What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2022-03-22 10:45:00 | Prévention des attaques zéro-jour: préparez-vous à la prochaine vulnérabilité de sécurité. Zero-Day Attack Prevention: Gear Up for the Next Sweeping Security Vulnerability (lien direct) |
Pour la plupart des équipes de sécurité, être balayé en remède une vulnérabilité zéro jour est une distraction indésirable.Cette distraction peut rapidement dégénérer en quelque chose de bien pire avec une vulnérabilité répandue comme le récent « log4shell », une vulnérabilité logicielle en vulnérabilité en logiciels dansLa bibliothèque Apache Java Log4j.
Les vulnérabilités aussi omniprésentes que Log4Shell nous montrent que les attaquants avancés se préparent au bit pour profiter de toute ouverture qu'ils peuvent trouver, logeant une multitude d'exploits pour prendre pied dans une organisation \réseau de \.Sans accès à des experts qui peuvent aider à leur défense, les organisations peuvent être
For most security teams, getting swept up remediating a zero-day vulnerability is an unwanted distraction. That distraction can quickly escalate into something far worse with a widespread vulnerability like the recent “Log4Shell”, a software vulnerability in the Apache Java Log4j library. Vulnerabilities as ubiquitous as Log4Shell show us that advanced attackers are champing at the bit to take advantage of any opening they can find, lodging a multitude of exploits to gain a foothold into an organization\'s network. Without access to experts that can aid in their defense, organizations can be |
Vulnerability | ★★★ | |
|
2022-03-16 11:30:00 | Vous avez votre gâteau et mangez-le aussi?Un aperçu de UNC2891 Have Your Cake and Eat it Too? An Overview of UNC2891 (lien direct) |
L'équipe Mandiant Advanced Practices a précédemment publié un article de blog de recherche sur les menaces qui a fourni un Aperçu des opérations UNC1945 Lorsque l'acteur a compromis les fournisseurs de services gérés pour accéder aux cibles dans les industries de conseil financière et professionnelle.
Depuis lors, Mandiant a étudié et attribué plusieurs intrusions à un cluster de menace qui, selon nous, a un lienActor, actuellement suivi comme UNC2891.Grâce à ces investigations, Mandiant a découvert des techniques supplémentaires, des logiciels malveillants et des services publics utilisés par unc2891 aux côtés de ceux auparavant
The Mandiant Advanced Practices team previously published a threat research blog post that provided an overview of UNC1945 operations where the actor compromised managed services providers to gain access to targets in the financial and professional consulting industries. Since that time, Mandiant has investigated and attributed several intrusions to a threat cluster we believe has a nexus to this actor, currently being tracked as UNC2891. Through these investigations, Mandiant has discovered additional techniques, malware, and utilities being used by UNC2891 alongside those previously |
Threat | ★★★★ | |
|
2022-03-09 18:00:00 | FedRamp Ready: La dernière désignation de Mandiant \\ prend en charge les clients du secteur public FedRAMP Ready: Mandiant\\'s Latest Designation Supports Public Sector Customers (lien direct) |
Dans une autre étape importante dans sa mission pour que chaque organisation soit sécurisée des cyber-menaces, Mandiant a récemment annoncé qu'il avait obtenu la désignation FedRamp Ready pour sa première solution évaluée, Mandiant Advantage Défense automatisée .Atteignant la préparation à Le niveau d'impact élevé, la défense automatisée est désormais disponible dans le FedRamp Marketplace En tant qu'offre de services cloud (CSO), permettant aux agences fédérales de profiter de ses capacités de détection, de priorisation et de réponse accélérées.
Qu'est-ce que FedRamp?
Fedramp est un Programme du gouvernement qui favorise l'adoption de
In yet another major milestone in its mission to make every organization secure from cyber threats, Mandiant recently announced that it achieved FedRAMP Ready designation for its first evaluated solution, Mandiant Advantage Automated Defense. Achieving readiness at the High impact level, Automated Defense is now available in the FedRAMP Marketplace as a Cloud Service Offering (CSO), allowing federal agencies to take advantage of its accelerated threat detection, prioritization and response capabilities. What is FedRAMP? FedRAMP is a government-wide program that promotes the adoption of |
Threat Cloud | ★★★ | |
|
2022-03-08 15:00:00 | Est-ce que cela a l'air infecté?Un résumé de l'APT41 ciblant les gouvernements des États américains Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments (lien direct) |
Mise à jour (8 mars): Le message d'origine n'a peut-être pas apporté la clarté totale que CVE-2021-44207 (USAHERDS) avait un correctif développé par des systèmes de renom pour les déploiements applicables sur ouVers le 15 novembre 2021. Mandiant ne peut pas parler des versions, déploiement, adoption, adoption ou d'autres facteurs techniques de ce patch de vulnérabilité au-delà de sa disponibilité.
En mai 2021, Mandiant a répondu à une intrusion APT41 ciblant un réseau informatique du gouvernement de l'État des États-Unis.Ce n'était que le début d'un aperçu de Mandiant \\ sur une campagne persistante d'un mois menée par APT41 en utilisant Internet vulnérable
UPDATE (Mar. 8): The original post may not have provided full clarity that CVE-2021-44207 (USAHerds) had a patch developed by Acclaim Systems for applicable deployments on or around Nov. 15, 2021. Mandiant cannot speak to the affected builds, deployment, adoption, or other technical factors of this vulnerability patch beyond its availability. In May 2021 Mandiant responded to an APT41 intrusion targeting a United States state government computer network. This was just the beginning of Mandiant\'s insight into a persistent months-long campaign conducted by APT41 using vulnerable Internet |
Vulnerability | APT 41 APT 41 | ★★★★ |
|
2022-03-04 18:30:00 | Réponses à l'invasion de la Russie de l'Ukraine susceptible de stimuler les représailles Responses to Russia\\'s Invasion of Ukraine Likely to Spur Retaliation (lien direct) |
Résumé exécutif
Mandiant Threat Intelligence évalue avec une confiance modérée que la Russie mènera des cyberattaques destructrices ou perturbatrices supplémentaires liées à la crise en Ukraine.Les cyberattaques russes se concentreront certainement d'abord sur l'Ukraine, les alliés occidentaux / OTAN sont également des cibles possibles.
Les organisations font des déclarations condamnant l'agression russe et / ou soutenir l'Ukraine et les organisations prenant des mesures pour restreindre la participation russe au commerce international, aux compétitions et aux événements sont élevés risques de représailles futures.
Nous évaluons ce ver de sable et
Executive Summary Mandiant Threat Intelligence assesses with moderate confidence that Russia will conduct additional destructive or disruptive cyber attacks connected to the crisis in Ukraine. Russian cyber attacks almost certainly will focus first on Ukraine, with Western/NATO allies also being possible targets. Organizations making statements condemning Russian aggression and/or supporting Ukraine and organizations taking actions to restrict Russian participation in international commerce, competitions, and events face elevated risk of future reprisal. We assess that Sandworm and |
Threat | ★★★★ | |
|
2022-02-28 15:00:00 | Prêt, définissez, allez - les internes de Golang et la récupération des symboles Ready, Set, Go - Golang Internals and Symbol Recovery (lien direct) |
golang (go) est une langue compilée introduite par Google en 2009. Le langage, l'exécution et l'outillage ont évolué considérablement depuis lors.Ces dernières années, les fonctionnalités GO telles que la compilation croisée facile à utiliser, les exécutables autonomes et l'excellent outillage ont fourni aux auteurs malveillants un nouveau langage puissant pour concevoir des logiciels malveillants multiplateformes.Malheureusement pour les indexes, l'outillage pour séparer le code d'auteur malware du code d'exécution GO a pris du retard.
Aujourd'hui, Mandiant publie un outil nommé Goresym Pour analyser les informations sur les symboles GO et autres métadonnées intégrées.Ce billet de blog
Golang (Go) is a compiled language introduced by Google in 2009. The language, runtime, and tooling has evolved significantly since then. In recent years, Go features such as easy-to-use cross-compilation, self-contained executables, and excellent tooling have provided malware authors with a powerful new language to design cross-platform malware. Unfortunately for reverse engineers, the tooling to separate malware author code from Go runtime code has fallen behind. Today, Mandiant is releasing a tool named GoReSym to parse Go symbol information and other embedded metadata. This blog post |
Malware Tool | ★★★★ | |
|
2022-02-24 15:00:00 | LITE SUR LECTURE: Télégramme malveillant repéré dans la dernière activité de cyber-espionnage iranienne Left On Read: Telegram Malware Spotted in Latest Iranian Cyber Espionage Activity (lien direct) |
En novembre 2021, Défense gérée mandiante détecté et répondu à un UNC3313 Intrusion chez un client du Moyen-Orient.Au cours de l'enquête, Mandiant a identifié de nouveaux logiciels malveillants ciblés, gramdoor et Starwhale , qui implémentent les fonctionnalités de porte-portefeuille simples.Nous avons également identifié UNC3313 Utiliser un logiciel d'accès à distance accessible au public pour maintenir l'accès à l'environnement.UNC3313 a initialement eu accès à cette organisation par le biais d'un e-mail de phishing ciblé et des outils de sécurité offensifs open-source modifiés et à effet de levier pour identifier les systèmes accessibles et se déplacer latéralement.Unc3313 déplacé
In November 2021, Mandiant Managed Defense detected and responded to an UNC3313 intrusion at a Middle East government customer. During the investigation, Mandiant identified new targeted malware, GRAMDOOR and STARWHALE, which implement simple backdoor functionalities. We also identified UNC3313 use publicly available remote access software to maintain access to the environment. UNC3313 initially gained access to this organization through a targeted phishing email and leveraged modified, open-source offensive security tools to identify accessible systems and move laterally. UNC3313 moved |
Malware Tool | ★★★★ | |
|
2022-02-23 15:00:00 | (Ex) Changement de rythme: UNC2596 Observé des vulnérabilités en train de tirer parti du déploiement des ransomwares de Cuba (Ex)Change of Pace: UNC2596 Observed Leveraging Vulnerabilities to Deploy Cuba Ransomware (lien direct) |
En 2021, Mandiant a observé certains acteurs de menace déploiement des ransomwares qui passent de plus en plus pour exploiter les vulnérabilités en tant que vecteur d'infection initial.UNC2596, un acteur de menace qui déploie le ransomware Colddraw, connu publiquement sous le nom de ransomware Cuba, illustre cette tendance.Tandis que rapports public a mis en évidence les campagnes Chanitor comme précurseur de ces incidents de ransomware, Mandiant a également identifié l'exploitation des vulnérabilités d'échange Microsoft, y compris proxyshell et proxylogon , comme un autre point d'accès exploité par unc2596 probablement dès août 2021. Le contenu de ce blog se concentre
In 2021, Mandiant observed some threat actors deploying ransomware increasingly shift to exploiting vulnerabilities as an initial infection vector. UNC2596, a threat actor that deploys COLDDRAW ransomware, publicly known as Cuba Ransomware, exemplifies this trend. While public reporting has highlighted CHANITOR campaigns as precursor for these ransomware incidents, Mandiant has also identified the exploitation of Microsoft Exchange vulnerabilities, including ProxyShell and ProxyLogon, as another access point leveraged by UNC2596 likely as early as August 2021. The content of this blog focuses |
Ransomware Vulnerability Threat | ★★★ | |
|
2022-02-22 15:00:00 | Mandiant en vedette sur la liste de la sécurité 100 de CRN \\'s 2022 Mandiant Featured on CRN\\'s 2022 Security 100 List (lien direct) |
Alors que les organisations cherchent à renforcer leur posture de sécurité et à renforcer leurs défenses contre un paysage de menace en constante évolution, Mandiant reste dédié à les équiper d'outils de pointe et de services gérés.Après tout, une sécurité efficace nécessite la fusion de la technologie et des talents.
Depuis qu'il a rejoint Mandiant, j'ai vu de première main comment nous mettons notre mission pour que chaque organisation soit sécurisée des cyber-menaces et confiant dans leur action de préparation-into.Et c'est à travers cet objectif que nous approchons de la chaîne, s'alignant avec des partenaires clés qui partagent la mise en marché aux vues similaires
As organizations seek to strengthen their security posture and bolster their defenses against a continuously evolving threat landscape, Mandiant remains dedicated to equipping them with industry-leading tools and managed services. After all, effective security requires the fusion of technology and talent. Since joining Mandiant, I\'ve seen first-hand how we put our mission-to make every organization secure from cyber threats and confident in their readiness-into action. And it is through this lens that we approach the channel, aligning with key partners who share like-minded go-to-market |
Tool Threat | ★★★ | |
|
2022-02-17 16:45:00 | The Cyber Risk Journey, Troisième partie: Cyber Daide Dilailence in Mergers and Acquisitions The Cyber Risk Journey, Part Three: Cyber Due Diligence in Mergers and Acquisitions (lien direct) |
Que vous existiez du côté buy ou vend d'une transaction,Les actifs numériques résilients - en particulier les systèmes réseau et la protection des données des clients - sont primordiaux au succès de toutes les entreprises.Les données et les informations s'avèrent être un produit fluide pour de nombreuses organisations, mais aussi un point de levier pour les attaquants qui cherchent à exploiter les organisations.Comprendre à quel point une entreprise que vous souhaitez acquérir ou désinvestir est vulnérable pour les menaces de cybersécurité, et à quel point elle peut se défendre est devenue plus une attente qu'un «agréable à avoir» pour les organisations. dans le climat commercial actuel
Whether you exist on the buy or sell side of a transaction, resilient digital assets-especially network systems and customer data protection-are paramount to the success of all businesses. Data and information are proving to be a fluid commodity for many organizations, but also a point of leverage for attackers looking to exploit organizations. Understanding how vulnerable a business you wish to acquire or divest is to cyber security threats, and how well it can defend itself, is becoming more of an expectation than a “nice to have” for organizations. In the current business climate |
★★★ | ||
|
2022-02-15 18:00:00 | La cyber-crise de l'Ukraine: nous devons préparer, mais pas la panique The Ukraine Cyber Crisis: We Should Prepare, But Not Panic (lien direct) |
Alors que la situation en Ukraine se déroule, la perspective de cyberattaques graves a retenu l'attention des professionnels de la cyber-intelligence comme moi et des nombreuses organisations avec lesquelles nous travaillons dans les secteurs public et privé.Les préoccupations sont raisonnables et valables;La Russie a une histoire bien établie d'utilisation agressive de leurs cyber-capacités considérables en Ukraine et à l'étranger.Nous craignons que, à mesure que la situation dégénère, les cyber-événements graves n'affecteront pas simplement l'Ukraine.Mais alors que nous avertissons nos clients de se préparer eux-mêmes et leurs opérations, nous sommes convaincus que nous pouvons
As the situation in Ukraine unfolds, the prospect of serious cyber attacks has captured the attention of cyber intelligence professionals like myself and the many organizations we work with in both the public and private sectors. Concerns are reasonable and valid; Russia has a well-established history of aggressively using their considerable cyber capabilities in Ukraine and abroad. We are concerned that as the situation escalates, serious cyber events will not merely affect Ukraine. But while we are warning our customers to prepare themselves and their operations, we are confident that we can |
★★★ | ||
|
2022-02-15 15:00:00 | La nouvelle offre de validation de la sécurité mandiante avantage aide les organisations à répondre avec confiance à la question: sommes-nous en mesure d'empêcher une attaque de ransomware? New Mandiant Advantage Security Validation Offering Helps Organizations Confidently Answer the Question: Are We Able to Prevent a Ransomware Attack? (lien direct) |
Les titres quotidiens disent que la fréquence et la prolifération des ransomwares accélèrent.Non seulement les intervenants incidents de Mandiant ont vu des attaques de ransomwares augmenter considérablement ces dernières années, mais les rançons eux-mêmes sont passés de 416 millions de dollars pour tous les 2020 à 590 millions de dollars pour les six premiers mois de 2021, selon le U.S.Trésor .Les organisations, grandes et petites, reconnaissent que sans les bons outils en place, ils pourraient être la prochaine victime.
Les acteurs de la menace continuent d'augmenter leur jeu avec des attaques de plus en plus agressives et sophistiquées, passant des ransomwares standard
Daily headlines say it all-the frequency and proliferation of ransomware is accelerating. Not only have Mandiant\'s incident responders seen ransomware attacks increase dramatically in recent years, ransoms themselves have increased from $416 million for all of 2020 to $590 million for the first six months of 2021, according to the U.S. Treasury. Organizations, large and small, recognize that without the right tools in place they could be the next victim. Threat actors continue to up their game with increasingly aggressive and sophisticated attacks, shifting from standard ransomware |
Ransomware Tool | ★★★ | |
|
2022-02-08 21:01:00 | Augmenter l'avantage: Mandiant et Sentinélone annoncent un partenariat stratégique Upping the Advantage: Mandiant and SentinelOne Announce Strategic Partnership (lien direct) |
Les organisations résilientes nécessitent des contrôles de cybersécurité efficaces et flexibles qui fonctionnent le mieux pour leurs besoins spécifiques.Pour aider davantage nos clients à réduire l'impact commercial des cyber-menaces et à maintenir les environnements informatiques modernes d'aujourd'hui, Mandiant s'associe à des collègues dirigeants du marché pour fournir des solutions très adaptables et axées sur l'intelligence.
L'ajout de Sentinelone à notre liste d'élite de partenaires stratégiques marque une étape importante dans le parcours de mandiant en tant qu'organisation agnostique de fournisseur.Grâce à cette alliance stratégique, les clients pourront maximiser leurs investissements de sécurité avec les deux
Resilient organizations require effective, flexible cyber security controls that work best for their specific needs. To further help our customers reduce the business impact of cyber threats and keep today\'s modern IT environments safe, Mandiant partners with fellow market leaders to deliver highly adaptable and intelligence-led solutions. The addition of SentinelOne to our elite list of strategic partners marks a major milestone in Mandiant\'s journey as a vendor agnostic organization. Through this strategic alliance, customers will be able to maximize their security investments with both |
★★★ | ||
|
2022-02-02 13:00:00 | Annonçant la gestion de la surface d'attaque mandiante avantage Announcing Mandiant Advantage Attack Surface Management (lien direct) |
Vous voulez sauter maintenant?Commencez avec Mandiant Advantage Attack Surface Management En créant votre Free Account aujourd'hui!
Alors que les organisations continuent de numériser leur entreprise et que les employés sont autorisés à tirer parti de ces capacités, il n'est pas étonnant que les équipes de sécurité aient du mal à garder une trace des infrastructures, des applications, des services cloud et du saasSeul s'assurer que les politiques de sécurité sont respectées dans ces environnements.La surface d'attaque est considérablement et largement en expansion, et sans l'automatisation appropriée, il est peu probable que les équipes de sécurité aient la visibilité, le contrôle et
Want to jump in now? Get started with Mandiant Advantage Attack Surface Management by creating your free account today! As organizations continue to digitize their business and employees are empowered to leverage these capabilities, it\'s no wonder security teams struggle to keep track of infrastructure, applications, cloud services and SaaS usage-let alone ensure security policies are adhered to across these environments. The attack surface is dramatically and vastly expanding, and without the proper automation, it is unlikely that security teams will have the visibility, control, and |
Cloud | ★★ | |
|
2022-02-01 15:00:00 | Zoom pour vous - Empoisonnement du référencement pour distribuer Batloader et Atera Agent Zoom For You - SEO Poisoning to Distribute BATLOADER and Atera Agent (lien direct) |
Tout en défendant nos clients contre les menaces, manage managedDéfense continue de voir de nouvelles menaces qui abusent de la confiance dans les outils et les produits légitimes pour mener à bien leurs attaques.Ces attaques sont efficaces pour obtenir des défenses de sécurité passées et rester non détecté dans un réseau.
Grâce à la chasse à la menace proactive, notre équipe de première ligne de défense gérée a découvert une campagne qui a utilisé l'empoisonnement d'optimisation des moteurs de recherche (SEO) pour conduire les victimes à télécharger le Batloader MALWWare pour le compromis initial.Nous avons également observé une technique d'évasion de défense astucieuse à l'aide de mshta.exe, un utilitaire Windows-Native
While defending our customers against threats, Mandiant Managed Defense continues to see new threats that abuse trust in legitimate tools and products to carry out their attacks. These attacks are effective in getting past security defenses and staying undetected in a network. Through proactive threat hunting, our Managed Defense frontline team uncovered a campaign that used search engine optimization (SEO) poisoning to lead victims to download the BATLOADER malware for the initial compromise. We also observed a crafty defense evasion technique using mshta.exe, a Windows-native utility |
Malware Tool Threat | ★★★ | |
|
2022-01-31 15:00:00 | 1 sur 7 OT Ransomware Extorsion Attaque de fuite Critique Informations sur la technologie opérationnelle 1 in 7 OT Ransomware Extortion Attacks Leak Critical Operational Technology Information (lien direct) |
Les fuites de données ont toujours été une préoccupation pour les organisations.L'exposition d'informations sensibles peut entraîner des dommages à la réputation, des sanctions légales, une perte de propriété intellectuelle et même un impact sur la confidentialité des employés et des clients.Cependant, il y a peu de recherches sur les défis posés aux organisations industrielles lorsque les acteurs de la menace divulguent des détails sensibles sur leur sécurité, la production, les opérations ou la technologie.
En 2021, Mandiant Threat Intelligence a continué à observer les opérateurs de ransomwares tentant d'extorquer des milliers de victimes en divulguant des téraoctets de volés
Data leaks have always been a concern for organizations. The exposure of sensitive information can result in damage to reputation, legal penalties, loss of intellectual property, and even impact the privacy of employees and customers. However, there is little research about the challenges posed to industrial organizations when threat actors disclose sensitive details about their OT security, production, operations, or technology. In 2021, Mandiant Threat Intelligence continued observing ransomware operators attempting to extort thousands of victims by disclosing terabytes of stolen |
Ransomware Threat Industrial | ★★★ | |
|
2022-01-24 18:00:00 | The Cyber Risk Journey, deuxième partie: Qu'est-ce qui compte le plus? The Cyber Risk Journey, Part Two: What Matters Most? (lien direct) |
Entre un flux constant de violations et d'événements mondiaux en cours, les dernières années ont vu le Le paysage des menaces se déplace vers un territoire inexploré .Alors que les organisations continuent de s'adapter à un paysage changeant, les acteurs de la menace s'adaptent également.
Les équipes de cybersécurité ont la tâche sans précédent de soutenir l'entreprise avec des opérations quotidiennes et d'être constamment préparé aux attaquants dans leur environnement.Équilibrer la criticité des responsabilités opérationnelles avec la préparation à la réponse est un compromis difficile, et même avec les meilleures équipes, les choses tournent parfois mal.
comme équipes
Between a steady stream of breaches and ongoing global events, the last few years has seen the threat landscape move into uncharted territory. As organizations continue to adjust to a shifting landscape, threat actors are also adjusting. Cyber security teams have the unprecedented task of both supporting the business with day-to-day operations and being constantly prepared for attackers in their environment. Balancing the criticality of operational responsibilities with response preparedness is a difficult trade off, and even with the best teams, things sometimes go wrong. As teams |
Threat | ★★★ | |
|
2022-01-20 12:45:00 | Anticiper les cyber-menaces à mesure que la crise ukrainienne augmente Anticipating Cyber Threats as the Ukraine Crisis Escalates (lien direct) |
La crise en Ukraine s'est déjà avérée être un catalyseur d'une cyber-activité agressive supplémentaire qui augmentera probablement à mesure que la situation se détériore.Chez Mandiant, nous avons anticipé cette activité, et nous craignons que, contrairement aux défaillances récentes et aux attaques destructrices, l'activité future ne sera pas limitée aux cibles ukrainiennes ou au secteur public.
La portée de l'activité
La Russie et ses alliés mèneront des cyber-espions, des opérations d'information et des cyberattaques perturbatrices pendant cette crise.Bien que le cyber-espionnage soit déjà une facette régulière de l'activité globale, comme
The crisis in Ukraine has already proven to be a catalyst for additional aggressive cyber activity that will likely increase as the situation deteriorates. At Mandiant, we have been anticipating this activity, and we are concerned that, unlike the recent defacements and destructive attacks, future activity will not be restricted to Ukrainian targets or the public sector. The Scope of Activity Russia and its allies will conduct cyber espionage, information operations, and disruptive cyber attacks during this crisis. Though cyber espionage is already a regular facet of global activity, as |
★★★ | ||
|
2022-01-19 22:00:00 | Une source pour les gouverner toutes: Chasing Avaddon Ransomware One Source to Rule Them All: Chasing AVADDON Ransomware (lien direct) |
Le modèle Ransomware-as-a-Service (RAAS) réduit la barrière d'entrée dans le monde de la cybercriminalité, provoquant le nombre d'attaques de ransomware que nous \'Regurez-vous plus haut que jamais.
Au cours des dernières années, le ransomware est devenu l'une des principales sources de revenus dans l'écosystème de cybercriminalité, avec une utilisation accrue de l'extorsion en faisant honte aux victimes , menaçant de libérer des données exfiltrées, et dans certains cas les frappant avec des attaques de déni de service distribué (DDOS).
Ce billet de blog explore l'activité, les similitudes et les chevauchements entre plusieurs familles de ransomwares liées à Avaddon
The ransomware-as-a-service (RaaS) model is lowering the barrier of entry into the cybercrime world, causing the number of ransomware attacks we\'re seeing to spike higher than ever before. In the last few years, ransomware has become one of the principal sources of income in the cybercrime ecosystem, with increased use of extortion by shaming victims, threatening to release exfiltrated data, and in some cases hitting them with distributed denial-of-service (DDoS) attacks. This blog post explores activity, similarities and overlaps between multiple ransomware families related to AVADDON |
Ransomware | ★★★ | |
|
2022-01-14 20:30:00 | Préparation proactive et durcissement pour protéger contre les attaques destructrices |Blog Proactive Preparation and Hardening to Protect Against Destructive Attacks | Blog (lien direct) |
À la lumière de la crise en Ukraine, Mandiant se prépare aux acteurs russes à mener une cyber-activité agressive contre nos clients et notre communauté.La Russie utilise régulièrement sa cyber-capacité pour effectuer des opérations de collecte de renseignements et de l'information, mais nous sommes particulièrement préoccupés par le fait qu'à mesure que les tensions s'améliorent, elles peuvent cibler les organisations à l'intérieur et à l'extérieur de l'Ukraine avec des cyberattaques perturbatrices et destructrices.
Les acteurs de la menace exploitent des logiciels malveillants destructeurs pour détruire les données, éliminer les preuves d'activité malveillante ou manipuler les systèmes d'une manière qui les rend inopérables
In light of the crisis in Ukraine, Mandiant is preparing for Russian actors to carry out aggressive cyber activity against our customers and community. Russia regularly uses its cyber capability to carry out intelligence collection and information operations, but we are particularly concerned that as tensions escalate, they may target organizations within and outside of Ukraine with disruptive and destructive cyber attacks. Threat actors leverage destructive malware to destroy data, eliminate evidence of malicious activity, or manipulate systems in a way that renders them inoperable |
Malware | ★★★ | |
|
2022-01-13 11:00:00 | Le parcours du cyber-risque, première partie: où allons-nous d'ici? The Cyber Risk Journey, Part One: Where Do We Go From Here? (lien direct) |
Le cyber-risque peut être un gros point d'arrêt pour les organisations.Heureusement, les conseils d'administration et les hauts dirigeants sont plus engagés que jamais et travaillent à développer une meilleure compréhension de la gestion des cyber-risques au sein de leurs organisations.Plus de dialogue avec la gestion des cadres concernant le cyber-risque et les impacts que les mesures proactives et réactives ont sur un profil de risque d'organisation est une excellente tendance à voir.
Les équipes de cybersécurité-Office en arrière-plan sur les tâches écrasantes de soutenir les opérations quotidiennes tout en étant constamment préparées pour les attaquants dans leur environnement.Équilibrage
Cyber risk can be a big blindspot for organizations. Fortunately, Boards and senior leaders are more engaged than ever before and working to develop a better understanding of how cyber risk is being managed within their organizations. More dialogue with executive management around cyber risk and the impacts proactive and reactive measures have on an organization\'s risk profile is a great trend to see. Cyber security teams-often in the background-take on the overwhelming tasks of supporting day-to-day operations while constantly being prepared for attackers in their environment. Balancing |
Prediction | ★★★ | |
|
2022-01-10 10:00:00 | Qu'est-ce qui est mieux que l'intelligence des menaces libres? What\\'s Better Than Free Threat Intelligence? (lien direct) |
Beaucoup diraient que la sécurité efficace n'est pas basée sur les contrôles de sécurité déployés, mais l'expertise et les renseignements derrière ces contrôles.Pour répondre à la question critique: «Notre organisation est-elle à risque?»nécessite un aperçu approfondi de l'évolution du paysage des menaces.Les praticiens de la sécurité doivent savoir qui sont les acteurs de menace les plus prolifiques, les outils qu'ils utilisent et les indicateurs et tactiques, techniques et procédures (TTP) associés à leurs attaques.
Pour aider les organisations de toutes tailles à répondre à beaucoup de ces questions, Mandiant propose un abonnement gratuit et gratuit de
Many would say that effective security is not based on the security controls deployed, but the expertise and the intelligence behind those controls. To answer the critical question, “Is our organization at risk?” requires deep insight into the evolving threat landscape. Security practitioners need to know who the most prolific threat actors are, the tools they are using, and the indicators and tactics, techniques, and procedures (TTPs) associated with their attacks. To help organizations of all sizes better address many of these questions, Mandiant offers a limited, free subscription of |
Tool Threat | ★★★ | |
|
2021-12-15 21:00:00 | Recommandations initiales d'exploitation et d'atténuation de Log4Shell Log4Shell Initial Exploitation and Mitigation Recommendations (lien direct) |
mise à jour (30 décembre): Ce message a été mis à jour pour refléter un nouveau CVE ( CVE-2021-44832 ) et les correctifs associés.
mise à jour (28 décembre): Ce message a été mis à jour pour refléter les nouveaux correctifs pour Legacy Java 7 ( 2.12.3 ) et java 6 clients ( 2.3.1 ).
Mise à jour (20 décembre): Ce message a été mis à jour pour refléter un nouveau CVE ( cve-2021-45105 ) et patch associé (log4j 2.17.0 pour les clients Java 8).
mise à jour (17 décembre): Ce message a été u pdaté pour référence à la cisa \\ 's Directive d'Élevance 22-02 .
mise à jour (16 décembre): Ce message a été mis à jour pour référence à la version d'Apache \\ de Log4J version 2.12.2 (clients Java 7).
le
UPDATE (Dec. 30): This post has been updated to reflect a new CVE (CVE-2021-44832) and associated patches. UPDATE (Dec. 28): This post has been updated to reflect new patches for legacy Java 7 (2.12.3) and Java 6 clients (2.3.1). UPDATE (Dec. 20): This post has been updated to reflect a new CVE (CVE-2021-45105) and associated patch (Log4j 2.17.0 for Java 8 clients). UPDATE (Dec. 17): This post has been updated to reference CISA\'s Emergency Directive 22-02. UPDATE (Dec. 16): This post has been updated to reference Apache\'s release of Log4j version 2.12.2 (Java 7 clients). The |
★★★ | ||
|
2021-12-15 15:00:00 | Un an en revue avec Kevin Mandia A Year in Review with Kevin Mandia (lien direct) |
Avec 2021 presque derrière nous, nous ne pouvions pas penser à une meilleure façon de fermer cette année de podcasts de la sécurité que de provoquer l'individu responsable de la fondation de Mandiant plusIl y a 17 ans, Kevin Mandia.Au-delà de la direction de notre entreprise en tant que PDG depuis 2016, Kevin est simplement un puits de connaissances en cybersécurité, avec une expérience de première ligne datant des années 90 lorsqu'il a servi comme responsable de la sécurité informatique dans la United States Air Force.
Il est difficile de croire, mais cela a été un an depuis que nous avons annoncé le Solarwinds incident .La discussion démarre avec l'hôte de Kevin Luke McNamara
With 2021 nearly behind us, we could think of no better way to close out this year of Eye on Security podcasts than to bring on the individual responsible for founding Mandiant more than 17 years ago, Kevin Mandia. Beyond leading our company as CEO since 2016, Kevin is simply a well of cyber security knowledge, with frontline experience dating back to the 90s when he served as a computer security officer in the United States Air Force. It\'s hard to believe, but it\'s been one year since we announced the SolarWinds incident. The discussion kicks off with Kevin telling host Luke McNamara |
Solardwinds | ★★★ | |
|
2021-12-15 11:00:00 | Pas de mineurs non accompagnés: les compromis de la chaîne d'approvisionnement via des packages Node.js No Unaccompanied Miners: Supply Chain Compromises Through Node.js Packages (lien direct) |
commençant au milieu de l'octobre 2021, Défense gérée mandiante a identifié plusieurs instancesdes compromis de la chaîne d'approvisionnement impliquant des packages hébergés sur Node Package Manager (NPM), le gestionnaire de packages de la plate-forme JavaScript Node.js, soit compromis directement pour livrer des logiciels malveillants, soit simplement créé pour usurper l'identité de packages populaires et légitimes.Ce dernier est une technique connue sous le nom de typosquat.Les modules NPM sont une cible précieuse pour les acteurs de la menace en raison de leur popularité auprès des développeurs.Ils ont également une prévalence élevée de dépendances complexes, où un package en installe un autre comme dépendance
Starting mid-October 2021, Mandiant Managed Defense identified multiple instances of supply chain compromises involving packages hosted on Node Package Manager (NPM), the package manager for the Node.js JavaScript platform, either being compromised directly to deliver malware or simply being created to impersonate popular, legitimate packages. The latter is a technique known as typosquatting. NPM modules are a valuable target for threat actors due to their popularity amongst developers. They also have a high prevalence of complex dependencies, where one package installs another as a dependency |
Malware Threat | ★★ | |
|
2021-12-14 16:00:00 | Azure Run Command pour les nuls Azure Run Command for Dummies (lien direct) |
Dans le récent article de blog de Mandiant \\, nous avons détaillé Activité d'intrusion russe présumée qui cible les fournisseurs de services gérés (MSP) pour accéder à leurs clients CLUSIDE \\ '.D'autres sociétés, comme Microsoft, ont observé Activité ciblée de manière similaire contre les clients de plusieurs Cloud et fournisseurs de services gérés . Une technique notable de ces intrusions est l'utilisation de commandes Azure Run pour passer latéralement des hyperviseurs gérés aux clients MSP \\ 'sous-jacent sous-jacentmachines virtuelles.
Ce dernier article de blog est une annexe supplémentaire pour mettre en surbrillance les commandes Azure Run et fournir
In Mandiant\'s recent blog post, we detailed suspected Russian intrusion activity that targeted managed services providers (MSP) to gain access to their customers\' cloud environments. Other companies, such as Microsoft, have observed similarly targeted activity against customers of several cloud and managed service providers. One notable technique from these intrusions is the use of Azure Run Commands to move laterally from managed hypervisors to the MSP customers\' underlying virtual machines. This latest blog post comes as a supplementary annex to highlight Azure Run Commands and provide |
Cloud | ★★ | |
|
2021-12-13 10:00:00 | Maintenant, vous en série, maintenant vous ne chassez pas systématiquement des exploits de désérialisation Now You Serial, Now You Don\\'t - Systematically Hunting for Deserialization Exploits (lien direct) |
Les vulnérabilités de désérialisation sont une classe de bogues qui ont tourmenté plusieurs langues et applications au fil des ans.Il s'agit notamment de l'échange ( CVE-2021-42321 ), Zoho Manage engine ( cve-2020-10189 ), Jira ( cve-2020-36239 ), telerik ( CVE-2019-18935 ), Jenkins ( cve-2016-9299 ), et Plus .Fondamentalement, ces bogues sont le résultat de applications qui placent trop de confiance dans les données qu'un utilisateur (ou un attaquant) peut altérer.
Les attaquants ont exploité ces vulnérabilités pendant des années pour télécharger des fichiers, accéder aux ressources non autorisées et exécuter du code malveillant sur des serveurs ciblés.Au cours des 2 dernières années
Deserialization vulnerabilities are a class of bugs that have plagued multiple languages and applications over the years. These include Exchange (CVE-2021-42321), Zoho ManageEngine (CVE-2020-10189), Jira (CVE-2020-36239), Telerik (CVE-2019-18935), Jenkins (CVE-2016-9299), and more. Fundamentally, these bugs are a result of applications placing too much trust in data that a user (or attacker) can tamper with. Attackers have leveraged these vulnerabilities for years to upload files, access unauthorized resources, and execute malicious code on targeted servers. Within the past 2 years |
Vulnerability | ★★★ | |
|
2021-12-06 10:00:00 | Activité russe présumée ciblant le gouvernement et les entités commerciales du monde entier Suspected Russian Activity Targeting Government and Business Entities Around the Globe (lien direct) |
Mise à jour (mai 2022): Nous avons fusionné unc2452 avec apt29 .L'activité UNC2452 décrite dans ce post est désormais attribuée à APT29.
comme anniversaire d'un an de la découverte du Chaîne d'approvisionnement Solarwinds Passe de compromis, mandiant reste engagé à être engagé à être engagé à être engagé à engagerSuivre l'un des acteurs les plus difficiles que nous ayons rencontrés.Ces acteurs russes présumés pratiquent la sécurité opérationnelle de premier ordre et les métiers avancés.Cependant, ils sont faillibles et nous continuons à découvrir leur activité et à apprendre de leurs erreurs.En fin de compte, ils restent une menace adaptable et évolutive qui doit être étroitement étudiée par
UPDATE (May 2022): We have merged UNC2452 with APT29. The UNC2452 activity described in this post is now attributed to APT29. As the one-year anniversary of the discovery of the SolarWinds supply chain compromise passes, Mandiant remains committed to tracking one of the toughest actors we have encountered. These suspected Russian actors practice top-notch operational security and advanced tradecraft. However, they are fallible, and we continue to uncover their activity and learn from their mistakes. Ultimately, they remain an adaptable and evolving threat that must be closely studied by |
Threat | Solardwinds APT 29 | ★★★ |
|
2021-12-01 09:00:00 | Vigilant comme toujours: Mandiant a nommé un leader dans le rapport IDC Marketscape pour la préparation des incidents dans le monde entier Vigilant as Ever: Mandiant Named a Leader in IDC MarketScape Report for Incident Readiness Worldwide (lien direct) |
Mandiant a été nommé leader dans l'IDC Marketscape: Worldwide Incident Readiness Services 2021 Vendor Assessment (DOC # US46741420, novembre 2021).L'IDC Marketscape a étudié 14 fournisseurs de cybersécurité qui offrent des services de préparation à la réponse aux incidents à travers le monde.
mandiant n'est pas étranger à ce positionnement.
Dans la dernière étude de 2021, les fournisseurs ont été évalués sur leur étendue de capacités de préparation aux incidents, en mettant l'accent sur la façon dont les prestataires de services de cybersécurité aident leurs clients avant une attaquequi se produisent \\ 'à gauche de Boom \' - y compris les évaluations des risques, PlayBook
Mandiant was named a leader in the IDC MarketScape: Worldwide Incident Readiness Services 2021 Vendor Assessment (Doc#US46741420, November 2021). The IDC MarketScape studied 14 cyber security vendors that offer incident response readiness services across the globe. Mandiant is no stranger to this positioning. In the most recent 2021 study, vendors were evaluated on their breadth of incident readiness capabilities, with the primary focus on how cyber security service providers help their clients in advance of an attack-areas that occur \'left of boom\'-including risk assessments, playbook |
★★★★ | ||
|
2021-11-29 10:00:00 | Kitten.gif: Rencontrez le programme d'affiliation du ransomware Sabbath, encore une fois Kitten.gif: Meet the Sabbath Ransomware Affiliate Program, Again (lien direct) |
En septembre 2021, Mandiant a découvert un article sur exploit.in en cherchant des partenaires pour un nouveau programme d'affiliation de ransomware.Le 21 octobre 2021, le site de honte et le blog de la honte et du blog de la honte des ransomwares et du sabbat) de 54BB47H (sabbat) ont été créés et sont rapidement devenus le chercheur de sécurité s .Contrairement à la plupart des autres programmes d'affiliation, Mandiant a observé deux occasions où l'opérateur de ransomwares a fourni à ses affiliés des charges utiles de porte dérobée de la balise de frappe de cobalt préconfigurée.Bien que l'utilisation de la balise soit une pratique courante dans les intrusions de ransomware, l'utilisation d'un opérateur de programme d'affiliation de rançon a fourni une balise est inhabituelle et
In September 2021, Mandiant discovered a post on exploit.in seeking partners for a new ransomware affiliate program. By October 21, 2021, the 54BB47h (Sabbath) ransomware shaming site and blog were created and quickly became the talk of security researchers. In contrast with most other affiliate programs, Mandiant observed two occasions where the ransomware operator provided its affiliates with pre-configured Cobalt Strike BEACON backdoor payloads. While the use of BEACON is common practice in ransomware intrusions, the use of a ransom affiliate program operator provided BEACON is unusual and |
Ransomware | ★★★★ | |
|
2021-11-18 12:00:00 | Présentation du cadre de criminalistique numérique et de réponse aux incidents de Mandiant \\ pour les systèmes OT intégrés Introducing Mandiant\\'s Digital Forensics and Incident Response Framework for Embedded OT Systems (lien direct) |
La collecte et l'analyse des données médico-légales sont un composant central du processus de réponse de l'incident.Ce processus est central pour déterminer l'existence et la portée subséquente d'un compromis, les outils utilisés par les adversaires et leurs capacités.Cependant, l'obtention des données de criminalistique numérique et de réponse aux incidents (DFIR) n'est pas toujours une tâche simple, en particulier lorsque des systèmes de technologie opérationnelle (OT) sont impliqués.
Les réseaux OT comprennent souvent une variété de produits peu communs et parfois obscurs qui exploitent régulièrement des composants logiciels et de micrologiciels embarqués.Un bon exemple de ceci est en temps réel
Collecting and analyzing forensic data is a core component of the incident response process. This process is central to determining the existence, and subsequent scope of a compromise, the tools used by adversaries, and their capabilities. However, obtaining digital forensics and incident response (DFIR) data is not always a simple task, especially when operational technology (OT) systems are involved. OT networks often include a variety of uncommon and sometimes obscure products that regularly leverage embedded software and firmware components. A good example of this is real-time |
Tool Industrial | ★★★ | |
|
2021-11-17 10:00:00 | ProxynOshell: un changement de tactique exploitant les vulnérabilités proxyshell ProxyNoShell: A Change in Tactics Exploiting ProxyShell Vulnerabilities (lien direct) |
En septembre 2021, Mandiant a publié un Article de blog De la Défense gérée mandiante Équipe sur l'exploitation généralisée de trois vulnérabilités dans les prévisions Microsoft ExchangeServeurs qui étaient collectivement appelés proxyshell.Malgré la divulgation survenue en avril 2021 et que les correctifs sont publiés en avril et mai 2021, l'équipe de réponse aux incidents de Mandiant \\ a continué à répondre aux compromis provenant de l'exploitation de ces vulnérabilités que récemment en novembre 2021 et estime que jusqu'à 30 000 orientés sur Internet sur InternetDes serveurs vulnérables existent toujours.
CVE-2021-34473 -Microsoft
In September 2021, Mandiant published a blog post from the Mandiant Managed Defense team about widespread exploitation of three vulnerabilities in on-premises Microsoft Exchange Servers which were collectively referred to as ProxyShell. Despite disclosure occurring in April 2021 and patches being released in April and May 2021, Mandiant\'s Incident Response team has continued to respond to compromises originating from exploitation of these vulnerabilities as recently as November 2021 and estimates that up to 30,000 internet-facing vulnerable servers still exist. CVE-2021-34473 - Microsoft |
Vulnerability | ★★★ | |
|
2021-11-16 11:50:00 | UNC1151 Évalué avec une grande confiance pour avoir des liens avec la Biélorussie, la campagne Ghostwriter est alignée sur les intérêts du gouvernement biélorusse UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests (lien direct) |
Maniant Threat Intelligence évalue avec une grande confiance que l'UNC1151 est lié au gouvernement biélorusse.Cette évaluation est basée sur des indicateurs techniques et géopolitiques.En avril 2021, nous avons publié un rapport public - Évaluation de la confidentialité que l'UNC1151 fournit un soutien technique à la campagne d'opérations d'information Ghostwriter;Cette évaluation, ainsi que les récits de fantômes observés conformes aux intérêts du gouvernement biélorusse, nous obligent à évaluer avec une confiance modérée que le Biélorussie est également probablement au moins en partie responsable de la campagne Ghostwriter.Nous
Mandiant Threat Intelligence assesses with high confidence that UNC1151 is linked to the Belarusian government. This assessment is based on technical and geopolitical indicators. In April 2021, we released a public report detailing our high-confidence assessment that UNC1151 provides technical support to the Ghostwriter information operations campaign; this assessment, along with observed Ghostwriter narratives consistent with Belarusian government interests, causes us to assess with moderate confidence that Belarus is also likely at least partially responsible for the Ghostwriter campaign. We |
Threat | ★★★ | |
|
2021-11-10 13:01:01 | Panage d'image à fuzz dans les fenêtres, troisième partie: brut et heif Fuzzing Image Parsing in Windows, Part Three: RAW and HEIF (lien direct) |
Les tests automatisés des bibliothèques d'images Windows révèlent 37 problèmes de sécurité, y compris l'exécution de code zéro clique avec le score CVSS de 7,8.Toutes les vulnérabilités ont été corrigées par Microsoft après la divulgation par Mandiant.
poursuivant notre discussion sur analyse d'imageVulnérabilités Dans Windows, nous jetons un coup d'œil à deux des types de fichiers pris en charge par Windows: Format de fichiers d'image brut et à haute efficacité (HEIF).
Les fichiers bruts ont été pris en charge par windows caméra codec pack Depuis laLes jours Windows XP et les versions Windows ultérieures incluent ces codecs par défaut.Le fichier de codec est présent comme windowscode
Automated testing of Windows Image Libraries uncovers 37 security issues, including Zero-Click Code Execution with CVSS score of 7.8. All vulnerabilities have been remediated by Microsoft following the disclosure by Mandiant. Continuing our discussion of image parsing vulnerabilities in Windows, we take a look at two of the file types supported by Windows: RAW and High Efficiency Image File Format (HEIF). RAW files have been supported by Windows Camera Codec Pack since the Windows XP days and later Windows versions include these codecs by default. The codec file is present as WindowsCode |
Vulnerability | ★★★ | |
|
2021-11-03 03:00:00 | 14 prédictions de cybersécurité pour 2022 et au-delà 14 Cyber Security Predictions for 2022 and Beyond (lien direct) |
La semaine dernière Sandra Joyce , EVP, Global Intel & Advanced AdvancedPratiques, et Charles Carmakal , vice-président directeurVoir en 2022. Le haut d'esprit pour eux était le ransomware et l'extorsion multiforme et ils n'étaient pas seuls.Alors que nous avons interviewé plusieurs autres dirigeants et experts mandiants pour rassembler leurs réflexions sur l'année à venir, ce sujet a continué à apparaître au-dessus de tous.
Étant donné que l'écrasante majorité des personnes se concentre principalement sur cette menace financière croissante et évolutive, nous avons décidé de mettre des ransomwares et une extorsion multiforme sous les projecteurs
Last week Sandra Joyce, EVP, Global Intel & Advanced Practices, and Charles Carmakal, SVP and CTO, each shared a little bit about what they expect to see in 2022. Top of mind for both them was ransomware and multifaceted extortion-and they\'re not alone. As we interviewed several more Mandiant leaders and experts to gather their thoughts about the coming year, this one topic kept popping up above all others. Because the overwhelming majority of people are focused primarily on this growing and evolving financial threat, we decided to put ransomware and multifaceted extortion in the spotlight |
Ransomware | ★★★ | |
|
2021-11-02 08:01:01 | Mandiant Data Science présente la dernière recherche sur l'apprentissage de la machine de sécurité à Camlis \\ '21 Mandiant Data Science Showcases Latest Security Machine Learning Research at CAMLIS \\'21 (lien direct) |
La mission de l'équipe de science des données mandialiants (MDS) est de développer des solutions d'apprentissage automatique innovantes qui appliquent l'expertise unique et l'intelligence des menaces de Maniant \\ à l'échelle pour nos clients.MDS est impliqué dans de nombreux projets divers dispensés dans le cadre de la Mandiant Advantage SaaS Platform, mais nous présentons égalementet publier des recherches de pointe à l'intersection de la sécurité et de l'apprentissage automatique lors des principales conférences de l'industrie et des universitaires.Nous sommes fiers d'annoncer que notre équipe a récemment eu quatre conférences acceptées au Conférence sur l'apprentissage appliqué en matière de sécurité de l'information (CAMLIS)
The Mandiant Data Science (MDS) team\'s mission is to develop innovative machine learning solutions that apply Mandiant\'s unique expertise and threat intelligence at scale for our customers. MDS is involved in many diverse projects delivered as part of the Mandiant Advantage SaaS platform, but we also present and publish cutting-edge research at the intersection of security and machine learning at leading industry and academic conferences. We are proud to announce that our team recently had four talks accepted at the Conference on Applied Machine Learning in Information Security (CAMLIS) |
Threat Cloud | ★★★ | |
|
2021-10-28 08:01:01 | Road to Security Predictions 2022 avec Charles Carmakal, SVP et CTO de Mandiant \\ Road to Security Predictions 2022 with Charles Carmakal, Mandiant\\'s SVP and CTO (lien direct) |
mandiant pense à l'avenir!Nous savons que l'apprentissage de l'histoire n'est que la moitié de la bataille, si nous voulons rester en avance sur les attaquants, nous devons réfléchir et planifier les scénarios les plus probables de l'année à venir.Tout récemment, Sandra Joyce, EVP, Global Intel & Advanced Practices, a partagé ses réflexions sur Ce qu'elle s'attend à voir en 2022.
Pour maintenir la conversation, nous avons demandé à Charles Carmakal, Mandiant SVP et CTO, de fournir son point de vue pour l'année à venir.Semblable à Sandra, Charles pense également aux ransomwares et à l'extorsion multiforme.Charles soupçonne que nous verrons
Mandiant is thinking about the future! We know that learning from history is only half the battle-if we want to stay ahead of attackers, we need to think about and plan for the likeliest scenarios in the coming year. Just recently Sandra Joyce, EVP, Global Intel & Advanced Practices, shared her thoughts on what she expects to see in 2022. To keep the conversation going, we asked Charles Carmakal, Mandiant SVP and CTO, to provide his perspective on the coming year. Similar to Sandra, Charles is also thinking about ransomware and multifaceted extortion. Charles suspects that we will see |
Ransomware | ★★ | |
|
2021-10-27 08:01:01 | Fichier exécutable portable infectant les logiciels malveillants se trouve de plus en plus dans les réseaux OT Portable Executable File Infecting Malware Is Increasingly Found in OT Networks (lien direct) |
Lors de la recherche de fichiers associés à une gamme de fabricants d'équipements d'origine (OT) (OEM), Mandiant Threat Intelligence a découvert un grand nombre de binaires exécutables portables (PE) légitimes affectés par divers types de PEinfecter les logiciels malveillants.Les fichiers infectés incluent les binaires associés aux contrôleurs logiques programmables (PLC), les communications OLE pour le contrôle de processus (OPC), les applications d'interface humaine-machine (HMI) et d'autres fonctions OT prise en charge par des appareils basés sur Windows aux niveaux 2 et 3 du PurdueModèle.
Un PE est un format de fichier développé par Microsoft
While researching files associated with a range of operational technology (OT) original equipment manufacturers (OEM), Mandiant Threat Intelligence uncovered a large number of legitimate portable executable (PE) binaries affected by various types of PE infecting malware. The infected files include binaries associated with programmable logical controllers (PLC), OLE for process control (OPC) communications, human-machine interface (HMI) applications, and other OT functions supported by Windows-based devices at levels 2 and 3 of the Purdue Model. A PE is a file format developed by Microsoft |
Malware Threat Industrial | ★★★ | |
|
2021-10-26 08:01:01 | Road to Security Predictions 2022 avec Sandra Joyce, EVP de Mandiant, Global Intel & Advanced Practices Road to Security Predictions 2022 with Sandra Joyce, Mandiant\\'s EVP, Global Intel & Advanced Practices (lien direct) |
Après un 2020 perturbateur, beaucoup d'entre nous dans l'industrie de la cybersécurité ont trouvé notre pied en 2021 et se sont installés dans «The New Normal».Nous avons beaucoup à apprendre de nos expériences au cours de l'année précédente, mais regarder en arrière n'est que la moitié de la bataille.Si nous voulons nous défendre contre les attaquants, nous devons rester devant eux, et une façon de le faire est de penser et de planifier les scénarios les plus probables de l'année à venir.
Pour un avant-goût de ce que Mandiant s'attend à voir en 2022, nous nous sommes tournés vers Sandra Joyce, Mandiant \'s EVP, Global Intel & Advanced Practices .Le haut d'esprit pour Sandra en ce moment est le ransomware
After a disruptive 2020, many of us in the cyber security industry found our footing in 2021 and settled into “the new normal.” We have a lot to learn from our experiences over the previous year, but looking back is only half the battle. If we want to defend against attackers, we need to stay ahead of them, and one way we can do this is by thinking about and planning for the likeliest scenarios in the coming year. For a taste of what Mandiant expects to see in 2022, we turned to Sandra Joyce, Mandiant\'s EVP, Global Intel & Advanced Practices. Top of mind for Sandra right now is ransomware |
★★ | ||
|
2021-10-22 08:01:01 | Flare-on 8 Challenge Solutions (lien direct) | Cette année, le défi Flare-on de \\ se terminera par le plus de finisseurs que nous ayons jamais eu.Nous allons avoir besoin de faire plus de prix parce que les concurrents ont fait exploser celui-ci de l'eau.Chacun de ces environ 340 finisseurs recevra cette boucle de ceinture vraiment épique.Nous prévoyons de commencer l'expédition à la fin du mois prochain.
Nous tenons à remercier les auteurs du défi individuellement pour leurs grands puzzles et solutions.
credChecker & # 8211;pseudoHarbor (@nickharbour)
connu & # 8211;Eamon Walsh
Antioch & # 8211;Eamon Walsh
ma vie aquatique & # 8211;James T. Bennett (@jtBennettjr)
Flare Linux VM - ana mar & iacute; a Mart & iacute; nez g & oacute; mez (
This year\'s Flare-On Challenge will conclude with the most finishers we\'ve ever had. We\'re going to need to make more prizes because the contestants blew this one out of the water. Each of those approximately 340 finishers will receive this truly epic belt buckle. We plan to begin shipping late next month.
We would like to thank the challenge authors individually for their great puzzles and solutions.
credchecker – Nick Harbour (@nickharbour)
known – Eamon Walsh
Antioch – Eamon Walsh
My Aquatic Life – James T. Bennett (@jtbennettjr)
FLARE Linux VM - Ana María Martínez Gómez ( |
★★★ | ||
|
2021-10-20 08:01:01 | Caché à la vue simple: identifier la cryptographie dans le rançon Blackmatter Hidden in Plain Sight: Identifying Cryptography in BLACKMATTER Ransomware (lien direct) |
L'un des principaux objectifs de l'évaluation d'un échantillon de ransomware est de déterminer le type de cryptographie que l'échantillon utilise.Parfois, c'est simple;Pour un échantillon Blackmatter que nous avons analysé, ce n'était pas le cas.Nous avons trouvé le processus que nous avons utilisé pour identifier les opérations mathématiques de la cryptographie RSA à partir du code Blackmatter intéressant et réutilisable pour d'autres échantillons de logiciels malveillants et pour devenir un meilleur ingénieur en général.
Introduction
La famille Blackmatter Ransomware a été identifiée dans plusieurs attaques récentes.D'autres auteurs ont publié des résumés de Blackmatter, y compris son
One of the main goals of evaluating a ransomware sample is to determine what kind of cryptography the sample uses. Sometimes this is straightforward; for a BLACKMATTER sample we analyzed, it was not. We found the process we used to identify the mathematical operations of RSA cryptography from the BLACKMATTER code interesting and reusable for other malware samples and for becoming a better reverse engineer in general. Introduction The BLACKMATTER ransomware family has been identified in several recent attacks. Other authors have published summaries of BLACKMATTER, including its |
Ransomware Malware | ★★★★ | |
|
2021-10-12 08:01:01 | Définition des composants de frappe de cobalt afin que vous puissiez-vous confiant dans votre analyse Defining Cobalt Strike Components So You Can BEA-CONfident in Your Analysis (lien direct) |
cobalt frappe est un logiciel de simulation adversaire commercial qui est commercialisé dans les équipes rouges mais qui est également volé et activement utilisé par un large éventail d'acteurs de menaces, des opérateurs de ransomwares aux menaces persistantes avancées axées sur l'espionnage (APT).De nombreux défenseurs du réseau ont vu des charges utiles de grève de Cobalt utilisées dans les intrusions, mais pour ceux qui n'ont pas eu l'occasion d'utiliser Cobalt Strike en tant qu'opérateur, il peut être difficile de comprendre les nombreux composants et fonctionnalités inclus dans ce cadre.
Dans cet article de blog, nous parcourons des définitions et des concepts importants pour aider les défenseurs
Cobalt Strike is a commercial adversary simulation software that is marketed to red teams but is also stolen and actively used by a wide range of threat actors from ransomware operators to espionage-focused Advanced Persistent Threats (APTs). Many network defenders have seen Cobalt Strike payloads used in intrusions, but for those who have not had the opportunity to use Cobalt Strike as an operator, it can be challenging to understand the many components and features included in this framework. In this blog post, we will walk through important definitions and concepts to help defenders |
Ransomware Threat | ★★★ | |
|
2021-10-07 00:01:01 | FIN12: L'acteur prolifique de la menace d'intrusion des ransomwares qui a agressivement poursuivi les objectifs de soins de santé FIN12: The Prolific Ransomware Intrusion Threat Actor That Has Aggressively Pursued Healthcare Targets (lien direct) |
Aujourd'hui, Maniant Intelligence publie un rapport complet détaillant FIN12, un acteur de menace agressif et motivé par financièrement derrière des attaques de ransomwares prolifiques depuis au moins octobre 2018. FIN12 est unique parmi de nombreux acteurs axés sur les ransomwares suivis aujourd'hui parce queIls ne s'engagent généralement pas dans l'extorsion aux multiples facettes et ont eu un impact de manière disproportionnée dans le secteur des soins de santé.Ils sont également le premier acteur de FIN que nous faisons la promotion qui se spécialise dans une phase spécifique du déploiement de cyclistes de cycle de vie des attaques - tout en s'appuyant sur d'autres acteurs de menace pour avoir accédé initial aux victimes
Today, Mandiant Intelligence is releasing a comprehensive report detailing FIN12, an aggressive, financially motivated threat actor behind prolific ransomware attacks since at least October 2018. FIN12 is unique among many tracked ransomware-focused actors today because they do not typically engage in multi-faceted extortion and have disproportionately impacted the healthcare sector. They are also the first FIN actor that we are promoting who specializes in a specific phase of the attack lifecycle-ransomware deployment-while relying on other threat actors for gaining initial access to victims |
Ransomware Threat | ★★★ | |
|
2021-10-06 04:30:00 | Mandiant redonne, collaborant avec Vetsec, Inc. pour former les militaires américains et les anciens combattants Mandiant Gives Back, Collaborating with VetSec, Inc. to Train U.S. Service Members and Veterans (lien direct) |
Chaque jour, les vétérans du retour comblent des rôles importants dans le secteur privé, y compris les vétérans critiques de l'industrie de la cybersécurité.Souvent, cette transition est facilitée lorsque des entreprises comme Mandiant tendent un coup de main.
Mandiant est heureux d'annoncer sa collaboration avec un organisme à but non lucratif 501 (c) (3), aidant les anciens combattants à entrer des carrières dans l'industrie de la cybersécurité.Grâce à Vetsec, Inc., Mandiant fournit un accès gratuit aux cours de formation de la cyber-menace à la demande du nouveau programme de formation de Mandiant \\, Mandiant Academy , pour 33 membres de Vetsec, Inc.À travers ces cours
Every day returning veterans are filling important roles in the private sector, including critical ones within the cyber security industry. Often this transition is made easier when companies like Mandiant extend a helping hand. Mandiant is pleased to announce its collaboration with a 501(c)(3) nonprofit, helping veterans enter careers in the cyber security industry. Through VetSec, Inc., Mandiant is providing complimentary access to cyber threat intelligence on-demand courses from Mandiant\'s new training program, Mandiant Academy, for 33 VetSec, Inc. members. Through these courses |
Threat | ★★★ | |
|
2021-10-06 04:25:00 | Six fonctions à activer pour améliorer vos cyber-défenses Six Functions to Activate to Improve Your Cyber Defenses (lien direct) |
Les conversations sur la cybersécurité sont de plus en plus axées sur les outils et les activités du Centre des opérations de sécurité (SOC).S'il est impossible de nier l'importance du SOC à la stratégie de sécurité d'une organisation, le SOC fait partie de la portée beaucoup plus large de cyber-défense .Lorsque la cyber-défense-qui englobe le SOC-ISN \\ 'n'a pas été correctement hiérarchisée, l'efficacité des personnes, des processus et des capacités utilisées pour défendre les environnements des dernières attaques est affectée.
Les cyber-défenses robustes sont nécessaires pour éviter les compromis, réduire l'impact des attaques et permettre aux organisations de continuer à fonctionner dans
Conversations on cyber security are increasingly focused on Security Operations Center (SOC) tools and activities. While it is impossible to deny the importance of the SOC to an organization\'s security strategy, the SOC is part of the much broader scope of Cyber Defense. When Cyber Defense-which encompasses the SOC-isn\'t properly prioritized, the effectiveness of people, processes and capabilities used to defend environments from the latest attacks is impacted. Robust Cyber Defenses are needed to prevent compromise, reduce attack impact, and enable organizations to continue to operate in |
Tool | ★★★ | |
|
2021-10-04 02:55:00 | Mandiant: Même conseiller de confiance dans le monde de la sécurité, nouveau symbole de ticker Mandiant: Same Trusted Advisor to the Security World, New Ticker Symbol (lien direct) |
Le 4 octobre 2021 marque une étape importante pour Mandiant.Notre changement de nom d'entreprise de Fireeye, Inc. à Mandiant, Inc. Ceux d'entre vous qui suivent le NASDAQ remarqueront que notre symbole de ticker d'action ordinaire changera à l'ouverture du trading le 5 octobre 2021 à Mndt.
Bien que nous célébrons le changement de marque avec une nouvelle création appliquée à notre marque et à notre logo, une chose qui reste la même est notre engagement à protéger de manière proactive les organisations contre les menaces et à fournir le soutien dont ils ont besoin pour avoir confiance en leur préparation.Post Deal Close, l'activité FireEye Products devrait être un
October 4, 2021 marks a significant milestone for Mandiant. Our corporate name change from FireEye, Inc. to Mandiant, Inc. Those of you who follow the Nasdaq will notice our common stock ticker symbol will change at the opening of trading on October 5, 2021 to MNDT. Although we are celebrating the rebrand with fresh creative applied to our branding and logo, one thing that remains the same is our commitment to proactively protect organizations from threats and provide the support they need to be confident in their readiness. Post deal close, the FireEye Products business is expected to be a |
★★★ | ||
|
2021-09-14 04:04:51 | Grâce à l'objectif de l'analyste: la puissance réelle des services de détection et de réponse gérés Through the Analyst Lens: The Real Power of Managed Detection and Response Services (lien direct) |
La menace constante de la violation de données fait que les organisations examinent leur capacité à protéger l'entreprise de la prochaine grande attaque.Mais la technologie à elle seule n'a pas réduit votre temps moyen à détecter et à répondre.Selon Craig Robinson, directeur de programme au sein de la pratique de recherche sur les services de sécurité d'IDC \\ et auteur de la dernière étude IDC Marketscape dans les services de détection et de réponse gérés aux États-Unis, «Il y aura de plus en plus de besoin de MDRServices à l'avenir.Dans les talons de la publication IDC Marketscape, je me suis assis avec Craig pour découvrir ce que les clients et les vendeurs voient
The constant threat of data breach has organizations scrutinizing their ability to protect the business from the next big attack. But technology alone won\'t reduce your mean-time-to-detect and respond. According to Craig Robinson, Program Director within IDC\'s Security Services research practice and author of the latest IDC MarketScape study in U.S. Managed Detection and Response (MDR) Services, “there is going to be more and more of a need for MDR Services in the future.” On the heels of the IDC MarketScape publication, I sat down with Craig to discover what customers and vendors are seeing |
Data Breach Threat Studies | ★★★ | |
|
2021-09-07 07:00:00 | La campagne d'influence pro-PRC s'étend à des dizaines de plateformes de médias sociaux, de sites Web et de forums dans au moins sept langues, a tenté de mobiliser physiquement les manifestants aux États-Unis Pro-PRC Influence Campaign Expands to Dozens of Social Media Platforms, Websites, and Forums in at Least Seven Languages, Attempted to Physically Mobilize Protesters in the U.S. (lien direct) |
En juin 2019, Mandiant Threat Intelligence a d'abord rapporté aux clients une République de Pro-People \'sChine (PRC) Réseau de centaines de comptes inauthentiques sur Twitter, Facebook et YouTube, qui était à l'époque principalement axé sur la discréditation des manifestations pro-démocratie dans hong kong .Depuis lors, l'ensemble d'activités plus large a rapidement élargi en taille et en portée et a reçu une attention généralisée du public après le retrait des comptes connexes de Twitter dans août 2019 .De nombreux autres chercheurs ont publié des enquêtes sur divers aspects de cet ensemble d'activités, notamment Analyse des menaces de Google
In June 2019, Mandiant Threat Intelligence first reported to customers a pro-People\'s Republic of China (PRC) network of hundreds of inauthentic accounts on Twitter, Facebook, and YouTube, that was at that time primarily focused on discrediting pro-democracy protests in Hong Kong. Since then, the broader activity set has rapidly expanded in size and scope and received widespread public attention following Twitter\'s takedown of related accounts in August 2019. Numerous other researchers have published investigations into various aspects of this activity set, including Google\'s Threat Analysis |
Threat | ★★★ | |
|
2021-09-02 07:00:00 | PST, vous voulez une coquille?Proxyshell exploitant les serveurs d'échange Microsoft PST, Want a Shell? ProxyShell Exploiting Microsoft Exchange Servers (lien direct) |
En août 2021, la défense gérée mandiante a identifié et répondu à l'exploitation d'une chaîne de vulnérabilités appelées proxyshell. Les vulnérabilités proxyshell se composent de trois CVE (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) affectant les versions suivantes des serveurs d'échange Microsoft sur site. Exchange Server 2013 (mise à jour cumulative 23 et moins) Exchange Server 2016 (mise à jour cumulative 20 et moins) Exchange Server 2019 (mise à jour cumulative 9 et moins) Les vulnérabilités sont suivies dans les CVE suivants: cve Évaluation du risque acc In August 2021, Mandiant Managed Defense identified and responded to the exploitation of a chain of vulnerabilities known as ProxyShell. The ProxyShell vulnerabilities consist of three CVEs (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) affecting the following versions of on-premises Microsoft Exchange Servers. Exchange Server 2013 (Cumulative Update 23 and below) Exchange Server 2016 (Cumulative Update 20 and below) Exchange Server 2019 (Cumulative Update 9 and below) The vulnerabilities are being tracked in the following CVEs: CVE Risk Rating Acc | Vulnerability | ★★★★ | |
|
2021-09-01 08:01:01 | Trop long;N'a pas lu - acteur inconnu à l'aide de fichiers journaux CLFS pour furtivité Too Log; Didn\\'t Read - Unknown Actor Using CLFS Log Files for Stealth (lien direct) |
L'équipe Mandiant Advanced Practices a récemment découvert une nouvelle famille de logiciels malveillants que nous avons nommée Privatelog et son installateur, Stashlog.Dans cet article, nous partagerons une technique nouvelle et particulièrement intéressante que les échantillons utilisent pour masquer les données, ainsi qu'une analyse détaillée des deux fichiers qui ont été effectués avec le support des analystes Flare.Nous partagerons également les règles de détection des échantillons et les recommandations de chasse pour trouver une activité similaire dans votre environnement.
Mandiant n'a pas encore observé Privatelog ou Stashlog dans aucun environnement client ou pour récupérer les charges utiles de deuxième étape lancées par Privatelog
The Mandiant Advanced Practices team recently discovered a new malware family we have named PRIVATELOG and its installer, STASHLOG. In this post, we will share a novel and especially interesting technique the samples use to hide data, along with detailed analysis of both files that was performed with the support of FLARE analysts. We will also share sample detection rules, and hunting recommendations to find similar activity in your environment. Mandiant has yet to observe PRIVATELOG or STASHLOG in any customer environments or to recover any second-stage payloads launched by PRIVATELOG |
Malware | ★★★★ |
To see everything:
Our RSS (filtrered)
