé That PowerShell \\'fix\\' for your root cert \\'problem\\' is a malware loader in disguise (lien direct) |
Control-C, Control-V, Entrez ... Hell Les criminels astucieux ciblent des milliers d'organisations dans le monde dans les attaques d'ingénierie sociale qui utilisent des messages d'erreur bidon pour inciter les utilisateurs à exécuter un powershell malveillantscripts.… | Malware | ★★ | |
|
2024-06-18 20:33:27 | From Clipboard to Compromise: A PowerShell Self-Pwn (lien direct) | ## Instantané Les chercheurs de ProofPoint ont identifié une technique qui ordonne aux utilisateurs de copier et de coller des scripts PowerShell malveillants pour infecter leurs ordinateurs par des logiciels malveillants.Des acteurs de menace, dont TA571 et les acteurs derrière le cluster d'activités Clearfake, utilisent cette méthode pour fournir des logiciels malveillants, notamment Darkgate, Matanbuchus, Netsupport et divers voleurs d'informations. ## Description Proofpoint a observé cette technique dans plusieurs campagnes récentes impliquant plusieurs acteurs de menace, y compris ceux qui sont derrière Clearfake et l'acteur de menace TA571, connu pour la distribution des spams menant à des logiciels malveillants et à des infections au ransomware.La chaîne d'attaque nécessite une interaction importante des utilisateurs pour réussir, mais l'ingénierie sociale est suffisamment intelligente pour présenter à quelqu'un ce qui ressemble à un vrai problème et une solution simultanément, ce qui peut inciter un utilisateur à prendre des mesures sans considérer le risque. La campagne Clearfake est un faux cluster d'activités de mise à jour du navigateur qui compromet les sites Web légitimes avec un HTML et un JavaScript malveillants.Le script initial a ensuite chargé un deuxième script à partir d'un domaine qui a utilisé Keitaro TDS pour le filtrage.Si ce deuxième script se chargeait et passait divers chèques, et si la victime continuait de parcourir le site Web, il a été présenté avec une fausse superposition d'avertissement sur le site Web compromis.Cet avertissement leur a demandé d'installer un "certificat racine" pour afficher correctement le site Web. La campagne TA571 comprenait plus de 100 000 messages et ciblé des milliers d'organisations dans le monde.Les e-mails contenaient une pièce jointe HTML qui affichait une page ressemblant à Microsoft Word.La page a également affiché un message d'erreur qui disait l'extension «\\» word en ligne \\ 'n'est pas installée »et a présenté deux options pour continuer:« comment réparer »et« automatique ». Les charges utiles observées comprennent Darkgate, Matanbuchus, Netsupport, Amadey Loader, XMRIG et Lummma Stealer.Les acteurs de la menace expérimentent activement différentes méthodes pour améliorer l'efficacité et trouver plus de voies d'infection pour compromettre un plus grand nombre de systèmes. ## Analyse Microsoft Ces dernières années, Microsoft a suivi le risque croissant que les infostateurs présentent à la sécurité des entreprises.Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Les infostelleurs sont annoncés comme un logiciel malveillant en tant que service (MAAS) offrant & # 8211;Un modèle d'entreprise où les développeurs louent la charge utile de l'infostealer aux distributeurs moyennant des frais. Les voleurs d'informations sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maladucs.En règle générale, une fois que l'utilisateur télécharge et lance la charge utile malveillante, il établit des connexions de commande et de contrôle (C2) avec des domaines suspects.Une fois infecté, l'infostaler tente de collecter et finalement exfilter les informations du système, y compris les fichiers, les navigateurs, les appareils et les applications orientés sur Internet aux serveurs C2.En savoir plus [ici sur l'analyse des infostelleurs de Microsoft \\] (https://security.microsoft.com/intel-profileS / 2296D491EA381B532B24F2575F9418D4B6723C17B8A1F507D20C2140A75D16D6). - [darkgate] (https://securit | Ransomware Spam Malware Tool Threat | ★★★★ | |
|
2024-06-18 19:00:00 | Les cybercriminels exploitent des leurres logiciels libres pour déployer le chargeur de hivers et le voleur Vidar Cybercriminals Exploit Free Software Lures to Deploy Hijack Loader and Vidar Stealer (lien direct) |
Les acteurs de la menace attirent les utilisateurs sans méfiance avec des versions gratuites ou piratées de logiciels commerciaux pour livrer un chargeur de logiciels malveillants appelée Hijack Loader, qui déploie ensuite un voleur d'informations connu sous le nom de voleur Vidar.
"Les adversaires avaient réussi à inciter les utilisateurs à télécharger des fichiers d'archives protégés par mot de passe contenant des copies trojanisées d'une application de réunions Cisco WebEx (PTService.exe)"
Threat actors are luring unsuspecting users with free or pirated versions of commercial software to deliver a malware loader called Hijack Loader, which then deploys an information stealer known as Vidar Stealer. "Adversaries had managed to trick users into downloading password-protected archive files containing trojanized copies of a Cisco Webex Meetings App (ptService.exe)," Trellix security |
Malware Threat Commercial | ★★★ | |
|
2024-06-18 18:35:54 | Cut &Coller les tactiques importent des logiciels malveillants à des victimes involontaires Cut & Paste Tactics Import Malware to Unwitting Victims (lien direct) |
Les attaquants "Clearfake" et "ClickFix" incitent les gens à couper et à coller des scripts PowerShell malveillants pour infecter leurs propres machines avec des rats et des infosteaux.
"ClearFake" and "ClickFix" attackers are tricking people into cutting and pasting malicious PowerShell scripts to infect their own machines with RATs and infostealers. |
Malware | ★★ | |
|
2024-06-18 18:22:59 | Ransomware Roundup _ Shinra et Limpopo Ransomware Ransomware Roundup _ Shinra and Limpopo Ransomware (lien direct) |
#### Géolocations ciblées - Israël - Pologne - Russie - Royaume-Uni - États-Unis ## Instantané Fortiguard Labs Researcha identifié le ransomware Shinra et Limpopo dans leur rapport Ransomware Roundup.Les souches de ransomware de Shinra et Limpopo, émergeant au début de 2024, présentent des techniques avancées et ont ciblé plusieurs pays, provoquant des perturbations importantes en cryptant des fichiers et en exigeant des rançons. ## Description Le ransomware de Shinra, vu pour la première fois en avril 2024, exfiltre les données de la victime avant de chiffrer les fichiers et de supprimer des copies fantômes de volume.Il affecte les victimes en Israël, en Pologne, en Russie, au Royaume-Uni et aux États-Unis, met fin aux processus et aux services, modifie le papier peint de bureau et évite de crypter des fichiers et des répertoires spécifiques. Les ransomwares limpopo, liés aux ransomwares Socotra, ciblent les environnements ESXi et ont été soumis pour scanning en février 2024. Le vecteur d'infection pour les ransomwares limpopo est inconnu, mais il affecte plusieurs pays et crypte des fichiers avec des extensions spécifiques, ajoutant une prolongation ".limpopo" ".aux fichiers de liste blanche.Il laisse tomber une note de rançon exigeant la coopération et fournit un lien pour d'autres instructions. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menaceComme les logiciels malveillants suivants: - Ransom: Linux / Babuk - Ransom: win64 / akira - rançon: win32 / conti - Trojan: Linux / Filecoder ## ReCommensions Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des pa | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-18 15:11:00 | De nouveaux cibles malwares cibles exposées Docker API pour l'exploitation de crypto-monnaie New Malware Targets Exposed Docker APIs for Cryptocurrency Mining (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle campagne de logiciels malveillants qui cible les points de terminaison publiquement exposés de l'API dans le but de livrer des mineurs de crypto-monnaie et d'autres charges utiles.
Parmi les outils déployés est un outil d'accès à distance qui est capable de télécharger et d'exécuter plus de programmes malveillants ainsi qu'un utilitaire pour propager les logiciels malveillants via SSH, Cloud Analytics Platform Datadog
Cybersecurity researchers have uncovered a new malware campaign that targets publicly exposed Docket API endpoints with the aim of delivering cryptocurrency miners and other payloads. Included among the tools deployed is a remote access tool that\'s capable of downloading and executing more malicious programs as well as a utility to propagate the malware via SSH, cloud analytics platform Datadog |
Malware Tool Cloud | ★★★ | |
 |
2024-06-18 14:00:00 | Couchée et secrète: Découvrir les opérations d'espionnage UNC3886 Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) |
Written by: Punsaen Boonyakarn, Shawn Chew, Logeswaran Nadarajan, Mathew Potaczek, Jakub Jozwiak, Alex Marvi
Following the discovery of malware residing within ESXi hypervisors in September 2022, Mandiant began investigating numerous intrusions conducted by UNC3886, a suspected China-nexus cyber espionage actor that has targeted prominent strategic organizations on a global scale. In January 2023, Mandiant provided detailed analysis of the exploitation of a now-patched vulnerability in FortiOS employed by a threat actor suspected to be UNC3886. In March 2023, we provided details surrounding a custom malware ecosystem utilized on affected Fortinet devices. Furthermore, the investigation uncovered the compromise of VMware technologies, which facilitated access to guest virtual machines. Investigations into more recent operations in 2023 following fixes from the vendors involved in the investigation have corroborated Mandiant\'s initial observations that the actor operates in a sophisticated, cautious, and evasive nature. Mandiant has observed that UNC3886 employed several layers of organized persistence for redundancy to maintain access to compromised environments over time. Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available even if the primary layer is detected and eliminated. This blog post discusses UNC3886\'s intrusion path and subsequent actions that were performed in the environments after compromising the guest virtual machines to achieve access to the critical systems, including: The use of publicly available rootkits for long-term persistence Deployment of malware that leveraged trusted third-party services for command and control (C2 or C&C) Subverting access and collecting credentials with Secure Shell (SSH) backdoors Extracting credentials from TACACS+ authentication using custom malware Mandiant has published detection and hardening guidelines for ESXi hypervisors and attack techniques employed by UNC3886. For Google SecOps Enterprise+ customer |
Malware Tool Vulnerability Threat Cloud Technical | APT 41 | ★★★ |
|
2024-06-18 13:08:00 | La police de Singapour extradite les Malaisiens liés à la fraude malveillante Android Singapore Police Extradites Malaysians Linked to Android Malware Fraud (lien direct) |
Les forces de police de Singapour (SPF) ont annoncé l'extradition de deux hommes de Malaisie pour leur implication présumée dans une campagne de logiciels malveillants mobile ciblant les citoyens du pays depuis juin 2023.
Les individus anonymes, âgés de 26 et 47 ans, se sont engagés dans des escroqueries qui ont incité les utilisateurs sans méfiance à télécharger des applications malveillantes sur leurs appareils Android via des campagnes de phishing dans le but de voler
The Singapore Police Force (SPF) has announced the extradition of two men from Malaysia for their alleged involvement in a mobile malware campaign targeting citizens in the country since June 2023. The unnamed individuals, aged 26 and 47, engaged in scams that tricked unsuspecting users into downloading malicious apps onto their Android devices via phishing campaigns with the aim of stealing |
Malware Legislation Mobile | ★★★ | |
 |
2024-06-18 11:03:00 | LevelBlue Labs découvre un nouveau chargeur très évasif ciblant les organisations chinoises LevelBlue Labs Discovers Highly Evasive, New Loader Targeting Chinese Organizations (lien direct) |
Executive Summary LevelBlue Labs recently discovered a new highly evasive loader that is being delivered to specific targets through phishing attachments. A loader is a type of malware used to load second-stage payload malware onto a victim’s system. Due to the lack of previous samples observed in the wild, LevelBlue Labs has named this malware “SquidLoader,” given its clear efforts at decoy and evasion. After analysis of the sample LevelBlue Labs retrieved, we uncovered several techniques SquidLoader is using to avoid being statically or dynamically analyzed. LevelBlue Labs first observed SquidLoader in campaigns in late April 2024, and we predict it had been active for at least a month prior. The second-stage payload malware that SquidLoader delivered in our sample is a Cobalt Strike sample, which had been modified to harden it against static analysis. Based on SquidLoader’s configuration, LevelBlue Labs has assessed that this same unknown actor has been observed delivering sporadic campaigns during the last two years, mainly targeting Chinese-speaking victims. Despite studying a threat actor who seems to focus on a specific country, their techniques and tactics may be replicated, possibly against non-Chinese speaking organizations in the near future by other actors or malware creators who try to avoid detections. Loader Analysis In late April 2024, LevelBlue Labs observed a few executables potentially attached to phishing emails. One of the samples observed was ‘914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635’ with a Chinese filename translating to “Huawei industrial-grade router related product introduction and excellent customer cases.” All the samples LevelBlue Labs observed were named for Chinese companies, such as: China Mobile Group Shaanxi Co Ltd, Jiaqi Intelligent Technology, or Yellow River Conservancy Technical Institute (YRCTI). All the samples had descriptive filenames aimed at luring employees to open them, and they carried an icon corresponding to a Word Document, while in fact being executable binaries. These samples are loaders that download and execute a shellcode payload via a GET HTTPS request to the /flag.jpg URI. These loaders feature heavy evasion and decoy mechanisms which help them remain undetected while also hindering analysis. The shellcode that is delivered is also loaded in the same loader process, likely to avoid writing the payload to disk and thus risk being detected. Due to all the decoy and evasion techniques observed in this loader, and the absence of previous similar samples, LevelBlue Labs has named this malware “SquidLoader”. Most of the samples LevelBlue Labs observed use a legitimate expired certificate to make the file look less suspicious. The invalid certificate (which expired on July 15, 2021) was issued to Hangzhou Infogo Tech Co., Ltd. It has the thumbprint “3F984B8706702DB13F26AE73BD4C591C5936344F” and serial number “02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB.” However, it is not the only invalid certificate used to sign the malicious samples. The command and control (C&C) servers SquidLoader uses employ a self-signed certificate. In the course of this investigation all the discovered C&C servers use a certificate with the following fields for both the issuer and the subject: Common Name: localhost Organizational Unit: group Organization: Company Locality: Nanjing State/Province: Jiangsu Country: CN When first executed, the SquidLoader duplicates to a predefined location (unless the loader is already present) and then restarts from the new location. In this case the target location was C:\BakFiles\install.exe. This action appears to be an intentional decoy, executing the loader with a non-suspicio | Malware Tool Threat Mobile Prediction Technical | ★★ | |
|
2024-06-17 20:49:32 | Les emojis contrôlent la campagne de malware dans Discord Spy Emojis Control the Malware in Discord Spy Campaign (lien direct) |
Pakistani hackers are spying (▀̿Ĺ̯▀̿ ̿) on the highly sensitive organizations in India by using emojis (Ծ_Ծ) as malicious commands (⚆ᗝ⚆) and the old Dirty Pipe Linux flaw.
Pakistani hackers are spying (▀̿Ĺ̯▀̿ ̿) on the highly sensitive organizations in India by using emojis (Ծ_Ծ) as malicious commands (⚆ᗝ⚆) and the old Dirty Pipe Linux flaw. |
Malware | ★★ | |
|
2024-06-17 20:40:46 | CVE-2024-4577: exploitation continue d'une vulnérabilité de PHP critique CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability (lien direct) |
## Instantané
Cyble Global Sensor Intelligence (CGSI) a détecté plusieurs tentatives de balayage liées à [CVE-2024-4577] (https://security.microsoft.com/intel-explorer/cves/cve-2024-4577/) provenant de divers emplacements.La vulnérabilité découle des erreurs dans les conversions de codage des caractères, affectant en particulier la fonction «la meilleure ajustement» sur les systèmes d'exploitation Windows.L'exploitation de cette faille pourrait potentiellement permettre aux acteurs de menace d'exécuter à distance du code arbitraire, posant des risques de sécurité importants aux installations PHP sur toutes les versions exécutées sur les plates-formes Windows.
## Description
Le 7 juin, PHP a publié un patch officiel pour aborder la vulnérabilité.Le lendemain, Watchtowr Labs a publié un code d'exploitation de preuve de concept (POC) pour le CVE-2024-4577 et les acteurs de la menace ont ensuite utilisé la vulnérabilité au déploiement du ransomware sur les systèmes vulnérables.CGSI rapporte plusieurs campagnes de logiciels malveillants associées à cette nouvelle vulnérabilité, inculant la campagne Ransomware de TellyouthPass et Muhstik malware.
Le CVE-2024-4577 a un impact explicitement sur le mode CGI de PHP \\, où le serveur Web interprète HTTP demande et les transmet à un script PHP pour le traitement.Si un personnage comme un trait d'union doux (0xad) est utilisé dans un paramètre URL, le gestionnaire CGI sur Windows, après sa cartographie de la meilleure ajustement, peut interpréter ce caractère différemment que prévu.Cette mauvaise interprétation permet à un attaquant d'exécuter du code arbitraire sur le serveur PHP vulnérable.
CGSI rapporte que l'exposition des instances de PHP potentiellement vulnérables est alarmante.Les organisations devraient donner la priorité aux mises à niveau vers les dernières versions PHP: 8.3.8, 8.2.20 et 8.1.29.
## Les références
[CVE-2024-4577: Exploitation continue d'une vulnérabilité de PHP critique] (https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerabilité/).Cyble Global Sensor Intelligence (consulté en 2024-06-17)
## Snapshot Cyble Global Sensor Intelligence (CGSI) has detected multiple scanning attempts related to [CVE-2024-4577](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4577/) originating from various locations. The vulnerability stems from errors in character encoding conversions, particularly affecting the “Best Fit” feature on Windows operating systems. Exploiting this flaw could potentially enable threat actors to remotely execute arbitrary code, posing significant security risks to PHP installations across all versions running on Windows platforms. ## Description On June 7th, PHP released an official patch to address the vulnerability. The following day, WatchTowr Labs published a proof-of-concept (PoC) exploit code for CVE-2024-4577 and threat actors subsequently utilized the vulnerability to deploy ransomware on vulnerable systems. CGSI reports several malware campaigns associated with this new vulnerability, inculding the TellYouThePass ransomware campaign and Muhstik malware. CVE-2024-4577 explicitly impacts PHP\'s CGI mode, where the web server interprets HTTP requests and forwards them to a PHP script for processing. If a character like a soft hyphen (0xAD) is used in a URL parameter, the CGI handler on Windows, following its Best Fit mapping, may interpret this character differently than intended. This misinterpretation allows an attacker to execute arbitrary code on the vulnerable PHP server. CGSI reports that the exposure of potentially vulnerable PHP instances is alarmingly high. Organizations should prioritze upgrades to the latest PHP versions: 8.3.8, 8.2.20, and 8.1.29. ## References [CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability](https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/). Cyble Glob |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-06-17 20:13:02 | Feds Cuff soupçonné de boss de marché de l'empire souterrain Feds cuff suspected bosses of underworld Empire Market (lien direct) |
Cela pourrait-il être des rideaux pour le Souk de cyber-crime de 430 millions de dollars à 430 millions de dollars? Les deux présumés administrateurs de Empire Market, un bazar sombre qui a colporté des drogues, des logiciels malveillants, le numériqueLa fraude et d'autres trucs illégaux ont été arrêtés pour des accusations liées à la possession et à l'exploitation du souk illicite.… | Malware | ★★ | |
 |
2024-06-17 19:16:07 | La campagne de phishing abuse de la recherche Windows pour distribuer des logiciels malveillants Phishing Campaign Abuses Windows Search to Distribute Malware (lien direct) |
|
Malware | ★★ | |
|
2024-06-17 18:31:29 | Les fausses erreurs Google Chrome vous incitent à exécuter des scripts PowerShell malveillants Fake Google Chrome errors trick you into running malicious PowerShell scripts (lien direct) |
Une nouvelle campagne de distribution de logiciels malveillants utilise les fausses erreurs Google Chrome, Word et OneDrive pour inciter les utilisateurs à exécuter des "correctifs" PowerShell malveillants qui installent des logiciels malveillants.[...]
A new malware distribution campaign uses fake Google Chrome, Word, and OneDrive errors to trick users into running malicious PowerShell "fixes" that install malware. [...] |
Malware | ★★ | |
|
2024-06-17 14:10:41 | Smalltiger Maleware utilisés dans les attaques contre les entreprises sud-coréennes (Kimsuky et Andariel) SmallTiger Malware Used in Attacks Against South Korean Businesses (Kimsuky and Andariel) (lien direct) |
#### Targeted Geolocations - Korea ## Snapshot The AhnLab Security Intelligence Center (ASEC) has reported on a series of cyberattacks targeting South Korean businesses utilizing the SmallTiger malware. ## Description While the initial access method remains unidentified, SmallTiger is introduced during the lateral movement phase within the affected companies\' systems. Notably, the targets include South Korean defense contractors, automobile part manufacturers, and semiconductor manufacturers. Initially discovered in November 2023, the attacks showed characteristics of the "Kimsuky" group\'s tactics, but deviated by leveraging software updater programs for internal propagation. Moreover, the presence of DurianBeacon, previously associated with Andariel group attacks, was detected in the compromised systems. Subsequent attacks in February 2024 continued to employ SmallTiger, with variations observed in the malware\'s distribution methods and payloads. ASEC mentions additonal cases which include DurianBeacon attack utalizing MultiRDP Malware and Meterpreter in Novemner 2023, and another SmallTiger attack where the threat actor installed Mimikatz and ProcDump to hijack system credentials. ## Detections/Hunting Queries Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Mimikatz credential theft tool The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report. - Malicious credential theft tool execution detected - Suspicious access to LSASS service ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordle | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-06-17 13:37:00 | Les pirates utilisent des logiciels malveillants Big-IP F5 pour voler furtivement des données pendant des années Hackers use F5 BIG-IP malware to stealthily steal data for years (lien direct) |
Un groupe d'acteurs de cyberespionnage chinois présumés nommés \\ 'Velvet Ant \' déploie des logiciels malveillants personnalisés sur des appareils Big-IP F5 pour obtenir une connexion persistante avec le réseau interne et voler des données.[...]
A group of suspected Chinese cyberespionage actors named \'Velvet Ant\' are deploying custom malware on F5 BIG-IP appliances to gain a persistent connection to the internal network and steal data. [...] |
Malware | ★★★ | |
|
2024-06-17 11:42:19 | Faits saillants hebdomadaires, 17 juin 2024 Weekly OSINT Highlights, 17 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of cyber threats involving diverse and sophisticated attack strategies by state-sponsored actors and cybercrime organizations. The reports showcase various attack vectors, including phishing campaigns, exploitation of cloud services, and use of malware such as RATs, ransomware, and infostealers. Key threat actors like UNC5537, Kimsuky, and Cosmic Leopard are targeting sectors ranging from cloud computing and aviation to military and government entities, often leveraging stolen credentials and exploiting software vulnerabilities. These incidents underscore the critical need for robust security practices, such as multi-factor authentication and regular credential updates, to defend against increasingly complex and targeted cyber threats. ## Description 1. **[Warmcookie Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/d5d815ce)**: Elastic Security Labs identified Warmcookie, a Windows malware distributed via fake job offer phishing campaigns. The malware establishes C2 communication to gather victim information, execute commands, and drop files, with the campaign ongoing and targeting users globally. 2. **[Snowflake Data Theft](https://sip.security.microsoft.com/intel-explorer/articles/3cb4b4ee)**: Mandiant uncovered UNC5537 targeting Snowflake customers to steal data and extort victims using stolen credentials from infostealer malware. The campaign highlights poor credential management and the absence of MFA, prompting Snowflake to issue security guidance. 3. **[IcedID, Cobalt Strike, and ALPHV Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b74a41ff)**: DFIR Report analyzed a cyber intrusion deploying IcedID via malicious emails, followed by Cobalt Strike for remote control and ALPHV ransomware for encryption. Attackers used various tools for persistence, reconnaissance, and data exfiltration, showcasing a complex multi-stage attack. 4. **[ValleyRAT Multi-Stage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/c599ee92)**: Zscaler ThreatLabz identified a campaign deploying an updated ValleyRAT by China-based threat actors, using phishing emails and HTTP File Server for malware delivery. The RAT includes advanced evasion techniques and enhanced data collection capabilities. 5. **[APT Attacks Using Cloud Services](https://sip.security.microsoft.com/intel-explorer/articles/bebf8696)**: AhnLab Security Intelligence Center reported APT attacks leveraging Google Drive, OneDrive, and Dropbox to distribute malware. Attackers use malicious scripts and RAT strains to collect user information and perform various malicious activities. 6. **[CoinMiner vs. Ransomware Conflict](https://sip.security.microsoft.com/intel-explorer/articles/58dd52ff)**: ASEC described an incident where a CoinMiner attacker\'s proxy server was compromised by a ransomware actor\'s RDP scan attack. The CoinMiner botnet infection through MS-SQL server vulnerabilities was disrupted by the ransomware attack, illustrating inter-threat actor conflicts. 7. **[Sticky Werewolf Campaign](https://sip.security.microsoft.com/intel-explorer/articles/e3b51ad8)**: Morphisec Labs discovered Sticky Werewolf targeting the aviation industry with phishing campaigns using LNK files. The group, with suspected geopolitical ties, employs CypherIT Loader/Crypter for payload delivery and anti-analysis measures. 8. **[Kimsuky\'s Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/ab73cf6f)**: BlackBerry identified North Korea\'s Kimsuky group targeting a Western European weapons manufacturer with spear-phishing emails containing malicious JavaScript. The campaign underscores the growing threat of cyber espionage in the military sector. 9. **[Operation Celestial Force](https://sip.security.microsoft.com/intel-explorer/articles/0dccc722)**: Cisco Talos reported Cosmic Leopard\'s espionage campaign using GravityRAT and HeavyLift, targeting Indian defense and government sectors. The campaign em | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-06-17 10:41:00 | Neuterat Malware cible les utilisateurs sud-coréens via un logiciel fissuré NiceRAT Malware Targets South Korean Users via Cracked Software (lien direct) |
Des acteurs de menace ont été observés en déploiement d'un malware appelé benerat pour coopt les appareils infectés dans un botnet.
Les attaques, qui ciblent les utilisateurs sud-coréens, sont conçues pour propager les logiciels malveillants sous le couvert de logiciels fissurés, tels que Microsoft Windows, ou des outils qui prétendent offrir une vérification de licence pour Microsoft Office.
"En raison de la nature des programmes de crack, le partage d'informations entre
Threat actors have been observed deploying a malware called NiceRAT to co-opt infected devices into a botnet. The attacks, which target South Korean users, are designed to propagate the malware under the guise of cracked software, such as Microsoft Windows, or tools that purport to offer license verification for Microsoft Office. "Due to the nature of crack programs, information sharing amongst |
Malware Tool Threat | ★★★ | |
|
2024-06-17 10:00:00 | Battre la chaleur et les cyber-menaces cet été Beat the Heat and Cyber Threats This Summer (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Summer is a time for relaxation, travel, and spending quality moments with family and friends. However, it is also peak season for cybercriminals who exploit the vulnerabilities that arise during this period. Cyberattacks surge during the summer holiday season as businesses and individuals let their guard down. Many companies operate with reduced staff as employees take time off, leaving fewer eyes on critical systems and security measures. Cybersecurity teams, often stretched thin, may not be able to respond as swiftly to threats. Additionally, individuals on vacation might be more inclined to use unsecured networks, fall for enticing travel deals, or overlook phishing attempts amidst their holiday activities. The importance of staying vigilant and informed about common summer scams cannot be overstated. By understanding these threats and taking proactive steps to protect ourselves, we can enjoy our summer holidays without falling victim to these opportunistic attacks. The Surge in Summer Cyberattacks Summer sees a marked increase in cyberattacks, with statistics indicating a significant rise in incidents during this period. For instance, in June alone, cyberattacks globally surged by an alarming 60%. This increase can be attributed to several factors that make the summer season particularly attractive to cybercriminals. One primary reason is the reduction in staff across businesses as employees take their vacations. This often results in Security Operations Centers (SOCs) operating with minimal personnel, reducing the ability to monitor and respond to threats effectively. Additionally, with key cybersecurity professionals out of the office, the remaining team may struggle to maintain the same level of protection. Increased travel also plays an important role. Individuals on vacation are more likely to use unsecured networks, such as public Wi-Fi in airports, hotels, and cafes, which can expose them to cyber threats. Moreover, the general relaxation mindset that accompanies holiday activities often leads to a decrease in caution, making individuals more susceptible to scams and phishing attacks. The impact of this surge in cyberattacks is significant for both individuals and businesses. For individuals, it can mean the loss of personal information and financial assets. For businesses, these attacks can lead to data breaches, financial losses, and reputational damage. Therefore, it is crucial to remain vigilant and take preventive measures during the summer season to mitigate these risks. How to Recognize and Avoid Seasonal Cyber Threats As summer rolls around, cybercriminals ramp up their efforts to expose the relaxed and often less vigilant attitudes of individuals and businesses. Here are some of the most prevalent scams to watch out for during the summer season. Fake Travel Deals One of the most common summer scams involves fake travel deals. Cybercriminals create enticing offers for vacation packages, flights, and accommodations that seem too good to be true. These offers are often promoted through fake websites, social media ads, and phishing emails. Once victims enter their personal and financial information to book these deals, they quickly realize that the offers were fraudulent, and their information is compromised, leading to issues such as identity theft. | Malware Tool Vulnerability Threat Legislation | ★★ | |
 |
2024-06-17 09:57:50 | Un malware piloté par émojis (lien direct) | Des campagnes cybercriminelles tirent parti d'un projet open source qui permet d'utiliser Discord en tant que C2... en communiquant par émojis. | Malware | ★★★ |
To see everything:
