SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-05-08 00:33:38	Remcosrat distribué à l'aide de la stéganographie RemcosRAT Distributed Using Steganography (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment identifié le remcosrat distribué à l'aide de la technique de stéganographie.Les attaques commencent par un document Word en utilisant la technique d'injection de modèle, après quoi un RTF qui exploite une vulnérabilité dans l'éditeur d'équation (Eqnedt32.exe) est téléchargé et exécuté.Le fichier RTF télécharge un VBScript avec le & # 8220; .jpg & # 8221;Extension de fichier à partir du C2 et un autre VBScript de & # 8220; Paste.ee & # 8221;, un service similaire à & # 8220; Pastebin & # 8221;où on peut télécharger du texte gratuitement.Le VBScript téléchargé est obscurci avec ... AhnLab SEcurity intelligence Center (ASEC) has recently identified RemcosRAT being distributed using the steganography technique. Attacks begin with a Word document using the template injection technique, after which an RTF that exploits a vulnerability in the equation editor (EQNEDT32.EXE) is downloaded and executed. The RTF file downloads a VBScript with the “.jpg” file extension from the C2 and another VBScript from “paste.ee”, a service similar to “Pastebin” where one can upload text for free. The downloaded VBScript is obfuscated with...	Vulnerability		★★★
	2024-04-11 00:36:25	Metasploit Meterpreter installé via Redis Server Metasploit Meterpreter Installed via Redis Server (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment découvert que le Metasploit Meterpreter Backdoor a été installé via le service Redis.Redis est une abréviation du serveur de dictionnaire distant, qui est un stockage de structure de données en mémoire open source qui est également utilisé comme base de données.Il est présumé que les acteurs de la menace ont abusé des paramètres inappropriés ou exécuté des commandes par le biais d'attaques de vulnérabilité.Redis est utilisé à diverses fins, les principaux étant la gestion de session, le courtier de messages et les files d'attente.Autant de systèmes partout ... AhnLab SEcurity intelligence Center (ASEC) recently discovered that the Metasploit Meterpreter backdoor has been installed via the Redis service. Redis is an abbreviation of Remote Dictionary Server, which is an open-source in-memory data structure storage that is also used as a database. It is presumed that the threat actors abused inappropriate settings or ran commands through vulnerability attacks. Redis is used for various purposes with the main ones being session management, message broker, and queues. As many systems all over...	Vulnerability Threat		★★★
	2024-03-06 08:56:56	Microsoft Windows Security Update Advisory (CVE-2024-21338) (lien direct)	aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ... Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are...	Vulnerability Threat	APT 38	★★
	2024-01-18 07:10:53	MIMO COINMINER ET MIMUS RANSOMWALIES installées via des attaques de vulnérabilité Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct)	Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités àinstaller des logiciels malveillants.MIMO, également surnommé HEZB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022. Jusqu'à présent, tous les cas d'attaque impliquaient l'installation de XMRIG Coinmin, appelé MIMO Miner Bot dans l'étape finale.Cependant, il y avait d'autres cas pertinents où le même acteur de menace a installé Mimus Ransomware, Proxyware et Reverse Shell ... AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. Up until now, all of the attack cases involved the installation of XMRig CoinMiner called Mimo Miner Bot in the final stage. However, there were other pertinent cases where the same threat actor installed Mimus ransomware, proxyware, and reverse shell...	Ransomware Malware Vulnerability Threat		★★★
	2023-12-19 01:22:36	La vulnérabilité Apache ActiveMQ (CVE-2023-46604) étant en permanence exploitée dans les attaques Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct)	En novembre 2023, Ahnlab Security Emergency Response Center (ASEC) a publié un article de blog intitulé & # 8220;Circonstances du groupe Andariel exploitant une vulnérabilité Apache ActiveMQ (CVE-2023-46604) & # 8221;[1] qui a couvert les cas du groupe de menaces Andariel exploitant la vulnérabilité CVE-2023-46604 pour installer des logiciels malveillants.Ce message a non seulement couvert les cas d'attaque du groupe Andariel, mais aussi ceux de Hellokitty Ransomware, de Cobalt Strike et Metasploit Meterpreter.Depuis lors, la vulnérabilité Apache ActiveMQ (CVE-2023-46604) a continué à être exploitée par divers acteurs de menace.Ce ... In November 2023, AhnLab Security Emergency response Center (ASEC) published a blog post titled “Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)” [1] which covered cases of the Andariel threat group exploiting the CVE-2023-46604 vulnerability to install malware. This post not only covered attack cases of the Andariel group but also those of HelloKitty Ransomware, Cobalt Strike, and Metasploit Meterpreter. Since then, the Apache ActiveMQ vulnerability (CVE-2023-46604) has continued to be exploited by various threat actors. This...	Ransomware Malware Vulnerability Threat		★★★
	2023-11-20 08:47:33	Campagne d'attaque de cryptojacking contre les serveurs Web Apache à l'aide de Cobalt Strike Cryptojacking Attack Campaign Against Apache Web Servers Using Cobalt Strike (lien direct)	Ahnlab Security Emergency Response Center (ASEC) surveillait les attaques contre les serveurs Web vulnérables qui ont des vulnérabilités non corrigées ouêtre mal géré.Étant donné que les serveurs Web sont exposés à l'extérieur dans le but de fournir des services Web à tous les utilisateurs disponibles, ceux-ci deviennent des objectifs d'attaque majeurs pour les acteurs de la menace.Les principaux exemples de services Web qui prennent en charge les environnements Windows incluent les services d'information Internet (IIS), Apache, Apache Tomcat et Nginx.Bien que le service Web Apache soit généralement utilisé dans les environnements Linux, il y en a ... AhnLab Security Emergency response Center (ASEC) is monitoring attacks against vulnerable web servers that have unpatched vulnerabilities or are being poorly managed. Because web servers are externally exposed for the purpose of providing web services to all available users, these become major attack targets for threat actors. Major examples of web services that support Windows environments include Internet Information Services (IIS), Apache, Apache Tomcat, and Nginx. While the Apache web service is usually used in Linux environments, there are some...	Vulnerability Threat Technical		★★★
	2023-10-30 04:18:29	Avertissement contre les vulnérabilités de Cisco IOS XE Software Web (CVE-2023-20198, CVE-2023-20273) Warning Against Cisco IOS XE Software Web UI Vulnerabilities (CVE-2023-20198, CVE-2023-20273) (lien direct)	aperçu ce mois-ci, Cisco a publié un avis de sécurité concernant deux vulnérabilités actuellement exploitées activement dans les attaques réelles: CVE CVE-2023-20198 et CVE-2023-20273.Ces vulnérabilités sont présentes dans la fonction d'interface utilisateur Web du logiciel Cisco iOS XE.La vulnérabilité CVE-2023-20198 permet à un acteur de menace non autorisé de créer un compte arbitraire avec des privilèges de niveau 15, qui est le plus haut niveau d'autorisation d'accès possible et de prendre le contrôle du système.La vulnérabilité CVE-2023-20273 permet une injection de commande qui permet d'écrire un contenu malveillant ... Overview This month, Cisco released a security advisory regarding two vulnerabilities currently being actively exploited in actual attacks: CVE-2023-20198 and CVE-2023-20273. These vulnerabilities are present in the web UI feature of Cisco IOS XE Software. The CVE-2023-20198 vulnerability allows an unauthorized threat actor to create an arbitrary account with level 15 privileges, which is the highest level of access permission possible, and take control over the system. The CVE-2023-20273 vulnerability allows command injection which enables malicious content to be written...	Vulnerability Threat		★★
	2023-10-17 00:55:09	La magie de rêve de l'opération de Lazarus Group \\ Lazarus Group\\'s Operation Dream Magic (lien direct)	Le groupe Lazare est un groupe de piratage connu pour être parrainé par l'État et mène activement des activités de piratageDans le monde entier pour le gain financier, le vol de données et d'autres fins.Un aperçu simplifié de l'attaque du trou d'arrosage du groupe Lazare qui a abusé de la vulnérabilité inisafée est la suivante: un lien malveillant a été inséré dans un article spécifique sur un site Web d'actualités.Par conséquent, les entreprises et les institutions qui ont cliqué sur cet article étaient ciblées pour le piratage.Les pirates ont exploité des sites Web coréens vulnérables avec C2 ... The Lazarus group is a hacking group that is known to be state-sponsored and is actively conducting hacking activities worldwide for financial gain, data theft, and other purposes. A simplified overview of the Lazarus group’s watering hole attack that abused the INISAFE vulnerability is as follows: a malicious link was inserted within a specific article on a news website. Consequently, companies and institutions that clicked on this article were targeted for hacking. The hackers exploited vulnerable Korean websites with C2...	Vulnerability	APT 38	★★
	2023-09-11 05:05:00	Rapport de tendance des menaces sur les ransomwares & # 8211;Juillet 2023 Threat Trend Report on Ransomware – July 2023 (lien direct)	Ce rapport fournit des statistiques sur le nombre de nouveaux échantillons de ransomware, des systèmes ciblés et des entreprises ciblées en juillet 2023, ainsi que des problèmes de ransomware notables en Corée et dans d'autres pays.Tendances clés 1) Plus d'entreprises affectées par l'exploitation des ransomwares de Clop & # 8217;Problèmes This report provides statistics on the number of new ransomware samples, targeted systems, and targeted businesses in July 2023, as well as notable ransomware issues in Korea and other countries. Key Trends 1) More businesses affected by CLOP ransomware’s exploitation of MOVEit zero-day vulnerability 2) Big Head ransomware disguised as an emergency Windows update 3) Detection names for ransomware disguised as Sophos file ATIP_2023_Jul_Threat Trend Report on Ransomware Statistics and Major Issues	Ransomware Vulnerability Threat Prediction		★★
	2023-08-10 00:00:00	V3 détecte et bloque l'injection de ransomware de magnéte (détection directe du système) V3 Detects and Blocks Magniber Ransomware Injection (Direct Syscall Detection) (lien direct)	Le ransomware de magnétique est systématiquement distribué à des volumes élevés.Il a été distribué par la vulnérabilité IE (Internet Explorer) pour les dernières années, mais a cessé d'exploiter la vulnérabilité après la fin du support pour le navigateur.Récemment, le ransomware est distribué avec des noms de fichiers déguisés en package de mise à jour de sécurité Windows (par exemple, error.center.security.msi) dans les navigateurs Edge et Chrome.Magnber en ce moment injecte actuellement le ransomware dans un processus en cours d'exécution, le fait que ce processus cause des dommages en cryptant les fichiers de l'utilisateur \\.Ce message ... The Magniber ransomware is consistently being distributed at high volumes. It has been distributed through the IE (Internet Explorer) vulnerability for the past few years but stopped exploiting the vulnerability after the support for the browser ended. Recently, the ransomware is distributed with filenames disguised as a Windows security update package (e.g. ERROR.Center.Security.msi) in Edge and Chrome browsers. Magniber at the moment injects the ransomware into a running process, having this process cause damage by encrypting the user\'s files. This post...	Ransomware Vulnerability		★★
	2023-06-14 23:00:00	Lezare Menace Group exploitant la vulnérabilité de la solution de sécurité financière coréenne Lazarus Threat Group Exploiting Vulnerability of Korean Finance Security Solution (lien direct)	comme couvert précédemment ici sur le blog ASEC, le groupe de menace Lazarus exploite les vulnérabilités d'Inisafe Crossweb Ex etMagicline4nx dans leurs attaques.New Malware of Lazarus Threat Group Actor Group exploitant le processus Initch (26 avril 2022) Un cas d'infection par les logiciels malveillants par le groupe d'attaque de Lazarus désactivant les programmes anti-malware avec la technique BYOVD (31 octobre 2022) tout en surveillant les activités du groupe de menaces de Lazarus, Ahnlab Security Emergency Response Center (ASEC) a récemment découvert que la vulnérabilité zéro-jour de Vestcert ... As covered before here on the ASEC Blog, the Lazarus threat group exploits the vulnerabilities of INISAFE CrossWeb EX and MagicLine4NX in their attacks. New Malware of Lazarus Threat Actor Group Exploiting INITECH Process (Apr 26, 2022) A Case of Malware Infection by the Lazarus Attack Group Disabling Anti-Malware Programs With the BYOVD Technique (Oct 31, 2022) While monitoring the activities of the Lazarus threat group, AhnLab Security Emergency response Center (ASEC) recently discovered that the zero-day vulnerability of VestCert...	Malware Vulnerability Threat	APT 38	★★
	2023-06-09 05:07:00	CVE TREND RAPPORT & # 8211;Avril 2023 Statistiques de vulnérabilité et problèmes majeurs CVE Trend Report – April 2023 Vulnerability Statistics and Major Issues (lien direct)	suite à la récente abus de vulnérabilités dans diverses distributions et attaques de logiciels malveillants, il devient de plus en plus crucial pour détecter dire ditinformations tôt.Zero-day et d'autres vulnérabilités se propagent généralement plus rapidement dans les réseaux sociaux.AHNLAB fournit la tendance des vulnérabilités actuelles via le service ATIP sur la base des informations collectées par l'infrastructure interne.De plus, ATIP offre des informations sur lesdites vulnérabilités & # 8217;Caractéristiques et contre-mesures grâce à des coupures de presse connexes, des notes de l'ASEC, des rapports d'analyse, des avis de sécurité, etc.Ce rapport présente ... Following the recent abuse of vulnerabilities in various malware distributions and attacks, it is becoming more crucial to detect said information early on. Zero-day and other various vulnerabilities are typically spread faster through social networks. AhnLab provides the trend of current vulnerabilities through the ATIP service based on the information collected by the in-house infrastructure. Additionally, ATIP offers information on said vulnerabilities’ characteristics and countermeasures through related News Clippings, ASEC Notes, analysis reports, security advisories, and more. This report introduces...	Malware Vulnerability Prediction		★★★
	2023-05-24 00:00:17	CVE TREND RAPPORT & # 8211;Mars 2023 Statistiques de vulnérabilité et problèmes majeurs CVE Trend Report – March 2023 Vulnerability Statistics and Major Issues (lien direct)	suite à la récente abus de vulnérabilités dans diverses distributions et attaques de logiciels malveillants, il devient de plus en plus crucial à détecterinformations tôt.Zero-day et d'autres vulnérabilités se propagent généralement plus rapidement dans les réseaux sociaux.AHNLAB fournit la tendance des vulnérabilités actuelles via le service ATIP sur la base des informations collectées par l'infrastructure interne.De plus, ATIP offre des informations sur lesdites vulnérabilités & # 8217;Caractéristiques et contre-mesures grâce à des coupures de presse connexes, des notes de l'ASEC, des rapports d'analyse, des avis de sécurité, etc.Ce rapport présente ... Following the recent abuse of vulnerabilities in various malware distributions and attacks, it is becoming more crucial to detect said information early on. Zero-day and other various vulnerabilities are typically spread faster through social networks. AhnLab provides the trend of current vulnerabilities through the ATIP service based on the information collected by the in-house infrastructure. Additionally, ATIP offers information on said vulnerabilities’ characteristics and countermeasures through related news clippings, ASEC Notes, analysis reports, security advisories, and more. This report introduces...	Malware Vulnerability Prediction		★★★
	2023-05-23 01:00:00	Groupe Lazare ciblant les serveurs Web Windows IIS Lazarus Group Targeting Windows IIS Web Servers (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé le groupe Lazarus, un groupe connu pour recevoir un soutienÀ l'échelle nationale, effectuant des attaques contre les serveurs Web Windows IIS.Habituellement, lorsque les acteurs de la menace effectuent une analyse et trouvent un serveur Web avec une version vulnérable, ils utilisent la vulnérabilité adaptée à la version pour installer un shell Web ou exécuter des commandes malveillantes.Le journal AHNLAB Smart Defense (ASD) affiché ci-dessous dans la figure 1 montre que les systèmes Windows Server sont ... AhnLab Security Emergency response Center (ASEC) has recently confirmed the Lazarus group, a group known to receive support on a national scale, carrying out attacks against Windows IIS web servers. Ordinarily, when threat actors perform a scan and find a web server with a vulnerable version, they use the vulnerability suitable for the version to install a web shell or execute malicious commands. The AhnLab Smart Defense (ASD) log displayed below in Figure 1 shows that Windows server systems are...	Vulnerability Threat	APT 38	★★
	2023-04-21 00:30:00	8220 Gang utilise la vulnérabilité log4shell pour installer Coinmin 8220 Gang Uses Log4Shell Vulnerability to Install CoinMiner (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé que le groupe d'attaque de gangs 8220 utilise le log4shellVulnérabilité pour installer Coinmingir dans des serveurs VMware Horizon.Parmi les systèmes ciblés pour l'attaque, il y avait des sociétés coréennes liées à l'énergie avec des systèmes non corrigés et vulnérables, comme étant la proie de plusieurs attaquants.Log4Shell (CVE-2021-44228) est à la fois une vulnérabilité d'exécution de code distant et la vulnérabilité Log4j utilitaire de journalisation basée sur Java qui peut exécuter à distance un objet Java dans des serveurs qui utilisent log4j par ... Ahnlab Security Emergency response Center (ASEC) has recently confirmed that the 8220 Gang attack group is using the Log4Shell vulnerability to install CoinMiner in VMware Horizon servers. Among the systems targeted for the attack, there were Korean energy-related companies with unpatched and vulnerable systems, hence being preyed upon by multiple attackers. Log4Shell (CVE-2021-44228) is both a remote code execution vulnerability and the Java-based logging utility Log4j vulnerability that can remotely execute a Java object in servers that use Log4j by...	Vulnerability		★★
	2023-04-05 00:00:00	Produit Initech (INISAFE CROSSWEB) Recommandation de mise à jour Initech Product (INISAFE CrossWEB) Security Update Recommendation (lien direct)	aperçu une mise à jour de sécurité pour corriger la vulnérabilité de l'inisafe Crossweb ex v3 a été annoncée.INISAFE CROSSWEB EX V3 est un logiciel utilisé pour les transactions financières électroniques et la certification de sécurité financière dans le secteur public.Il est utilisé par diverses sociétés et particuliers pour les services bancaires sur Internet, il est donc essentiel pour la plupart des utilisateurs de vérifier si le programme est installé sur leur PC et de le mettre à jour vers la dernière version suivant le guide ci-dessous.Description Ahnlab Security ... Overview A security update to patch the vulnerability of Initech’s INISAFE CrossWeb EX V3 has been announced. INISAFE CrossWeb EX V3 is a software program used for electronic financial transactions and financial security certification in the public sector. It is used by various companies and individuals for Internet banking, so it is essential for most users to check if the program is installed on their PC and update it to the latest version following the guide below. Description AhnLab Security...	Vulnerability		★★
	2023-03-29 00:00:00	Guide de la vulnérabilité des perspectives de Microsoft Office (CVE-2023-23397) [Microsoft Office Outlook Vulnerability (CVE-2023-23397) Appearance and Manual Measure Guide] (lien direct)	Ahnlab Security Emergency Response Center (ASEC) a récemment publié un avis sur une vulnérabilité des perspectives de Microsoft Office.Le CVE-2023-23397 est une vulnérabilité qui divulgue les informations d'identification du compte de l'utilisateur lors de la réception d'un e-mail et déclenchent une notification.Les informations volées comprennent le & # 8216; ntlm & # 8217;Valeur de hachage, qui contient les informations de hachage de mot de passe pour le compte enregistré.Les acteurs de menace peuvent exploiter ces informations pour la propagation interne et le compromis supplémentaire du système.L'application de correctifs de sécurité est essentielle pour empêcher l'exposition des vulnérabilités, ... AhnLab Security Emergency response Center (ASEC) recently published a notice about a Microsoft Office Outlook vulnerability. CVE-2023-23397 is a vulnerability that leaks a user’s account credentials upon receiving an email and triggering a notification. The stolen information includes the ‘NTLM’ hash value, which contains the password hashing information for the logged-in account. Threat actors can exploit this information for internal propagation and further compromise of the system. The application of security patches is essential to prevent the exposure of vulnerabilities,...	Vulnerability Threat		★★
	2023-03-27 23:40:00	AVERTISSEMENT POUR MAGICLINE4NX (Solution de certificat) Vulnérabilité et mise à jour recommandées [Warning for MagicLine4NX (Certificate Solution) Vulnerability and Update Recommended] (lien direct)	logiciel vulnérable et aperçu Magicline4nx est un programme de certificat conjoint non actif développé par la société coréenne, Dream Security.Les utilisateurs peuvent utiliser MagicLine4NX pour effectuer des connexions avec un certificat conjoint et des transactions numériquement signer.Ce programme est enregistré en tant que programme de démarrage et sera relancé par un certain service (MagicLine4nxServices.exe) même s'il est résilié.Il reste constamment actif comme processus une fois qu'il est installé, il peut donc être exposé à des attaques de vulnérabilité.Ainsi, il doit être mis à jour ... Vulnerable Software and Overview MagicLine4NX is a non-ActiveX joint certificate program developed by the Korean company, Dream Security. Users can use MagicLine4NX to perform logins with a joint certificate and digitally sign transactions. This program is registered as a Startup Program and will be relaunched by a certain service (MagicLine4NXServices.exe) even if it is terminated. It remains constantly active as a process once it is installed, so it can be exposed to vulnerability attacks. Thus, it needs to be updated...	Vulnerability		★★
	2023-03-23 02:00:00	Avertissement pour la vulnérabilité d'escalade des privilèges Office Microsoft Office (CVE-2023-23397) [Warning for Microsoft Office Outlook Privilege Escalation Vulnerability (CVE-2023-23397)] (lien direct)	aperçu Microsoft a découvert une vulnérabilité dans Outlook pour Windows qui est exploité pour voler les informations d'identification NTLM.Microsoft a attribué le code CVE-2023-23397 à cette vulnérabilité.La société lui a donné un score CVSS inhabituellement élevé de 9,8, CVSS étant le score d'évaluation du niveau de gravité.Détails de la vulnérabilité Outlook a une fonctionnalité \\ 'rappel \' qui alerte les utilisateurs des horaires de leur calendrier.L'alerte suivante est également affichée lorsque la période de planification s'est écoulée.Figure 1. Fonctionnement du rappel Outlook le ... Overview Microsoft has discovered a vulnerability in Outlook for Windows that is being exploited to steal NTLM credentials. Microsoft has assigned the code CVE-2023-23397 to this vulnerability. The company gave it an unusually high CVSS score of 9.8, with CVSS being the evaluation score for the severity level. Vulnerability Details Outlook has a \'Reminder\' feature which alerts users of schedules on their calendar. The following alert is also displayed when the schedule period has elapsed. Figure 1. Outlook Reminder feature The...	Vulnerability General Information		★★
	2023-03-23 01:50:00	AVERTISSEMENT POUR LE PROGRAMME DE GESTION D'ACTIF [Warning for Asset Management Program (TCO!Stream) Vulnerability and Update Recommendation] (lien direct)	logiciel vulnérable et aperçu TCO! Stream est une solution de gestion des actifs développée par la société coréenne, MLSoft.Composé d'un serveur et d'un client, les administrateurs peuvent utiliser le programme de console pour effectuer des travaux de gestion des actifs en accédant au serveur.TCO! Stream offre diverses fonctionnalités pour la gestion des actifs, mais il existe un processus qui s'exécute constamment sur le client afin de recevoir des commandes du serveur.Les commandes sont effectuées via ce processus.Cette solution de gestion est exposée à des attaques de vulnérabilité qui pourraient ... Vulnerable Software and Overview TCO!Stream is an asset management solution developed by the Korean company, MLsoft. Consisting of a server and a client, administrators can use the console program to perform asset management work by accessing the server. TCO!Stream offers various features for asset management, but there is a process that runs constantly on the client in order to receive commands from the server. Commands are performed through this process. This management solution is exposed to vulnerability attacks that could...	Vulnerability General Information		★★
	2023-03-23 00:20:00	Avertissement pour la solution de certification (VESTCERT) Vulnérabilité et recommandation de mise à jour [Warning for Certification Solution (VestCert) Vulnerability and Update Recommendation] (lien direct)	logiciel vulnérable et aperçu Vestcert est un programme de certification utilisé lors de l'accès aux sites Web, et est un module non actifxDéveloppé par la société coréenne, YETTIESOFT. & # 160; Ce programme est enregistré en tant que programme de démarrage et sera relancé par le service de Yettiesoft (Gozi) même s'il est résilié.Il reste constamment actif en tant que processus une fois qu'il est installé, il peut donc être exposé à des attaques de vulnérabilité. & # 160; Ainsi, il doit être mis à jour vers la dernière version.Description de la vulnérabilité Cette vulnérabilité était la première ... Vulnerable Software and Overview VestCert is a certification program used while accessing websites, and is a non-ActiveX module developed by the Korean company, Yettiesoft. This program is registered as a Startup Program and will be relaunched by Yettiesoft’s service (Gozi) even if it is terminated. It remains constantly active as a process once it is installed, so it can be exposed to vulnerability attacks. Thus, it needs to be updated to the latest version. Description of the Vulnerability This vulnerability was first...	Vulnerability General Information		★★
	2023-03-09 00:00:00	PlugX Malware Being Distributed via Vulnerability Exploitation (lien direct)	The ASEC (AhnLab Security Emergency response Center) has recently discovered the installation of the PlugX malware through the Chinese remote control programs Sunlogin and Awesun’s remote code execution vulnerability. Sunlogin’s remote code execution vulnerability (CNVD-2022-10270 / CNVD-2022-03672) is still being used for attacks even now ever since its exploit code was disclosed. The team previously made a post about how Sliver C2, XMRig CoinMiner, and Gh0st RAT were being distributed through the Sunlogin RCE vulnerability. Additionally, since Gh0st RAT was...	Malware Vulnerability		★★★
	2023-03-06 23:30:00	Lazarus Group Attack Case Using Vulnerability of Certificate Software Commonly Used by Public Institutions and Universities (lien direct)	Since two years ago (March 2021), the Lazarus group’s malware strains have been found in various Korean companies related to national defense, satellites, software, media press, etc. As such, ASEC (AhnLab Security Emergency Response Center) has been pursuing and analyzing the Lazarus threat group’s activities and related malware. The affected company in this case had been infiltrated by the Lazarus group in May 2022 and was re-infiltrated recently through the same software’s 0-Day vulnerability. During the infiltration in May 2022,...	Malware Vulnerability Threat Medical	APT 38	★★★
	2023-02-23 23:10:00	Magniber Ransomware\'s Relaunch Technique (lien direct)	ASEC (AhnLab Security Emergency Response Center) has been constantly monitoring the Magniber ransomware which has been displaying a high number of distribution cases. It has been distributed through the IE (Internet Explorer) vulnerability for the past few years, but stopped exploiting the vulnerability after the support for the browser ended. Recently, the ransomware is distributed as a Windows installer package file (.msi) in Edge and Chrome browsers. There have been recent reports of systems being reinfected by Magniber. Analysis revealed...	Ransomware Vulnerability		★★
	2023-02-23 00:00:00	Distribution of Malware Exploiting Vulnerable Innorix: Andariel (lien direct)	The ASEC (AhnLab Security Emergency response Center) analysis team has discovered the distribution of malware targeting users with vulnerable versions of Innorix Agent. The collected malware is a backdoor that attempts to connect to a C&C server. The exploited Innorix Agent is a file transfer solution client. Details about the vulnerability were posted by the Korea Internet & Security Agency (KISA)[1] where the INNORIX Agent versions that required the security updates were identified as version 9.2.18.450 and an earlier version,...	Malware Vulnerability		★★
	2023-02-21 01:00:00	HWP Malware Using the Steganography Technique: RedEyes (ScarCruft) (lien direct)	In January, the ASEC (AhnLab Security Emergency response Center) analysis team discovered that the RedEyes threat group (also known as APT37, ScarCruft) had been distributing malware by exploiting the HWP EPS (Encapsulated PostScript) vulnerability (CVE-2017-8291). This report will share the RedEyes group’s latest activity in Korea. 1. Overview The RedEyes group is known for targeting specific individuals and not corporations, stealing not only personal PC information but also the mobile phone data of their targets. A distinct characteristic of the...	Malware Vulnerability Threat Cloud	APT 37	★★★
	2023-02-15 00:00:00	Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation (lien direct)	The ASEC analysis team has recently discovered the distribution of Paradise ransomware. The threat actors are suspected to be utilizing a vulnerability exploitation of the Chinese remote control program AweSun. In the past, the team also found and covered the distribution of Sliver C2 and BYOVD through a Sunlogin vulnerability, a remote control program developed in China. 1. AweSun Vulnerability Exploitation The installation of Sliver C2 through the AweSun remote control program developed by AweRay was also discovered to have...	Ransomware Vulnerability Threat		★★
	2023-02-06 01:00:00	Sliver Malware With BYOVD Distributed Through Sunlogin Vulnerability Exploitations (lien direct)	Sliver is an open-source penetration testing tool developed in the Go programming language. Cobalt Strike and Metasploit are major examples of penetration testing tools used by many threat actors, and various attack cases involving these tools have been covered here on the ASEC blog. Recently, there have been cases of threat actors using Sliver in addition to Cobalt Strike and Metasploit. The ASEC (AhnLab Security Emergency response Center) analysis team is monitoring attacks against systems with either unpatched vulnerabilities or...	Malware Tool Vulnerability Threat		★★
	2022-12-15 06:04:55	Caution! Magniber Ransomware Restarts Its Propagation on December 9th With COVID-19 Related Filenames (lien direct)	On December 9th, 2022, the ASEC analysis team discovered that Magniber Ransomware is being distributed again. During the peak of the COVID-19 outbreak, Magniber was found being distributed with COVID-19 related filenames alongside the previous security update related filenames. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi Table 1. COVID-19 related filenames in circulation In the past, Magniber exploited Internet Explorer’s vulnerability to infect user PCs via Drive by Download which only required users to visit a web page. However, after Microsoft stopped supporting Internet Explorer, Magniber’s...	Ransomware Vulnerability		★★★
	2022-10-31 01:57:31	A Case of Malware Infection by the Lazarus Attack Group Disabling Anti-Malware Programs With the BYOVD Technique (lien direct)	In the ASEC blog post uploaded on April 2022 (New Malware of Lazarus Threat Actor Group Exploiting INITECH Process, https://asec.ahnlab.com/en/33801/), the team discussed the fact that the Lazarus attack group had been exploiting the INITECH process to infect systems with malware. This article aims to cover the details of the Lazarus group using the watering hole technique to hack into systems before exploiting the vulnerability of the MagicLine4NX product from Dream Security in order to additionally hack into systems in...	Malware Hack Vulnerability Threat Medical	APT 38
	2022-10-26 23:59:32	CoinMiner Being Installed on Vulnerable Apache Tomcat Web Server (lien direct)	The ASEC analysis team has recently identified attacks targeting vulnerable Apache Tomcat web server. The Tomcat server that has not been updated to the latest version is one of the major attack vectors that exploit vulnerabilities. In the past, the ASEC blog has also covered attacks targeting Apache Tomcat servers with the vulnerable JBoss version installed. The attackers used JexBoss, a vulnerability exploitation tool, to install a WebShell before gaining control over the target system with the Meterpreter malware. Ordinarily,...	Vulnerability
	2022-09-05 03:51:49	HWP File Disguised as Personal Profile Form (OLE Object) (lien direct)	The ASEC analysis team has recently identified a malicious HWP file that exploits OLE objects and flash vulnerabilities. The file uses a malicious URL identified in 2020. This URL contains a flash vulnerability (CVE-2018-15982) file, which requires users to take caution. The identified HWP file includes OLE objects, and the corresponding files are generated in the %TEMP% folder when the HWP file is opened. The created files are shown below. The HWP file does not directly use previously known files...	Vulnerability
	2022-07-25 05:21:11	Change in Magniber Ransomware (.msi → .cpl) – July 20th (lien direct)	Since February 2022, Magniber has been using a Windows installer package file (.msi) instead of IE browser vulnerability for its distribution. The ransomware includes a valid certificate and was distributed as DLL form inside the MSI file. However, starting from July 20th (Wednesday), it is now being distributed as a CPL file extension instead of MSI. As the cases of using an MSI file for distribution are decreasing, the attacker of Magniber likely has changed the method of distribution. (July...	Ransomware Vulnerability
	2022-07-20 23:41:12	Change in Injection Method of Magniber Ransomware (lien direct)	The ASEC analysis team is constantly monitoring Magniber, which has a higher number of distribution cases. It has been distributed through the IE (Internet Explorer) vulnerability for the past few years but stopped exploiting the vulnerability after the support for the browser ended. Recently, the ransomware is distributed as a Windows installer package file (.msi) on Edge and Chrome browsers. Magniber, which is being distributed as Windows installation package file (.msi), has hundreds of distribution logs reported every day (see...	Ransomware Vulnerability

Last update at: 2024-05-12 13:07:59
See our sources.

To see everything: Our RSS (filtrered)