Src |
Date (GMT) |
Titre |
Description |
Tags |
Stories |
Notes |
![Securonix.webp](./Ressources/img/Securonix.webp) |
2023-11-16 15:00:01 |
Nouvelle campagne d'attaque SEO # Lurker: les acteurs de la menace utilisent l'empoisonnement du référencement et les fausses publicités Google pour attirer les victimes d'installation New SEO#LURKER Attack Campaign: Threat Actors Use SEO Poisoning and Fake Google Ads to Lure Victims Into Installing Malware (lien direct) |
Une campagne d'empoisonnement / malvertisation en cours en cours tirant parti des leurres WinSCP ainsi qu'une chaîne d'infection furtive attire des victimes de logiciels malveillants (aux côtés du logiciel WinSCP légitime).Les attaquants tirent probablement parti des annonces de recherche dynamique qui permettent aux acteurs de menace injecter leur propre code malveillant tout en imitant des sources légitimes comme les pages de recherche Google.
An ongoing SEO poisoning/malvertising campaign leveraging WinSCP lures along with a stealthy infection chain lures victims into installing malware (alongside the legitimate WinSCP software). Attackers are likely leveraging dynamic search ads which let threat actors inject their own malicious code while mimicking legitimate sources like Google search pages. |
Malware
Threat
|
|
★★★
|
![ProofPoint.webp](./Ressources/img/ProofPoint.webp) |
2023-11-16 14:15:19 |
Informations exploitables: simplifier l'explication des menaces via le résumé de la condamnation Actionable Insights: Simplifying Threat Explainability via the Condemnation Summary (lien direct) |
In this blog series we cover how to improve your company\'s security posture with actionable insights. Actionable insights are a critical tool to help you improve your security posture and stop initial compromise in the attack chain. You can use them to identify and respond to potential risks, enhance your incident response capabilities, and make more informed security decisions.
In previous actionable insights blog posts, we covered these topics:
People risk
Origin risk
Business email compromise (BEC) risk
Ensuring proper risk context
Risk efficacy
Telephone-oriented attack delivery (TOAD) risk
Threat intelligence
Your risk profile
In this post, we are excited to announce the new TAP Condemnation Summary-which is available to all Proofpoint Targeted Attack Protection (TAP) customers who use the Proofpoint Aegis threat protection platform. We\'ll explain why it is an invaluable resource and we\'ll explore some of its key reports.
Threat explainability: Introducing the Condemnation Summary
In the ever-evolving cybersecurity landscape, clear communication and rapid understanding of email threats are essential. Proofpoint introduced the Condemnation Summary to enhance threat visibility and explain-in plain, everyday language-why a particular threat is condemned.
The summary makes it easier for both technical and nontechnical users to comprehend email threats. You can find the TAP Condemnation Summary in the Evidence section of the threat details page for any individual threat within your Aegis platform.
Let\'s explore how this new feature can help your business.
Insights: What you can learn from the Condemnation Summary
The Condemnation Summary helps demystify email threats and streamline the decision-making process for threat remediation. Here\'s what you can expect from this innovative feature.
User and VIP insights
The Condemnation Summary includes a highlights card that spotlights impacted users and VIPs. With drilldown options and actionable items, you can quickly determine who is affected. You can use these insights to understand the steps you need to take to mitigate the threat.
Details about affected users shown in the Condemnation Summary.
Threat state overview
This section of the summary breaks down the state of the threat or campaign, complete with timestamps. A chronological view provides you with a clear understanding of how the threat evolved, so you can assess its severity and impact.
The threat state overview section in the Condemnation Summary.
User-friendly descriptions
The Condemnation Summary offers high-level observations from our behavioral and machine learning detection layers. Threats are described in everyday language. So nontechnical users can better grasp the nature of a threat and its potential consequences.
High-level observations in plain language in the Condemnation Summary.
Source attribution
It\'s helpful to understand where a threat originated. Condemnation Sources gives you insight into which sources contributed to the detection and condemnation of the threat.
The Condemnation Sources section in the Condemnation Summary.
Targeted controls: Taking action
The Condemnation Summary isn\'t just a feature for visibility or explainability. It\'s a tool for action. Here\'s how to make the most of this new feature:
Mitigate threats faster. With user and VIP insights, you can respond promptly to threats that are impacting specific individuals. Take immediate actions to protect these users and mitigate risks.
Improve your communication about threats. The user-friendly descriptions in the Condemnation Summary make it easier to communicate threat details to nontechnical stakeholders. This, in turn, helps to foster better collaboration around security across your business.
See how threats evolve. When you have a timeline of a threat\'s progression, you can assess how a threat evolved and whether it is part of a broader campaign.
Track where threats come from. It is cruci |
Tool
Threat
Technical
|
|
★★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-16 13:57:08 |
Cybersécurité : les réponses face à la sophistication des menaces (lien direct) |
Cybersécurité : les réponses face à la sophistication des menaces
Par Fabrice de Vésian, Sales Manager chez Yubico
-
Points de Vue |
Threat
|
|
★★
|
![InfoSecurityMag.webp](./Ressources/img/InfoSecurityMag.webp) |
2023-11-16 12:30:00 |
Black Friday: MalwareBytes met en garde contre la surtension de l'écrémage des cartes de crédit Black Friday: Malwarebytes Warns of Credit Card Skimming Surge (lien direct) |
Les acteurs de la menace écrémotrice accélèrent leur activité juste à temps pour la saison des fêtes
Skimming threat actors ramp up their activity just in time for the holiday season |
Threat
|
|
★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-16 11:36:00 |
Lancement de pirates russes \\ 'la plus grande cyberattaque de tous les temps \\' sur l'infrastructure critique danoise Russian Hackers Launch \\'Largest Ever Cyber Attack\\' on Danish Critical Infrastructure (lien direct) |
Les acteurs de la menace russe ont peut-être été liés à ce qui a été décrit comme la «plus grande cyberattaque contre les infrastructures critiques danoises», dans lesquelles 22 entreprises associées au fonctionnement du secteur de l'énergie du pays ont été ciblées en mai 2023.
"22 Les cyberattaques simultanées et réussies contre les infrastructures critiques danoises ne sont pas monnaie courante", a déclaré Sektorcert du Danemark \\."Le
Russian threat actors have been possibly linked to what\'s been described as the "largest cyber attack against Danish critical infrastructure," in which 22 companies associated with the operation of the country\'s energy sector were targeted in May 2023.
"22 simultaneous, successful cyberattacks against Danish critical infrastructure are not commonplace," Denmark\'s SektorCERT said [PDF]. "The |
Threat
|
|
★★
|
![AlienVault.webp](./Ressources/img/AlienVault.webp) |
2023-11-16 11:00:00 |
Histoires du SOC: étapes proactives pour protéger les clients contre le MFA mal configuré Stories from the SOC: Proactive steps to protect customers from misconfigured MFA (lien direct) |
Résumé de l'exécutif
Authentification multifactrice, ou MFA, offre aux utilisateurs une couche de sécurité ajoutée lors de la connexion aux applications Web.Dépassant son prédécesseur, l'authentification à deux facteurs, en 2023, le MFA est une option standard pour une autre couche de sécurité pour les comptes en ligne..
En mai 2022, la cybersécurité et l'ampli;Infrastructure Security Agency (CISA) a publié le conseil en sécurité aa22-074a & nbsp; décrire comment les configurations par défaut dans les applications MFA sont considérées comme une vulnérabilité.La tactique a été utilisée par les cyber-acteurs parrainés par l'État russe dès mai 2021 dans un compromis réussi d'une organisation américaine.
Sur la base de ces directives de la CISA, les AT & amp; T cybersecurity a géré la détection gérée par la cybersecurity.et réponse (MDR) Centre d'opérations de sécurité (SOC) a analysé de manière proactive dans notre flotte de clients et a découvert un client qui utilisait la configuration par défaut, qui peut être exploitée.Les analystes de SOC ont contacté le client pour l'informer du risque et ont fourni des recommandations sur la façon de sécuriser leur réseau.
Investigation
Recherche d'événements
Les analystes ont utilisé l'outil open-source, Elastic Stack, pour rechercher nos clients pour & ldquo; défaillance, & rdquo; qui est la configuration par défaut dans les applications MFA qui rend possible un accès non autorisé.
& nbsp; & nbsp;
Événement Deep-Dive
La recherche a révélé un client avec son ensemble de candidatures MFA sur Rectendopen = 1, qui est le paramètre qui permet à un acteur malveillant de contourner l'authentification lorsqu'il est exploité.Le & ldquo; défaillance & rdquo;Le paramètre permet une tentative incorrecte de connexion, ce qui permettrait alors un accès sans entrave à un compte avec ce paramètre sur le réseau client.
Revue pour des indicateurs supplémentaires
De là, les analystes SOC ont pivoté pour rechercher l'environnement client pour toutes les informations qui identifieraient les actifs et les comptes des clients associés et qui indiqueraient une activité malveillante extérieure.Ils ont découvert que l'utilisateur responsable était répertorié comme administrateur dans l'environnement client.
Réponse
Construire l'enquête
Les analystes ont ouvert une enquête pour traiter la mauvaise configuration de l'application mobile MFA ainsi que pour confirmer si l'activité associée à l'utilisateur identifié a été autorisée.L'enquête comprenait une explication de la vulnérabilité ainsi qu'un résumé de l'activité de l'utilisateur impliqué sur les actifs identifiés au cours des 30 derniers jours.
Interaction client
Les analystes ont créé une enquête à faible sévérité, ce qui, dans ce cas, signifiait qu'ils n'étaient pas tenus de contacter le client.(Nos clients MDR déterminent quand et comment le SOC communique avec eux.)
Cependant, pour s'assurer que le problème a été résolu en temps opportun, les analystes ont également informé le groupe Hu |
Tool
Vulnerability
Threat
|
|
★★★
|
![Pirate.webp](./Ressources/img/Pirate.webp) |
2023-11-16 09:15:10 |
Comment l\'approche SASE de Cato Networks permet d\'améliorer son niveau de sécurité ? (lien direct) |
>Avec l’évolution constante des technologies et des menaces cyber, la sécurité des réseaux devient un enjeu majeur pour les entreprises. Dans ce contexte, le modèle Secure Access Service Edge (SASE) émerge comme une solution novatrice, offrant une approche cloud intégrée, globale et convergente pour renforcer la sécurité tout en optimisant les performances. Le SASE résumé […]
The post Comment l'approche SASE de Cato Networks permet d'améliorer son niveau de sécurité ? first appeared on UnderNews. |
Threat
Cloud
|
|
★★
|
![ProofPoint.webp](./Ressources/img/ProofPoint.webp) |
2023-11-16 07:00:00 |
Patrick Joyce rejoint la preuve en tant que résident mondial CISO Patrick Joyce Joins Proofpoint as Global Resident CISO (lien direct) |
Nous sommes ravis d'accueillir Patrick Joyce, un véritable leader de l'industrie, qui servira de responsable de la sécurité en chef de l'information résidente de Proofpoint \\ (RCISO).Dans ce rôle, Patrick agira en tant que conseiller stratégique de la Communauté du Greater Ciso et se fermera le comité consultatif client de Customer Point de Ciso (CAB).
Alors que certaines sociétés de cybersécurité offrent des ressources et une valeur supplémentaire à leurs clients grâce à un CISO interne, l'objectif est généralement de vendre leurs produits de leur entreprise.Chez ProofPoint, notre RCISO agit comme une liaison, une collègue, un mentor et des ressources à la grande communauté de Ciso, axée uniquement sur les besoins de sécurité des CISO des clients en fournissant des conseils, des connaissances et une formation impartiaux pour aider les CISOChanger le paysage des menaces.
Patrick est un leader d'opinion reconnu dans l'industrie de la cybersécurité, et son vaste expertise sera un atout précieux pour aider nos clients à briser la chaîne d'attaque, les protégeant des cyber-risques et menaces les plus sophistiqués d'aujourd'hui.En tant que praticien de cybersécurité très respecté avec plus de 30 ans d'expérience dans le domaine de l'informatique et de la sécurité, Patrick apporte une richesse de connaissances à ce rôle essentiel;Plus récemment, il a été vice-président et chef de la sécurité (CSO et CISO) pour Medtronic, une entreprise de MedTech Fortune 500, où il était responsable de la direction des stratégies, opérations et initiatives mondiales de la société de la société.Avant de rejoindre Medtronic, Patrick a occupé des postes de direction dans des organisations du secteur public et privé à travers plusieurs verticales, notamment des soins de santé (fournisseur et payeur), des voyages / hospitalités et du conseil informatique.Il a également été officier dans l'US Air Force et dans la communauté du renseignement américain.
Patrick a une solide référence de la création de partenariats de confiance et de collaborations en réunissant des pairs et d'autres hauts dirigeants pour relever les défis communs dans le secteur privé et diverses agences gouvernementales.Il siège également aux conseils d'administration de l'industrie et présente ses conseils et son expertise sur les forums privés et publics.Par exemple, il a siégé au conseil d'administration du Healthcare Information Shart & Analysis Center (H-ISAC), créé par la directive présidentielle américaine pour gérer le cyber-risque à travers les infrastructures critiques, ainsi que les conseils d'administration de la Minnesota Technology Association (Mntech), laLe comité d'audit du programme national des donateurs de Marrow ou \\ 'être le match \', et le comité d'audit et de risque du système de santé d'Allina.
En plus de ses réalisations en tant que partenaire commercial et conseiller de confiance, Patrick est également connu pour son approche de bon sens, son leadership calme et minutieux, son bon jugement et sa capacité à communiquer efficacement à tous les niveaux.
Nous sommes ravis d'accueillir Patrick à Proofpoint et nous sommes impatients de présenter Patrick aux CISO à travers le monde au cours des semaines et des mois à venir.
We are thrilled to welcome Patrick Joyce, a veritable industry leader, who will serve as Proofpoint\'s Global Resident Chief Information Security Officer (RCISO). In this role, Patrick will act as a strategic advisor to the greater CISO community and spearhead Proofpoint\'s Customer Advisory Board (CAB).
While some cybersecurity companies offer resources and additional value to their customers through an internal CISO, the goal is typically to sell their company\'s products. At Proofpoint, our RCISO acts as a liaison, colleague, mentor and resource to the greater CISO community, focused solely on the security needs of customer CISOs by delivering unbiased advice, knowledge and training to help CISOs stay ahead of t |
Threat
|
|
★★
|
![TechWorm.webp](./Ressources/img/TechWorm.webp) |
2023-11-15 23:32:48 |
Comment Hibob protège les données des clients à partir de violations How HiBob Safeguards Customer Data from Breaches (lien direct) |
Data breaches have become far too commonplace these days.
Over 5 billion personal records were compromised in cyber attacks this year alone.
For HR platforms like HiBob that handle extremely sensitive information like salaries and reviews, tough security isn’t just advised – it’s absolutely essential. As such, guarding personal details should be priority number one.
But here’s the good news – HiBob gets how critical security is. They’ve made it the cornerstone of their platform, using a layered defense strategy – encryption, access controls, audits, the works – to protect customer data.
While no system is completely fool-proof, HiBob takes a myriad of proactive precautions to lock things down tight. With their built-in protections, strict standards, limited access, and constant upgrades, they’re ahead of the game when it comes to breach prevention.
So, even though cyber attacks remain a lingering threat, customers can rest assured knowing that HiBob data leak prevention strategies take enterprise-level measures to keep sensitive employee info secure. Their defense strategy aims to keep personal data out of the wrong hands.
Built-in Security Architecture Protects Customer Data
For HiBob, security isn’t some last-minute addition – it’s baked right into the core design of their platform’s architecture. Rather than slapping on security as an afterthought, HiBob engineers it into the platform’s DNA from the get-go. For starters, HiBob uses powerful encryption to scramble customer data like a secret recipe, keeping prying eyes from reading it. This locks down info even if improperly accessed.
HiBob also institutes strict “eyes only” access rules, with employees only able to view the specific data they need to do their jobs. This minimizes exposure on a need-to-know basis.
Activity monitoring provides another safeguard, tracking access to data like a security camera. Suspicious activity triggers alerts, allowing HiBob to rapidly detect and respond to threats. With this robust baked-in security as the base, HiBob can design a platform balancing usability and data protection. After all, security shouldn\'t come at the cost of user experience.
Compliance with Rigorous Security Standards
HiBob has earned some major badges of honor – ISO 27001 and ISO 27018 certifications. These are like gold stars for info security controls and cloud privacy best practices. Scoring these rigorous certs proves HiBob’s security program passes with flying colors.
On top of that, HiBob has aced some intense independent audits – SOC 1 and SOC 2. These audits are like tough exams focused on security, availability, privacy, and discretion. Passing verifies HiBob has the needed controls in place to handle sensitive customer data properly.
By meeting these elite security standards set by organizations like ISO and AICPA, HiBob shows they’re serious about data protection. These stamps of approval from renowned institutions give customers confidence that HiBob’s platform makes the grade when it comes to industry-accepted security practices. This reduces risk for any organization using their HR platform.
Vetting Third-Party Integrations to Close Security Gaps
With any HR platform, third-party integrations are necessary to connect the different tech puzzle pieces. But every integration also creates a potential security weak spot if not vetted properly. HiBob gets how risky this can be. That’s why they take integrating very seriously – no puzzle piece gets add |
Vulnerability
Threat
Cloud
|
|
★★★
|
![RiskIQ.webp](./Ressources/img/RiskIQ.webp) |
2023-11-15 21:25:29 |
#Stopransomware: ransomware Rhysida #StopRansomware: Rhysida Ransomware (lien direct) |
#### Description
Les variants de ransomwares émergents de Rhysida, ont été principalement déployés contre les secteurs de l'éducation, des soins de santé, de la fabrication, des technologies de l'information et du gouvernement depuis mai 2023. Les acteurs de la menace tirent parti des ransomwares de Rhysida sont connus pour avoir un impact sur les «objectifs d'opportunité», y compris les victimes de l'éducation,Les secteurs de la santé, de la fabrication, des technologies de l'information et du gouvernement.Les rapports open source détaillent les similitudes entre l'activité de la vice Society (Dev-0832) et les acteurs ont observé le déploiement du ransomware de Rhysida.De plus, les rapports open source ont confirmé que les cas observés d'acteurs de Rhysida opérant dans une capacité de ransomware en tant que service (RAAS), où les outils de ransomware et l'infrastructure sont loués dans un modèle de renseignement.Toutes les rançons payées sont ensuite divisées entre le groupe et les affiliés.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a
#### Date de publication
15 novembre 2023
#### Auteurs)
Cisa
#### Description
Rhysida-an emerging ransomware variant-has predominately been deployed against the education, healthcare, manufacturing, information technology, and government sectors since May 2023. Threat actors leveraging Rhysida ransomware are known to impact “targets of opportunity,” including victims in the education, healthcare, manufacturing, information technology, and government sectors. Open source reporting details similarities between Vice Society (DEV-0832) activity and the actors observed deploying Rhysida ransomware. Additionally, open source reporting has confirmed observed instances of Rhysida actors operating in a ransomware-as-a-service (RaaS) capacity, where ransomware tools and infrastructure are leased out in a profit-sharing model. Any ransoms paid are then split between the group and the affiliates.
#### Reference URL(s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a
#### Publication Date
November 15, 2023
#### Author(s)
CISA
|
Ransomware
Tool
Threat
|
|
★★
|
![Blog.webp](./Ressources/img/Blog.webp) |
2023-11-15 20:19:58 |
Les escrocs chinois exploitent des sites Web clonés dans un vaste réseau de jeu Chinese Scammers Exploit Cloned Websites in Vast Gambling Network (lien direct) |
> Par waqas
Les escrocs chinois ont créé des versions clonées de sites Web légitimes, redirigeant les visiteurs vers des sites de jeu.
Ceci est un article de HackRead.com Lire le post original: Les escrocs chinois exploitent des sites Web clonés dans un vaste réseau de jeux
>By Waqas
Chinese scammers have been creating cloned versions of legitimate websites, redirecting visitors to gambling sites.
This is a post from HackRead.com Read the original post: Chinese Scammers Exploit Cloned Websites in Vast Gambling Network |
Threat
|
|
★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-15 19:19:00 |
Nouvel exploit POC pour Apache ActiveMQ Flaw pourrait laisser les attaquants voler sous le radar New PoC Exploit for Apache ActiveMQ Flaw Could Let Attackers Fly Under the Radar (lien direct) |
Les chercheurs en cybersécurité ont démontré une nouvelle technique qui exploite un défaut de sécurité critique dans Apache ActiveMQ pour réaliser une exécution arbitraire de code en mémoire.
Suivi en CVE-2023-46604 (score CVSS: 10.0), la vulnérabilité est un bogue d'exécution de code distant qui pourrait permettre à un acteur de menace d'exécuter des commandes de shell arbitraires.
Il a été corrigé par Apache dans les versions ActiveMQ 5.15.16, 5.16.7, 5.17.6,
Cybersecurity researchers have demonstrated a new technique that exploits a critical security flaw in Apache ActiveMQ to achieve arbitrary code execution in memory.
Tracked as CVE-2023-46604 (CVSS score: 10.0), the vulnerability is a remote code execution bug that could permit a threat actor to run arbitrary shell commands.
It was patched by Apache in ActiveMQ versions 5.15.16, 5.16.7, 5.17.6, |
Vulnerability
Threat
|
|
★★★
|
![Blog.webp](./Ressources/img/Blog.webp) |
2023-11-15 17:19:57 |
Squat et détournement de marque de domaine: une menace silencieuse pour les entreprises numériques Domain Squatting and Brand Hijacking: A Silent Threat to Digital Enterprises (lien direct) |
> Par waqas
Le squat du domaine peut vous conduire à des sites Web malveillants, et il pourrait être trop tard pour réaliser ce qui s'est réellement passé.
Ceci est un article de HackRead.com Lire le post original: Squat et détournement de marque du domaine: une menace silencieuse pour les entreprises numériques
>By Waqas
Domain squatting can lead you to malicious websites, and it might be too late to realize what actually happened.
This is a post from HackRead.com Read the original post: Domain Squatting and Brand Hijacking: A Silent Threat to Digital Enterprises |
Threat
|
|
★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-15 17:05:29 |
Bitdefender nommé Leader de la sécurité des endpoints par le cabinet d\'études indépendant Forrester Research (lien direct) |
Bitdefender nommé Leader de la sécurité des endpoints par le cabinet d'études indépendant Forrester Research
Dans le rapport publié par Forrester, Bitdefender a obtenu la meilleure note maximale dans dix catégories, dont " Prévention des malwares ", " Détection des menaces réseau ", " Application des correctifs ", " Innovation " et " Flexibilité et Transparence des tarifs ".
The Forrester Wave™ : Endpoint Security, Q4 2023
-
Magic Quadrant |
Threat
|
|
★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-15 16:45:44 |
Étude Rubrik Zero Lab : une organisation sur deux a subi une perte de données sensibles en 2023 (lien direct) |
Étude Rubrik Zero Lab : une organisation sur deux a subi une perte de données sensibles en 2023.
Le nouveau rapport cybersécurité de Rubrik révèle la dure réalité de la défense des données aujourd'hui, les menaces qui pèsent sur nos données et le besoin croissant de stratégies différentes en matière de sécurité des données et de cyber-résilience.
-
Investigations |
Threat
Studies
|
|
★★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-15 16:32:49 |
Top Malware Check Point - Octobre 2023 (lien direct) |
Top Malware Check Point - Octobre 2023 :
En France, Formbook est de retour à la tête du classement,
Emotet et Remcos chutent chacun d'une place mais restent sur le podium
La France passe de la 97ème à la 104ème place dans l'indice des menaces,
qui classe les pays en fonction du niveau de menaces moyen auquel ils sont exposés chaque mois.
A l'échelle mondiale, NJRat a gagné quatre places pour arriver en 2ème position le mois dernier. Entre-temps, une nouvelle campagne de malvertising a été découverte dans laquelle AgentTesla, le sixième malware le plus utilisé, circule via des pièces jointes corrompues.
-
Malwares |
Malware
Threat
|
|
★★
|
![SocRadar.webp](./Ressources/img/SocRadar.webp) |
2023-11-15 14:44:31 |
MGM Casino Hack et réalités des attaques d'ingénierie sociale MGM Casino Hack and Realities of Social Engineering Attacks (lien direct) |
> Dans le monde compliqué de la cybersécurité, l'élément le plus imprévisible reste le facteur humain.Social ...
>In the complicated world of cybersecurity, the most unpredictable element remains the human factor. Social...
|
Hack
Threat
|
|
★★★★★
|
![zataz.webp](./Ressources/img/zataz.webp) |
2023-11-15 13:52:05 |
0DAY : FAILLE POUR WINDOWS À VENDRE 70 000 $ (lien direct) |
[Info ZATAZ] - Un hacker propose à la vente un LPE 0day concernant le noyau Windows au prix de 70 000 dollars américains !... |
Threat
|
|
★★★
|
![SecurityWeek.webp](./Ressources/img/SecurityWeek.webp) |
2023-11-15 11:44:58 |
Radicl ajoute 9 millions de dollars de financement pour fortifier les cyber-défenses des PME dans la base industrielle de la défense RADICL Adds $9 Million in Funding to Fortify Cyber Defenses of SMBs in Defense Industrial Base (lien direct) |
> Radicl, une startup de cybersécurité spécialisée dans la protection des menaces aux PME, a obtenu un financement supplémentaire de 9 millions de dollars supplémentaires, ajoutant à 3 millions de dollars que la société avait collecté auparavant.
>RADICL, a cybersecurity startup specializing in providing threat protection to SMBs, secured an additional $9 million in early-stage funding, adding to $3 million that the company had raised previously.
|
Threat
Industrial
|
|
★★
|
![AlienVault.webp](./Ressources/img/AlienVault.webp) |
2023-11-15 11:00:00 |
Dans quelle mesure votre entreprise est-elle préparée pour une attaque en chaîne d'approvisionnement? How prepared is your company for a supply chain attack? (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article.
In a supply chain attack, hackers aim to breach a target\'s defenses by exploiting vulnerabilities in third-party companies. These attacks typically follow one of two paths. The first involves targeting a service provider or contractor, often a smaller entity with less robust security. The second path targets software developers, embedding malicious code into their products. This code, masquerading as a legitimate update, may later infiltrate the IT systems of customers.
This article delves into specific instances of supply chain attacks, explores the inherent risks, examines common strategies employed by attackers, as well as effective defense mechanisms, and offers supply chain risk management tips.
Understanding the scope and danger of supply chain cyberattacks
In their assaults on supply chains, attackers are driven by various objectives, which can range from espionage and extortion to other malicious intents. These attacks are merely one of many strategies hackers use to infiltrate a victim\'s infrastructure.
What makes supply chain attacks particularly dangerous is their unpredictability and extensive reach. Companies can find themselves compromised by mere misfortune. A case in point is the 2020 incident involving SolarWinds, a network management software firm. The company fell victim to a hack that resulted in extensive breaches across various government agencies and private corporations. Over 18,000 SolarWinds customers unknowingly installed malicious updates, which led to an undetected, widespread malware infiltration.
Why do companies fall victim to supply chain attacks?
Several factors contribute to the susceptibility of companies to supply chain attacks:
Inadequate security measures
A staggering 84% of businesses have high-risk vulnerabilities within their networks. For companies involved in software production and distribution, a supply chain attack represents a significant breach of security protocols.
Reliance on unsafe components
Many firms utilize components from third-party vendors and open-source software (OSS), seeking to cut costs and expedite product development. However, this practice can backfire by introducing severe vulnerabilities into a company\'s infrastructure. OSS platforms and repositories frequently contain security loopholes. Cybersecurity professionals have identified over 10,000 GitHub repositories susceptible to RepoJacking, a form of supply chain attack exploiting dependency hijacking. Furthermore, the layered nature of OSS, often integrating third-party components, creates a chain of transitive dependencies and potential security threats.
Overconfidence in partners
Not many companies conduct thorough security evaluations of their service providers, typically relying on superficial questionnaires or legal compliance checks. These measures fall short of providing an accurate picture of a partner\'s cybersecurity maturity. In most cases, real audits are an afterthought triggered by a security incident that has already taken place.
Additional risk factors precipit |
Malware
Hack
Tool
Vulnerability
Threat
|
|
★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-15 00:10:00 |
Attaque de Cachewarp: Une nouvelle vulnérabilité dans AMD Sev expose les machines virtuelles cryptées CacheWarp Attack: New Vulnerability in AMD SEV Exposes Encrypted VMs (lien direct) |
Un groupe d'universitaires a révélé une nouvelle "attaque de défaut de logiciel" sur la technologie de virtualisation cryptée (SEV) sécurisée d'AMD \\ qui pourrait être potentiellement exploitée par les acteurs de la menace pour infiltrer les machines virtuelles cryptées (VM) et même effectuer une escalade de privilèges.
L'attaque a été nommée Cachewarp (CVE-2023-20592) par des chercheurs du Cispa Helmholtz Center for Information Security.Il
A group of academics has disclosed a new "software fault attack" on AMD\'s Secure Encrypted Virtualization (SEV) technology that could be potentially exploited by threat actors to infiltrate encrypted virtual machines (VMs) and even perform privilege escalation.
The attack has been codenamed CacheWarp (CVE-2023-20592) by researchers from the CISPA Helmholtz Center for Information Security. It |
Vulnerability
Threat
|
|
★★★
|
![Blog.webp](./Ressources/img/Blog.webp) |
2023-11-14 22:42:05 |
AVERTISSEMENT LA DISTRIBUTION DE LA MALWORED IMÉSPURANT UNE ORGANISATION PUBLIQUE (LNK) Warning Against Distribution of Malware Impersonating a Public Organization (LNK) (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a observé la distribution des dossiers de raccourci malveillant (* .lnk)une organisation publique.L'acteur de menace semble distribuer un fichier de script malveillant (HTML) déguisé en e-mail de sécurité en le joignant aux e-mails.Ceux-ci ciblent généralement les individus dans le domaine de la réunification coréenne et de la sécurité nationale.Notamment, ceux-ci étaient déguisés par des sujets de paiement honoraire pour les faire ressembler à des documents légitimes.La méthode de fonctionnement des logiciels malveillants et le format C2 sont similaires à ceux ...
AhnLab Security Emergency response Center (ASEC) observed the distribution of malicious shortcut (*.lnk) files impersonating a public organization. The threat actor seems to be distributing a malicious script (HTML) file disguised as a security email by attaching it to emails. These usually target individuals in the field of Korean reunification and national security. Notably, these were disguised with topics of honorarium payment to make them seem like legitimate documents. The malware’s operation method and C2 format are similar to those...
|
Malware
Threat
|
|
★★
|
![RiskIQ.webp](./Ressources/img/RiskIQ.webp) |
2023-11-14 20:57:50 |
Ne jetez pas une crise de sifflement;Défendre contre Medusa Don\\'t Throw a Hissy Fit; Defend Against Medusa (lien direct) |
#### Description
Le ransomware MEDUSA est une variante qui aurait existe depuis juin 2021 [1].MEDUSA est un exemple de ransomware à double exposition où l'acteur de menace exfiltre et chiffre les données.L'acteur de menace menace de libérer ou de vendre les données de la victime sur le Web sombre si la rançon n'est pas payée.Cela signifie que le groupe derrière les ransomwares de Medusa pourrait être caractérisé comme motivé financièrement.Les victimes des ransomwares de MEDUSA ne proviennent pas d'une industrie particulière suggérant que le groupe derrière cette variante n'a aucun problème à nuire à aucune organisation.
#### URL de référence (s)
1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/
#### Date de publication
13 novembre 2023
#### Auteurs)
Molly Dewis
#### Description
Medusa ransomware is a variant that is believed to have been around since June 2021 [1]. Medusa is an example of a double-extortion ransomware where the threat actor exfiltrates and encrypts data. The threat actor threatens to release or sell the victim\'s data on the dark web if the ransom is not paid. This means the group behind Medusa ransomware could be characterized as financially motivated. Victims of Medusa ransomware are from no particular industry suggesting the group behind this variant have no issue with harming any organization.
#### Reference URL(s)
1. https://research.nccgroup.com/2023/11/13/dont-throw-a-hissy-fit-defend-against-medusa/
#### Publication Date
November 13, 2023
#### Author(s)
Molly Dewis
|
Ransomware
Threat
|
|
★★
|
![DarkReading.webp](./Ressources/img/DarkReading.webp) |
2023-11-14 20:23:00 |
Les jours zéro dans les dispositifs de bord deviennent la tactique de cyber-guerre de la Chine de choix Zero-Days in Edge Devices Become China\\'s Cyber Warfare Tactic of Choice (lien direct) |
Alors que la Chine est déjà parmi les acteurs de menace les plus formidables du monde, l'accent mis sur l'exploitation des appareils publics rendu compte que jamais ses APT parrainés par l'État.
While China is already among the world\'s most formidable threat actors, a focus on exploiting public-facing appliances makes its state-sponsored APTs more dangerous than ever. |
Threat
|
|
★★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-14 17:24:00 |
Alerte: Oracleiv DDOS BOTNET cible les API de moteur Docker public aux conteneurs de détournement Alert: OracleIV DDoS Botnet Targets Public Docker Engine APIs to Hijack Containers (lien direct) |
Les instances API du moteur Docker accessibles en bourse sont ciblées par les acteurs de la menace dans le cadre d'une campagne conçue pour coopter les machines dans un botnet de déni de service distribué (DDOS) surnommé Oracleiv.
"Les attaquants exploitent cette erreur de configuration pour livrer un conteneur docker malveillant, construit à partir d'une image nommée \\ 'Oracleiv_latest \' et contenant des logiciels malveillants Python compilés comme un exécutable ELF
Publicly-accessible Docker Engine API instances are being targeted by threat actors as part of a campaign designed to co-opt the machines into a distributed denial-of-service (DDoS) botnet dubbed OracleIV.
"Attackers are exploiting this misconfiguration to deliver a malicious Docker container, built from an image named \'oracleiv_latest\' and containing Python malware compiled as an ELF executable |
Malware
Threat
|
|
★★
|
![Mandiant.webp](./Ressources/img/Mandiant.webp) |
2023-11-14 17:00:00 |
Le processus CTI Hyperloop: une mise en œuvre pratique du cycle de vie du processus CTI The CTI Process Hyperloop: A Practical Implementation of the CTI Process Lifecycle (lien direct) |
Implémentation du cycle de vie du processus CTI en tant que Hyperloop Le cycle Hyperloop de renseignement est un modèle de mise en œuvre du cyber-menace Intelligence (CTI).Le cycle de vie est un processus bien établi décrivant la façon dont les produits d'intelligence sont motivés par la planification et la direction initialement, suivis des phases de collecte, de traitement, d'analyse, de production et de diffusion.La nature cyclique décrit comment les produits diffusés éclairent ensuite une nouvelle étape de planification et de direction d'un nouveau cycle. |
Threat
|
|
★★★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-14 16:40:49 |
2024 Prédictions de l'industrie & # 8211;Des dirigeants de Stackhawk 2024 Industry Predictions – Executives from StackHawk (lien direct) |
Alors que 2023 touche à sa fin, je voulais partager certaines prédictions de l'équipe de direction de Stackhawk sur ce qui est à l'horizon pour l'espace de cybersécurité en 2024. Veuillez voir ci-dessous pour les prédictions de Joni Klippert, PDG et fondateurde Stackhawk, Scott Gerlach, CSO et co-fondateur de Stackhawk et Dan Hopkins, vice-président de l'ingénierie à Stackhawk.Le changement de sécurité, de conformité et d'automatisation qui a quitté est parmi les principales tendances que Joni, Scott et Dan s'attendent à secouer le paysage des menaces l'année prochaine.
-
opinion
As 2023 comes to a close, I wanted to share some predictions from the leadership team at StackHawk about what\'s on the horizon for the cybersecurity space in 2024. Please see below for predictions from Joni Klippert, CEO and Founder of StackHawk, Scott Gerlach, CSO and Co-Founder of StackHawk, and Dan Hopkins, VP of Engineering at StackHawk. Shift left security, compliance, and automation are among the top trends that Joni, Scott and Dan are expecting to shake up the threat landscape next year.
-
Opinion |
Threat
Industrial
Prediction
|
|
★★★
|
![bleepingcomputer.webp](./Ressources/img/bleepingcomputer.webp) |
2023-11-14 15:34:15 |
La nouvelle attaque Cachewarp AMD CPU permet aux pirates de gagner de la racine dans les machines virtuelles Linux New CacheWarp AMD CPU attack lets hackers gain root in Linux VMs (lien direct) |
Une nouvelle attaque d'injection de défauts basée sur un logiciel, Cachewarp, peut laisser les acteurs de menace pirater les machines virtuelles protégées par AMD SEV en ciblant les écritures de mémoire pour augmenter les privilèges et gagner l'exécution de code distant.[...]
A new software-based fault injection attack, CacheWarp, can let threat actors hack into AMD SEV-protected virtual machines by targeting memory writes to escalate privileges and gain remote code execution. [...] |
Hack
Vulnerability
Threat
|
|
★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-14 15:31:00 |
Une nouvelle campagne cible les gouvernements du Moyen-Orient avec des logiciels malveillants Ironwind New Campaign Targets Middle East Governments with IronWind Malware (lien direct) |
Les entités gouvernementales du Moyen-Orient sont la cible de nouvelles campagnes de phishing conçues pour fournir un nouveau téléchargeur d'accès initial surnommé Ironwind.
L'activité, détectée entre juillet et octobre 2023, a été attribuée par Proof Point à un acteur de menace qu'il suit sous le nom de TA402, également connu sous le nom de Molerats, Gaza Cyber Gang, et partage des chevauchements tactiques avec un pro-Hamas
Government entities in the Middle East are the target of new phishing campaigns that are designed to deliver a new initial access downloader dubbed IronWind.
The activity, detected between July and October 2023, has been attributed by Proofpoint to a threat actor it tracks under the name TA402, which is also known as Molerats, Gaza Cyber Gang, and shares tactical overlaps with a pro-Hamas |
Malware
Threat
|
|
★★
|
![The_State_of_Security.webp](./Ressources/img/The_State_of_Security.webp) |
2023-11-14 15:12:07 |
Alerte Vert Threat: novembre 2023 Patch mardi analyse VERT Threat Alert: November 2023 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte VERT de \\ sont des mises à jour de sécurité novembre 2023 de Microsoft.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1082 le mercredi 15 novembre.IN-THE-the-wild et divulgué CVES CVE-2023-36033 Une vulnérabilité dans le Microsoft Desktop Window Manager (DWM) pourrait permettre à un attaquant d'obtenir des privilèges de niveau du système.Cette vulnérabilité a été divulguée publiquement et a vu une exploitation active.Microsoft a signalé cette vulnérabilité à la détection de l'exploitation.CVE-2023-36025 Windows SmartScreen est la technologie qui apparaît lors de l'exécution d'un fichier ...
Today\'s VERT Alert addresses Microsoft\'s November 2023 Security Updates . VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1082 on Wednesday, November 15th. In-The-Wild & Disclosed CVEs CVE-2023-36033 A vulnerability in the Microsoft Desktop Window Manager (DWM) could allow an attacker to gain SYSTEM level privileges. This vulnerability has been publicly disclosed and seen active exploitation. Microsoft has reported this vulnerability as Exploitation Detected . CVE-2023-36025 Windows SmartScreen is the technology that pops up when running a file... |
Vulnerability
Threat
|
|
★★
|
![securityintelligence.webp](./Ressources/img/securityintelligence.webp) |
2023-11-14 14:00:00 |
L'évolution des ransomwares: leçons pour l'avenir The evolution of ransomware: Lessons for the future (lien direct) |
> Les ransomwares font partie de l'écosystème de la cybercriminalité depuis la fin des années 1980 et restent une menace majeure dans le cyber paysage aujourd'hui.Les attaques en évolution des ransomwares deviennent de plus en plus sophistiquées à mesure que les acteurs de la menace tirent parti des vulnérabilités, de l'ingénierie sociale et des menaces d'initiés.Bien que l'avenir des ransomwares regorge de menaces inconnues, nous pouvons nous tourner vers [& # 8230;]
>Ransomware has been part of the cyber crime ecosystem since the late 1980s and remains a major threat in the cyber landscape today. Evolving ransomware attacks are becoming increasingly more sophisticated as threat actors leverage vulnerabilities, social engineering and insider threats. While the future of ransomware is full of unknown threats, we can look to […]
|
Ransomware
Vulnerability
Threat
|
|
★★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-14 13:33:00 |
Hackers vietnamiens utilisant de nouveaux logiciels malveillants propulsés par Delphi pour cibler les spécialistes du marketing indiens Vietnamese Hackers Using New Delphi-Powered Malware to Target Indian Marketers (lien direct) |
Les acteurs de la menace vietnamienne derrière le malware du voleur de Ducktails ont été liés à une nouvelle campagne qui s'est déroulée entre mars et début octobre 2023, ciblant les professionnels du marketing en Inde dans le but de détourner les comptes d'entreprise Facebook.
"Une fonctionnalité importante qui le distingue est que, contrairement aux campagnes précédentes, qui reposaient sur des applications .NET, celle-ci a utilisé Delphi comme programmation
The Vietnamese threat actors behind the Ducktail stealer malware have been linked to a new campaign that ran between March and early October 2023, targeting marketing professionals in India with an aim to hijack Facebook business accounts.
"An important feature that sets it apart is that, unlike previous campaigns, which relied on .NET applications, this one used Delphi as the programming |
Malware
Threat
|
|
★★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-14 13:21:20 |
Prévisions de cybersécurité pour 2024 - SecurityScorecard (lien direct) |
Prévisions de cybersécurité pour 2024 - SecurityScorecard par Alex Heid, vice-président de Threat Intelligence et de Steve Cobb, responsable de la sécurité de l'information (RSSI) de SecurityScorecard
-
Points de Vue |
Threat
Prediction
|
|
★★★
|
![bleepingcomputer.webp](./Ressources/img/bleepingcomputer.webp) |
2023-11-14 12:36:32 |
Fournisseur de pharmacie TruePill La violation de données atteint 2,3 millions de clients Pharmacy provider Truepill data breach hits 2.3 million customers (lien direct) |
PostMeds, faisant des affaires comme \\ 'truepill, \' envoie des notifications d'une violation de données informant les destinataires que les acteurs de menace ont accédé à leurs informations personnelles sensibles.[...]
Postmeds, doing business as \'Truepill,\' is sending notifications of a data breach informing recipients that threat actors accessed their sensitive personal information. [...] |
Data Breach
Threat
|
|
★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-14 12:02:03 |
Cybercriminalité : le gang Molerats change de méthode pour cibler des entités gouvernementales basées au Moyen-Orient (lien direct) |
Cybercriminalité : le gang Molerats change de méthode pour cibler des entités gouvernementales basées au Moyen-Orient dévoile Proofpoint
-
Malwares |
Threat
|
|
★★★
|
![globalsecuritymag.webp](./Ressources/img/globalsecuritymag.webp) |
2023-11-14 11:54:49 |
Trois actions essentielles pour les équipes IT afin de faire face à l\'augmentation des menaces de sécurité sur leurs applications (lien direct) |
Trois actions essentielles pour les équipes IT afin de faire face à l'augmentation des menaces de sécurité sur leurs applications par Eric Salviac, Senior Business Value Consultant , Cisco AppDynamics
-
Points de Vue |
Threat
|
|
★★
|
![SocRadar.webp](./Ressources/img/SocRadar.webp) |
2023-11-14 11:37:35 |
Un bref aperçu du rapport de paysage des menaces de la saoudie de Socradar \\ A Brief Look at SOCRadar\\'s Saudi Arabia Threat Landscape Report (lien direct) |
Arabie saoudite, un acteur majeur de la géopolitique du Moyen-Orient et de l'économie mondiale, fait face à une cybersécurité importante ...
Saudi Arabia, a major player in Middle Eastern geopolitics and global economics, faces significant cybersecurity...
|
Threat
|
|
★★
|
![News.webp](./Ressources/img/News.webp) |
2023-11-14 11:00:06 |
Le roman de la porte dérobée persiste même après la lutte contre la confluence critique Novel backdoor persists even after critical Confluence vulnerability is patched (lien direct) |
Vous avez un serveur Confluence?Écoutez.Les logiciels malveillants auraient des capacités de grande envergure Une nouvelle porte dérobée a été trouvée cette semaine implantée dans les environnements des organisations pour exploiter la vulnérabilité critique récemment divulguée dans le confluence atlasienne.…
Got a Confluence server? Listen up. Malware said to have wide-ranging capabilities A new backdoor was this week found implanted in the environments of organizations to exploit the recently disclosed critical vulnerability in Atlassian Confluence.… |
Malware
Vulnerability
Threat
|
|
★★
|
![SecurityWeek.webp](./Ressources/img/SecurityWeek.webp) |
2023-11-14 10:56:17 |
22 entreprises énergétiques piratées dans une plus grande attaque coordonnée contre l'infrastructure critique du Danemark 22 Energy Firms Hacked in Largest Coordinated Attack on Denmark\\'s Critical Infrastructure (lien direct) |
La Sektorcert Association de Danemark partage les détails sur une attaque coordonnée contre le secteur de l'énergie du pays.
Denmark\'s SektorCERT association shares details on a coordinated attack against the country\'s energy sector.
|
Threat
Industrial
|
|
★★★★★
|
![SecureList.webp](./Ressources/img/SecureList.webp) |
2023-11-14 10:00:24 |
Prédictions avancées des menaces pour 2024 Advanced threat predictions for 2024 (lien direct) |
Les chercheurs de Kaspersky examinent les prédictions APT pour 2023 et les tendances actuelles du paysage des menaces avancées et tentent de prédire comment elle se développera en 2024.
Kaspersky researchers review APT predictions for 2023 and current trends in the advanced threat landscape, and try to predict how it will develop in 2024. |
Threat
Prediction
|
|
★★★
|
![SocRadar.webp](./Ressources/img/SocRadar.webp) |
2023-11-14 09:31:45 |
Explorer les meilleures vulnérabilités exploitées par des acteurs de menace parrainés par l'État Exploring the Top Vulnerabilities Exploited by State-Sponsored Threat Actors (lien direct) |
Alors que les cyberattaques sont une préoccupation commune pour les individus et les organisations, le royaume sombre de ...
While cyberattacks are a common concern for individuals and organizations alike, the shadowy realm of...
|
Vulnerability
Threat
|
|
★★
|
![News.webp](./Ressources/img/News.webp) |
2023-11-14 07:02:14 |
NCSC affirme que la cyber-lecture de l'infrastructure critique du Royaume-Uni n'est pas à la hauteur NCSC says cyber-readiness of UK\\'s critical infrastructure isn\\'t up to scratch (lien direct) |
et le monde de plus en plus dangereux Le Centre national de cybersécurité du Royaume-Uni (NCSC) a de nouveau sonné à l'égard de la hausse du niveau de menace pour la nation \\ Infrastructure nationale critique (CNI).…
And the world\'s getting more and more dangerous The UK\'s National Cyber Security Centre (NCSC) has once again sounded its concern over the rising threat level to the nation\'s critical national infrastructure (CNI).… |
Threat
|
|
★★
|
![ProofPoint.webp](./Ressources/img/ProofPoint.webp) |
2023-11-14 05:00:49 |
TA402 utilise des chaînes d'infection Ironwind complexes pour cibler les entités gouvernementales à base de Moyen-Orient TA402 Uses Complex IronWind Infection Chains to Target Middle East-Based Government Entities (lien direct) |
Points clés à retenir
De juillet à octobre 2023, des chercheurs de PROVELPOINT ont observé que TA402 s'engage dans des campagnes de phishing qui ont livré un nouveau téléchargeur d'accès initial surnommé Ironwind.Le téléchargeur a été suivi par des étapes supplémentaires qui consistaient à ShellCode téléchargé.
Au cours de la même période, TA402 a ajusté ses méthodes de livraison, passant de l'utilisation de liens Dropbox à l'utilisation des pièces jointes XLL et RAR, susceptibles d'échapper aux efforts de détection.
Cet acteur de menace s'est toujours engagé dans une activité extrêmement ciblée, poursuivant moins de cinq organisations avec une seule campagne.Ils ont également maintenu un fort accent sur les entités gouvernementales basées au Moyen-Orient et en Afrique du Nord.
Proofpoint a suivi TA402 depuis 2020. Nos chercheurs évaluent l'acteur de menace est un groupe de menace persistante avancée (APT) du Moyen-Orient qui a historiquement opéré dans l'intérêt des territoires palestiniens et chevauche des rapports publics sur MoleratS, Gaza Cybergang, Frankenstein et Wirte.
Aperçu
À la mi-2023, les chercheurs de la preuve ont d'abord identifié TA402 (Molerats, Gaza CyberActivité Gang, Frankenstein, Wirte) Utilisant une chaîne d'infection labyrinthique pour cibler les gouvernements du Moyen-Orient avec un nouveau point de téléchargeur d'accès initial surnommé Ironwind.De juillet à octobre 2023, TA402 a utilisé trois variations de cette infection des liens de chair de chaîne, des pièces jointes de fichiers XLL et des pièces jointes RAR-avec chaque variante conduisant constamment au téléchargement d'une DLL contenant les logiciels malveillants multifonctionnels.Dans ces campagnes, TA402 a également été éloigné de son utilisation de services cloud comme l'API Dropbox, que les chercheurs à preuves ont observés dans l'activité de 2021 et 2022, à l'utilisation d'infrastructures contrôlées par acteur pour la communication C2.
Fin octobre 2023, les chercheurs de PEOTPOINT n'avaient observé aucun changement dans le ciblage par TA402, un groupe APT qui a historiquement opéré dans l'intérêt des territoires palestiniens, ni identifié aucune indication d'un mandat modifié malgré le conflit actuel dans la région.Il reste possible que cet acteur de menace redirige ses ressources à mesure que les événements continuent de se dérouler.
Détails de la campagne et Ironwind
Activité de juillet 2023: En juillet 2023, des chercheurs de Pointpoint ont observé le premier de la nouvelle chaîne d'infection plus compliquée de TA402 \\ par rapport à l'activité de la campagne antérieure de 2021 et 2022 (figures 1 et 2).
Figure 1. Chaîne d'infection TA402 utilisée de novembre 2021 à janvier 2022.
Figure 2. Chaîne d'infection TA402 utilisée dans la campagne de juillet 2023.
TA402 s'est engagé dans une campagne de phishing en utilisant un compte de messagerie compromis du ministère des Affaires étrangères pour cibler les entités gouvernementales du Moyen-Orient.Les e-mails ont utilisé un leurre d'ingénierie sociale sur le thème économique ("برنامج التعاون الإقتصاDE avec les pays du Golfe Cooperation Council 2023-2024ies of the Gulf Cooperation Council 2023-2024 "]) Pour livrer un lien drobox qui a téléchargé un fichier Microsoft Powerpoint Microsoft Powerpoint (PPAM)..exe, et GathernetworkInfo.vbs. timeout.exe a été utilisé pour la localisation de Sideload Ironwind.Au moment de l'analyse en août 2023. Les chercheurs de points de preuve ont observé TA402 en train de tirer parti de Dropbox pour la livraison de logiciels malveillants depuis au moins décembre 2021.
Après avoir reçu la demande HTTP GET, le C2 a répondu avec Shellcode qui représentait la troisième étape de la chaîne d'infection.Pendant l'analyse de Proofpoint \\, le shellcode a utilisé des chargeurs .net réfléchissants pour mener des requêtes WMI.Le Shellcode a également servi de chargeur polyvalent, téléchargeant l'exécutable .NET de |
Malware
Threat
Cloud
|
|
★★
|
![kovrr.webp](./Ressources/img/kovrr.webp) |
2023-11-14 00:00:00 |
Les évaluations de la cybersécurité et la fortification des défenses numériques avec CRQ évaluant les cyber-risques sont essentielles pour développer des plans d'action basés sur les données pour stimuler les défenses numériques.Découvrez quelle évaluation vous soutient le mieux pour atteindre les objectifs de cybersécurité.En savoir plus Cybersecurity Assessments and Fortifying Digital Defenses With CRQ Assessing cyber risk is critical for developing data-driven action plans to boost digital defenses. Discover which assessment best supports you in reaching cybersecurity goals. Read More (lien direct) |
The Vital Role of Cyber Assessments and Fortifying Digital Defenses âAs cyber attacks become more sophisticated and complex and regulatory bodies impose stricter cybersecurity requirements, organizations worldwide are facing mounting pressure to adopt security solutions. Understandably, many executives have reacted by implementing a multitude of security tools that supposedly complement one another and better protect organization systems.  âHowever, this strategy often falls short, preventing stakeholders from comprehensively understanding their unique cyber environments. Instead of developing an intimate knowledge of the business units most vulnerable to threats, organizations risk exposing their assets due to their adopt-as-many-tools-as-possible approach. âAfter all, providing effective protection against what remains relatively unknown is impossible.âThis widespread ignorance about the cyber environment is precisely why cyber assessments are so crucial. These evaluations offer a structured approach to identifying, analyzing, and mitigating digital vulnerabilities and provide organizations with a detailed blueprint of their most susceptible business units.âNot All Assessments Are Created Equal âWhile all cyber assessments help businesses become more aware of their cyber risk levels, itâs essential to note that not all reveal the same insights. There are various types of assessments, each tailored to meet specific goals. Some analyze overall cybersecurity posture, while others dive deeper into specific areas, such as compliance and incident response planning. âEach of the available assessments offers organizations valuable data, security leaders can leverage to make informed decisions. Before choosing which IT environment evaluation to invest in, itâs important to discuss with key stakeholders and executives what youâd like to achieve with the new information youâll discover. âDefining a Goal: Risk, Governance, or Compliance âA great place to start when determining organizational goals for the assessment is cybersecurity risk, governance, and compliance (GRC). Cyber GRC is a commonly used industry framework and set of practices that businesses of all sizes harness to manage and secure their information systems, data, and assets. Each of these components serves a specific purpose.  âRisk âA cyber risk assessment aims to identify the factors that make a company vulnerable, generate conclusions regarding the vectors most likely to be the origin of an attack (due to those vulnerabilities), and offer insights about the level of damage a cyber event would cause. âCompanies can proactively address the relevant business units by revealing threat likelihood levels. This information also helps cyber teams determine which areas they want to devote the most resources to. It\'s important to note that both qualitative and quantitative risk assessments exist. âGovernance âThe role of cyber governance is to establish a framework of policies, procedures, and decision-making processes to ensure that cybersecurity efforts are embedded within the broader company culture and align with business goals. It likewise evaluates how well cyber strategies match overall objectives, offering cyber teams an opportunity to better coordinate with other executives and teams. âAn assessment focused on governance also determines if cybersecurity responsibilities are appropriately distributed throughout the organization, such as whether employees are required to use multi-factor authentication (MFA). Other included evaluation points are training programs, incident reporting mechanisms, and event response planning, all of which directly impact an organizationâs risk level. âCompliance âOne would conduct a compliance assessment to ensure an organization |
Data Breach
Tool
Vulnerability
Threat
Technical
|
|
★★★
|
![DarkReading.webp](./Ressources/img/DarkReading.webp) |
2023-11-13 19:09:00 |
Les logiciels malveillants à queue de canard ciblent l'industrie de la mode Ducktail Malware Targets the Fashion Industry (lien direct) |
Les acteurs de la menace ont distribué une archive contenant des images de nouveaux produits par de grandes sociétés de vêtements, ainsi qu'un exécutable malveillant déguisé avec une icône PDF.
Threat actors distributed an archive containing images of new products by major clothing companies, along with a malicious executable disguised with a PDF icon. |
Malware
Threat
|
|
★★★
|
![ComputerWeekly.webp](./Ressources/img/ComputerWeekly.webp) |
2023-11-13 19:01:00 |
Les acteurs alignés par l'État voyou sont la cyber-menace la plus critique pour le Royaume-Uni Rogue state-aligned actors are most critical cyber threat to UK (lien direct) |
Pas de details / No more details |
Threat
|
|
★★
|
![The_Hackers_News.webp](./Ressources/img/The_Hackers_News.webp) |
2023-11-13 17:42:00 |
Un nouveau groupe de ransomwares émerge avec le code source et l'infrastructure de Hive \\ New Ransomware Group Emerges with Hive\\'s Source Code and Infrastructure (lien direct) |
Les acteurs de la menace derrière un nouveau groupe de ransomwares appelé Hunters International ont acquis le code source et l'infrastructure de l'opération de ruche désormais dissante pour lancer ses propres efforts dans le paysage des menaces.
"Il semble que le leadership du groupe Hive ait pris la décision stratégique de cesser leurs opérations et de transférer leurs actifs restants à un autre groupe, Hunters
The threat actors behind a new ransomware group called Hunters International have acquired the source code and infrastructure from the now-dismantled Hive operation to kick-start its own efforts in the threat landscape.
"It appears that the leadership of the Hive group made the strategic decision to cease their operations and transfer their remaining assets to another group, Hunters |
Ransomware
Threat
|
|
★★★
|
![InfoSecurityMag.webp](./Ressources/img/InfoSecurityMag.webp) |
2023-11-13 16:30:00 |
Python Malware pose une menace DDOS via la mauvaise configuration de l'API Docker Python Malware Poses DDoS Threat Via Docker API Misconfiguration (lien direct) |
CADO Security Labs a déclaré que l'agent BOT avait présenté diverses méthodes pour mener des attaques DDOS
Cado Security Labs said the bot agent exhibited various methods for conducting DDoS attacks |
Malware
Threat
|
|
★★
|
![TEAM_CYMRU_Blog.webp](./Ressources/img/TEAM_CYMRU_Blog.webp) |
2023-11-13 13:51:02 |
Modélisation des menaces et renseignement en temps réel - Partie 2 Threat Modeling and Real-Time Intelligence - Part 2 (lien direct) |
Levier Internet Telemetry & # 38;Intelligence des menaces pour les avantages au-delà du cadre d'attr & # 38; CK Le cadre de mitre ATT & # 38; CK est comme un ...
Leverage Internet Telemetry & Threat Intelligence for Benefits Beyond the MITRE ATT&CK Framework The MITRE ATT&CK framework is like a... |
Threat
|
|
★★★★
|
![Blog.webp](./Ressources/img/Blog.webp) |
2023-11-13 13:27:50 |
Oracleiv DDOS BOTNET malware cible les instances API du moteur Docker OracleIV DDoS Botnet Malware Targets Docker Engine API Instances (lien direct) |
> Par waqas
Bien qu'Oracleiv ne soit pas une attaque de chaîne d'approvisionnement, il met en évidence la menace continue des déploiements API de moteur Docker mal configurés.
Ceci est un article de HackRead.com Lire la publication originale: Oracleiv DDOS BOTNET malware cible les instances API du moteur Docker
>By Waqas
While OracleIV is not a supply chain attack, it highlights the ongoing threat of misconfigured Docker Engine API deployments.
This is a post from HackRead.com Read the original post: OracleIV DDoS Botnet Malware Targets Docker Engine API Instances |
Malware
Threat
|
|
★★
|