What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2022-08-31 10:00:00 | Examiner les journaux unifiés macOS Reviewing macOS Unified Logs (lien direct) |
En commençant par MacOS 10.12 (Sierra), Apple a introduit un changement de clé dans la façon dont la journalisation a été effectuée sur leurs systèmes.Ce nouveau système de journalisation a remplacé les journaux UNIX communs par des journaux unifiés macOS.Ces journaux peuvent fournir aux enquêteurs de la crisence un artefact précieux pour aider à étudier les systèmes MacOS ou d'autres appareils Apple.
Dans cet article de blog, nous couvrirons un aperçu des journaux unifiés et des défis présentés pour les utiliser lors d'une enquête.Avec ce billet de blog, nous avons également publié un outil intitulé « macOS-UnifiedLogs " pour aider à surmonter certains des défis dans l'analyse des données de journal, et à
Beginning with macOS 10.12 (Sierra), Apple introduced a key change to how logging was done on their systems. This new logging system replaced common Unix logs with macOS Unified Logs. These logs can provide forensic investigators a valuable artifact to aid in investigating macOS systems or other Apple devices. In this blog post, we will cover an overview of the Unified Logs and the challenges presented in using them during an investigation. Along with this blog post, we also released a tool called “macos-unifiedlogs" to help overcome some of the challenges in parsing log data, and to |
Tool | ★★★ | |
|
2022-08-30 08:00:00 | Maintenant disponible: Connecteur de renseignement Mandiant Advantage Threat pour Microsoft Sentinel Now Available: Mandiant Advantage Threat Intelligence Connector for Microsoft Sentinel (lien direct) |
Protéger et défendre les réseaux contre les attaques de plus en plus persistantes est un sommet pour toutes les organisations.Poursuivant notre mission pour aider les équipes de sécurité à rester implacables dans la lutte contre les cyber-menaces, nous publions le Connecteur de renseignement Mandiant Advantage Threat pour Microsoft Sentinel .
"Les acteurs de la menace deviennent de plus en plus sophistiqués, et nous constatons une augmentation continue des cyberattaques comme jamais auparavant. Pour se protéger, les organisations ont besoin d'une meilleure visibilité dans leur environnement et une infrastructure à croissance rapide. Avec le mandiant et Microsoft Sentinel
Protecting and defending networks against increasingly persistent attacks is top of mind for all organizations. Continuing our mission to help security teams stay relentless in the fight against cyber threats, we are releasing the Mandiant Advantage Threat Intelligence Connector for Microsoft Sentinel. "Threat actors are becoming more sophisticated, and we are seeing a continuous rise in cyber-attacks like never before. To protect themselves, organizations need better visibility across their rapidly growing environment and infrastructure. With the Mandiant and Microsoft Sentinel |
Threat | ★★★ | |
|
2022-08-25 09:00:00 | Ghidrathon: Ghidra serpent avec des scripts Python 3 Ghidrathon: Snaking Ghidra with Python 3 Scripting (lien direct) |
ghidrathon est un ghidra Extension qui ajoute des capacités de script Python 3 qui s'intègrent étroitement à l'interface utilisateur.Aujourd'hui, Ghidra est expédié avec un système d'extension Python 2 basé sur Jython;Cependant, il n'y a pas un moyen facile d'exécuter Python 3. Avec Ghidrathon, vous pouvez utiliser Python moderne, comme la version 3.10, avec le système d'extension existant!Dans cet article, vous apprendrez ce que Ghidrathon offre, comment cela fonctionne et pourquoi vous devriez commencer à utiliser les scripts Python 3 dans Ghidra aujourd'hui.
Problème
ghidra est un framework d'ingénierie inverse du logiciel open-source ouverte développé et entretenu par le
Ghidrathon is a Ghidra extension that adds Python 3 scripting capabilities that tightly integrate with the user interface. Today, Ghidra ships with a Python 2 extension system based on Jython; however, there\'s not an easy way to run Python 3. With Ghidrathon, you can use modern Python, like version 3.10, with the existing extension system! In this post you will learn what Ghidrathon offers, how it works, and why you should start using Python 3 scripting in Ghidra today. Problem Ghidra is a popular, open-source software reverse engineering framework developed and maintained by the |
★★★ | ||
|
2022-08-18 09:00:00 | Vous ne pouvez pas m'auditer: APT29 continue de cibler Microsoft 365 You Can\\'t Audit Me: APT29 Continues Targeting Microsoft 365 (lien direct) |
apt29 est un groupe d'espionnage russe que Mandiant suit depuis au moins 2014 et est probablement Parrainé par le Foreign Intelligence Service (SVR).Mandiant continue d'identifier les opérations APT29 ciblant les intérêts des États-Unis et les pays des États-Unis et ceux des pays de l'OTAN et des pays partenaires.Malgré la publication de multiples opérations APT29, ils continuent d'être extrêmement prolifiques.En 2022, APT29 s'est concentré sur les organisations responsables de l'influence et de l'élaboration de la politique étrangère des pays de l'OTAN.Cela a inclus plusieurs cas où APT29 a revisité les victimes qu'ils avaient compromis des années
APT29 is a Russian espionage group that Mandiant has been tracking since at least 2014 and is likely sponsored by the Foreign Intelligence Service (SVR). Mandiant continues to identify APT29 operations targeting the United States\' (US) interests, and those of NATO and partner countries. Despite the publicization of multiple APT29 operations, they continue to be extremely prolific. In 2022, APT29 has focused on organizations responsible for influencing and crafting the foreign policy of NATO countries. This has included multiple instances where APT29 revisited victims they had compromised years |
APT 29 APT 29 | ★★★★ | |
|
2022-08-17 07:00:00 | UNC3890: acteur de menace iranienne présumée ciblant les secteurs israéliens des expéditions, des soins de santé, du gouvernement et de l'énergie UNC3890: Suspected Iranian Threat Actor Targeting Israeli Shipping, Healthcare, Government and Energy Sectors (lien direct) |
arrière-plan
Au cours de la dernière année, Mandiant a suivi UNC3890, un groupe d'activités ciblant la navigation israélienne, le gouvernement, l'énergie et les organisations de soins de santé via des leurres d'ingénierie sociale et un trou d'arrosage potentiel. mandiant évalue avec une confiance modérée, cet acteur est lié à l'Iran, ce qui est notable étant donné l'accent mis sur l'expédition et le conflit naval en cours entre l'Iran et Israël. Bien que nous pensons que cet acteur se concentre sur la collecte de renseignements, les données collectées peuvent être exploitées pour prendre en charge diverses activités, du piratage et de la fuite, à l'activation des attaques de guerre cinétique
Background Over the last year Mandiant has been tracking UNC3890, a cluster of activity targeting Israeli shipping, government, energy and healthcare organizations via social engineering lures and a potential watering hole. Mandiant assesses with moderate confidence this actor is linked to Iran, which is notable given the strong focus on shipping and the ongoing naval conflict between Iran and Israel. While we believe this actor is focused on intelligence collection, the collected data may be leveraged to support various activities, from hack-and-leak, to enabling kinetic warfare attacks |
Threat | ★★★ | |
|
2022-08-10 07:00:00 | (Déjà vu) capa v4: couler un .net plus large capa v4: casting a wider .NET (lien direct) |
Nous sommes ravis d'annoncer la version 4.0 de CAPA avec la prise en charge de l'analyse des exécutables .NET.Cet outil open source identifie automatiquement les capacités des programmes à l'aide d'un ensemble de règles extensible.L'outil prend en charge à la fois le triage de logiciels malveillants et l'ingénierie inverse de plongée profonde.Si vous n'avez pas entendu parler de CAPA auparavant ou si vous avez besoin d'un rafraîchissement, consultez notre Premier article de blog .Vous pouvez télécharger des binaires autonomes CAPA V4.0 à partir des Project \ Project \\ 's Page de libération Et vérifiez le code source sur github .
CAPA 4.0 ajoute de nouvelles fonctionnalités majeures qui étendent sa capacité à analyser et à raisonner sur les programmes.Ce billet de blog couvre
We are excited to announce version 4.0 of capa with support for analyzing .NET executables. This open-source tool automatically identifies capabilities in programs using an extensible rule set. The tool supports both malware triage and deep dive reverse engineering. If you have not heard of capa before, or need a refresher, check out our first blog post. You can download capa v4.0 standalone binaries from the project\'s release page and checkout the source code on GitHub. capa 4.0 adds major new features that extends its ability to analyze and reason about programs. This blog post covers |
Malware Tool | ★★★★ | |
|
2022-08-04 09:00:00 | Roadsweep Ransomware - Un acteur de menace iranienne probable mène une activité perturbatrice à motivation politique contre les organisations gouvernementales albanaises ROADSWEEP Ransomware - Likely Iranian Threat Actor Conducts Politically Motivated Disruptive Activity Against Albanian Government Organizations (lien direct) |
résumé exécutif
Mandiant a identifié la famille des ransomwares routiers et un personnage télégramme qui a ciblé le gouvernement albanais dans une opération perturbatrice politiquement motivée avant une conférence de l'organisation d'opposition iranienne à la fin de juillet 2022.
Une chimneysweep de porte dérobée auparavant inconnue et une nouvelle variante de l'essuie-glace Zeroclear peuvent également avoir été impliquées.
Les données de distribution de logiciels malveillants Chimneysweep et le contenu de leurre, le timing de l'opération \\ et le contenu à thème politiquement, et l'implication possible de l'essuie-glace zérocléaire indique qu'un acteur de menace iranien est probablement responsable.
Executive Summary Mandiant identified the ROADSWEEP ransomware family and a Telegram persona which targeted the Albanian government in a politically motivated disruptive operation ahead of an Iranian opposition organization\'s conference in late July 2022. A previously unknown backdoor CHIMNEYSWEEP and a new variant of the ZEROCLEAR wiper may also have been involved. CHIMNEYSWEEP malware distribution data and decoy content, the operation\'s timing and politically themed content, and the possible involvement of the ZEROCLEAR wiper indicate an Iranian threat actor is likely responsible. |
Ransomware Malware Threat Conference | ★★★ | |
|
2022-08-04 05:00:00 | Pro-PRC «Haienergy» Information Operations Campagne La campagne tire de l'infrastructure de la société de relations publiques pour diffuser du contenu sur les sites d'information inauthentiques Pro-PRC “HaiEnergy” Information Operations Campaign Leverages Infrastructure from Public Relations Firm to Disseminate Content on Inauthentic News Sites (lien direct) |
mandiant a identifié une campagne en cours d'information (IO) en tirant parti d'un réseau d'au moins 72 sites d'information inauthentiques présumés et d'un certain nombre d'actifs suspects de médias sociaux inauthentiques pour diffuser stratégiquement le contenu stratégiquementaligné sur les intérêts politiques de la République de Chine du peuple (PRC).Les sites se présentent principalement comme des médias indépendants de différentes régions du monde et publient du contenu en 11 langues (voir l'annexe).Sur la base des indicateurs techniques que nous détaillons dans ce blog, nous pensons que ces sites sont liés à Shanghai Haixun Technology Co., Ltd
Mandiant has identified an ongoing information operations (IO) campaign leveraging a network of at least 72 suspected inauthentic news sites and a number of suspected inauthentic social media assets to disseminate content strategically aligned with the political interests of the People\'s Republic of China (PRC). The sites present themselves primarily as independent news outlets from different regions across the world and publish content in 11 languages (see Appendix). Based on technical indicators we detail in this blog, we believe these sites are linked to Shanghai Haixun Technology Co., Ltd |
★★★ | ||
|
2022-07-26 06:00:00 | L'équipe rouge mandiante émule les tactiques FIN11 pour contrôler les serveurs de technologie opérationnelle Mandiant Red Team Emulates FIN11 Tactics To Control Operational Technology Servers (lien direct) |
Au cours des deux dernières années, les incidents de ransomwares ont eu un impact sur des milliers d'organisations d'infrastructure industrielles et critiques.Dans certains cas, Mandiant a observé comment ces intrusions perturbent les chaînes de production industrielles et les flux de travail opérationnels comme méthode pour inciter le paiement des rançons.Bien que dans la plupart des cas, les victimes aient subi des dommages-intérêts exclusivement limités aux systèmes d'entreprise, cela ne signifie pas que les systèmes de technologie opérationnelle (OT) ne sont pas à risque.
La nature de la technologie OT et les défis de la défense signifie que de nombreux réseaux OT ont Sécurité Gaps que
During the last couple of years, ransomware incidents have impacted thousands of industrial and critical infrastructure organizations. In some cases, Mandiant has observed how these intrusions disrupt industrial production chains and operational workflows as a method to incentivize the payment of ransoms. Although in most cases victims have suffered damages exclusively restricted to enterprise systems, this does not mean that operational technology (OT) systems are not at risk. The nature of OT technology and the challenges of defending it means that many OT networks have security gaps that |
Ransomware Industrial | ★★★ | |
|
2022-07-20 06:00:00 | Évacuation et documents humanitaires utilisés pour lasser des entités ukrainiennes de Phish Evacuation and Humanitarian Documents used to Spear Phish Ukrainian Entities (lien direct) |
avant-propos
mandiant publie le blog suivant pour fournir des informations et un contexte sur un échantillon d'activités malveillantes ciblant les entités ukrainiennes pendant la guerre en cours.Nous mettons en évidence UNC1151 et soupçonnés d'opérations UNC2589 tirant parti du phishing avec des documents malveillants conduisant à des chaînes d'infection malveillante.Indicateurs utilisés dans ces opérations ont été publiés par les États-Unis CyberCommand .
UA CERT a également publié sur plusieurs de ces opérations.Des liens vers des rapports UA CERT peuvent être trouvés dans ce blog.
Détail de menace
Depuis le début de l'invasion russe, public et privé
Foreword Mandiant is publishing the following blog to provide insight and context on a sampling of malicious activity targeting Ukrainian entities during the ongoing war. We are highlighting UNC1151 and suspected UNC2589 operations leveraging phishing with malicious documents leading to malware infection chains. Indicators used in these operations have been released by U.S. CYBERCOMMAND. UA CERT has also published on several of these operations. Links to UA CERT reports can be found throughout this blog. Threat Detail Since the start of the Russian invasion, public and private |
Malware | ★★★ | |
|
2022-07-18 09:00:00 | Prévenir et résoudre les expositions à des actifs externes Preventing and Remediating External Asset Exposures (lien direct) |
dans le récent L'article de cyber-instantanée du défenseur \\ du Defender, détectant les chemins d'exploitation communs exposés sur Internet , des chemins d'entrée communes identifiés mandiants exposés sur Internet.Nous avons récemment hébergé un webinaire pour discuter de ces expositions externes d'actifs, pourquoi ils sont communs, et les équipes de sécurité peuvent prendre pour remédier et durcir contre les expositions.Ce blog fournit un résumé des recommandations de Mandiant \\ pour durcir les actifs externes. regardez le webinaire à la demande pour des informations plus détaillées etPour entendre les réponses aux questions en direct.
 Figure 1: les cinq principaux numéros observés par la gestion de la surface d'attaque de Mandiant Advantage (1er janvier 2022 au 31 mars 2022). Identification de l'actif externe
In the recent The Defender\'s Advantage Cyber Snapshot article, Detecting Common Exploitation Paths Exposed on the Internet, Mandiant identified common entry paths exposed on the internet. We recently hosted a webinar to discuss these external asset exposures, why they\'re common, and the steps security teams can take to remediate and harden against the exposures. This blog provides a summary of Mandiant\'s recommendations for hardening external assets. Watch the on-demand webinar for more detailed information and to hear the answers to live questions.  Figure 1: Top five issues observed by Mandiant Advantage Attack Surface Management (January 1, 2022, to March 31, 2022).External Asset Identification |
★★★ | ||
|
2022-07-14 06:00:00 | Abuser des erreurs de configuration de l'authentification duo dans les environnements Windows et Active Directory Abusing Duo Authentication Misconfigurations in Windows and Active Directory Environments (lien direct) |
L'authentification Duo s'intègre à Microsoft Windows et Active Directory (AD) pour prendre en charge l'authentification multi-facteurs (MFA) pour les bourses à distance et les connexions locales.Cela aide à sécuriser les postes de travail contre les informations d'identification compromises en obligeant les utilisateurs à répondre aux exigences de la MFA afin de se connecter aux ordinateurs.Les paramètres de configuration côté client aident à prendre en charge une large gamme de cas d'utilisation et peuvent être configurés pour un accès hors ligne en cas de problèmes de connectivité API Internet ou DUO.Les configurations du côté client, les paramètres de service et les déploiements d'agent peuvent être configurés manuellement sur les points de terminaison
Duo Authentication integrates with Microsoft Windows and Active Directory (AD) to support multi-factor authentication (MFA) for both remote desktop and local logons. This helps secure workstations against compromised credentials by requiring users to fulfil MFA requirements in order to logon to computers. Client-side configuration settings help support a wide range of use-cases and can be configured for offline access in the event of Internet or Duo API connectivity issues. Duo client-side configurations, service settings, and agent deployments can be configured either manually on endpoints |
★★★ | ||
|
2022-07-06 06:00:00 | Obtenez vos coups de pied sur la route Soixante-Sink: Identifier les vulnérabilités à l'aide d'une analyse statique automatisée Get Your Kicks on Route Sixty-Sink: Identifying Vulnerabilities Using Automated Static Analysis (lien direct) |
 Introduction
Aujourd'hui, nous publions route Soixante-Sink , un outil open-source qui permet aux défenseurs et aux chercheurs en sécurité d'identifier rapidement les vulnérabilités dans n'importe quel assemblage .NET en utilisant automatiséAnalyse source à casque. Route Soixty-Sink a déjà été utilisé pour trouver et exploiter des dizaines de problèmes de sécurité critiques, dont un exemple sera discuté dans cet article de blog.
Contexte: analyse source à casque
L'identification des vulnérabilités dans les binaires d'application ou le code source est souvent un processus long et fastidieux.Pour aider à cela, une analyse source-sink est utilisée - une forme de données
 Introduction
Today, we are releasing Route Sixty-Sink, an open-source tool that enables defenders and security researchers alike to quickly identify vulnerabilities in any .NET assembly using automated source-to-sink analysis. Route Sixty-Sink has already been used to find and exploit dozens of critical security issues, an example of which will be discussed in this blog post.
Background: Source-to-Sink Analysis
Identifying vulnerabilities within application binaries or source code is often a long and tedious process. To help with this, source-to-sink analysis is used-a form of data |
Tool Vulnerability | ★★★ | |
|
2022-07-05 10:00:00 | Fuzzing Image Paring in Windows, partie quatrième: Plus de heif Fuzzing Image Parsing in Windows, Part Four: More HEIF (lien direct) |
poursuivant notre discussion sur les vulnérabilités d'analyse d'image dans le Windows heif codec , nous jetons un coup d'œil à l'analyse d'un nouvel crash, à la reconstruction des symboles de la fonction et à l'analyse des causes profondes de la vulnérabilité, CVE-2022-24457.Cette vulnérabilité est présente sur une installation par défaut de Windows 10 et 11 et ne nécessite que la navigation à un dossier contenant le fichier image malveillant pour déclencher la vulnérabilité.La vulnérabilité est déclenchée lorsque Windows tente de générer automatiquement une vignette pour l'image.Toutes les vulnérabilités ont été corrigées par Microsoft après la divulgation par Mandiant
Continuing our discussion of image parsing vulnerabilities in the Windows HEIF codec, we take a look at analyzing a new crash, reconstructing function symbols, and the root cause analysis of the vulnerability, CVE-2022-24457. This vulnerability is present on a default install of Windows 10 and 11 and only requires browsing to a folder containing the malicious image file to trigger the vulnerability. The vulnerability is triggered when Windows attempts to automatically generate a thumbnail for the image. All vulnerabilities have been remediated by Microsoft following the disclosure by Mandiant |
Vulnerability | ★★★ | |
|
2022-06-29 08:30:00 | Fouler votre chemin dans les VPN, les procurations et les tunnels Burrowing your way into VPNs, Proxies, and Tunnels (lien direct) |
Pourquoi sommes-nous ici?
Lorsque l'on considère un cycle de vie d'attaque dans une perspective contradictoire, l'adversaire a quelques options sur la façon de procéder à chaque étape.L'une des questions auxquelles il faut répondre est de savoir si l'adversaire utilisera des logiciels malveillants connus (c'est-à-dire Beacon ), MALWARE MALWOWIQUE INFORMATIQUE CUSTOLUS-D7B72CF6-C413-59E1-9BB2-E06C861BDED4 "Rel =" NOREFERRER NoOpenner "Target =" _ Blank "> hammertoss ), ou logiciel et services légitimes (c'est-à-dire Network privé virtuel doux ) qui fournissent les fonctionnalités nécessaires pour terminer ladite étape.
Chaque option a des avantages et des inconvénients: les logiciels malveillants connus peuvent être extrêmement bon marché, mais peuvent également être faciles à détecter car il
Why Are We Here? When considering an attack lifecycle from an adversarial perspective, the adversary has a few options on how to proceed at each step. One of questions that needs to be answered is whether the adversary will use publicly known malware (i.e. BEACON), custom built-from-the-ground-up malware (i.e. HAMMERTOSS), or legitimate software and services (i.e. SoftEther Virtual Private Network) that provide the necessary functionality to complete said step. Each option has upsides and downsides: Publicly known malware can be extremely cheap but also can be easy to detect since it |
Malware | ★★★ | |
|
2022-06-28 06:00:00 | Pro-PRC Dragonbridge Influence Campion Campagne cible les sociétés minières de terres rares pour tenter de contrecarrer la rivalité à la domination du marché des RPR Pro-PRC DRAGONBRIDGE Influence Campaign Targets Rare Earths Mining Companies in Attempt to Thwart Rivalry to PRC Market Dominance (lien direct) |
Présentation
Depuis juin 2019, Mandiant a signalé aux clients sur une campagne d'influence connue sous le nom deDragonbridge, comprenant un réseau de milliers de comptes inauthentiques sur de nombreuses plateformes de médias sociaux, sites Web et forums qui ont promu divers récits à l'appui des intérêts politiques de la République de Chine du peuple (PRC).Nous avons depuis observé plusieurs changements dans les tactiques de dragonbridge, et en septembre 2021, nous Rapporté sur une expansion de cette campagne \\ de l'activité .
Récemment, nous avons identifié et étudié un sous-ensemble d'activité d'opérations d'information que nous attribuons au
Overview Since June 2019, Mandiant has reported to customers on an influence campaign known as DRAGONBRIDGE, comprising a network of thousands of inauthentic accounts across numerous social media platforms, websites, and forums that have promoted various narratives in support of the political interests of the People\'s Republic of China (PRC). We have since observed multiple shifts in DRAGONBRIDGE tactics, and in September 2021, we reported on an expansion of this campaign\'s activity. Recently, we identified and investigated a subset of information operations activity we attribute to the |
★★★ | ||
|
2022-06-24 06:00:00 | La gestion de la surface d'attaque identifie les problèmes critiques Attack Surface Management Identifies Critical Issues (lien direct) |
Ressources cloud, actifs non gérés, référentiels de code - tous les actifs orientés Internet ont le potentiel d'être exploités s'il existe une vulnérabilité, une erreur de configuration ou une exposition non émit.Dans le récent l'article de cyberChemins d'exploitation exposés sur Internet , l'équipe Mandiant a utilisé Attaquez la gestion de la surface Pour identifier 21 000+ problèmes de gravité critique et élevée entre les clients \\ 'actifs externes de janvier à mars 2022. Des référentiels de contrôle de version exposés aux vulnérabilités du serveur d'échange Microsoft, l'équipe a détecté l'exploitation
Cloud resources, unmanaged assets, code repositories - all internet-facing assets have the potential to be exploited if there is an unmitigated vulnerability, misconfiguration, or exposure. In the recent The Defender\'s Advantage Cyber Snapshot article, Detecting Common Exploitation Paths Exposed on the Internet, the Mandiant team used Attack Surface Management to identify 21,000+ critical and high severity issues across customers\' external assets from January to March 2022. From exposed version control repositories to Microsoft Exchange Server vulnerabilities, the team detected exploitation |
★★★ | ||
|
2022-06-21 06:00:00 | Version 2.0 FLOSS Version 2.0 (lien direct) |
Le solveur de chaîne par évasion (Floss) a soutenu les analystes pour extraire des chaînes cachées des échantillons de logiciels malveillants depuis de nombreuses années maintenant.Au cours des derniers mois, nous avons ajouté de nouvelles fonctionnalités et amélioré les performances de l'outil.Dans cet article de blog, nous partagerons de nouvelles fonctionnalités et améliorations passionnantes, notamment une nouvelle technique de déobfuscation de chaîne, une utilisation simplifiée des outils et une sortie de résultats beaucoup plus rapide.Nous avons également mis à jour le logo de soie dentaire:
 Rappel: les chaînes d'extraits de fil de malware
analyse du fil des programmes compilés, identifie les fonctions qui peuvent décoder les données et désobfumate automatiquement
The FLARE Obfuscated String Solver (FLOSS) has been supporting analysts to extract hidden strings from malware samples for many years now. Over the last few months, we\'ve added new functionality and improved the tool\'s performance. In this blog post we will share exciting new features and improvements including a new string deobfuscation technique, simplified tool usage, and much faster result output. We\'ve also updated the FLOSS logo:  Reminder: FLOSS extracts strings from malware
FLOSS analyzes compiled programs, identifies functions that may decode data, and automatically deobfuscates |
Malware Tool | ★★★ | |
|
2022-06-14 09:00:00 | Amélioration de la surveillance des menaces numériques avec l'apprentissage automatique Enhancing Digital Threat Monitoring with Machine Learning (lien direct) |
Les défenses de cybersécurité traditionnelles sont conçues pour protéger les actifs qui existent au sein d'un réseau d'organisation.Mais ces actifs s'étendent souvent au-delà des périmètres de réseau, augmentant le risque d'exposition, de vol et de perte financière d'une entreprise.Dans le cadre de la Protection de risque numérique mandiantSolution , mandiant avantage Digital Menkey Monitoring (DTM) collectionne et analyse automatiquement le contenu streamiéà partir de sources en ligne externes et alerte par la suite les défenseurs chaque fois qu'une menace potentielle est détectée.Cette capacité permet aux organisations d'exposer les menaces tôt et d'identifier plus efficacement
Traditional cyber security defenses are designed to protect assets that exist within an organization\'s network. But those assets often extend beyond network perimeters, increasing a company\'s risk of exposure, theft, and financial loss. As part of the Mandiant digital risk protection solution, Mandiant Advantage Digital Threat Monitoring (DTM) automatically collects and analyzes content streamed from external online sources, and subsequently alerts defenders whenever a potential threat is detected. This capability allows organizations to expose threats early, and more effectively identify |
Threat | ★★★ | |
|
2022-06-07 07:00:00 | Mieux ensemble: introduire le programme mandiant cyber alliance Better Together: Introducing the Mandiant Cyber Alliance Program (lien direct) |
La mission mandiante est d'aider à rendre chaque organisation plus sûre des menaces et confiante dans leur cyber-préparation.Nous pensons que ce résultat résulte de la bonne combinaison d'expertise, d'intelligence et de technologie adaptative.Ceci est incarné dans notre approche de l'autonomisation des clients et des partenaires stratégiques avec nos technologies XDR de pointe à travers des produits et services intégrés.
Dans le paysage des menaces en constante évolution en constante évolution, nous savons qu'une seule entreprise ne peut exceller que tant de choses.Le partenariat avec les organisations de sécurité partageant les mêmes idées aide à combler les lacunes du portefeuille de produits, livrer plus
The Mandiant mission is to help make every organization more secure from threats and confident in their cyber readiness. We believe this outcome results from the right combination of expertise, intelligence, and adaptive technology. This is embodied in our approach to empowering customers and strategic partners with our cutting-edge XDR technologies across integrated products and services. In today\'s constantly evolving threat landscape, we know a single company can only excel at so much. Partnering with like-minded security organizations helps fill product portfolio gaps, deliver more |
Threat | ★★ | |
|
2022-06-06 09:00:00 | L'instantané du défenseur inaugural du défenseur The Inaugural Defender\\'s Advantage Cyber Snapshot (lien direct) |
La conférence RSA 2022 est enfin là!Les experts de Mandiant sont prêts à se joindre aux différentes conversations de cybersécurité qui auront lieu pendant l'événement, de tout ce qui, du plancher du vendeur, au stade d'ouverture.
Nous avons tellement de choses à partager sur ce que nous voyons de notre point de vue sur les fronts des dernières cyberattaques, et plusieurs de ces idées sont partagées dans notre rapport spécial, le cyberInstantané.
Le rapport de style magazine est disponible dès maintenant et contient des articles sur de nombreux sujets importants que nous traitons aujourd'hui, notamment:
commun
RSA Conference 2022 is finally here! The experts at Mandiant are ready to join in on the various cyber security conversations that will be taking place during the event-everywhere from the vendor floor to the keynote stage. We have so much to share about what we\'re seeing from our view on the frontlines of the latest cyber attacks, and several of those insights are being shared in our special report, The Defender\'s Advantage Cyber Snapshot. The magazine-style report is available now and contains articles on many important topics that we deal with today, including: Common |
Conference | ★★★ | |
|
2022-06-06 07:00:00 | Protéger les chaînes d'approvisionnement et les connexions de fournisseurs tiers Protecting supply chains and third-party vendor connections (lien direct) |
Protéger vos actifs numériques et votre marque est difficile en soi, mais lorsque vous comptez sur des chaînes d'approvisionnement, partagez des informations propriétaires avec les fournisseurs et les filiales ou si vous êtes impliqué dans une transaction de fusion ou d'acquisition, la complexité augmente de façon exponentielle.La difficulté se pose lorsque les utilisateurs que vous ne connaissez pas, et que les systèmes que vous ne possédez pas ou que vous n'avez pas de contrôle complet, ont maintenant accès à votre réseau et vice versa.Les contrats de fournisseurs peuvent être établis pour inclure les exigences pour certaines technologies et les mises à jour dans une fenêtre de jeu, mais l'exécution est souvent hors de vos mains.
pour aborder ces scénarios
Protecting your digital assets and brand is difficult in itself, but when you rely on supply chains, share proprietary information with vendors and subsidiaries or are involved with a merger or acquisition transaction, the complexity increases exponentially. The difficulty arises when users you don\'t know, and systems you don\'t own or have complete control over, now have access to your network and vice versa. Vendor contracts may be drawn up to include requirements for certain technology and updates within a set window, but execution is often out of your hands. To address these scenarios |
★★★ | ||
|
2022-06-02 11:00:00 | Tendance Evil: Spotlight on Mandiant MDR Prevention of Destructive Campaies Againt Ukrainian Entities Trending Evil: Spotlight on Mandiant MDR Prevention of Destructive Campaigns Against Ukrainian Entities (lien direct) |
disponible aujourd'hui est la dernière édition de mal de tendance, Notre rapport trimestriel qui décompose leMenaces les plus récentes observées par Manialiant Managed Defense .
Dans cette édition, nous fournissons un aperçu de notre défense des entités ukrainiennes après avoir initié des mesures de protection supplémentaires pour les clients, observationsd'APT41, et une ventilation des attaques Web:
perturber les attaques russes : en prévision de la poursuiteLes cyberattaques russes à l'appui de son invasion de l'Ukraine ont géré la défense améliorée des services de surveillance et de menace pour les clients à partir de février 2022 . Cela a conduit au
Available today is the latest edition of Trending Evil, our quarterly report that breaks down the most recent threats observed by Mandiant Managed Defense. In this edition we provide an inside look at our defense of Ukrainian entities after initiating additional protective measures for customers, observations of APT41, and a breakdown of web attacks: Disrupting Russian Attacks: In anticipation of continued Russian cyber attacks in support of its invasion of Ukraine, Managed Defense enhanced monitoring and threat hunting services for customers beginning in February 2022. This led to the |
Threat | APT 41 | ★★★ |
|
2022-06-02 07:00:00 | Stockage et disponibilité NFT: un risque à considérer NFT Storage and Availability: A Risk Worth Considering (lien direct) |
Introduction
En 2021, nous avons assisté aux niveaux explosifs d'intérêt et à des gains financiers en jetons non bubilistes (NFT), qui sont des actifs d'art numérique (c'est-à-dire des images, des GIF et de la musique)dont la propriété peut être prouvée et référencée via un ID de transaction sur une blockchain immuable .Les NFT existent depuis Au moins 2014 , lorsque Kevin McCoy Créé (créé) le tout premier jeton d'art numérique, "Quantum", qui s'est vendu pour 1 472 000 USD dans A Sotheby\'s Auction Mid-2021 (figure 1).Selon un récent article publié par nasdaq , le marché mondial NFT est actuellement une marque de 370 milliards de dollars & timide; et, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avec, avecle
Introduction In 2021, we witnessed explosive levels of interest and financial gains in Non-Fungible Tokens (NFTs), which are digital art assets (i.e. images, gifs, and music) whose ownership can be proved and referenced via a transaction ID on an immutable blockchain. NFTs have existed since at least 2014, when Kevin McCoy created (minted) the very first digital artwork token, “Quantum,” which sold for $1,472,000 USD in a Sotheby\'s auction mid-2021 (Figure 1). According to a recent article published by Nasdaq, the global NFT market is currently a $370 billion dollar market, with the |
★★★ | ||
|
2022-06-02 06:00:00 | À Hadès et dos: UNC2165 passe à Lockbit pour échapper aux sanctions To HADES and Back: UNC2165 Shifts to LOCKBIT to Evade Sanctions (lien direct) |
Le Contrôle du Bureau des actifs étrangers (OFAC) du Département des États-Unis (OFAC) | Ransomware Malware | ★★★★ | |
|
2022-05-23 11:30:00 | Présentation du cadre des compétences de l'analyste de l'intelligence de la cyber-menace mandiante (CTI) Introducing the Mandiant Cyber Threat Intelligence (CTI) Analyst Core Competencies Framework (lien direct) |
Les consultants en renseignement mandiant sont régulièrement demandés aux clients quelle est la composition optimale de l'équipe lors du démarrage et de la mûrissement d'un Cyber Threat Intelligence (CTI) Programme.Bien que la question puisse sembler simple, la réponse est complexe et nécessite souvent plusieurs couches de déballage.Par exemple, la composition d'équipe appropriée à travers les connaissances, les compétences et les capacités (KSAS) devrait s'aligner sur la mission, la vision et les objectifs actuels du programme CTI \\ et où il se voit évoluer à court terme.Une fois déterminés, les indicateurs de performance clés (KPI) et les mesures centrées sur CTI peuvent prendre en charge
Mandiant Intelligence consultants are regularly asked by customers what the optimal team composition is when starting and maturing a cyber threat intelligence (CTI) program. While the question may seem straightforward, the answer is complex and often requires several layers of unpacking. For instance, the proper team composition across knowledge, skills, and abilities (KSAs) should align with the CTI program\'s current mission, vision, and goals and where it sees itself evolving in the near-to-mid-term. Once determined, key performance indicators (KPIs) and CTI-centric metrics can support |
Threat | ★★★ | |
|
2022-05-19 09:00:00 | L'offensive IO: opérations d'information entourant l'invasion russe de l'Ukraine The IO Offensive: Information Operations Surrounding the Russian Invasion of Ukraine (lien direct) |
La phase récente de l'agression russe envers l'Ukraine, manifestée par l'invasion à grande échelle de la Russie, a inondé l'environnement d'information avec une désinformationpromu par un spectre complet d'acteurs.Les opérations d'information concertée se sont proliférées, allant des opérations d'information cyberlativées, y compris celles qui coïncidaient avec l'activité de cyberligne perturbatrice et destructrice, pour tirer parti des réseaux de comptables coordonnés et inauthentiques pour promouvoir le contenu fabriqué et les récits souhaités sur diverses plateformes de médias sociaux, sites Web, pour la promotion du contenu fabriqué et des récits souhaités sur diverses plateformes de médias sociaux, sites Web, pour la fabrication du contenu fabriqué et des récits souhaités sur diverses plates-formes de médias sociaux, sites Web, pour la fabrication de contenu fabriqué et de récits souhaités sur diverses plateformes de médias sociaux, sites Web,,et forums.
tandis que l'étendue complète
The recent phase of Russian aggression toward Ukraine, manifested by Russia\'s full-scale invasion, has flooded the information environment with disinformation promoted by a full spectrum of actors. Concerted information operations have proliferated, ranging from cyber-enabled information operations, including those that coincided with disruptive and destructive cyber threat activity, to campaigns leveraging coordinated and inauthentic networks of accounts to promote fabricated content and desired narratives across various social media platforms, websites, and forums. While the full extent |
Threat | ★★★ | |
|
2022-05-06 10:30:00 | Exploitez les programmes de subventions de cybersécurité de l'État et locaux pour renforcer votre posture de sécurité Tap Into State and Local Cyber Security Grant Programs to Strengthen Your Security Posture (lien direct) |
Comme beaucoup le savent, le 21 mars 2022, l'administration Biden a publié une déclaration Avertissement des cyberattaques potentielles contre les organisations américaines à mesure que les tensions augmentententre la Russie et le reste du monde.L'Ukraine connaît | ★★ | ||
|
2022-05-04 09:00:00 | Anciennes services, nouvelles astuces: abus de métadonnées du cloud par UNC2903 Old Services, New Tricks: Cloud Metadata Abuse by UNC2903 (lien direct) |
Depuis juillet 2021, Mandiant a identifié l'exploitation des applications Web accessibles au public par UNC2903 pour récolter et abuser des informations d'identification à l'aide du service d'instance d'Amazon \\ (IMD).Mandiant Tracked Access Tumps by UNC2903 pour accéder à des seaux S3 et des ressources cloud supplémentaires à l'aide des informations d'identification volées.Cet article de blog couvre comment UNC2903 a effectué l'exploitation et les abus IMD, ainsi que les meilleures pratiques connexes sur les techniques de durcissement du cloud.
Bien que les environnements de services Web Amazon Web ciblés UNC2903 (AWS), de nombreuses autres plates-formes cloud proposent des services de métadonnées similaires qui pourraient être à risque de
Since July 2021, Mandiant identified exploitation of public-facing web applications by UNC2903 to harvest and abuse credentials using Amazon\'s Instance Metadata Service (IMDS). Mandiant tracked access attempts by UNC2903 to access S3 buckets and additional cloud resources using the stolen credentials. This blog post covers how UNC2903 performed exploitation and IMDS abuse, as well as related best practices on cloud hardening techniques. Although UNC2903 targeted Amazon Web Services (AWS) environments, many other cloud platforms offer similar metadata services that could be at risk of |
Cloud | ★★★ | |
|
2022-05-02 09:30:00 | UNC3524: Eye Spy sur votre e-mail UNC3524: Eye Spy on Your Email (lien direct) |
Mise à jour (novembre 2022): Nous avons fusionné UNC3524 avec APT29. L'activité UNC3524 décrite dans ce post est désormais attribuée à APT29.
Depuis décembre 2019, Mandiant a observé que les acteurs avancés des menaces augmentent leur investissement dans des outils pour faciliter la collecte de courriels en vrac dans les environnements de victime, en particulier en ce qui concerne leur soutien aux objectifs d'espionnage présumés.Les e-mails et leurs pièces jointes offrent une riche source d'informations sur une organisation, stockée dans un emplacement centralisé pour les acteurs de menace à collecter.La plupart des systèmes de messagerie, qu'ils soient sur site ou dans le cloud, offrent
UPDATE (November 2022): We have merged UNC3524 with APT29. The UNC3524 activity described in this post is now attributed to APT29. Since December 2019, Mandiant has observed advanced threat actors increase their investment in tools to facilitate bulk email collection from victim environments, especially as it relates to their support of suspected espionage objectives. Email messages and their attachments offer a rich source of information about an organization, stored in a centralized location for threat actors to collect. Most email systems, whether on-premises or in the cloud, offer |
Tool Threat | APT 29 | ★★ |
|
2022-04-28 12:00:00 | Trello de l'autre côté: suivi des campagnes de phishing APT29 Trello From the Other Side: Tracking APT29 Phishing Campaigns (lien direct) |
Depuis le début de 2021, Mandiant suit les vastes campagnes de phishing APT29 ciblant les organisations diplomatiques en Europe, les Amériques et l'Asie.Ce billet de blog traite de nos récentes observations liées à l'identification de deux nouvelles familles de logiciels malveillants en 2022, Beatdrop et Boommic, ainsi que les efforts d'APT29 \\ pour échapper à la détection par réorganisation et abus du service Trello d'Atlassian \\.
apt29 est un groupe d'espionnage russe que Mandiant suit depuis au moins 2014 et est probablement Parrainé par le Foreign Intelligence Service (SVR).Le ciblage diplomatique centré sur ce récent
Since early 2021, Mandiant has been tracking extensive APT29 phishing campaigns targeting diplomatic organizations in Europe, the Americas, and Asia. This blog post discusses our recent observations related to the identification of two new malware families in 2022, BEATDROP and BOOMMIC, as well as APT29\'s efforts to evade detection through retooling and abuse of Atlassian\'s Trello service. APT29 is a Russian espionage group that Mandiant has been tracking since at least 2014 and is likely sponsored by the Foreign Intelligence Service (SVR). The diplomatic-centric targeting of this recent |
Malware | APT 29 APT 29 | ★★★★ |
|
2022-04-28 09:00:00 | À quoi s'attendre lorsque vous vous attendez à une cyberattaque What to Expect When You\\'re Expecting a Cyber Attack (lien direct) |
Si vous êtes un «trekkie», vous savez que les «boucliers» se réfèrent à la technologie avancée pour protéger les vaisseaux, les stations spatiales et les planètes entières contre les attaques des méchants.La communauté de la sécurité a adopté - merci à l'Agence de sécurité de la cybersécurité et des infrastructures (CISA) - l'adage «secoue» pendant cette période critique pour préparer des cyberattaques potentielles à des infrastructures critiques ici aux États-Unis Russie Cyber Attaque contre l'Ukraine Continuez, exigeant Vigilance et préparation Ici dans la patrie, si les actions contradictoires se tournent vers les alliés occidentaux.
CISA \\ S " protège ”Arms de campagne
If you\'re a “Trekkie” you know that “shields” refer to advanced technology to protect starships, space stations, and entire planets against attacks from the bad guys. The security community has adopted-thanks to the Cybersecurity and Infrastructure Security Agency (CISA)-the “Shields Up” adage during this critical time for preparing for potential cyber attacks to critical infrastructure here in the U.S. Russia cyber attacks against Ukraine continue, requiring vigilance and preparation here in the homeland if adversarial actions turn to Western allies. CISA\'s “Shields Up” campaign arms |
★★★ | ||
|
2022-04-27 09:00:00 | Assemblage de la poupée de nidification russe: UNC2452 a fusionné dans APT29 Assembling the Russian Nesting Doll: UNC2452 Merged into APT29 (lien direct) |
Mandiant a recueilli des preuves suffisantes pour évaluer que l'activité a suivi comme unc2452, le nom de groupe utilisé pour suivre le Solarwinds Compromis en décembre 2020 , est attribuable à APT29. Cette conclusion correspond aux instructions d'attribution précédemment faites par le u.s.Gouvernement que le compromis de la chaîne d'approvisionnement de Solarwinds a été réalisé par APT29, un groupe d'espionnage basé en Russie évalué comme parrainé par le Russian Foreign Intelligence Service (SVR).Notre évaluation est basée sur des données de première main recueillies par Mandiant et est le résultat d'une comparaison et d'une revue approfondies de UNC2452 et de notre | Solardwinds APT 29 APT 29 | ★★★ | |
|
2022-04-26 10:00:00 | Annotation des fonctions de démontage de logiciels malveillants utilisant la traduction de la machine neuronale Annotating Malware Disassembly Functions Using Neural Machine Translation (lien direct) |
Les binaires de logiciels malveillants peuvent contenir des milliers à des millions d'instructions exécutables, et même les ingénieurs inversés de niveau expert peuvent passer des jours à analyser le démontage pour reconstituer la fonctionnalité du code.L'annulation itérative des fonctions est une stratégie qu'un analyste malveillant peut utiliser pour décomposer l'analyse en morceaux plus gérables.Cependant, l'annotation peut être un processus fastidieux qui entraîne souvent des choix de syntaxe et de fonction incohérents entre les différents analystes.La science des données mandiantes (MDS) et Flare Les équipes ont publié ce billet de blog pour accompagner notre récente conférence de technologie GPU NVIDIA (GTC)
Malware binaries may contain thousands to millions of executable instructions, and even expert-level reverse engineers can spend days analyzing disassembly to piece together code functionality. Iteratively annotating functions is one strategy that a malware analyst can use to break analysis down into more manageable chunks. However, annotation can be a tedious process that often results in inconsistent syntax and function choices among different analysts. The Mandiant Data Science (MDS) and FLARE teams released this blog post to accompany our recent NVIDIA GPU Technology Conference (GTC) |
Malware Conference | ★★★ | |
|
2022-04-25 12:00:00 | Industrieer.v2: les vieux logiciels malveillants apprennent de nouvelles astuces INDUSTROYER.V2: Old Malware Learns New Tricks (lien direct) |
Le 12 avril 2022, Cert-ua et eset a rapporté qu'une attaque cyber physique a eu un impact sur les technologies de la technologie opérationnelle (OT) de soutien en Ukraine.L'attaque a mis à profit différents logiciels malveillants, y compris une variante de Industryer , un morceau de logiciel malveillant ICS bien connu axé sur les attaques à l'origine en décembre 2016 pour provoquer des pannes de courant en Ukraine.
L'attaque est significative non seulement parce que les attaques ciblées sont rares, mais aussi parce que c'est le premier cas où le code du malware OT orienté d'attaque largement connu a été redéployé contre une nouvelle victime.Malgré cinq ans
On April 12, 2022, CERT-UA and ESET reported that a cyber physical attack impacted operational technology (OT) supporting power grid operations in Ukraine. The attack leveraged different pieces of malware including a variant of INDUSTROYER, a well-known piece of attack-oriented ICS malware originally deployed in December 2016 to cause power outages in Ukraine. The attack is significant not only because OT-targeted attacks are rare, but also because this is the first instance in which code from broadly known attack-oriented OT malware was redeployed against a new victim. Despite five years |
Malware | ★★★ | |
|
2022-04-22 11:00:00 | Des blocs de construction aux manuels de jeu: comment démarrer avec Zero Trust From Building Blocks to Playbooks: How to Get Started With Zero Trust (lien direct) |
Depuis des années, Mandiant parle du Avantages de zéro confiance Et comment cela aide les organisations à améliorer leur posture de sécurité.C'est vraiment une stratégie de meilleure pratique .Et maintenant, il y a une certaine urgence pour adopter une approche de confiance zéro, en particulier à la lumière de T il Biden Administration \'s 2021 Cybersecurity Ordre exécutif pour améliorer la nation \\ 'S cybersécurité et protéger les réseaux du gouvernement fédéral.
Cependant, nous reconnaissons que se déplacer vers une architecture de fiducie zéro (ZTA) est un voyage complexe.Nous avons constaté que de nombreuses agences fédérales s'approchent toujours de la meilleure façon de procéder, étant donné
For years Mandiant has been talking about the benefits of zero trust and how it helps organizations improve their security posture. It\'s truly a best-practice strategy. And now there is some urgency around taking a zero trust approach, especially in light of the Biden Administration\'s 2021 cybersecurity executive order to improve the nation\'s cybersecurity and protect federal government networks. However, we recognize that moving toward a zero trust architecture (ZTA) is a complex journey. We have found that many federal agencies are still coming to grips with how best to proceed, given |
★★ | ||
|
2022-04-21 09:00:00 | Tolérance zéro: plus de zéro-jours exploités en 2021 que jamais auparavant Zero Tolerance: More Zero-Days Exploited in 2021 Than Ever Before (lien direct) |
en 2021, Intelligence de menace mandiante a identifié 80 jours zéro exploités dans la nature, qui est plus du double du volume record précédent en 2019. Les groupes parrainés par l'État continuent d'être les principaux acteurs exploitant des vulnérabilités zéro-jours, dirigés par des groupes chinois.La proportion d'acteurs motivés financièrement les groupes de ransomware à motif financièrement déposant des exploits zéro-jours a également augmenté de manière significative, et près de 1 acteurs identifiés sur 3 exploitant zéro-jours en 2021 a été motivé financièrement.Les acteurs de la menace ont exploité les jours zéro dans les produits Microsoft, Apple et Google, reflétant probablement le
In 2021, Mandiant Threat Intelligence identified 80 zero-days exploited in the wild, which is more than double the previous record volume in 2019. State-sponsored groups continue to be the primary actors exploiting zero-day vulnerabilities, led by Chinese groups. The proportion of financially motivated actors-particularly ransomware groups-deploying zero-day exploits also grew significantly, and nearly 1 in 3 identified actors exploiting zero-days in 2021 was financially motivated. Threat actors exploited zero-days in Microsoft, Apple, and Google products most frequently, likely reflecting the |
Ransomware Threat | ★★ | |
|
2022-04-19 07:00:00 | M-Trends 2022: Mélos de sécurité, idées et conseils des fronts M-Trends 2022: Cyber Security Metrics, Insights and Guidance From the Frontlines (lien direct) |
Le paysage des menaces modernes est vaste.Les cyberattaques liées à la conflit en Ukraine augmente.Des vulnérabilités critiques et omniprésentes telles que « log4shell » ont entraîné un risque massif en raison de la complexité des correctifs.Les cyber-criminels mènent opérations sophistiquées de ransomware et d'extorsion à un tempo croissant.
Le travail de la communauté de la cybersécurité n'est jamais terminé, mais notre volonté de rester implacable dans nos efforts est de porter ses fruits.Cela se reflète dans la dernière édition de notre rapport annuel, M-Trends & Reg;2022 , qui est publié aujourd'hui.
Laissez \\ commencer par la grande question que nous connaissons
The modern threat landscape is vast. Cyber attacks related to the conflict in Ukraine are surging. Critical and pervasive vulnerabilities such as “Log4Shell” have led to massive risk due to complexity of patching. Cyber criminals are conducting sophisticated ransomware and extortion operations at a rising tempo. The work of the cyber security community is never done, but our willingness to remain relentless in our efforts is paying off. This is reflected in the latest edition of our annual report, M-Trends® 2022, which is released today. Let\'s start with the big question we know |
Ransomware Vulnerability Threat | ★★★ | |
|
2022-04-13 15:30:00 | Inconstruire: les nouveaux outils de cyberattaques parrainés par l'État ciblent plusieurs systèmes de contrôle industriel INCONTROLLER: New State-Sponsored Cyber Attack Tools Target Multiple Industrial Control Systems (lien direct) |
Au début de 2022, Mandiant, en partenariat avec Schneider Electric, a analysé un ensemble de nouveaux outils d'attaque orientés vers le système de contrôle industriel (ICS) - que nous appelons Inconstroller (aka PipeDream) - construit aux dispositifs d'automatisation des machines cibles.Les outils peuvent interagir avec des équipements industriels spécifiques intégrés dans différents types de machines exploitées dans plusieurs industries.Bien que le ciblage de tout environnement opérationnel utilisant cet ensemble d'outils ne soit pas clair, le malware pose un risque critique pour les organisations tirant parti de l'équipement ciblé.Inconstroller est très probablement parrainé par l'État et contient
In early 2022, Mandiant, in partnership with Schneider Electric, analyzed a set of novel industrial control system (ICS)-oriented attack tools-which we call INCONTROLLER (aka PIPEDREAM)-built to target machine automation devices. The tools can interact with specific industrial equipment embedded in different types of machinery leveraged across multiple industries. While the targeting of any operational environments using this toolset is unclear, the malware poses a critical risk to organizations leveraging the targeted equipment. INCONTROLLER is very likely state sponsored and contains |
Malware Tool Industrial | ★★★★ | |
|
2022-04-13 10:00:00 | Les métriques sont les moteurs de la valeur CTI Metrics are the Drivers of CTI Value (lien direct) |
Les clients de l'intelligence de la menace mandiante demandent souvent comment ils peuvent mesurer leur capacité de cyber-menace intelligence (CTI) pour s'assurer qu'ils offrent une valeur commerciale alignée sur la vision et la stratégie des organisations.Peu de choses ont été publiées par la communauté CTI sur le développement de mesures pour mesurer le taux de réussite des indicateurs de performance clés (KPI) et les implications pour prendre des décisions programmatiques éclairées pour l'orientation future d'un programme CTI.Les KPI bien conçus devraient être centrés sur des cibles et des objectifs commerciaux de Tie-Into, tandis que les métriques se concentrent sur la prise en charge du KPI
Mandiant Threat Intelligence customers often ask how they can measure their cyber threat intelligence (CTI) capability to ensure they are delivering business value that is aligned to the organizations vision and strategy. Not much has been published by the CTI community on developing metrics to measure key performance indicators (KPIs) success rate and the implications thereof for making informed programmatic decisions for the future direction of a CTI program. Well-crafted KPIs should be centered around targets and tie-into business objectives, whereas metrics focus on supporting the KPI |
Threat | ★★★ | |
|
2022-04-11 10:00:00 | Sécurité proactive pour la technologie opérationnelle et les infrastructures critiques Proactive Security for Operational Technology and Critical Infrastructure (lien direct) |
technologie opérationnelle (OT) et systèmes de contrôle industriel (ICS) ont longtemps été utilisés dans les environnements industriels pour surveilleret automatiser les processus physiques et les opérations critiques de mission.Ces systèmes constituent les éléments fondamentaux de certaines de nos infrastructures les plus critiques et soutiennent les fonctions sociétales essentielles, telles que la production d'électricité, le traitement des eaux usées, les transports publics, la fabrication industrielle, l'extraction des ressources, le pétrole et le gaz et les télécommunications.
La dernière décennie a connu une augmentation progressive de la motivation mondiale de l'acteur de cyber-menace pour cibler l'OT à usage spécial
Operational Technology (OT) and Industrial Control Systems (ICS) have long been used in industrial environments to monitor and automate physical processes and mission-critical operations. These systems form the foundational building blocks for some of our most critical infrastructure and support essential societal functions, such as power generation, wastewater treatment, public transportation, industrial manufacturing, resource mining, oil and gas, and telecommunications. The last decade has seen a gradual uptick in global cyber threat actor motivation for targeting special-purpose OT |
Threat Industrial | ★★★ | |
|
2022-04-07 07:00:00 | Mandiant et Crowdstrike unissent leurs forces dans la lutte contre le mal Mandiant and CrowdStrike Join Forces in the Fight Against Evil (lien direct) |
Le monde est confronté à des temps difficiles.Le paysage mondial de la cyber-menace est de plus en plus hostile de jour en jour, comme le montre l'escalade des cyberattaques des États-nations, les cybercriminels et les acteurs de menace motivés idéologiquement.Le besoin d'unification et de collaboration au sein de la communauté de la cybersécurité est maintenant nécessaire, plus que jamais, pour protéger et défendre les secteurs privé et public.Des temps sans précédent comme ceux-ci peuvent conduire à l'unification des experts de l'industrie à voir le bien prévaloir sur le mal et faire en sorte que les acteurs les plus audacieux prennent note.
mandiant est en mission pour faire de chaque
The world is facing challenging times. The global cyber threat landscape is growing increasingly hostile by the day as seen by the escalation of cyber attacks from nation-states, cybercriminals, and ideologically motivated threat actors. The need for unification and collaboration within the cyber security community is required now, more than ever, to protect and defend the private and public sectors. Unprecedented times like these can lead to the unification of industry experts to see good prevail over evil and make even the boldest actors take notice. Mandiant is on a mission to make every |
Threat | ★★ | |
|
2022-04-06 09:00:00 | Présentation du programme de subventions trimestriel de l'Académie Mandiant 2022 Introducing the 2022 Mandiant Academy Quarterly Grant Program (lien direct) |
Tant d'organismes à but non lucratif aident à combler l'écart des compétences en cybersécurité en offrant des opportunités d'éducation à leurs membres.Pour aider à ces efforts, Mandiant a créé un programme de subventions pour accorder jusqu'à 960 heures de formation gratuite de renseignement à la demande à une organisation à but non lucratif sélectionnée chaque trimestre.Ces organisations pourront attribuer des cours de formation gratuits à certains de leurs membres pour augmenter leur intelligence et d'autres compétences alors qu'ils se lancent dans leurs carrières de cybersécurité.
La formation à la demande d'intelligence fournira aux membres à but non lucratif une compréhension du cyber
So many nonprofits out there are helping to close the cyber security skills gap by providing education opportunities to their members. To assist with these efforts, Mandiant has created a grant program to award up to 960 hours of free on-demand intelligence training to a selected nonprofit organization each quarter. These organizations will get to award free training courses to some of their members to increase their intelligence and other skills as they embark on their cyber security careers. The on-demand intelligence training will provide nonprofit members with an understanding of cyber |
★★ | ||
|
2022-04-04 09:00:00 | FIN7 Power Hour: archéologie adversaire et évolution de Fin7 FIN7 Power Hour: Adversary Archaeology and the Evolution of FIN7 (lien direct) |
La recherche publique récente affirme que les groupes de menaces partagent les chevauchements avec FIN7 transitionné vers des opérations de ransomware ciblées impliquant Revil, Darkside, Blackmatter et AlphV ransomware.Avec le prétendu passage aux opérations de ransomware, Mandiant publie nos recherches sur l'évolution de Fin7 dont nous n'avons pas été écrits publiquement depuis Mahalo Fin7 , publié en 2019.
Cet article de blog s'appuie sur la recherche organique à partir d'intrusions historiques et récentes que Mandiant a directement étudié et décrit le processus de fusion de plusieurs groupes UNC dans FIN7.Ce processus nous a permis de fusionner
Recent public research asserts threat groups sharing overlaps with FIN7 transitioned to targeted ransomware operations involving REVIL, DARKSIDE, BLACKMATTER, and ALPHV ransomware. With the purported shift to ransomware operations, Mandiant is publishing our research on the evolution of FIN7 which we haven\'t publicly written about since Mahalo FIN7, published in 2019. This blog post draws on organic research from both historical and recent intrusions that Mandiant directly investigated, and describes the process of merging multiple UNC groups into FIN7. This process allowed us to merge |
Ransomware Threat | ★★★ | |
|
2022-04-01 10:00:00 | Écoutez le podcast Advantage inaugural Defender \\ sur le paysage des menaces en évolution en Europe Listen to the Inaugural Defender\\'s Advantage Podcast on the Evolving Threat Landscape in Europe (lien direct) |
 Cette semaine Mandiant a lancé sa nouvelle série le podcast du Defender \\.Le spectacle présente le même contenu et les mêmes conversations que vous attendez de Mandiant, mais avec tout, il tombe sous un seul parapluie.
Deux fois par mois, je discuterai avec des analystes, des chercheurs et des consultants mandiants, ainsi que des praticiens et des dirigeants externes, tout au long d'une lentille axée sur les menaces pour la série "Menage Trends".Vous entendrez également la directrice de Sr., le marketing et les solutions de produits, Kerry Matre mensuellement alors qu'elle s'assoit avec des clients mandiants et des experts de l'industrie pour discuter de leur première ligne
 This week Mandiant launched its new The Defender\'s Advantage Podcast series. The show features the same content and conversations you\'ve come to expect from Mandiant, but with all of it falling under one umbrella.
Twice a month I will chat with Mandiant analysts, researchers, and consultants, as well as external practitioners and leaders, all through a threat-focused lens for the "Threat Trends" series. You will also hear from Sr. Director, Product Marketing and Solutions, Kerry Matre monthly as she sits down with Mandiant customers and industry experts to discuss their frontline |
Threat | ★★★ | |
|
2022-03-30 09:00:00 | Élever les femmes en cybersécurité aux positions d'impact les plus élevées Elevating Women in Cyber Security to the Highest Positions of Impact (lien direct) |
Mandiant Cyber Defense Summit (CDS) 2019 à Washington, D.C. a été un événement fantastique, mais comme tant d'autres événements de cybersécurité, seul un petit pourcentage de déclarants était des femmes.
Remarquant que les femmes de Mandiant sont devenues enthousiastes à l'idée de faire quelque chose pour ces invités.De plus, Mandiant Alliés a exprimé son intérêt et l'a démontré en s'impliquant également.Mandiant a rapidement organisé deux panneaux de déjeuner impromptus.L'un s'est concentré sur les femmes leaders des femmes de mandiant et d'autres organisations.L'autre était ouvert à tous les niveaux de carrière et comportait 30 aspirants de l'Académie américaine, cinq
Mandiant Cyber Defense Summit (CDS) 2019 in Washington, D.C. was a fantastic event, but like so many other cyber security events, only a small percentage of registrants were women. Noticing that, the women at Mandiant became excited about doing something for these guests. Moreover, Mandiant allies expressed interest and demonstrated it by getting involved as well. Mandiant quickly organized two impromptu luncheon panels. One focused on top women leaders from Mandiant and other organizations. The other was open to all career levels and featured 30 midshipmen from the U.S. Naval Academy, five |
★ | ||
|
2022-03-28 10:00:00 | Forgé dans le feu: une enquête de MobileRiron Log4Shell Exploitation Forged in Fire: A Survey of MobileIron Log4Shell Exploitation (lien direct) |
Le 10 décembre 2021, l'Apache Software Foundation divulguée cve-2021-44228 , aka" log4shell ", une vulnérabilité critique dans la version 2.14.1 de Log4j d'Apache \\ et plus tôt qui affecte un grand nombre de produits qui utilisent cette bibliothèque de journalisation.
Grâce à nos clients de consultation et de défense gérés, Mandiant a observé quatre applications uniques ciblées et exploitées à l'aide de CVE-2021-44228.Un produit qui a attiré notre attention au lendemain de cette version de Cve \\ était mobileiron core ;Une solution de gestion des appareils mobiles sur prémisse appartenant à Ivanti, qui est immédiatement a répondu au
On December 10, 2021, the Apache Software Foundation disclosed CVE-2021-44228, aka “Log4Shell”, a critical vulnerability in Apache\'s Log4j version 2.14.1 and earlier that affects a large number of products that utilize this logging library. Through our Consulting and Managed Defense clients, Mandiant observed four unique applications targeted and exploited using CVE-2021-44228. One product that caught our attention in the immediate aftermath of this CVE\'s release was MobileIron Core; an on-premises mobile device management solution owned by Ivanti, who immediately responded to the |
Vulnerability | ★★★ | |
|
2022-03-28 07:00:00 | Mandiant est un leader de la réponse aux incidents de cybersécurité Forrester Wave ™ Mandiant Is a Forrester Wave™ Cybersecurity Incident Response Leader (lien direct) |
Mandiant a récemment été nommé leader dans The Forrester Wave ™: Cybersecurity Incident Response Services, T1 2022 Rapport .Forrester a identifié 13 meilleures entreprises dans cet espace.Mandiant a été reconnu comme un leader basé sur la présence du marché, la stratégie et l'offre actuelle.
Réponse des incidents de cybersécurité implique bien plus qu'une simple réponse.La prise de mesures de réponse aux incidents n'est souvent que le début parce que le travail de reconstruction de la confiance avec les principales parties prenantes internes et externes après la durée est tout aussi importante pour la sécurité et la maturité future dans chaque organisation.
dans
Mandiant was recently named a leader in The Forrester Wave™: Cybersecurity Incident Response Services, Q1 2022 report. Forrester identified 13 top companies in this space. Mandiant was recognized as a leader based on market presence, strategy, and current offering. Cybersecurity incident response involves so much more than just response. Taking incident response actions is often just the beginning because the work of rebuilding trust with key both internal and external stakeholders post-breach is equally as important for building future security and maturity in every organization. In |
★★ | ||
|
2022-03-24 07:00:00 | Mwise: une évolution du sommet de la cyber-défense mandiante mWISE: An Evolution of Mandiant Cyber Defense Summit (lien direct) |
J'ai commencé à travailler dans la cybersécurité il y a plus de 20 ans - je faisais partie de la sécurité RSA, et j'étais responsable du marketing sortant pour les Amériques, ainsi qu'un événement peu connu à laTemps appelé RSA Conference (RSAC).Après ma première année, j'ai élargi l'attention et j'ai aidé à développer l'événement à l'échelle mondiale, atteignant un pic de 50 000 participants.
Avant de rejoindre Mandiant, j'ai vu la société comme unique et axée sur la mission pour rendre le monde plus sûr des menaces.En particulier, l'industrie a vraiment pris note des activités néfastes de l'État-nation avec la recherche en profondeur Mandiant publié en 2013 sur Apt1
I started working in cyber security over 20 years ago-I was part of RSA Security, and was responsible for outbound marketing for the Americas, as well as a little-known event at the time called RSA Conference (RSAC). After my first year, I expanded the focus and helped to grow the event globally, reaching a peak of 50,000 attendees. Before joining Mandiant, I saw the company as unique and mission-focused-aspiring to make the world safer from threats. In particular, the industry really took notice of nefarious nation-state activities with the deep research Mandiant published in 2013 on APT1 |
Conference | APT 1 | ★★★ |
|
2022-03-23 09:00:00 | Pas si Lazarus: cartographie des groupes de cyber-menaces de la RPDC pour les organisations gouvernementales Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations (lien direct) |
Mandiant estime que la cyber-capacité de la Corée du Nord soutient les priorités de la sécurité politique et nationale de longue date et immédiate, ainsi que des objectifs financiers.Nous évaluons la plupart des cyber-opérations de la Corée du Nord, y compris l'espionnage, les opérations destructrices et les délits financiers, sont principalement menés par des éléments du Bureau général de reconnaissance.Pendant ce temps, les missions du ministère de la Sécurité des États et du Front United semblent jouer un rôle limité dans le programme de cyber \\ de la Corée du Nord. Les rapports open-source utilisent souvent le titre Lezarus Group comme terme parapluie se référant à
Mandiant believes that North Korea\'s cyber capability supports both long-standing and immediate political and national security priorities, as well as financial goals. We assess most of North Korea\'s cyber operations, including espionage, destructive operations, and financial crimes, are primarily conducted by elements within the Reconnaissance General Bureau. Meanwhile, the Ministry of State Security and United Front Department\'s missions appear to play limited roles in North Korea\'s cyber program. Open-source reporting often uses the Lazarus Group title as an umbrella term referring to |
Threat | APT 38 | ★★★★ |
To see everything:
Our RSS (filtrered)
