What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-12-20 13:40:00 | Nouveaux logiciels malveillants Jaskago ciblant les systèmes Windows et MacOS New Go-Based JaskaGO Malware Targeting Windows and macOS Systems (lien direct) |
Un nouveau voleur d'informations basé sur le GO MALWWare appelé & nbsp; jaskago & nbsp; est devenu la dernière menace multiplateforme pour infiltrer les systèmes Windows et Apple MacOS.
AT & amp; t Alien Labs, qui a fait la découverte, & nbsp; dit & nbsp; le malware est "équipé d'un éventail complet de commandes de son serveur de commande et de contrôle (c & amp; c)".
Des artefacts conçus pour les macOS ont été observés pour la première fois en juillet
A new Go-based information stealer malware called JaskaGO has emerged as the latest cross-platform threat to infiltrate both Windows and Apple macOS systems. AT&T Alien Labs, which made the discovery, said the malware is "equipped with an extensive array of commands from its command-and-control (C&C) server." Artifacts designed for macOS were first observed in July |
Malware Threat | ★★ | |
 |
2023-12-20 13:01:25 | Le cyber-paysage évolutif: AI Fighting Ai The Evolving Cyber Landscape: AI Fighting AI (lien direct) |
> La montée de l'IA générative (Genai) provoque un changement dans le paysage de la cyber-attaque.D'un côté, les acteurs de la menace commencent à utiliser Genai pour générer des attaques & # 8211;Rendre leur piratage plus sophistiqué, tout en abaissant la barre pour l'expertise nécessaire pour violer les organisations.Dans le même temps, les employés bien intentionnés ont accidentellement exposé une IP de l'entreprise à des modèles publics de grande langue (LLMS), créant plus qu'un mal de tête pour les équipes informatiques.De l'autre côté, les entreprises courent pour utiliser l'IA pour prévenir et détecter les violations en temps réel, tout en réduisant la fatigue alerte qui afflige les équipes informatiques.En fait, au point de contrôle [& # 8230;]
>The rise of Generative AI (GenAI) is causing a shift in the cyber-attack landscape. On one side, threat actors are starting to use GenAI to generate attacks – making their hacking more sophisticated, while also lowering the bar for the expertise needed to breach organizations. At the same time, well-meaning employees have accidentally exposed company IP to public large language models (LLMs), creating more than a headache for IT teams. On the other side, companies are racing to use AI to prevent and detect breaches in real-time, while also reducing alert fatigue plaguing IT teams. In fact, at Check Point […] |
Threat | ★★ | |
 |
2023-12-20 09:36:56 | Amélioration de la sécurité IoT avec Cyber Threat Intelligence (CTI) Enhancing IoT Security with Cyber Threat Intelligence (CTI) (lien direct) |
> L'Internet des objets (IoT) représente une progression technologique importante qui est largement utilisée dans ...
>The Internet of Things (IoT) represents a significant technological advancement that is widely utilized in... |
Threat | ★★ | |
 |
2023-12-19 20:47:10 | #Hundredprees: Plain #StopRansomware: Play Ransomware (lien direct) |
#### Description
Depuis juin 2022, la pièce (également connue sous le nom de PlayCrypt) Ransomware Group a eu un impact sur un large éventail d'entreprises et d'infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe.En octobre 2023, le FBI était au courant d'environ 300 entités touchées qui auraient été exploitées par les acteurs du ransomware.
En Australie, le premier incident de ransomware de jeu a été observé en avril 2023, et plus récemment en novembre 2023.
Le groupe Ransomware est présumé être un groupe fermé, conçu pour «garantir le secret des offres», selon une déclaration du site Web de fuite de données du groupe \\.Les acteurs de ransomwares de jeu utilisent un modèle à double expression, chiffrant les systèmes après exfiltration de données.Les billets de rançon n'incluent pas une première demande de rançon ou des instructions de paiement, les victimes sont plutôt invitées à contacter les acteurs de la menace par e-mail.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a
#### Date de publication
11 décembre 2023
#### Auteurs)
Cisa
#### Description Since June 2022, the Play (also known as Playcrypt) ransomware group has impacted a wide range of businesses and critical infrastructure in North America, South America, and Europe. As of October 2023, the FBI was aware of approximately 300 affected entities allegedly exploited by the ransomware actors. In Australia, the first Play ransomware incident was observed in April 2023, and most recently in November 2023. The Play ransomware group is presumed to be a closed group, designed to “guarantee the secrecy of deals,” according to a statement on the group\'s data leak website. Play ransomware actors employ a double-extortion model, encrypting systems after exfiltrating data. Ransom notes do not include an initial ransom demand or payment instructions, rather, victims are instructed to contact the threat actors via email. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a #### Publication Date December 11, 2023 #### Author(s) CISA |
Ransomware Threat | ★★ | |
|
2023-12-19 19:00:00 | Les pirates abusant de Github pour échapper à la détection et au contrôle des hôtes compromis Hackers Abusing GitHub to Evade Detection and Control Compromised Hosts (lien direct) |
Les acteurs de la menace utilisent de plus en plus Github à des fins malveillantes grâce à de nouvelles méthodes, notamment abuser des GIST secrètes et émettre des commandes malveillantes via des messages Git Commit.
"Les auteurs de logiciels malveillants placent occasionnellement leurs échantillons dans des services tels que Dropbox, Google Drive, OneDrive et Discord pour accueillir des logiciels malveillants de deuxième étape et des outils de détection de touche", inverse le chercheur Karlo Zanki & NBSP
Threat actors are increasingly making use of GitHub for malicious purposes through novel methods, including abusing secret Gists and issuing malicious commands via git commit messages. "Malware authors occasionally place their samples in services like Dropbox, Google Drive, OneDrive, and Discord to host second stage malware and sidestep detection tools," ReversingLabs researcher Karlo Zanki |
Malware Tool Threat | ★★★ | |
|
2023-12-19 17:11:00 | Des pirates iraniens utilisant Muddyc2go dans des attaques d'espionnage de télécommunications à travers l'Afrique Iranian Hackers Using MuddyC2Go in Telecom Espionage Attacks Across Africa (lien direct) |
L'acteur iranien de l'État-nation connu sous le nom de & nbsp; muddywater & nbsp; a exploité un cadre de commandement et de contrôle (C2) nouvellement découvert appelé Muddyc2go dans ses attaques contre le secteur des télécommunications en Égypte, au Soudan et en Tanzanie.
L'équipe Symantec Threat Hunter, qui fait partie de Broadcom, est & nbsp; suivi & nbsp; l'activité sous le nom de graine, qui est également suivie sous les surnoms boggy serpens, cobalt
The Iranian nation-state actor known as MuddyWater has leveraged a newly discovered command-and-control (C2) framework called MuddyC2Go in its attacks on the telecommunications sector in Egypt, Sudan, and Tanzania. The Symantec Threat Hunter Team, part of Broadcom, is tracking the activity under the name Seedworm, which is also tracked under the monikers Boggy Serpens, Cobalt |
Threat | ★★★ | |
|
2023-12-19 16:32:00 | Nouvelle campagne de malvertising distribuant Pikabot déguisé en logiciel populaire New Malvertising Campaign Distributing PikaBot Disguised as Popular Software (lien direct) |
Le chargeur malveillant connu sous le nom de Pikabot est distribué dans le cadre de A & NBSP; Malvertising & nbsp; Campaign & NBSP; ciblant les utilisateurs à la recherche de logiciels légitimes comme AnyDesk.
"Pikabot n'était auparavant distribué que via des campagnes de Malspam de manière similaire à Qakbot et est apparue comme l'une des charges utiles préférées pour un acteur de menace connu sous le nom de TA577", a déclaré malwarebytes \\ 'j & eacute; r & ocirc; me Segura & nbsp;
La famille des logiciels malveillants,
The malware loader known as PikaBot is being distributed as part of a malvertising campaign targeting users searching for legitimate software like AnyDesk. "PikaBot was previously only distributed via malspam campaigns similarly to QakBot and emerged as one of the preferred payloads for a threat actor known as TA577," Malwarebytes\' Jérôme Segura said. The malware family, |
Malware Threat | ★★ | |
 |
2023-12-19 16:30:00 | Smishing Triad cible les résidents des EAU dans la campagne de vol d'identité Smishing Triad Targets UAE Residents in Identity Theft Campaign (lien direct) |
L'équipe de réécurité a découvert la menace et a rapidement informé les agences d'application de la loi des EAU aux EAU
The Resecurity team discovered the threat and promptly notified UAE law enforcement agencies |
Threat | ★★★ | |
 |
2023-12-19 16:00:00 | Statistiques de laboratoire de menace de netskope pour novembre 2023 Netskope Threat Labs Stats for November 2023 (lien direct) |
> Netskope Threat Labs publie un article de blog de résumé mensuel des principales menaces que nous suivons sur la plate-forme Netskope.Le but de cet article est de fournir des renseignements stratégiques et exploitables sur les menaces actives contre les utilisateurs d'entreprise du monde entier.Résumé Après un certain temps hors de la première place, les types de fichiers PDF sont retournés comme les plus courants [& # 8230;]
>Netskope Threat Labs publishes a monthly summary blog post of the top threats we are tracking on the Netskope platform. The purpose of this post is to provide strategic, actionable intelligence on active threats against enterprise users worldwide. Summary After some time out of the first place, PDF file types returned as the most common […] |
Threat | ★★ | |
 |
2023-12-19 15:55:00 | Organisations de télécommunications en Afrique ciblées par des pirates liés à l'Iran Telecom organizations in Africa targeted by Iran-linked hackers (lien direct) |
Un groupe de cyber-espionnage lié au service de renseignement de l'Iran \\ a ciblé les sociétés de télécommunications en Égypte, au Soudan et en Tanzanie, ont révélé des chercheurs.C'est probablement la première fois que le groupe, suivi comme Muddywater, opère contre des organisations en Afrique, selon Marc Elias, analyste des renseignements sur les menaces chez Symantec, qui a analysé l'incident .Dans précédemment
A cyber-espionage group linked to Iran\'s intelligence service has been targeting telecommunications companies in Egypt, Sudan and Tanzania, researchers have found. This is likely the first time the group, tracked as MuddyWater, has operated against organizations in Africa, according to Marc Elias, a threat intelligence analyst at Symantec, who analyzed the incident. In previously reported |
Threat | ★★★ | |
 |
2023-12-19 15:52:08 | Développer et exécuter une chasse à la menace OT entièrement informée Developing and Executing a Fully Informed OT Threat Hunt (lien direct) |
> Écrit en partenariat avec Michael Gardner, qui a précédemment travaillé comme responsable des comptes techniques de renseignement chez Dragos, Inc. Hunting à la menace ...
Le post développer et exécuter une chasse à la menace OT entièrement informée est apparu pour la première fois sur dragos .
>Written in partnership with Michael Gardner, who previously worked as an Intelligence Technical Account Manager at Dragos, Inc. Threat hunting... The post Developing and Executing a Fully Informed OT Threat Hunt first appeared on Dragos. |
Threat Industrial Technical | ★★★ | |
|
2023-12-19 15:00:00 | 2023 Cyber Madenats: 26 000+ Vulnérabilités, 97 au-delà de la liste des CISA 2023 Cyber Threats: 26,000+ Vulnerabilities, 97 Beyond CISA List (lien direct) |
Le rapport Quality a également montré que plus de 7 000 vulnérabilités avaient un code d'exploitation de preuve de concept
The Qualys report also showed over 7000 vulnerabilities had proof-of-concept exploit code |
Vulnerability Threat | ★★★ | |
 |
2023-12-19 14:00:00 | Les injections sur le Web sont de retour en augmentation: 40+ banques affectées par une nouvelle campagne de logiciels malveillants Web injections are back on the rise: 40+ banks affected by new malware campaign (lien direct) |
> Les injections Web, une technique privilégiée utilisée par divers chevaux de Troie bancaire, ont été une menace persistante dans le domaine des cyberattaques.Ces injections malveillantes permettent aux cybercriminels de manipuler les échanges de données entre les utilisateurs et les navigateurs Web, compromettant potentiellement des informations sensibles.En mars 2023, des chercheurs en sécurité chez IBM Security Trudieer ont découvert une nouvelle campagne de logiciels malveillants en utilisant JavaScript [& # 8230;]
>Web injections, a favored technique employed by various banking trojans, have been a persistent threat in the realm of cyberattacks. These malicious injections enable cyber criminals to manipulate data exchanges between users and web browsers, potentially compromising sensitive information. In March 2023, security researchers at IBM Security Trusteer uncovered a new malware campaign using JavaScript […] |
Malware Threat | ★★ | |
|
2023-12-19 14:00:00 | Les États-Unis et l'Australie mettent en garde contre la menace des ransomwares de jeu US and Australia Warn of Play Ransomware Threat (lien direct) |
Un avis conjoint des agences gouvernementales américaines et australiennes exhorte les organisations à se protéger contre les tactiques du groupe de jeux
A joint advisory by US and Australian government agencies urges organizations to protect themselves against Play group\'s tactics |
Ransomware Threat | ★★★ | |
|
2023-12-19 12:28:00 | 8220 gang exploitant Oracle Weblogic Server Vulnérabilité à la propagation de logiciels malveillants 8220 Gang Exploiting Oracle WebLogic Server Vulnerability to Spread Malware (lien direct) |
Les acteurs de menace associés à la & nbsp; 8220 gang & nbsp; ont été observés exploitant un défaut de haute sévérité dans le serveur Oracle Weblogic pour propager leurs logiciels malveillants.
La lacune de sécurité est & nbsp; CVE-2020-14883 & nbsp; (Score CVSS: 7.2), un bug d'exécution de code distant qui pourrait être exploité par des attaquants authentifiés pour prendre les serveurs sensibles.
"Cette vulnérabilité permet à la distance authentifiée
The threat actors associated with the 8220 Gang have been observed exploiting a high-severity flaw in Oracle WebLogic Server to propagate their malware. The security shortcoming is CVE-2020-14883 (CVSS score: 7.2), a remote code execution bug that could be exploited by authenticated attackers to take over susceptible servers. "This vulnerability allows remote authenticated |
Malware Vulnerability Threat | ★★ | |
|
2023-12-19 11:12:00 | Le ransomware de jeu à double expression frappe 300 organisations dans le monde Double-Extortion Play Ransomware Strikes 300 Organizations Worldwide (lien direct) |
On estime que les acteurs de la menace derrière le ransomware de jeu auraient eu un impact sur environ 300 entités en octobre 2023, selon un nouvel avis de cybersécurité conjoint d'Australie et des États-Unis.
"Les acteurs de ransomwares de jeu utilisent un modèle à double expression, cryptant des systèmes après exfiltration de données et ont eu un impact sur un large éventail d'entreprises et d'organisations d'infrastructure critiques dans le Nord
The threat actors behind the Play ransomware are estimated to have impacted approximately 300 entities as of October 2023, according to a new joint cybersecurity advisory from Australia and the U.S. "Play ransomware actors employ a double-extortion model, encrypting systems after exfiltrating data and have impacted a wide range of businesses and critical infrastructure organizations in North |
Ransomware Threat | ★★★ | |
 |
2023-12-19 10:27:56 | Rapport de menace ESET H2 2023 ESET Threat Report H2 2023 (lien direct) |
Une vision du paysage des menaces H2 2023 vu par la télémétrie ESET et du point de vue des experts de la détection et de la recherche des menaces ESET
A view of the H2 2023 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts |
Threat | ★★ | |
 |
2023-12-19 09:08:04 | Manipulation de modèles linguistiques, piratage de casques VR, attaques de Vishing : que nous réserve l\'année " cyber " 2024 ? (lien direct) | Chaque nouvelle tendance technologique ouvre de nouveaux vecteurs d'attaque pour les cybercriminels. En 2024, les menaces émergentes ciblant les entreprises et les particuliers seront encore plus intenses, complexes et difficiles à gérer. | Threat Prediction | ★★★ | |
 |
2023-12-19 08:38:10 | FBI, CISA, TSA publie avertissement consultatif de la menace globale de ransomware à l'aide de tactiques à double extorsion FBI, CISA, ASD issue advisory warning of Play ransomware global threat using double extortion tactics (lien direct) |
> Le Federal Bureau of Investigation (FBI), l'Agence de sécurité de la cybersécurité et des infrastructures (CISA) et la Direction des signaux australiens \\ 's ...
>The U.S. Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and the Australian Signals Directorate\'s... |
Ransomware Threat | ★★★ | |
 |
2023-12-19 01:22:36 | La vulnérabilité Apache ActiveMQ (CVE-2023-46604) étant en permanence exploitée dans les attaques Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct) |
En novembre 2023, Ahnlab Security Emergency Response Center (ASEC) a publié un article de blog intitulé & # 8220;Circonstances du groupe Andariel exploitant une vulnérabilité Apache ActiveMQ (CVE-2023-46604) & # 8221;[1] qui a couvert les cas du groupe de menaces Andariel exploitant la vulnérabilité CVE-2023-46604 pour installer des logiciels malveillants.Ce message a non seulement couvert les cas d'attaque du groupe Andariel, mais aussi ceux de Hellokitty Ransomware, de Cobalt Strike et Metasploit Meterpreter.Depuis lors, la vulnérabilité Apache ActiveMQ (CVE-2023-46604) a continué à être exploitée par divers acteurs de menace.Ce ...
In November 2023, AhnLab Security Emergency response Center (ASEC) published a blog post titled “Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)” [1] which covered cases of the Andariel threat group exploiting the CVE-2023-46604 vulnerability to install malware. This post not only covered attack cases of the Andariel group but also those of HelloKitty Ransomware, Cobalt Strike, and Metasploit Meterpreter. Since then, the Apache ActiveMQ vulnerability (CVE-2023-46604) has continued to be exploited by various threat actors. This... |
Ransomware Malware Vulnerability Threat | ★★★ | |
 |
2023-12-18 22:51:00 | Dans les coulisses: la frappe coordonnée de Jaskago \\ sur macOS et Windows Behind the Scenes: JaskaGO\\'s Coordinated Strike on macOS and Windows (lien direct) |
Executive summary
In recent developments, a sophisticated malware stealer strain crafted in the Go programming language has been discovered by AT&T Alien Labs, posing a severe threat to both Windows and macOS operating systems.
As of the time of publishing of this article, traditional antivirus solutions have low or even non-existent detection rates, making it a stealthy and formidable adversary.
Key takeaways:
The malware is equipped with an extensive array of commands from its Command and Control (C&C) server.
JaskaGO can persist in different methods in infected system.
Users face a heightened risk of data compromise as the malware excels at exfiltrating valuable information, ranging from browser credentials to cryptocurrency wallet details and other sensitive user files.
Background
JaskaGO contributes to a growing trend in malware development leveraging the Go programming language. Go, also known as Golang, is recognized for its simplicity, efficiency, and cross-platform capabilities. Its ease of use has made it an attractive choice for malware authors seeking to create versatile and sophisticated threats.
While macOS is often perceived as a secure operating system, there exists a prevalent misconception among users that it is impervious to malware. Historically, this misbelief has stemmed from the relative scarcity of macOS-targeted threats compared to other platforms. However, JaskaGO serves as a stark reminder that both Windows and macOS users are constantly at risk of malware attacks.
As the malware use of file names resembling well-known applications (such as “Capcut_Installer_Intel_M1.dmg”, “Anyconnect.exe”) suggest a common strategy of malware deployment under the guise of legitimate software in pirated application web pages.
The first JaskaGo sample was observed in July 2023, initially targeting Mac users. Following this opening assault, dozens of new samples have been identified as the threat evolved its capabilities and developed in both macOS and to Windows versions; its low detection rate is evident by its recent sample by anti-virus engines. (Figure 1)
 .
Figure 1. As captured by Alien Labs: Anti-virus detection for recent JaskaGO samples within VirusTotal.
Analysis
Upon initial execution, the malware cunningly presents a deceptive message box, displaying a fake error message, claiming a missing file. This is strategically designed to mislead the user into believing that the malicious code failed to run. (Figure 2)
Figure 2. As captured by Alien Labs: Fake error message.
Anti-VM
The malware conducts thorough checks to determine if it is operating within a virtual machine (VM). This process begins with the examination of general machine information, where specific criteria such as the number of processors, system up-time, available system memory, and MAC addresses are checked. The presence of MAC addresses associated with well-known VM software, such as VMware or VirtualBox, is a key indicator. (Figure 3)
Figure 3. As captured by Alien Labs: Looking for VM related MAC addresses.
Additionally, the malware\'s Windows version searches for VM-related traces in both the registry and the file system. (Figure 4)
|
Malware Vulnerability Threat Prediction Technical | ★★★ | |
|
2023-12-18 21:13:00 | Attention: les experts révèlent de nouveaux détails sur les exploits Outlook RCE sur zéro clique Beware: Experts Reveal New Details on Zero-Click Outlook RCE Exploits (lien direct) |
Des détails techniques ont émergé environ deux défauts de sécurité désormais paralysés dans Microsoft Windows qui pourraient être enchaînés par les acteurs de la menace pour réaliser l'exécution de code distant sur le service de messagerie Email Outlook sans toute interaction utilisateur.
"Un attaquant sur Internet peut enchaîner les vulnérabilités pour créer un exploit complet de code distant (RCE) à zéro cliquez sur des clients d'Outlook", akamai la sécurité
Technical details have emerged about two now-patched security flaws in Microsoft Windows that could be chained by threat actors to achieve remote code execution on the Outlook email service sans any user interaction. "An attacker on the internet can chain the vulnerabilities together to create a full, zero-click remote code execution (RCE) exploit against Outlook clients," Akamai security |
Vulnerability Threat Technical | ★★★ | |
|
2023-12-18 20:01:00 | Rhadamanthys Malware: couteau suisse au couteau d'information des voleurs émerge Rhadamanthys Malware: Swiss Army Knife of Information Stealers Emerges (lien direct) |
Les développeurs du voleur d'informations malveillants connu sous le nom de & nbsp; rhadamanthys & nbsp; itèrent activement sur ses fonctionnalités, élargissant ses capacités de collecte d'informations et incorporant également un système de plugin pour le rendre plus personnalisable.
Cette approche le transforme non seulement en une menace capable de répondre aux "besoins spécifiques du distributeur", mais le rend également plus puissant, Check Point & nbsp; Said &
The developers of the information stealer malware known as Rhadamanthys are actively iterating on its features, broadening its information-gathering capabilities and also incorporating a plugin system to make it more customizable. This approach not only transforms it into a threat capable of delivering "specific distributor needs," but also makes it more potent, Check Point said& |
Malware Threat | ★★ | |
 |
2023-12-18 16:09:11 | Alerte de menace: Citriced (CVE-2023-4966) THREAT ALERT: CITRIXBLEED (CVE-2023-4966) (lien direct) |
|
Threat | ★★ | |
|
2023-12-18 13:32:23 | 18 décembre & # 8211;Rapport de renseignement sur les menaces 18th December – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes principales attaques et violations de l'opérateur mobile d'Ukraine \\ d'Ukraine, Kyivstar, ont été frappées par «la plus grande cyberattaque sur les infrastructures de télécommunications au monde», rendant des millions sans services mobiles et Internet pendant au moins 48 heures.Il semblerait que l'attaque ait également affecté [& # 8230;]
>For the latest discoveries in cyber research for the week of 18th December, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Ukraine\'s largest mobile operator, Kyivstar, was hit by “largest cyber-attack on telecom infrastructure in the world”, rendering millions without mobile and internet services for at least 48 hours. Reportedly, the attack also affected […] |
Threat Mobile | ★★ | |
|
2023-12-18 11:11:00 | La CISA invite les fabricants éliminent les mots de passe par défaut pour contrecarrer les cyber-menaces CISA Urges Manufacturers Eliminate Default Passwords to Thwart Cyber Threats (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) est & nbsp; exhort & nbsp; les fabricants à se débarrasser des mots de passe par défaut sur les systèmes exposés à Internet, invoquant des risques graves qui pourraient être exploités par des acteurs malveillants pour obtenir un accès initial et se déplacer latéralement à l'intérieur, les organisations, les organisations par les organisations par les organisations malveillantes pour et se déplacer latéralement à l'intérieur, les organisations, les organisations.
Dans une alerte publiée la semaine dernière, l'agence a appelé les acteurs de la menace iranienne affiliés à
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) is urging manufacturers to get rid of default passwords on internet-exposed systems altogether, citing severe risks that could be exploited by malicious actors to gain initial access to, and move laterally within, organizations. In an alert published last week, the agency called out Iranian threat actors affiliated with |
Threat | ★★ | |
|
2023-12-18 11:00:00 | Dévoiler le Web Dark: un guide professionnel de l'exploration éthique Unveiling the dark web: A professional\\'s guide to ethical exploration (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. The dark web, often shrouded in mystery and intrigue, is a realm of the internet that exists beyond the reach of traditional search engines. While the Dark Web does harbor a certain notoriety for hosting illegal activities, it also contains valuable information and resources that can be beneficial for professionals involved in cybersecurity, threat intelligence, and investigations. This article will provide a comprehensive guide on how to search the dark web for information gathering in a professional and ethical manner. Understanding the dark web Before delving into the intricacies of searching on the dark web, it\'s crucial to comprehend its structure. The internet comprises three layers: the surface web, the deep web, and the dark web. Surface web: This is the portion of the internet indexed by search engines like Google and accessible to the general public. Deep web: The Deep Web includes websites and databases not indexed by search engines. These are often password-protected or behind paywalls, such as online banking or email accounts. Dark web: The dark web is a hidden network of websites that can only be accessed using specialized software, such as Tor. It\'s intentionally designed to conceal the identity of users and hosts. While it has a reputation for illegal markets, it also includes legitimate websites and forums. Ethical considerations Searching the dark web requires a strong commitment to ethical conduct. It\'s essential to respect both legal and moral boundaries. Here are some critical ethical considerations: Legal compliance: Ensure that your activities are within the bounds of the law. Engaging in any illegal activities, such as purchasing illicit goods, is strictly prohibited. Use encryption: When accessing the dark web, always use encryption tools like the Tor browser to protect your identity and maintain anonymity. Verification: Verify the legitimacy of the information you find. Misinformation and scams are prevalent on the dark web. Searching the Dark Web Get the right tools: Start by downloading the Tor browser, a free and open-source software that allows you to access the dark web while concealing your IP address. Consider using a virtual private network (VPN) in combination with the Tor browser for an additional layer of security. Deep web vs. dark web: Distinguish between the deep web and the dark web. Remember that the deep web consists of web pages not indexed by search engines but is not inherently hidden. The dark web, on the other hand, is intentionally concealed. Search engines: Dark web search engines like DuckDuckGo, Torch and notEvil can be used to find specific websites and content. These search engines access .onion domains, which are unique to the dark web. Directories: Dark web directories are like Yellow Pages for hidden services. They list websites and their categories, making it easier to find what you\'re looking for. Notable directories include The Hidden Wiki and TorLinks. Forums and communities: The dark web hosts numerous forums, discussion boards, and communities that cover a wide range of topics. Some of these can be valuable sources of information. However, exercise caution as many forums are associated with illegal activities. File sharing: File-sharing services on the dark web may contain a wealth of data, including documents, reports, and archives. Some of these files may be of intere | Tool Vulnerability Threat | ★★ | |
 |
2023-12-18 10:11:41 | Kaspersky fait la découverte de trois nouvelles menaces multi-plateformes (lien direct) | Kaspersky fait la découverte de trois nouvelles menaces multi-plateformes et divulgue trois nouvelles stratégies employées par les cybercriminels dans le cadre de la campagne FakeSG, du ransomware Akira et du stealer pour macOS AMOS. - Malwares | Ransomware Threat | ★★ | |
 |
2023-12-18 06:00:21 | Une approche de risque intégrée pour briser la chaîne d'attaque juridique et de conformité: les informations de Proofpoint Protect 2023 An Integrated Risk Approach to Breaking the Legal and Compliance Attack Chain: Insights from Proofpoint Protect 2023 (lien direct) |
Last September, Proofpoint held our first in-person event since the pandemic in New York City, Protect 2023. In this blog post, our Chief Compliance Officer in Residence John Pepe shares some key insights from the leaders who participated in the Compliance Leader\'s Roundtable at that conference. A big part of that discussion was exploring how combining data points from multiple tools can help stop known risk patterns before problems escalate. “Break the Attack Chain” is a Proofpoint initiative that outlines our approach to prevent and disrupt cyberattacks that target people and their data. The attack chain can basically be broken down into eight steps and three main stages: Initial compromise Privilege escalation Data exfiltration Steps in the attack chain. We believe that breaking the attack chain is so important that we made it the theme of Protect 2023. When you break the attack chain, you reduce the risks and the impact of cyberattacks. And you avoid a lot of the financial, reputational and operational damage. Proofpoint argues that this starts by taking a people-centric approach to security that focuses on the human factors that enable and motivate attackers. But this theme isn\'t just relevant to cybersecurity. It\'s also an important concept that\'s relevant to compliance professionals and their current challenges. Recently at the Protect 2023 conference, we explored how the industry is using this idea to rethink the ways it approaches and mitigates risk. What\'s top of mind for compliance professionals right now? Part of my job at Proofpoint is to provide our customers-some of whom are highly regulated-with executive briefings on compliance and regulatory best practices. I also have a lot of critical discussions with the legal and regulatory communities. So I understand why the concept of breaking the attack chain transcends cybersecurity and really resonates with these groups. That\'s why I chose to explore it at Protect 2023 at the Compliance Leader\'s Roundtable. This panel was comprised of a chief compliance officer from a leading financial services provider, the head of surveillance for an asset manager, and a chief information security officer. And our topic was “What\'s Top of Mind for Compliance Professionals Post COVID-19." The discussion was informal and focused on work-from-home (WFH) initiatives during and after the pandemic. Two interconnected areas were of particular interest: Risks and programs related to WFH, with a special focus on collaboration platforms How behavioral indicators may help to predict potential legal or compliance issues When talking about insider risks and threats, the panelists explored: Best practices for controlling messaging apps and mitigating risks in mobile texts and chat How behavioral modeling and analytics can be used to enhance risk monitoring for user conduct How combining multiple compliance approaches can help form a holistic risk management program, which can mean integrating: Threat detection People analytics Conduct compliance applications As part of the conversation, I brought up the topic of employee behaviors and patterns that can lead to legal or compliance issues. The example scenario I offered was of a disgruntled employee who had received an underwhelming bonus or was passed up for a promotion. To get back at the company, this person stole sensitive company data and intellectual property (IP) before they left their job. The panel discussed behaviors or telemetry that might be present in such a scenario. And they talked about whether any data about user conduct might help detect and prevent potential losses. An integrated approach to breaking the attack chain What follows are some of the ways that our panelists use tools to mitigate risks. And how Proofpoint can help. Combining internal and external data One of the most crucial aspects of a surveillance analyst\'s job, especially in financial services, is monitoring employee risk. The roundtable emp | Tool Threat Mobile Prediction Conference | ★★★ | |
|
2023-12-16 10:30:00 | Microsoft met en garde contre Storm-0539: la menace croissante derrière les fraudes des cartes-cadeaux de vacances Microsoft Warns of Storm-0539: The Rising Threat Behind Holiday Gift Card Frauds (lien direct) |
Microsoft met en garde contre une augmentation de l'activité malveillante à partir d'un cluster de menaces émergentes qu'il est suivi comme & nbsp; Storm-0539 & nbsp; pour orchestrer la fraude et le vol de cartes-cadeaux via des e-mails très sophistiqués et des attaques de phishing SMS contre des entités de vente au détail pendant la saison de magasinage des vacances.
L'objectif des attaques est de propager des liens piégés qui dirigent les victimes à l'adversaire dans le milieu (AITM (AITM
Microsoft is warning of an uptick in malicious activity from an emerging threat cluster it\'s tracking as Storm-0539 for orchestrating gift card fraud and theft via highly sophisticated email and SMS phishing attacks against retail entities during the holiday shopping season. The goal of the attacks is to propagate booby-trapped links that direct victims to adversary-in-the-middle (AiTM |
Threat | ★★★ | |
|
2023-12-15 21:35:08 | Ace dans le trou: exposer Gambleforce Ace in the Hole: Exposing GambleForce (lien direct) |
#### Description
Septembre 2023, la société de cybersécurité Group-IB a découvert Gambleforce, un acteur de menace inconnu spécialisé dans les attaques d'injection SQL dans la région Asie-Pacifique.Gambleforce a ciblé plus de 20 sites Web (gouvernement, jeu, vente au détail et voyages) en Australie, en Chine, en Indonésie, aux Philippines, en Inde, en Corée du Sud, en Thaïlande et au Brésil.
Le groupe a utilisé un ensemble d'outils avec des méthodes d'attaque de base mais efficaces, conduisant à des préoccupations d'une activité supplémentaire même après que le groupe-IB a enlevé son serveur de commande et de contrôle.L'ensemble du jeu d'outils était basé sur des instruments open source accessibles au public utilisés à des fins de pentisting.Après avoir examiné le jeu d'outils plus en détail, il est devenu clair que les outils étaient très probablement associés à un acteur de menace exécutant l'une des plus anciennes méthodes d'attaque: les injections de SQL.Les attaquants ont obtenu un accès initial à l'aide de SQLMAP, puis ont procédé à la téléchargement de la grève de Cobalt sur des serveurs compromis.Notamment, la version de Cobalt Strike a découvert sur le serveur du gang \\ a utilisé des commandes en chinois, mais ce fait seul n'est pas suffisant pour attribuer l'origine du groupe.
#### URL de référence (s)
1. https://www.group-ib.com/blog/gambleforce-gang/
#### Date de publication
15 décembre 2023
#### Auteurs)
Nikita Rostovcev
#### Description September 2023, cybersecurity firm Group-IB uncovered GambleForce, a previously unknown threat actor specializing in SQL injection attacks across the Asia-Pacific region. GambleForce has targeted more than 20 websites (government, gambling, retail, and travel) in Australia, China, Indonesia, the Philippines, India, South Korea, Thailand, and Brazil. The group employed a toolset with basic but effective attack methods, leading to concerns of further activity even after Group-IB took down their command and control server. The entire toolset was based on publicly available open-source instruments used for pentesting purposes. After examining the toolset in more detail, it became clear that the tools were most likely associated with a threat actor executing one of the oldest attack methods: SQL injections. The attackers gained initial access using SQLmap, then proceeded to upload Cobalt Strike on compromised servers. Notably, the version of Cobalt Strike discovered on the gang\'s server used commands in Chinese, but this fact alone is not enough to attribute the group\'s origin. #### Reference URL(s) 1. https://www.group-ib.com/blog/gambleforce-gang/ #### Publication Date December 15, 2023 #### Author(s) Nikita Rostovcev |
Tool Threat | ★★★ | |
 |
2023-12-15 20:55:00 | Patch maintenant: exploiter les supports d'activité pour dangereux Apache Struts 2 Bogue Patch Now: Exploit Activity Mounts for Dangerous Apache Struts 2 Bug (lien direct) |
Le CVE-2023-50164 est plus difficile à exploiter que le bug de Struts 2017 derrière la violation massive à Equifax, mais ne sous-estime pas le potentiel pour les attaquants de l'utiliser dans des attaques ciblées.
CVE-2023-50164 is harder to exploit than the 2017 Struts bug behind the massive breach at Equifax, but don\'t underestimate the potential for attackers to use it in targeted attacks. |
Threat | Equifax | ★★★ |
|
2023-12-15 19:47:00 | Nouveau KV-Botnet ciblant les appareils Cisco, Draytek et Fortinet pour des attaques furtives New KV-Botnet Targeting Cisco, DrayTek, and Fortinet Devices for Stealthy Attacks (lien direct) |
Un nouveau botnet composé de pare-feu et de routeurs de Cisco, Draytek, Fortinet et Netgear est utilisé comme réseau de transfert de données secrètes pour les acteurs avancés de menace persistante, y compris l'acteur de menace lié à la Chine appelée & nbsp; volt typhoon.
Surnommé & nbsp; kv-botnet & nbsp; par l'équipe Black Lotus Labs chez Lumen Technologies, le réseau malveillant est une fusion de deux activités complémentaires
A new botnet consisting of firewalls and routers from Cisco, DrayTek, Fortinet, and NETGEAR is being used as a covert data transfer network for advanced persistent threat actors, including the China-linked threat actor called Volt Typhoon. Dubbed KV-botnet by the Black Lotus Labs team at Lumen Technologies, the malicious network is an amalgamation of two complementary activity |
Threat | Guam | ★★ |
|
2023-12-15 18:31:00 | Crypto Hardware Wallet Ledger \\'s Supply Chain Breach entraîne un vol de 600 000 $ Crypto Hardware Wallet Ledger\\'s Supply Chain Breach Results in $600,000 Theft (lien direct) |
Crypto Hardware Wallet Maker Ledger a publié une nouvelle version de son module NPM "@ LedgerHQ / Connect-Kit" après que les acteurs de menace non identifiés aient poussé le code malveillant qui a conduit au vol de & nbsp; plus de 600 000 $ & nbsp; dans des actifs virtuels.
Le & nbsp; compromis & nbsp; était le résultat d'un ancien employé victime d'une attaque de phishing, a indiqué la société dans un communiqué.
Cela a permis aux assaillants de gagner
Crypto hardware wallet maker Ledger published a new version of its "@ledgerhq/connect-kit" npm module after unidentified threat actors pushed malicious code that led to the theft of more than $600,000 in virtual assets. The compromise was the result of a former employee falling victim to a phishing attack, the company said in a statement. This allowed the attackers to gain |
Threat | ★★★ | |
|
2023-12-15 13:00:05 | Apprendre à connaître: Royce Ho Getting to Know: Royce Ho (lien direct) |
> Royce Ho est consultant régional en matière de sécurité de la prévention des menaces pour l'Asie du Sud-Est & # 38;Région de la Corée (Seak) chez Check Point Software Technologies.Avant le point de contrôle, il a travaillé chez CSintelligence, Deloitte, F5 Networks et StarHub.Royce a obtenu un baccalauréat \\ de sciences en systèmes d'information et de la sécurité et de l'assurance de l'information de la Singapore Management University.Royce, comment êtes-vous entré dans la cybersécurité?J'ai obtenu mon diplôme de Singapore Management University (SMU) avec une double majeure en systèmes d'information et en sécurité et assurance de l'information.C'est à ce moment-là que ma curiosité dans la cybersécurité a été piquée, et les connaissances que j'ai acquises tout au long de mes journées académiques m'ont permis [& # 8230;]
>Royce Ho is a Regional Threat Prevention Security Consultant for the Southeast Asia & Korea (SEAK) region at Check Point Software Technologies. Prior to Check Point, he worked at CSIntelligence, Deloitte, F5 Networks and StarHub. Royce received a Bachelor\'s of Science in Information Systems and Information Security and Assurance from Singapore Management University. Royce, how did you get into cybersecurity? I graduated from Singapore Management University (SMU) with a double major in Information Systems and Information Security and Assurance. That was when my curiosity in cybersecurity was piqued, and the knowledge that I gained throughout my academic days enabled me […] |
Threat | Deloitte | ★★★ |
|
2023-12-15 10:55:00 | New Nkabuse Malware exploite NKN Blockchain Tech pour les attaques DDOS New NKAbuse Malware Exploits NKN Blockchain Tech for DDoS Attacks (lien direct) |
Une nouvelle menace multi-plate-forme appelée & nbsp; nkabuse & nbsp; a été découverte en utilisant un protocole de connectivité réseau décentralisé et peer-to-peer appelé & nbsp; nkn & nbsp; (abréviation du nouveau type de réseau) comme canal de communication.
"Le logiciel malveillant utilise la technologie NKN pour l'échange de données entre les pairs, le fonctionnement comme un implant puissant et équipé de capacités à la fois des inondateurs et de la porte dérobée", russe
A novel multi-platform threat called NKAbuse has been discovered using a decentralized, peer-to-peer network connectivity protocol known as NKN (short for New Kind of Network) as a communications channel. "The malware utilizes NKN technology for data exchange between peers, functioning as a potent implant, and equipped with both flooder and backdoor capabilities," Russian |
Malware Threat | ★★ | |
|
2023-12-15 08:48:58 | ESET renforce la détection des menaces au sein du SIEM / SOAR Sentinel de Microsoft grâce à sa Cyber Threat Intelligence (lien direct) | ESET renforce la détection des menaces au sein du SIEM / SOAR Sentinel de Microsoft grâce à sa Cyber Threat Intelligence Les flux de données de Cyber Threat Intelligence d'ESET sont intégrés pour accroître la visibilité de la plateforme SIEM/SOAR Microsoft Sentinel. - Produits | Threat | ★★ | |
|
2023-12-15 06:00:41 | Comment empêcher les attaques basées sur l'identité avec ITDR How to Prevent Identity-Based Attacks with ITDR (lien direct) |
Identity-based attacks are on the rise. Research from the Identity Defined Security Alliance found that 84% of businesses experienced an identity-related breach in the past year. While that\'s a huge percentage, it\'s not all that surprising. Just consider how focused attackers have been in recent years on gaining access to your user\'s identities. In the latest Verizon 2023 Data Breach Investigations Report, Verizon found that 40% of all data breaches in 2022 involved the theft of credentials which is up from 31% in 2021. With access to just one privileged account an attacker can move around undetected on a company\'s network and cause havoc. When they look like the right employee, they have the freedom to do almost anything, from stealing sensitive data to launching ransomware attacks. What\'s worse, attackers usually have tools that make it fast and easy to exploit stolen credentials, escalate privilege and move laterally. That makes this type of attack all the more appealing. There are a bevy of cybersecurity tools that are supposed to protect companies from these attacks. So why do they fall short? The simple answer is that it\'s not their job-at least not completely. Take tools used for identity access management (IAM) as an example. Their role is to administer identities and manage their access to applications and resources. They don\'t detect malicious activity after a “legitimate” user has been authenticated and authorized. And tools for anomaly detection, like security information and event management (SIEM) systems, alert on abnormal or malicious user activity. But they are even less capable of flagging attempts at lateral movement and privilege escalation. As a result, these tools tend to generate high levels of false positives, which overwhelm security teams. However, there is a way to address the security gaps these solutions aren\'t well equipped to cover. It\'s called identity threat detection and response, or ITDR for short. What is ITDR? ITDR is an umbrella term coined by Gartner to describe a new category of security tools and best practices that companies can use to detect and respond more effectively to identity-based attacks. ITDR protects the middle of the attack chain-the point where enterprise defenses are usually the weakest. ITDR tools offer robust analytics, integrations and visibility that can help you to: Detect, investigate and respond to active threats Stop privilege escalations Identify and halt lateral movement by attackers Reduce the identity-centric attack surface before the threat actor even arrives When you use ITDR, you\'re not replacing existing tools or systems for IAM and threat detection and response like privileged access management (PAM) or endpoint detection and response (EDR). Instead, you\'re complementing them. Those tools can continue to do what they do best while ITDR addresses the identity security gaps they\'re not designed to cover. How ITDR solutions work-and help to prevent identity-based attacks ITDR tools are designed to continuously monitor user behavior patterns across systems. They scan every endpoint-clients and servers, PAM systems and identity repositories-to look for unmanaged, misconfigured and exposed identities. With a holistic view of identity risks, your security team can remove key attack pathways through Active Directory (AD) that threat actors use to install ransomware and steal data. ITDR tools can help defenders stop identity attacks and proactively get rid of risks. They allow defenders to see exactly how attackers can access and use identities to compromise the business. Essentially, ITDR provides answers to these three critical questions: Whose identity provides an attack path? What is the identity threat blast radius, and the impact to my business? Are there any identity-based attacks in progress? Leading ITDR tools can help you catch adversaries in the act by planting deceptive content, or trip wires, throughout your environment that only attackers would in | Ransomware Data Breach Tool Vulnerability Threat | ★★ | |
 |
2023-12-15 00:00:00 | Décodage CVE-2023-50164: dévoiler l'exploit de téléchargement de fichiers Apache Struts Decoding CVE-2023-50164: Unveiling the Apache Struts File Upload Exploit (lien direct) |
Dans cette entrée de blog, nous discutons des détails techniques du CVE-2023-50164, une vulnérabilité critique qui affecte Apache Struts 2 et permet une traversée de chemin non autorisée.
In this blog entry, we discuss the technical details of CVE-2023-50164, a critical vulnerability that affects Apache Struts 2 and enables unauthorized path traversal. |
Vulnerability Threat Technical | ★★ | |
|
2023-12-14 22:18:00 | SOHO BOTNET VOLT TYPHOON INFECTE Volt Typhoon-Linked SOHO Botnet Infects Multiple US Gov\\'t Entities (lien direct) |
Les acteurs de la menace chinoise profitent du mauvais état de sécurité des bords pour violer à la fois les petits et les gros poissons.
Chinese threat actors are taking advantage of the poor state of edge security to breach both small and big fish. |
Threat | ★★ | |
|
2023-12-14 22:00:00 | Nouveau acteur de menace \\ 'gambleforce \\' derrière des attaques d'injection SQL New \\'GambleForce\\' Threat Actor Behind String of SQL Injection Attacks (lien direct) |
Le groupe de cybercriminalité au visage frais n'a utilisé que des outils de test de pénétration accessibles au public jusqu'à présent dans sa campagne.
The fresh-faced cybercrime group has been using nothing but publicly available penetration testing tools in its campaign so far. |
Tool Threat | ★★ | |
|
2023-12-14 21:45:56 | Nouveau groupe de pirate Gambleforce Hacks Targets avec des outils open source New Hacker Group GambleForce Hacks Targets with Open Source Tools (lien direct) |
> Par waqas
Encore un autre jour, un autre acteur de menace posant un danger pour la cybersécurité des entreprises du monde entier.
Ceci est un article de HackRead.com Lire le post original: Nouveau groupe de pirate Gambleforce Hacks Targets avec des outils open source
>By Waqas Yet another day, yet another threat actor posing a danger to the cybersecurity of companies globally. This is a post from HackRead.com Read the original post: New Hacker Group GambleForce Hacks Targets with Open Source Tools |
Tool Threat | ★★ | |
|
2023-12-14 21:32:32 | Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) | #### Description
Depuis octobre 2023, TA4557 cible les recruteurs avec des e-mails directs qui mènent à la livraison de logiciels malveillants.Les courriels initiaux sont bénins et expriment leur intérêt pour un rôle ouvert.Si la cible répond, la chaîne d'attaque commence.
TA4557 a utilisé à la fois la nouvelle méthode d'envoyer des courriels recruteurs ainsi que l'ancienne technique de postulation à des emplois publiés sur des services d'emploi publics pour commencer la chaîne d'attaque.Une fois que le destinataire a répondu à l'e-mail initial, l'acteur a été observé en répondant avec une URL liant à un site Web contrôlé par l'acteur se faisant passer pour un curriculum vitae candidat.Si les victimes potentielles visitent le «site Web personnel» comme indiqué par l'acteur de menace, la page imite un curriculum vitae d'un candidat ou un chantier pour le candidat (TA4557) postule pour un rôle affiché.Le site Web utilise le filtrage pour déterminer s'il faut diriger l'utilisateur vers l'étape suivante de la chaîne d'attaque.Si la victime potentielle ne passe pas les vérifications de filtrage, elle est dirigée vers une page contenant un curriculum vitae en texte brut.Alternativement, s'ils passent les chèques de filtrage, ils sont dirigés vers le site Web des candidats.
Le site Web des candidats utilise un captcha qui, s'il est terminé, lancera le téléchargement d'un fichier zip contenant un fichier de raccourci (LNK).Le LNK, s'il est exécuté, abuse des fonctions logicielles légitimes dans "ie4uinit.exe" pour télécharger et exécuter un script à partir d'un emplacement stocké dans le fichier "ie4uinit.inf".Cette technique est communément appelée «vivre de la terre» (LOTL).Le scriptlet déchiffre et laisse tomber une DLL dans le dossier% AppData% \ Microsoft.Ensuite, il tente de créer un nouveau processus RegSRV32 pour exécuter la DLL à l'aide de Windows Management Instrumentation (WMI) et, si cela échoue, essaie une approche alternative à l'aide de la méthode de run d'objet ActiveX.La DLL utilise des techniques de sous-sanche et d'anti-analyse.Il intègre une boucle spécifiquement conçue pour récupérer la clé RC4 nécessaire pour déchiffrer la porte dérobée More_Eggs.Cette boucle est stratégiquement conçue pour prolonger son temps d'exécution, améliorant ses capacités d'évasion dans un environnement de bac à sable.En outre, la DLL utilise plusieurs vérifications pour déterminer si elle est actuellement en cours de débogage, en utilisant la fonction NTQueryInformationProcess.La DLL laisse tomber la porte dérobée More_Eggs avec l'exécutable MSXSL.Par la suite, il initie la création du processus MSXSL à l'aide du service WMI.
#### URL de référence (s)
1. https://www.proofpoint.com/us/blog/thereat-insight/security-brieF-TA4557-Targets-recruteurs
#### Date de publication
14 décembre 2023
#### Auteurs)
Kelsey Merriman
Selena Larson
Xavier Chambrier
#### Description Since October 2023, TA4557 has been targeting recruiters with direct emails that lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pa |
Malware Threat | ★★ | |
 |
2023-12-14 21:00:00 | Le cyber-instantané du défenseur du défenseur, le numéro 5 - Insiders, applications et risque atténuant The Defender\\'s Advantage Cyber Snapshot, Issue 5 - Insiders, Applications, and Mitigating Risk (lien direct) |
Le rapport de cyber-instantan avant le défenseur \\ fournit un aperçu des sujets de cyber-défense d'une importance croissante en fonction des observations de première ligne mandiantes et des expériences du monde réel. La cinquième édition couvre un large éventail de sujets, y compris l'idéologie et le paysage des menaces d'initiés, des étapes critiques pour aider à atténuer votre cyber-risque, la croissance de la croissance deCiblage de l'industrie maritime, sécurisation de la cyber-défenses de votre application, et l'importance de la chasse aux menaces dirigée par le renseignement. Téléchargez l'avantage complet du Defender \\ du défenseur complet, le numéro 5 du rapport Pour en savoir plusÀ propos de ces cinq sujets chauds: compresseur
The Defender\'s Advantage Cyber Snapshot report provides insights into cyber defense topics of growing importance based on Mandiant frontline observations and real-world experiences. The fifth edition covers a wide range of topics, including the ideology and landscape of insider threats, critical steps to help mitigate your cyber risk, the growth of maritime industry targeting, securing your application\'s cyber defenses, and the importance of intelligence-led threat hunting.Download the full Defender\'s Advantage Cyber Snapshot, Issue 5 report to learn more about these five hot topics: Understan |
Threat | ★★ | |
|
2023-12-14 19:31:00 | NOUVEAU PEROGI ++ MALWOWIRES PAR GAZA CYBER GANG ciblant les entités palestiniennes New Pierogi++ Malware by Gaza Cyber Gang Targeting Palestinian Entities (lien direct) |
Un acteur de menace pro-Hamas, connu sous le nom de & nbsp; Gaza Cyber Gang & nbsp; cible des entités palestiniennes en utilisant une version mise à jour d'une porte dérobée surnommée Pierogi.
Les résultats proviennent de Sentinelone, qui a donné au malware le nom Pierogi ++ en raison du fait qu'il ait implémenté dans le langage de programmation C ++ contrairement à son prédécesseur basé sur Delphi- et Pascal.
"Récent montrent les activités de Gaza Cybergang
A pro-Hamas threat actor known as Gaza Cyber Gang is targeting Palestinian entities using an updated version of a backdoor dubbed Pierogi. The findings come from SentinelOne, which has given the malware the name Pierogi++ owing to the fact that it\'s implemented in the C++ programming language unlike its Delphi- and Pascal-based predecessor. "Recent Gaza Cybergang activities show |
Malware Threat | ★★★ | |
 |
2023-12-14 18:55:10 | Microsoft élimine des domaines vendant de faux comptes Outlook Microsoft Takes Down Domains Selling Fake Outlook Accounts (lien direct) |
Microsoft a annoncé mercredi qu'il avait saisi des sites Web illicites et des pages de médias sociaux appartenant au groupe de cybercriminaux basé au Vietnam Storm-1152 a créé environ 750 millions de comptes d'Outlook frauduleux et a gagné des millions de dollars de revenus illégaux. Le géant de Redmond appelle Storm-1152, un écosystème de cybercriminalité en tant que service (CAAS), «le vendeur et créateur numéro un de comptes Microsoft frauduleux» qui les a bien vendues en ligne à d'autres cybercriminels pour contourner les logiciels de vérification d'identité à travers bien à travers- Plateformes technologiques connues. Ces comptes ont été utilisés pour plusieurs activités malveillantes, notamment le phishing de masse, le vol d'identité et la fraude, et les attaques de déni de service (DDOS) distribuées. «Storm-1152 gère des sites Web illicites et des pages de médias sociaux, vendant des comptes et des outils frauduleux Microsoft pour contourner les logiciels de vérification d'identité sur des plateformes technologiques bien connues.Ces services réduisent le temps et les efforts nécessaires pour que les criminels mettent en ligne une multitude de comportements criminels et abusifs », Amy Hogan-Burney, directrice générale de l'unité des crimes numériques de Microsoft \\ (DCU), a écrit dans un article de blog. Selon Microsoft, Octo Tempest, également connu sous le nom de Spanded Spider, est l'un des clients de Storm-1152 \\ qui ont obtenu des comptes de Microsoft frauduleux pour mener des attaques d'ingénierie sociale visant à l'extorsion financière.Outre Octo Tempest, des acteurs de menace tels que Storm-0252, Storm-0455 et d'autres groupes de ransomware ou d'extorsion ont également acheté des comptes frauduleux de Storm-1152. Le 7 décembre 2023, le géant de Redmond a obtenu une ordonnance du tribunal du district sud de New York pour saisir l'infrastructure basée aux États-Unis de la cybercriminalité construite sur l'intelligence recueillie sur les CAA et ses activités et infrastructures par Microsoftet la société de sécurité et de sécurité des bots Arkose Labs. «Depuis au moins 2021, les défendeurs se sont engagés dans un plan pour obtenir des millions de comptes de messagerie Microsoft Outlook au nom des utilisateurs fictifs en fonction d'une série de fausses représentations, puis vendent ces comptes frauduleux à des acteurs malveillants pour une utilisationdans divers types de cybercriminalité », selon le plainte . Sur la base de la commande, Microsoft a repris des domaines tels que Hotmailbox [.] Moi, 1stcaptcha, anycaptcha et non ecaptcha, ainsi que des comptes de médias sociaux qui ont été utilisés par Storm-1152 pour nuire aux clients de la société etcauser des dommages-intérêts d'une valeur de centaines de milLions de dollars. La société a également poursuivi trois individus & # 8211;Duong Dinh Tu, Linh Van Nguyen (A / K / A Nguyen Van Linh) et Tai Van Nguyen & # 8211;tous basés à VIEtnam et censé être opérant Storm-1152. "Nos résultats montrent que ces personnes ont exploité et rédigé le code pour les sites Web illicites, publié des instructions détaillées étape par étape sur la façon d'utiliser leurs produits via des didacticiels vidéo et ont fourni des services de chat pour aider ceux qui utilisent leurs services frauduleux", a ajoutéAmy Hogan-Burney. & # 8220; Aujourd'hui, l'action est une continuation de la stratégie de Microsoft pour viser l'écosystème cybercriminal plus large et cibler les outils que les cybercriminaux utilisent pour lancer leurs attaques.Il s'appuie sur notre exp | Ransomware Malware Tool Threat | ★★★ | |
|
2023-12-14 18:34:12 | 10 prédictions de sécurité pour 2024 10 Security Predictions for 2024 (lien direct) |
Dans un contexte de conditions économiques incertaines et de troubles géopolitiques, 2023 approche de sa fin.Mais ce n'est pas toutes de mauvaises nouvelles.Dans la course contre les gangs cyber-criminels et les acteurs de menaces malveillants en 2023, les catastrophes majeures ne se sont pas matérialisées et l'état de cyber-défense est plus fort que jamais.De nouvelles solutions pour l'IoT et la sécurité OT, l'accent mis sur les vulnérabilités open source et les progrès dans la formation de sensibilisation à la sécurité au sein des organisations sont tous des signes de défenses plus fortes.Avec ce (...)
-
opinion
Against a backdrop of uncertain economic conditions and geopolitical unrest, 2023 nears its end. But it isn\'t all bad news. In the race against cyber criminal gangs and malicious threat actors in 2023, major catastrophes have not materialized, and the state of cyber defense is stronger than ever. New solutions for IoT and OT security, a focus on open source vulnerabilities, and progress in security awareness training within organizations are all signs of stronger defenses. With this (...) - Opinion |
Vulnerability Threat Industrial Prediction | ★★★ | |
|
2023-12-14 18:00:00 | Le groupe de pétrole parrainé par l'État iranien déploie 3 nouveaux téléchargeurs de logiciels malveillants Iranian State-Sponsored OilRig Group Deploys 3 New Malware Downloaders (lien direct) |
L'acteur de menace parrainé par l'État iranien connu sous le nom de & nbsp; Oilrig & nbsp; a déployé trois logiciels malveillants de téléchargeur différents tout au long de 2022 pour maintenir un accès persistant aux organisations de victimes situées en Israël.
Les trois nouveaux téléchargeurs ont été nommés Odagent, OilCheck et Oilbooster par la Slovak Cybersecurity Company ESET.Les attaques ont également impliqué l'utilisation d'une version mise à jour d'un téléchargeur de pétrole connu
The Iranian state-sponsored threat actor known as OilRig deployed three different downloader malware throughout 2022 to maintain persistent access to victim organizations located in Israel. The three new downloaders have been named ODAgent, OilCheck, and OilBooster by Slovak cybersecurity company ESET. The attacks also involved the use of an updated version of a known OilRig downloader |
Malware Threat | APT 34 | ★★ |
 |
2023-12-14 17:15:12 | Nouveaux abus de logiciels malveillants Nkabuse NKN Blockchain pour les communications furtives New NKAbuse malware abuses NKN blockchain for stealthy comms (lien direct) |
Un nouveau logiciel malveillant multiplateforme basé sur GO identifié comme \\ 'nkabuse \' est la première technologie NKN (nouveau type de réseau) pour l'échange de données, ce qui en fait une menace furtive.[...]
A new Go-based multi-platform malware identified as \'NKAbuse\' is the first malware abusing NKN (New Kind of Network) technology for data exchange, making it a stealthy threat. [...] |
Malware Threat | ★★ | |
|
2023-12-14 17:00:00 | Ouvrir une boîte de publicités Whoop: détecter et perturber une campagne de malvertisation distribuant des déambulations Opening a Can of Whoop Ads: Detecting and Disrupting a Malvertising Campaign Distributing Backdoors (lien direct) |
Plus tôt cette année, l'équipe de chasse des menaces de défense gérée de Mandiant \\ a identifié une campagne de publicité malveillante («malvertisante») UNC2975 faisant la promotion de sites Web malveillants sur le thème des fonds non réclamés.Cette campagne remonte au moins le 19 juin 2023, et a abusé du trafic de moteurs de recherche et des publicités malveillantes à effet de levier pour affecter plusieurs organisations, ce qui a entraîné la livraison des délais de Danabot et Darkgate. La défense gérée a travaillé avec des pratiques avancées et avec l'équipe anti-Malvertising Google pour supprimer les publicités malveillantes de l'écosystème d'annonces, puis
Earlier this year, Mandiant\'s Managed Defense threat hunting team identified an UNC2975 malicious advertising (“malvertising”) campaign promoting malicious websites themed around unclaimed funds. This campaign dates back to at least June 19, 2023, and has abused search engine traffic and leveraged malicious advertisements to affect multiple organizations, which resulted in the delivery of the DANABOT and DARKGATE backdoors.Managed Defense worked with Advanced Practices and with the Google Anti-Malvertising team to remove the malicious advertisements from the ads ecosystem, and subsequently |
Threat | ★★ |
To see everything:
