What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2025-05-01 07:20:07 | Le ministère français des Affaires étrangères reproche à l'APT28 russe lié au GRU pour les cyberattaques sur les entités nationales; Invite l'action mondiale French Foreign Ministry blames Russian GRU-linked APT28 for cyberattacks on national entities; urges global action (lien direct) |
Le ministère français des Affaires étrangères a attribué une série de cyberattaques sur les intérêts nationaux à APT28, un groupe lié ...
The French foreign ministry has attributed a series of cyberattacks on national interests to APT28, a group linked... |
APT 28 | ★★ | |
 |
2025-04-30 17:13:50 | De TV5Monde à Govt: la France reproche à APT28 de la Russie pour les cyberattaques From TV5Monde to Govt: France Blames Russia\\'s APT28 for Cyberattacks (lien direct) |
La France accuse le groupe de piratage de l'APT28 de la Russie (Fancy Bear) de cibler les entités gouvernementales françaises dans une campagne de cyber-espionnage.…
France accuses Russia’s APT28 hacking group (Fancy Bear) of targeting French government entities in a cyber espionage campaign.… |
APT 28 | ★★★★ | |
 |
2025-04-30 08:45:00 | La France claque de la Russie \\'s APT28 pour la campagne de cyber-espionnage de quatre ans France Slams Russia\\'s APT28 for Four-Year Cyber-Espionage Campaign (lien direct) |
Le gouvernement français a critiqué le groupe APT28 de la Russie pour avoir attaqué 12 entités dans une campagne d'espionnage de longue date
The French government has criticized Russia\'s APT28 group for attacking 12 entities in a long-running espionage campaign |
APT 28 | ★★★★ | |
 |
2025-04-30 00:00:00 | Cybersécurité : qu\'est-ce qu\'APT28, que la France attribue officiellement à la Russie ? (lien direct) | Le Gouvernement associe désormais ouvertement le mode opératoire APT28 au renseignement militaire russe. Nombre d'autres pays l'avaient fait auparavant. | APT 28 | ★★★★ | |
 |
2025-04-29 16:52:25 | La France blâme les renseignements militaires russes pour des années de cyberattaques sur les entités locales France blames Russian military intelligence for years of cyberattacks on local entities (lien direct) |
Dans une rare attribution publique, le ministère français des Affaires étrangères a déclaré mardi qu'elle "condamne les plus fortes termes possibles" les actions de l'acteur de menace lié à GRU connu sous le nom d'APT28 pour les attaques contre les entités locales.
In a rare public attribution, the French foreign ministry said on Tuesday it “condemns in the strongest possible terms” the actions of the GRU-linked threat actor known as APT28 for attacks against local entities. |
Threat | APT 28 | ★★★★ |
 |
2025-04-17 10:31:17 | Autour du monde en 90 jours: les acteurs parrainés par l'État essaient Clickfix Around the World in 90 Days: State-Sponsored Actors Try ClickFix (lien direct) |
Conclusions clés Alors que principalement une technique affiliée à des acteurs cybercrimins, les chercheurs de ProofPoint ont découvert des acteurs parrainés par l'État dans plusieurs campagnes en utilisant la technique d'ingénierie sociale ClickFix pour la première fois. Sur seulement une période de trois mois de la fin de 2024 au début de 2025, des groupes de Corée du Nord, d'Iran et de Russie ont tous été vus en utilisant la technique Clickfix dans leur activité de routine. L'incorporation de ClickFix ne révolutionne pas les campagnes réalisées par TA427, TA450, UNK_Remooterogue et TA422 mais remplace plutôt les étapes d'installation et d'exécution dans les chaînes d'infection existantes. Bien que actuellement limité à quelques groupes parrainés par l'État, la popularité croissante du fixe de clics dans la cybercriminalité au cours de la dernière année ainsi que dans les campagnes d'espionnage au cours des derniers mois suggère que la technique sera probablement plus testée ou adoptée par des acteurs parrainés par l'État. Aperçu Une tendance majeure dans le paysage des menaces est la fluidité des tactiques, des techniques et des procédures (TTPS). Les acteurs de menace partagent, copiernt, voler, adopter et tester les TTP de la métier exposée publiquement ou l'interaction avec d'autres groupes de menaces. Plus précisément, les acteurs parrainés par l'État ont souvent mis à profit les techniques développées et déployées pour la première fois par des acteurs cybercriminaux. Par exemple, les acteurs de la menace nord-coréenne copiant les techniques de la cybercriminalité pour voler la crypto-monnaie au nom du gouvernement, ou des groupes chinois imitant les chaînes d'infection de cybercriminalité pour livrer des logiciels malveillants dans les opérations d'espionnage. L'exemple le plus récent de cette tendance est Clickfix. ClickFix est une technique d'ingénierie sociale qui utilise des boîtes de dialogue avec des instructions pour copier, coller et exécuter des commandes malveillantes sur la machine Target \\. Cette technique créative utilise non seulement de faux messages d'erreur comme problème, mais aussi une alerte faisant autorité et des instructions provenant du système d'exploitation en tant que solution. Principalement observé dans l'activité de la cybercriminalité, la technique Clickfix a été vue pour la première fois début mars 2024 déployé par le courtier d'accès initial TA571 et le cluster Clearfake, après quoi il a inondé le paysage des menaces. Un an plus tard, au moins quatre acteurs de menaces parrainés par l'État ont depuis expérimenté des variations de cette technique dans le cadre de leurs campagnes d'espionnage habituées. Sur environ trois mois d'octobre 2024 à janvier 2025, les acteurs de la menace provenant de trois pays distincts (Corée du Nord, Iran et Russie) ont incorporé Clickfix comme étape de leurs chaînes d'infection. Corée du Nord: TA427 En janvier et février 2025, ProofPoint a d'abord observé les opérateurs TA427 ciblant les individus dans moins de cinq organisations dans le secteur des ateliers avec une nouvelle chaîne d'infection en utilisant la technique ClickFix. Ta427 chevauche avec des tiers de l'activité appelée kimsuky ou grésil émeraude. TA427 a établi un contact initial avec l'objectif grâce à une demande de réunion d'un expéditeur usurpé livré aux cibles traditionnelles TA427 travaillant sur les affaires nord-coréennes. Après une brève conversation pour engager la cible et renforcer la confiance, comme on le voit souvent dans l'activité TA427, les attaquants ont dirigé la cible vers un site contrôlé par l'attaquant où ils ont convaincu la cible d'exécuter une commande PowerShell. Bien qu'une chaîne n'ait pas réussi à récupérer d'autres charges utiles, une autre instance de cette campagne comprenait une chaîne à plusieurs étages qui a exécuté PowerShell, VBS et les scripts par lots, ce qui a finalement conduit à une charge utile finale - Quasarrat | Malware Tool Vulnerability Threat Prediction Cloud | APT 28 | ★★★ |
 |
2025-01-14 14:40:00 | Russian-Linked Hackers Target Kazakhstan in Espionage Campaign with HATVIBE Malware (lien direct) | Russia-linked threat actors have been attributed to an ongoing cyber espionage campaign targeting Kazakhstan as part of the Kremlin\'s efforts to gather economic and political intelligence in Central Asia.
The campaign has been assessed to be the work of an intrusion set dubbed UAC-0063, which likely shares overlap with APT28, a nation-state group affiliated with Russia\'s General Staff Main
Russia-linked threat actors have been attributed to an ongoing cyber espionage campaign targeting Kazakhstan as part of the Kremlin\'s efforts to gather economic and political intelligence in Central Asia. The campaign has been assessed to be the work of an intrusion set dubbed UAC-0063, which likely shares overlap with APT28, a nation-state group affiliated with Russia\'s General Staff Main |
Malware Threat | APT 28 | ★★★ |
 |
2025-01-13 21:41:42 | Fancy Bear spotted using real Kazak government documents in spearpishing campaign (lien direct) | >The malware-laced files include draft versions of diplomatic statements, correspondence letters, internal administrative notes and other documents.
>The malware-laced files include draft versions of diplomatic statements, correspondence letters, internal administrative notes and other documents. |
APT 28 | ★★★ | |
 |
2025-01-13 08:25:11 | Double-Tap Campaign : Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations (lien direct) | >This report was originally published for our customers on 12 December 2024. Introduction On Wednesday, 27 November 2024, Russian President Putin was on a 2-day state visit in Kazakhstan to discuss with local representatives the implementation of energy projects and to counter Chinese and Western influence. Putin said he was visiting his “true ally”, yet […]
La publication suivante Double-Tap Campaign : Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations est un article de Sekoia.io Blog.
>This report was originally published for our customers on 12 December 2024. Introduction On Wednesday, 27 November 2024, Russian President Putin was on a 2-day state visit in Kazakhstan to discuss with local representatives the implementation of energy projects and to counter Chinese and Western influence. Putin said he was visiting his “true ally”, yet […] La publication suivante Double-Tap Campaign : Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations est un article de Sekoia.io Blog. |
APT 28 | ★★★ | |
 |
2024-11-25 18:18:12 | Fancy Bear \\'Nearest Neighbor\\' Attack Uses Nearby Wi-Fi Network (lien direct) | In a "new class of attack," the Russian APT breached a target in Washington, DC, by credential-stuffing wireless networks in close proximity to it and daisy-chaining a vector together in a resourceful and creative way, according to researchers.
In a "new class of attack," the Russian APT breached a target in Washington, DC, by credential-stuffing wireless networks in close proximity to it and daisy-chaining a vector together in a resourceful and creative way, according to researchers. |
APT 28 | ★★ | |
 |
2024-11-23 02:03:27 | Spies hack Wi-Fi networks in far-off land to launch attack on target next door (lien direct) | “Nearest Neighbor Attack” finally lets Russia\'s Fancy Bear into target\'s Wi-Fi network.
“Nearest Neighbor Attack” finally lets Russia\'s Fancy Bear into target\'s Wi-Fi network. |
Hack | APT 28 | ★★ |
|
2024-11-22 17:36:00 | Russian Hackers Deploy HATVIBE and CHERRYSPY Malware Across Europe and Asia (lien direct) | Threat actors with ties to Russia have been linked to a cyber espionage campaign aimed at organizations in Central Asia, East Asia, and Europe.
Recorded Future\'s Insikt Group, which has assigned the activity cluster the name TAG-110, said it overlaps with a threat group tracked by the Computer Emergency Response Team of Ukraine (CERT-UA) as UAC-0063, which, in turn, overlaps with APT28. The
Threat actors with ties to Russia have been linked to a cyber espionage campaign aimed at organizations in Central Asia, East Asia, and Europe. Recorded Future\'s Insikt Group, which has assigned the activity cluster the name TAG-110, said it overlaps with a threat group tracked by the Computer Emergency Response Team of Ukraine (CERT-UA) as UAC-0063, which, in turn, overlaps with APT28. The |
Malware Threat | APT 28 | ★★ |
 |
2024-11-22 14:33:54 | Hackers breach US firm over Wi-Fi from Russia in \\'Nearest Neighbor Attack\\' (lien direct) | Russian state hackers APT28 (Fancy Bear/Forest Blizzard/Sofacy) breached a U.S. company through its enterprise WiFi network while being thousands of miles away, by leveraging a novel technique called "nearest neighbor attack." [...]
Russian state hackers APT28 (Fancy Bear/Forest Blizzard/Sofacy) breached a U.S. company through its enterprise WiFi network while being thousands of miles away, by leveraging a novel technique called "nearest neighbor attack." [...] |
APT 28 | ★★★★ | |
 |
2024-11-22 12:03:48 | Russian Spies Jumped From One Network to Another Via Wi-Fi in an Unprecedented Hack (lien direct) | In a first, Russia\'s APT28 hacking group appears to have remotely breached the Wi-Fi of an espionage target by hijacking a laptop in another building across the street.
In a first, Russia\'s APT28 hacking group appears to have remotely breached the Wi-Fi of an espionage target by hijacking a laptop in another building across the street. |
Hack | APT 28 | ★★★ |
 |
2024-11-04 12:25:16 | Faits saillants hebdomadaires d'osint, 4 novembre 2024 Weekly OSINT Highlights, 4 November 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence l'activité de menace parrainée par l'État et la menace cybercriminale, avec divers vecteurs d'attaque et cibles dans les secteurs.Des acteurs apt en Corée du Nord, en Chine et en Russie ont mené des campagnes ciblées de phishing, de réseau et de campagnes de logiciels malveillants.Les groupes nord-coréens et russes ont favorisé les tactiques de vol d'identification et de ransomwares ciblant les secteurs du gouvernement aux militaires, tandis que les acteurs chinois ont exploité les vulnérabilités de pare-feu pour obtenir un accès à long terme dans les secteurs à enjeux élevés.Pendant ce temps, les cybercriminels ont mis à profit l'ingénierie sociale, le Vishing et l'IoT et les vulnérabilités de plugin pour infiltrer les environnements cloud, les appareils IoT et les systèmes Android.L'accent mis sur l'exploitation des vulnérabilités de logiciels populaires et des plateformes Web souligne l'adaptabilité de ces acteurs de menace à mesure qu'ils étendent leur portée d'attaque, en particulier dans l'utilisation des stratégies de cloud, de virtualisation et de cryptomiminage dans une gamme d'industries. ## Description 1. [Jumpy Poisses Ransomware Collaboration] (https://sip.security.microsoft.com/intel-explorer/articles/393b61a9): l'unité 42 a rapporté la Corée du Nord \'s Jucky Pisse (Onyx Sleet) en partenariat avec Play Ransomware in \'s Jumpy Pisses (ONYX Sleet) en partenariat avec Play Ransomware dans Play Ransomware in Jumpy Pisses (ONYX Sleet)Une attaque à motivation financière ciblant les organisations non spécifiées.L'acteur de menace a utilisé des outils comme Sliver, Dtrack et Psexec pour gagner de la persistance et dégénérerPrivilèges, se terminant par le déploiement des ransomwares de jeu. 1. [Menaces chinoises ciblant les pare-feu] (https://sip.security.microsoft.com/intel-Explorateur / articles / 798C0FDB): Sophos X-OPS a identifié des groupes basés en Chine comme Volt Typhoon, APT31 et APT41 exploitant des pare-feu pour accéderPacifique.Ces groupes utilisent des techniques sophistiquées telles que les rootkits de vie et multiplateforme. 1. [Campagne de phishing sur la plate-forme Naver] (https://sip.security.microsoft.com/intel-explorer/articles/dfee0ab5): les acteurs liés au nord-coréen ont lancé une campagne de phishing ciblant la Corée du Sud \'s Naver, tentantPour voler des informations d'identification de connexion via plusieurs domaines de phishing.L'infrastructure, avec les modifications du certificat SSL et les capacités de suivi, s'aligne sur Kimsuky (Emerald Sleet), connu pour ses tactiques de vol d'identification. 1. [FAKECALL Vishing malware sur Android] (https://sip.security.microsoft.com/intel-explorer/articles/d94c18b0): les chercheurs de Zimperium ont identifié des techniques de vitesses de malware FAKECALT pour voler les utilisateurs de l'Android.Le malware intercepte les appels et imite le numéroteur d'Android \\, permettant aux attaquants de tromper les utilisateurs pour divulguer des informations sensibles. 1. [Facebook Business Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/82b49ffd): Cisco Talos a détecté une attaque de phishing ciblant les comptes commerciaux Facebook à Taiwan, en utilisant des avis juridiques comme leurre.Lummac2 et les logiciels malveillants de volée des informations de Rhadamanthys ont été intégrés dans des fichiers RAR, collectionner des informations d'identification du système et éluder la détection par l'obscurcissement et l'injection de processus. 1. [Vulnérabilité des caches litres de LiteSpeed] (https://sip.security.microsoft.com/intel-explorer/articles/a85b69db): le défaut du plugin de cache LiteSpeets (CVE-2024-50550) pourrait permettre une escalale de privilège à un niveau de privilège à plus de six millions pour plus de six millionssites.Les vulnérabilités exploitées ont permis aux attaquants de télécharger des plugins ma | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Medical Cloud Technical | APT 41 APT 28 APT 31 Guam | ★★★ |
 |
2024-11-01 19:39:00 | Ngioweb reste actif 7 ans plus tard Ngioweb Remains Active 7 Years Later (lien direct) |
Executive Summary Seven years after its first appearance, the proxy server botnet Ngioweb continues its impactful presence on the internet with barely any relevant changes in its original code. Threat actors have continued to actively use Nbioweb extensively to scan for vulnerable devices (including a new arsenal of exploits) which can be turned into new proxies. All infected systems are then sold in the black market for pennies as residential proxies via Nsocks. Key Takeaways: Nsocks offers 30,000 IPs globally and sells them for prices under $1.50 for 24hours of access. The main targets are residential ISP users, representing more than 75% of the infected users. The threat actors behind Ngioweb are using dedicated scanners per vulnerability/device to avoid exposing their whole arsenal. Linear eMerge, Zyxel routers, and Neato vacuums are some of the most targeted devices, but there are many other routers, cameras, and access control systems being targeted. Ngioweb Background In August 2018, Check Point published a report and deep analysis on a new multifunctional proxy server botnet named Ngioweb. The proxy service was being loaded by the banking malware family Ramnit. In their report, Check Point reported that the first sample was observed in the second half of 2017. After the publication of that initial report, additional articles were released. Netlab wrote two blogs that took a deep-dive into the available Ngioweb samples, describing the domain generating algorithm (DGA), communication protocols, command and control (C&C) infrastructure, exploited CVEs for D-Link and Netgear devices, its updated features, and more. For details on the nature of Ngioweb, read Netlab’s blog which includes coverage that remains valid today.[t1] [PA2] Most recently, in 2024 TrendMicro reported how cybercriminals and nation states are leveraging residential proxy providers to perform malicious actions. For example, one of these nation-state actors, Pawn Storm, had been using a network of hundreds of small office and home office (SOHO) routers through January 2024, when the FBI neutralized part of the botnet. During TrendMicro’s investigation of several EdgeOS infected systems, they identified that in addition to Pawn Storm, the Canadian Pharmacy gang and a threat actor using Ngioweb malware were also abusing the infected device. Malware Analysis This last spring 2024, LevelBlue Labs identified scanning activity on vulnerable devices and those devices were carrying Ngioweb as the delivered payload. Depending on the targeted system, the exploit used a downloader for several CPU architectures or directly contained the specific payload for the targeted system. One of the samples obtained during 2024 (be285b77211d1a33b7ae1665623a9526f58219e20a685b6548bc2d8e857b6b44) allowed LevelBlue Labs to determine that the Ngioweb trojan our researchers identified works very similarly to how Ngioweb worked in 2019, with only a few, slight modifications to Ngioweb’s original code added to elude detections or nosy security researchers. DGA domains Domain generation algorithms (DGA) aren’t new to Ngioweb (they have been identified as present in previous reports, specifically when Netlab sinkholed several domains). The Ngioweb sample LevelBlue Labs analyzed uses a very similar algorithm to those that have been identified in the past. The DGA selects domains from a pool of thousands, depending on the malware configurations, and it will then start trying to connect to all of them until it finds a resolving domain. However, in an attempt to avoid the first stage C&C being sinkholed by researchers, the threat actors using the sample LevelBlue Labs analyzed have included a sanity check. All active C&C communications carry a unique and encrypted TXT response that acts as a signature of its authenticity. This response carries | Malware Vulnerability Threat Mobile Technical | APT 28 | ★★★ |
|
2024-10-28 12:22:25 | Cyberattack UAC-0001 (APT28): Commande PowerShell dans le presse-papiers comme "point d'entrée" Cyberattack UAC-0001 (APT28): PowerShell command in the clipboard as an "entry point" (lien direct) |
#### Géolocations ciblées - Ukraine #### Industries ciblées - agences et services gouvernementaux ## Instantané L'équipe gouvernementale d'intervention d'urgence informatique d'Ukraine (CER-UA) enquête sur les e-mails de phishing ciblant les gouvernements locaux ukrainiens, déguisé par le "remplacement de la table" du sujet et contenant un lien malveillant imitant les feuilles de Google.Cette activité, qui tire parti de l'ingénierie sociale et du PowerShell pour voler des informations d'identification et déployer Metasploit, est probablement liée à l'acteur de menace russe APT28, suivi par Microsoft comme [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/ DD75F93B2A771C9510DCEEC817B9D34D868C2D1353D08C8C1647DE067270FDF8). ## Description En cliquant sur le lien dans l'e-mail, les utilisateurs sont présentés avec une fausse invite Recaptcha.Suivant les instructions de l'invite \\ lance une commande PowerShell qui télécharge et exécute des fichiers permettant un tunneling SSH, un vol d'identification du navigateur (de Chrome, Edge, Opera, Firefox) et le déploiement Metasploit sur la machine compromise. CERT-UA note un incident connexe en septembre 2024, où [les attaquants ont exploité une vulnérabilité du cube rond] (https://sip.security.microsoft.com/intel-explorer/articles/7c0b1160) ([CVE-2023-43770] (https: //sip.security.microsoft.com/intel-explorer/cves/cve-2023-43770/)) pour intercepter les données de messagerie et rediriger les boîtes aux lettres vers l'adresse de l'attaquant \\.Les deux attaques ont utilisé un serveur compromis, "Mail.zhblz \ [. \] Com", et plus de 10 comptes de messagerie gouvernementaux ont été compromis et surveillés par les attaquants pour répandre les exploits, atteignant même les services de défense à l'étranger. ## Analyse Microsoft et contexte OSINT supplémentaire Le groupe Microsoft suit en tant que Forest Blizzard (Strontium) est un acteur de menace parrainé par l'État russe qui cible principalement le gouvernement, l'énergie, les transports et les organisations non gouvernementales aux États-Unis, en Europe et au Moyen-Orient.Microsoft a également observé Forest Blizzard (Strontium) ciblant les médias, les technologies de l'information, les organisations sportives et les établissements d'enseignement du monde entier.Les «gouvernements des États-Unis et du Royaume-Uni] (https://media.defense.gov/2021/jul/01/2002753896/-1/-1/1/csa_gru_global_brute_force_campaign_uoo158036-21.pdf) ont lié Blizzard forestier (Strontium) to to to to to to to-to to to-to to to-toUnité 26165 de l'Agence de renseignement militaire de la Fédération de Russie: Direction principale du renseignement de l'état-major général des forces armées de la Fédération de Russie (GRU). D'autres chercheurs en sécurité ont également rendu compte des attaquants exploitant une vulnérabilité du cube rond à cibler les gouvernements d'Europe centrale.En octobre, [des chercheurs de Positive Technologies identifiés] (https: //sip.security.microsoft.com/intel-explorer/articles/7c0b1160) Une campagne exploitant une vulnérabilité de script de sites croisées stockée (XSS) dans le CLI de la femme Web RoundcubeENT, ciblant les organisations gouvernementales dans la région de la CIS.La vulnérabilité, [CVE-2024-37383] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2024-37383/?tid=72F988BF-86F1-41AF-91AB-2D7CD011DB47), AuthorL'exécution du code JavaScript malveillant sur la page RoundCube lorsqu'un e-mail spécialement conçu est ouvert.Positive Technologies n'a pas attribué publiquement l'attaque. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolutio | Ransomware Tool Vulnerability Threat | APT 28 | ★★★★ |
|
2024-10-23 16:34:48 | Faux attachement.Roundcube Mail Server Attacks Exploit CVE-2024-37383 Vulnérabilité. Fake attachment. Roundcube mail server attacks exploit CVE-2024-37383 vulnerability. (lien direct) |
## Instantané Les chercheurs de Positive Technologies ont identifié une campagne exploitant une vulnérabilité de script de script inter-sites stockée (XSS) dans le cube rondeClient du webmail, ciblant les organisations gouvernementales dans la région CIS. ## Description La vulnérabilité, [CVE-2024-37383] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2024-37383/?tid=72F988BF-86F1-41AF-91AB-2D7CD011DB47), AuthorL'exécution du code JavaScript malveillant sur la page RoundCube lorsqu'un e-mail spécialement conçu est ouvert.L'attaque, qui a commencé en juin, implique des e-mails avec une pièce jointe .doc mais pas de contenu visible, contenant une charge utile cachée que le client traite.Ce code JavaScript en charge utile, cocoé par base64 déguisé en valeur "HREF", télécharge un document de leurre tout en injectant simultanément un formulaire de connexion non autorisé dans la page HTML pour demander les informations d'identification Roundcube de l'utilisateur \\.Si l'utilisateur remplit la connexion et le mot de passe, les données sont envoyées à un serveur distant sur "libcdn \ [. \] Org".Les attaquants utilisent également le plugin ManageSieve pour exfiltrer les messages du serveur de messagerie.La vulnérabilité affecte les versions Roundcube plus tôt que 1.5.6 et les versions 1.6 à 1.6.6, avec des correctifs publiés dans les versions 1.5.7 et 1.6.7. ## Analyse Microsoft et contexte OSINT supplémentaire Cet incident suit un modèle de pirates exploitant des défauts XSS en Roundcube pour violer les organisations.Autrement dit, cette exploitation la plus récente n'a pas été attribuée à un acteur de menace spécifique, Roundcube est généralement exploité par les acteurs de l'État-nation en raison de son utilisation élevée au sein des agences gouvernementales.En octobre 2023, CISA a ajouté [CVE-2023-5631] (https://security.microsoft.com/intel-explorer/cves/cve-2023-5631/) à la catalogue Vulnérabilités exploitée connue] (https: //www.cisa.gov/ connu-exploited-fulnerabilities-catalog) après que la vulnérabilité a été identifiée et exploitée par des acteurs de menace, notamment Winter Vivern et APT28 (suivi par Microsoft.com/intel Bzzard] (https://security.microsoft.com/intelfard] (https://security.microsoft.com/intel-Profiles / dd75f93b2a771c9510dceec817b9d34d868c2d1353d08c8c1647de067270fdf8)).Cette vulnérabilité permet à un attaquant distant d'envoyer un e-mail HTML qui contient un document Graphics Vector Graphics (SVG) évolutif, qui exécute ensuite JavaScript arbitraire dans les versions Roundcube avant 1.4.15, 1.5.x avant 1.5.5 et 1.6.x avant 1.6.4De façon similaire, en février 2024, CISA a noté [CVE-2023-43770] (https://security.microsoft.com/intel-explorer/cves/cve-2023-43770/) en tant que vulnérabilité exploitée connue qui a permis à XSS par le texte / Texte /Messages électroniques simples dans les versions Roundcube avant 1.4.14, 1.5.x avant 1.5.4 et 1.6.x avant 1.6.3. ## Recommandations Roundcube recommande aux utilisateurs de mettre à jour leur logiciel pour atténuer l'impact.Plus d'informations sur la mise à jour pour chaque vulnérabilité peuvent être trouvées ci-dessous: - [CVE-2024-37383] (https://www.cve.org/cverecord?id=CVE-2024-37383) - [CVE-2023-43770] (https://www.cve.org/cverecord?id=CVE-2023-43770) - [CVE-2023-5631] (https://www.cve.org/cverecord?id=CVE-2023-5631) ## références [Faux attachement.Les attaques du serveur de courrier rondes exploitent CVE-2024-37383 Vulnérabilité] (https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/fake-attachment-boundcube-mail-server-attadiques-Expoit-Cve-2024-37383-Vulnérabilité).Technologies positives (consultées en 2023-10-23). [CVE-2023-5631] (https://www.cve.org/cverecord?id=CVE-2023-5631).Mitre (consulté en 2023-10-23). [CVE-2023-43770] (https://www.cve.org/cverecord?id=CVE-2023-43770).Mitre (consulté en 2023-10-23). ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La | Vulnerability Threat | APT 28 | ★★★ |
 |
2024-09-10 14:00:00 | Perspectives sur les cyber-menaces ciblant les utilisateurs et les entreprises au Mexique Insights on Cyber Threats Targeting Users and Enterprises in Mexico (lien direct) |
Written by: Aurora Blum, Kelli Vanderlee
Like many countries across the globe, Mexico faces a cyber threat landscape made up of a complex interplay of global and local threats, with threat actors carrying out attempted intrusions into critical sectors of Mexican society. Mexico also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. Threat actors with an array of motivations continue to seek opportunities to exploit the digital infrastructure that Mexicans rely on across all aspects of society. This joint blog brings together our collective understanding of the cyber threat landscape impacting Mexico, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. By sharing our global perspective, especially during today\'s Google for Mexico event, we hope to enable greater resiliency in mitigating these threats. Cyber Espionage Operations Targeting Mexico As the 12th largest economy in the world, Mexico draws attention from cyber espionage actors from multiple nations, with targeting patterns mirroring broader priorities and focus areas that we see elsewhere. Since 2020, cyber espionage groups from more than 10 countries have targeted users in Mexico; however, more than 77% of government-backed phishing activity is concentrated among groups from the People\'s Republic of China (PRC), North Korea, and Russia. 
Figure 1: Government-backed phishing activity targeting Mexico, January 2020 – August 2024
The examples here highlight recent and historical examples where cyber espionage actors have targeted users and organizations in Mexico. It should be noted that these campaigns describe targeting and do not indicate successful compromise or exploitation.
PRC Cyber Espionage Activity Targeting Mexico
Since 2020, we have observed activity from seven cyber espionage groups with links to the PRC targeting users in Mexico, accounting for a third of government-backed phishing activity in the country.
This volume of PRC cyber espionage is similar to activity in other regions where Chinese government investment has been focused, such as countries within China\'s Belt and Road Initiative. In addition to activity targeting Gmail users, PRC-backed groups have targeted Mexican government agencies, higher |
Ransomware Malware Tool Vulnerability Threat Mobile Cloud Commercial | APT 28 | ★★ |
|
2024-08-12 10:35:06 | Faits saillants hebdomadaires, 12 août 2024 Weekly OSINT Highlights, 12 August 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ ont mis en évidence plusieurs tendances clés des menaces de cybersécurité.Les attaques de phishing continuent d'être répandues, observées dans plusieurs campagnes utilisant des e-mails trompeurs et de faux sites Web pour voler des informations d'identification et livrer des logiciels malveillants tels que le trojan bancaire Mispadu.Les logiciels malveillants de volée de l'information restent une menace importante, ciblant des données allant des informations d'identification de la plate-forme Google Cloud aux données utilisateur mobiles à l'aide de logiciels spymétriques Android Lianspy.Des incidents de ransomware tels que DeathGrip et Mallox ont également persisté, reflétant les défis continus dans la défense contre la cybercriminalité axée sur l'extorsion. Plusieurs articles comprenaient un lien russe, allant de la blizzard forestier de la Russie, conduisant l'espionnage contre les agences gouvernementales à une campagne impliquant des logiciels malveillants de Strrat, attribués à l'acteur de menace russe Bloody Wolf.Les groupes parrainés par l'État nord-coréen étaient également actifs, en se concentrant sur l'espionnage et en volant la propriété intellectuelle grâce à des attaques ciblées en chaîne d'approvisionnement et à des mises à jour logicielles trojanisées.L'abus de services légitimes à des fins malveillantes et le développement de logiciels malveillants avancés et polymorphes ont souligné l'évolution de la complexité et de la persistance des cyber-menaces. ## Description 1. [Les pirates d'État nord-coréens ciblent les secrets industriels sud-coréens] (https://sip.security.microsoft.com/intel-explorer/articles/9625c1a0): les groupes de Kimsuky et Andariel de la Corée du Nord ont exploité une vulnérabilité du logiciel VPN VPN \\et a lancé des installateurs trojanisés pour enfreindre les réseaux industriels sud-coréens.Leur objectif était de voler des secrets commerciaux dans les secteurs de la construction et des industriels dans le cadre d'un effort soutenu par l'État pour moderniser les industries nord-coréennes. 2. [URSA / Mispadu Banking Trojan cible des utilisateurs d'espagnol et portugais] (https://sip.security.microsoft.com/intel-explorer/articles/c3a30f3b): une campagne de spam est distribué le Trojan URSA / Mispadu pour voler des informations d'identification.des utilisateurs d'Espagne, du Portugal et du Mexique.La campagne utilise des e-mails urgents sur le thème des factures pour inciter les destinataires à télécharger des logiciels malveillants, entraînant des pertes financières importantes. 3. [La campagne polymorphe des logiciels malveillants cible les utilisateurs de Chrome et Edge] (https://sip.security.microsoft.com/intel-explorer/articles/c437b517): RaisonLabs a identifié une campagne répandue avec force d'installation avec force des extensions de navigation qui volent les données et les mises à jour.La campagne cible les utilisateurs de Chrome et Edge, avec plus de 300 000 infections depuis 2021, exploitant des sites Web de téléchargement pour diffuser les logiciels malveillants. 4. [APT group Actor240524 targeting Azerbaijani and Israeli diplomats:](https://sip.security.microsoft.com/intel-explorer/articles/240524) Researchers at NSFOCUS Security Labs uncovered a sophisticated spear-phishing campaign by the newly identifiedAPT Group Actor240524, en utilisant un programme de Troie nommé Abcloader pour cibler les diplomates azerbaïdjanais et israéliens.La campagne impliquait des techniques avancées comme le chiffrement de l'API et le détournement des composants com, visant à voler SEInformations diplomatiques nsitiques. 5. [DeathGrip Ransomware-As-A-Service étend Cybercrime Reach] (https://sip.security.microsoft.com/intel-exPLORER / Articles / 09d168fd): DeathGrip, une opération Ransomware-as-a-Service, permet aux acteurs de menace moins qualifiés de déployer des ransomwares avancés comme Lockbit 3.0.Le service alimente une a | Ransomware Spam Malware Tool Vulnerability Threat Mobile Industrial Cloud | APT 28 | ★★ |
|
2024-08-05 21:26:54 | Russian APT Fighting Ursa cible les diplomates avec des logiciels malveillants de tête à l'aide de fausses annonces de vente de voitures Russian APT Fighting Ursa Targets Diplomats with HeadLace Malware Using Fake Car Sale Ads (lien direct) |
#### Industries ciblées - agences et services gouvernementaux - Diplomatie / relations internationales ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne probablement attribuée à l'acteur de menace russe combattant Ursa (aka [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/dd75f93b2a71c9510dceec817b9d34d868c2d1353d08c8c1647d868c2d1353d08c8c1647d868c2d1353d08c8c847De067270f. , Apt28, ours fantaisie) qui a utilisé unAPUTER LA VOLAGE DE VENTE comme un leurre pour distribuer les logiciels malveillants de la porte de la tête.La campagne a ciblé les diplomates et a commencé en mars 2024. ## Description Le leurre initial a été hébergé par le service légitime webhook.site et a conduit à la distribution de la page HTML malveillante.Le logiciel malveillant téléchargé, déguisé en publicité automobile, contenait la porte dérobée de la tête, qui a exécuté par étapes pour échapper à la détection.L'attaque s'appuyait fortement sur les services publics et gratuits pour héberger des leurres et diverses étapes de l'attaque.Le code HTML vérifie les ordinateurs Windows et redirige les visiteurs non-Windows vers une image de leurre sur IMGBB.Le code crée ensuite une archive zip à partir du texte Base64, l'offrant pour le téléchargement et la tentative de l'ouvrir avec la fonction javascript click ().L'archive zip téléchargée contient un fichier avec une double extension de .jpg.exe, qui est une copie du fichier de calculatrice de Windows légitime que Calc.exe a utilisé pour mettre à côté le fichier DLL inclus WindowsCodecs.dll, un composant de la porte arrière de la tête. La lutte contre l'Ursa est connue pour exploiter continuellement des vulnérabilités connues même après que leur couverture a été soufflée.L'infrastructure du groupe \\ évolue constamment, et il devrait continuer à utiliser des services Web légitimes dans son infrastructure d'attaque. ## Analyse Microsoft Cette tactique de l'utilisation de leurres de phishing diplomatique de voitures diplomatiques a été précédemment observée avec d'autres groupes de menaces russes.En septembre 2023, Microsoft Threat Intelligence a observé probablement [Midnight Blizzard]. 831] (https://sip.security.Microsoft.com/intel-explorer/cves/cve-2023-38831/description) Vulnérabilité dans Rarlabs Winrar pour cibler les réseaux de plus de 40 organisations diplomatiques et intergouvernementales (IGO).Les acteurs de la menace ont envoyé des courriels de phishing de lance avec des archives zippées malveillantes, demandant aux destinataires d'ouvrir la pièce jointe pour voir les détails d'une voiture diplomatique à vendre.Lire la suite [ici] (https://sip.security.microsoft.com/intel-explorer/articles/af5bdd1c). ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme malWare: - [Trojan: script / obfuse] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:js/obfuse) - [Trojan: html / phish] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:html/phish) ## Recommandations Investissez dans des solutions avancées et anti-phishing qui surveillent les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble une gestion des incidents et des alertes à travers les e-mails, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentify and Block] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_LearnDoc) sont des sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing. • Exécutez la détection et la | Malware Tool Vulnerability Threat | APT 28 | ★★★★ |
 |
2024-08-05 15:01:41 | Cybercriminalité : Fighting Ursa utilise une annonce de vente de voiture comme leurre (lien direct) | Un acteur malveillant russe, suivi par l'Unit 42 sous le nom de Fighting Ursa, cabinet de conseil et de recherche/réponse aux cyber menaces de Palo Alto Networks, a utilisé une annonce de vente de voiture comme leurre pour distribuer le malware backdoor HeadLace. - Malwares | Malware Threat | APT 28 | ★★★ |
|
2024-08-05 11:38:04 | Russie \\ 'S \\' combattant Ursa \\ 'APT utilise des annonces de voitures pour installer des logiciels malveillants Headlace Russia\\'s \\'Fighting Ursa\\' APT Uses Car Ads to Install HeadLace Malware (lien direct) |
Le programme, du groupe également connu sous le nom d'APT28, consiste à cibler les diplomates d'Europe de l'Est ayant besoin de transport personnel, les tentant avec une bonne affaire sur un SUV Audi Q7 Quattro.
The scheme, from the group also known as APT28, involves targeting Eastern European diplomats in need of personal transportation, tempting them with a purported good deal on a Audi Q7 Quattro SUV. |
Malware | APT 28 | ★★★ |
|
2024-08-02 21:46:00 | APT28 cible les diplomates avec des logiciels malveillants de tête via la vente de phishing APT28 Targets Diplomats with HeadLace Malware via Car Sale Phishing Lure (lien direct) |
Un acteur de menace lié à la Russie a été lié à une nouvelle campagne qui employait une voiture à vendre comme leurre de phishing pour livrer une porte dérobée de fenêtres modulaires appelée Headlace.
"La campagne a probablement ciblé les diplomates et a commencé dès mars 2024", a déclaré l'unité Palo Alto Networks 42 dans un rapport publié aujourd'hui, l'attribuant avec un niveau moyen à élevé de confiance à l'APT28, qui est également appelé
A Russia-linked threat actor has been linked to a new campaign that employed a car for sale as a phishing lure to deliver a modular Windows backdoor called HeadLace. "The campaign likely targeted diplomats and began as early as March 2024," Palo Alto Networks Unit 42 said in a report published today, attributing it with medium to high level of confidence to APT28, which is also referred to as |
Malware Threat | APT 28 | ★★★★ |
|
2024-07-29 10:58:35 | Weekly OSINT Highlights, 29 July 2024 (lien direct) | ## Snapshot Key trends from last week\'s OSINT reporting include novel malware, such as Flame Stealer and FrostyGoop, the compromise of legitimate platforms like Discord and GitHub, and state-sponsored threat actors conducting espionage and destructive attacks. Notable threat actors, including Russian groups, Transparent Tribe, FIN7, and DPRK\'s Andariel, are targeting a wide range of sectors from defense and industrial control systems to financial institutions and research entities. These attacks exploit various vulnerabilities and employ advanced evasion techniques, leveraging both traditional methods and emerging technologies like AI-generated scripts and RDGAs, underscoring the evolving and persistent nature of the cyber threat landscape. ## Description 1. [Widespread Adoption of Flame Stealer](https://sip.security.microsoft.com/intel-explorer/articles/f610f18e): Cyfirma reports Flame Stealer\'s use in stealing Discord tokens and browser credentials. Distributed via Discord and Telegram, this malware targets various platforms, utilizing evasion techniques like DLL side-loading and data exfiltration through Discord webhooks. 2. [ExelaStealer Delivered via PowerShell](https://sip.security.microsoft.com/intel-explorer/articles/5b4a34b0): The SANS Technology Institute Internet Storm Center reported a threat involving ExelaStealer, downloaded from a Russian IP address using a PowerShell script. The script downloads two PE files: a self-extracting RAR archive communicating with "solararbx\[.\]online" and "service.exe," the ExelaStealer malware. The ExelaStealer, developed in Python, uses Discord for C2, conducting reconnaissance activities and gathering system and user details. Comments in Russian in the script and the origin of the IP address suggest a Russian origin. 3. [FrostyGoop Disrupts Heating in Ukraine](https://sip.security.microsoft.com/intel-explorer/articles/cf8f8199): Dragos identified FrostyGoop malware in a cyberattack disrupting heating in Lviv, Ukraine. Linked to Russian groups, the ICS-specific malware exploits vulnerabilities in industrial control systems and communicates using the Modbus TCP protocol. 4. [Rhysida Ransomware Attack on Private School](https://sip.security.microsoft.com/intel-explorer/articles/4cf89ad3): ThreatDown by Malwarebytes identified a Rhysida ransomware attack using a new variant of the Oyster backdoor. The attackers used SEO-poisoned search results to distribute malicious installers masquerading as legitimate software, deploying the Oyster backdoor. 5. [LLMs Used to Generate Malicious Code](https://sip.security.microsoft.com/intel-explorer/articles/96b66de0): Symantec highlights cyberattacks using Large Language Models (LLMs) to generate malware code. Phishing campaigns utilize LLM-generated PowerShell scripts to download payloads like Rhadamanthys and LokiBot, stressing the need for advanced detection against AI-facilitated attacks. 6. [Stargazers Ghost Network Distributes Malware](https://sip.security.microsoft.com/intel-explorer/articles/62a3aa28): Check Point Research uncovers a network of GitHub accounts distributing malware via phishing repositories. The Stargazer Goblin group\'s DaaS operation leverages over 3,000 accounts to spread malware such as Atlantida Stealer and RedLine, targeting both general users and other threat actors. 7. [Crimson RAT Targets Indian Election Results](https://sip.security.microsoft.com/intel-explorer/articles/dfae4887): K7 Labs identified Crimson RAT malware delivered through documents disguised as "Indian Election Results." Transparent Tribe APT, believed to be from Pakistan, targets Indian diplomatic and defense entities using macro-embedded documents to steal credentials. 8. [AsyncRAT Distributed via Weaponized eBooks](https://sip.security.microsoft.com/intel-explorer/articles/e84ee11d): ASEC discovered AsyncRAT malware distributed through weaponized eBooks. Hidden PowerShell scripts within these eBooks trigger the AsyncRAT payload, which uses obfuscation and anti-detection techniques to exfiltrate data. | Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Mobile Industrial Medical | APT 28 APT 36 | ★★ |
|
2024-07-24 08:35:32 | L'Ukraine CERT-UA révèle la cyberattaque du groupe UAC-0063 sur l'institution scientifique, liée à l'APT28 russe Ukraine CERT-UA reveals cyberattack by UAC-0063 group on scientific institution, linked to Russian APT28 (lien direct) |
> L'Ukraine Computer Emergency Response Team (CERT-UA) a révélé des informations sur une cyberattaque réalisée par le groupe UAC-0063, qui ...
>The Ukraine Computer Emergency Response Team (CERT-UA) disclosed information about a cyberattack conducted by the UAC-0063 group, which... |
APT 28 | ★★★ | |
|
2024-07-23 20:53:33 | (Déjà vu) UAC-0063 Attaque des institutions de recherche en Ukraine: Hatvibe + Cherryspy + CVE-2024-23692 UAC-0063 attacks research institutions in Ukraine: HATVIBE + CHERRYSPY + CVE-2024-23692 (lien direct) |
#### Targeted Geolocations - Ukraine ## Snapshot The Computer Emergency Response Team of Ukraine (CERT-UA) released reporting on an attack by UAC-0063 against a research institution in Ukraine perpetrated in July 2024. ## Description The attackers accessed an employee\'s email account and sent a compromised email with a macro-embedded document to multiple recipients. When opened, this document created and executed another document and scheduled a task to run the HATVIBE malware. The attackers then used remote control to download a Python interpreter and the CHERRYSPY malware to the victim\'s computer. UAC-0063, linked to the Russian APT28 group, was also detected using a similar attack vector in Armenia. In June 2024, the group exploited a vulnerability in the HFS HTTP File Server ([CVE-2024-23692](https://security.microsoft.com/intel-explorer/cves/CVE-2024-23692/)) to install the HATVIBE backdoor, demonstrating their use of varied initial compromise methods. The attack succeeded due to the institution\'s lack of two-factor authentication, admin privileges for user accounts, and insufficient security policies to block macros and specific executables. ## Additional Analysis Both CHERRYSPY and HATVIBE have previously been used by UAC-0063 to target Ukranian organizations. [In April 2023](https://cert.gov.ua/article/4697016?fbclid=IwAR1B5gj0v-Ve9Q5299ydM5lrInLuKVmvPRosQkUucq6YzcjuTgVnM_x3LjQ), the threat group sent spear-phishing emails to government organizations in Ukraine, likely from the previously compromised email of the Embassy of Tajikistan. ## Recommendations Microsoft recommends the implementation multifactor authentication (MFA) to reduce the impact of this threat and mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate [conditional access](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview?ocid=magicti_ta_learndoc) policies. Conditional access policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office 365](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdo?ocid=magicti_ta_learndoc) brings together incident and alert management across email, devices, and identities, centralizing investigations for threats in email. Organizations can also leverage web browsers that automatically identify and block malicious websites, including those used in this phishing campaign. To build resilience against phishing attacks in general, organizations can use [anti-phishing policies](https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-policies-about?view=o365-worldwide) to enable mailbox intelligence settings, as well as configure impersonation protection settings for specific messages and sender domains. Enabling [SafeLinks](https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?view=o365-worldwide) ensures real-time protection by scanning at time of delivery and at time of click. - Monitor for suspicious or anomalous activities, and search for sign-in attempts with suspicious characteristics (for example location, internet service provider \[ISP\], user agent, and use of anonymizer services). Activity can be identified and investigated with [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-xdr/microsoft-365-security-center-mdi?ocid=magicti_ta_learndoc), which contributes identity-focus | Malware Vulnerability Threat | APT 28 | ★★★ |
|
2024-07-08 14:00:00 | Enhardi et évolutif: un instantané des cyber-menaces auxquelles l'OTAN est confrontée à l'OTAN Emboldened and Evolving: A Snapshot of Cyber Threats Facing NATO (lien direct) |
Written by: John Hultquist
As North Atlantic Treaty Organization (NATO) members and partners gather for a historic summit, it is important to take stock of one of its most pressing challenges-the cyber threat. The Alliance faces a barrage of malicious cyber activity from all over the globe, carried out by emboldened state-sponsored actors, hacktivists, and criminals who are willing to cross lines and carry out activity that was previously considered unlikely or inconceivable. In addition to military targets, NATO must consider the risks that hybrid threats like malicious cyber activity pose to hospitals, civil society, and other targets, which could impact resilience in a contingency. The war in Ukraine is undoubtedly linked to escalating cyber threat activity, but many of these threats will continue to grow separately and in parallel. NATO must contend with covert, aggressive malicious cyber actors that are seeking to gather intelligence, preparing to or currently attacking critical infrastructure, and working to undermine the Alliance with elaborate disinformation schemes. In order to protect its customers and clients, Google is closely tracking cyber threats, including those highlighted in this report; however, this is just a glimpse at a much larger and evolving landscape. Cyber Espionage NATO\'s adversaries have long sought to leverage cyber espionage to develop insight into the political, diplomatic, and military disposition of the Alliance and to steal its defense technologies and economic secrets. However, intelligence on the Alliance in the coming months will be of heightened importance. This year\'s summit is a transition period, with the appointment of Mark Rutte as the new Secretary General and a number of adaptations expected to be rolled out to shore up the Alliance\'s defense posture and its long-term support for Ukraine. Successful cyber espionage from threat actors could potentially undermine the Alliance\'s strategic advantage and inform adversary leadership on how to anticipate and counteract NATO\'s initiatives and investments. NATO is targeted by cyber espionage activity from actors around the world with varying capabilities. Many still rely on technically simple but operationally effective methods, like social engineering. Others have evolved and elevated their tradecraft to levels that distinguish themselves as formidable adversaries for even the most experienced defenders. APT29 (ICECAP) Publicly attributed to the Russian Foreign Intelligence Services (SVR) by several governments, APT29 is heavily focused on diplomatic and political intelligence collection, principally targeting Europe and NATO member states. APT29 has been involved in multiple high-profile breaches of technology firms that were designed to provide access to the public sector. In the past year, Mandiant has observed APT29 targeting technology companies and IT service providers in NATO member countries to facilitate third-party and software supply chain compromises of government and poli |
Ransomware Malware Tool Vulnerability Threat Legislation Medical Cloud Technical | APT 29 APT 28 | ★★★ |
|
2024-06-12 14:00:00 | Aperçu sur les cyber-menaces ciblant les utilisateurs et les entreprises au Brésil Insights on Cyber Threats Targeting Users and Enterprises in Brazil (lien direct) |
Written by: Kristen Dennesen, Luke McNamara, Dmitrij Lenz, Adam Weidemann, Aline Bueno
Individuals and organizations in Brazil face a unique cyber threat landscape because it is a complex interplay of global and local threats, posing significant risks to individuals, organizations, and critical sectors of Brazilian society. Many of the cyber espionage threat actors that are prolific in campaigns across the globe are also active in carrying out attempted intrusions into critical sectors of Brazilian society. Brazil also faces threats posed by the worldwide increase in multifaceted extortion, as ransomware and data theft continue to rise. At the same time, the threat landscape in Brazil is shaped by a domestic cybercriminal market, where threat actors coordinate to carry out account takeovers, conduct carding and fraud, deploy banking malware and facilitate other cyber threats targeting Brazilians. The rise of the Global South, with Brazil at the forefront, marks a significant shift in the geopolitical landscape; one that extends into the cyber realm. As Brazil\'s influence grows, so does its digital footprint, making it an increasingly attractive target for cyber threats originating from both global and domestic actors. This blog post brings together Google\'s collective understanding of the Brazilian threat landscape, combining insights from Google\'s Threat Analysis Group (TAG) and Mandiant\'s frontline intelligence. As Brazil\'s economic and geopolitical role in global affairs continues to rise, threat actors from an array of motivations will further seek opportunities to exploit the digital infrastructure that Brazilians rely upon across all aspects of society. By sharing our global perspective, we hope to enable greater resiliency in mitigating these threats. Google uses the results of our research to improve the safety and security of our products, making them secure by default. Chrome OS has built-in and proactive security to protect from ransomware, and there have been no reported ransomware attacks ever on any business, education, or consumer Chrome OS device. Google security teams continuously monitor for new threat activity, and all identified websites and domains are added to Safe Browsing to protect users from further exploitation. We deploy and constantly update Android detections to protect users\' devices and prevent malicious actors from publishing malware to the Google Play Store. We send targeted Gmail and Workspace users government-backed attacker alerts, notifying them of the activity and encouraging potential targets to enable Enhanced Safe Browsing for Chrome and ensure that all devices are updated. Cyber Espionage Operations Targeting Brazil Brazil\'s status as a globally influential power and the largest economy in South America have drawn attention from c |
Ransomware Spam Malware Tool Vulnerability Threat Mobile Medical Cloud Technical | APT 28 | ★★ |
 |
2024-06-03 08:02:06 | APT28 : À la découverte du nouvel arsenal de Forest Blizzard (lien direct) | >En bref : Le groupe de cyberespionnage Forest Blizzard est attribué au GRU (l\'agence de renseignement militaire russe).Forest Blizzard est également connu sous ses nombreux pseudonymes : APT 28, Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta et STRONTIUM.Forest Blizzard est connu pour faire évoluer constamment ses tactiques, développer des outils personnalisés (comme GooseEgg) et [...]
>En bref : Le groupe de cyberespionnage Forest Blizzard est attribué au GRU (l\'agence de renseignement militaire russe).Forest Blizzard est également connu sous ses nombreux pseudonymes : APT 28, Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta et STRONTIUM.Forest Blizzard est connu pour faire évoluer constamment ses tactiques, développer des outils personnalisés (comme GooseEgg) et [...] |
Tool | APT 28 | ★★ |
|
2024-05-31 15:40:00 | Les pirates russes ciblent l'Europe avec des logiciels malveillants de tête et la récolte d'identification Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting (lien direct) |
L'acteur de menace russe soutenu par GRU APT28 a été attribué comme derrière une série de campagnes ciblant les réseaux à travers l'Europe avec les logiciels malveillants de tête et les pages Web de récolte des informations d'identification.
APT28, également connu sous les noms Bledelta, Fancy Bear, Forest Blizzard, Frozenlake, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy et TA422, est un groupe avancé de menace persistante (APT) affiliée à
The Russian GRU-backed threat actor APT28 has been attributed as behind a series of campaigns targeting networks across Europe with the HeadLace malware and credential-harvesting web pages. APT28, also known by the names BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, and TA422, is an advanced persistent threat (APT) group affiliated with |
Malware Threat | APT 28 | ★★★ |
|
2024-05-09 20:50:00 | APT28 soutenu par le Kremlin cible les institutions polonaises dans une campagne de logiciels malveillants à grande échelle Kremlin-Backed APT28 Targets Polish Institutions in Large-Scale Malware Campaign (lien direct) |
Les institutions gouvernementales polonaises ont été ciblées dans le cadre d'une campagne de logiciels malveillants à grande échelle orchestrée par un acteur de l'État-nation lié à la Russie appelée & NBSP; APT28.
"La campagne a envoyé des e-mails avec du contenu destiné à susciter l'intérêt du destinataire et à le persuader de cliquer sur le lien", l'équipe d'intervention d'urgence de l'ordinateur, le cert Polska, & nbsp; a dit & nbsp; dans un bulletin du mercredi.
Cliquez sur le lien
Polish government institutions have been targeted as part of a large-scale malware campaign orchestrated by a Russia-linked nation-state actor called APT28. "The campaign sent emails with content intended to arouse the recipient\'s interest and persuade him to click on the link," the computer emergency response team, CERT Polska, said in a Wednesday bulletin. Clicking on the link |
Malware | APT 28 | ★★★ |
|
2024-05-08 12:53:05 | Lorsque les cyberattaques menacent la démocratie Wenn Cyberangriffe die Demokratie bedrohen (lien direct) |
Les enquêtes ont montré que le groupe de pirates russes APT28 (menace persistante avancée) a également appelé Fancy Bear, Forest Blizzard ou Pawn Storm, derrière les cyberattaques contre les comptes de messagerie du SPD en janvier 2023.
-
rapports spéciaux
/ /
affiche
Ermittlungen haben ergeben, dass die russische Hackergruppe APT28 (Advanced Persistent Threat) auch Fancy Bear, Forest Blizzard oder Pawn Storm genannt, hinter den Cyberangriffen auf E-Mail-Konten der SPD im Januar 2023 steckt. - Sonderberichte / affiche |
APT 28 | ★★★ | |
 |
2024-05-06 11:21:36 | 6 mai & # 8211;Rapport de renseignement sur les menaces 6th May – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations dans une déclaration conjointe avec l'Allemagne et l'OTAN, la République tchèque a découvert une campagne de cyber-espionnage par l'acteur affilié à l'État russe APT28.Ces cyberattaques ont ciblé les institutions tchèques utilisant une nouvelle vulnérabilité dans Microsoft [& # 8230;]
>For the latest discoveries in cyber research for the week of 29th April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES In a joint statement with Germany and NATO, the Czech Republic uncovered a cyber espionage campaign by Russian state affiliated actor APT28. These cyber-attacks targeted Czech institutions using a new vulnerability in Microsoft […] |
Vulnerability Threat | APT 28 | ★★★ |
|
2024-05-06 11:07:37 | Les pirates russes de l'APT28 exploitent les perspectives de vue pour cibler les organisations tchèques, allemandes et polonaises Russian APT28 hackers exploit Outlook flaw to target Czech, German, Polish organizations (lien direct) |
> La Tchéche conjointement avec l'Allemagne, la Lituanie, la Pologne, la Slovaquie, la Suède, l'Union européenne, l'OTAN et les partenaires internationaux condamnent le ...
>The Czechia jointly with Germany, Lithuania, Poland, Slovakia, Sweden, the European Union, NATO, and international partners condemns the... |
Threat | APT 28 | ★★★★ |
 |
2024-05-05 13:18:36 | Le retour des cyber ours russes dans les affaires politiques mondiales ? (lien direct) | Une cyberattaque a visé plusieurs partis politiques en France, en Allemagne, au Canada, etc. Et si les hackers cachés derrière ces cyberattaques étaient tous à la solde de Fancy Bear, une entité pirate aux ordres du renseignement russe ?... | APT 28 | ★★ | |
 |
2024-05-04 21:52:07 | Les cyberattaques de la Russie contre l'Allemagne condamnées par l'UE et l'OTAN Russia’s cyberattacks against Germany condemned by EU and NATO (lien direct) |
hackers russes ne ralentissent pas dans les cyberattaques.
L'attaque présumée s'est produite contre le Parti social-démocrate (SPD).Leurs comptes de messagerie ont été compromis dans l'attaque.
Cette saga de piratage a commencé il y a plus de deux ans pendant la guerre russe-Ukraine et elle a progressivement augmenté au cours du temps.
comment il a commencé
Un groupe appelé APT28, également connu sous le nom de Fancy Bear, qui aurait des liens avec le gouvernement russe, a été accusé d'avoir fait de nombreuses cyberattaques partout dans le monde, y compris en Allemagne et quelques entités tchèques.
Ils ont trouvé un Vulnérabilité Dans Microsoft Outlook et l'utiliser pour entrer dans les e-mails SPD.
La vulnérabilité, un CVE-2023-23397 zéro-jour, est un bogue d'escalade de privilège essentiel dans Outlook qui pourrait permettre aux attaquants d'accéder aux hachages net-ntlmv2, puis de les utiliser pour s'authentifier à l'aide d'une attaque de relais.
Le gouvernement allemand dit que non seulement le SPD mais aussi les entreprises allemandes en défense et en aérospatiale.
Il comprenait également des objectifs de technologie de l'information, ainsi que des choses liées à la guerre en Ukraine.
Ces cyberattaques ont commencé vers mars 2022, après que la Russie ait envahi l'Ukraine.
Le gouvernement allemand a allégué que le service de renseignement militaire de la Russie, Gru, était derrière ces attaques.
Ils ont même convoqué un diplomate russe en réponse à ces accusations.
La Russie a nié les allégations
La Russie a nié les allégations et appelé les accusations comme & # 8220; non fondée et sans fondement & # 8221;.
Le gouvernement dirigé par Poutine a nié des cyber-incidences similaires aux actes parrainés par l'État dans le passé.
L'Occident a été rigide dans son récit de l'implication de la Russie dans les cyberattaques depuis des décennies maintenant.
pas le premier rodéo
Récemment, le ministre australien des Affaires étrangères a rejoint d'autres pays en disant que l'APT28, qui serait lié à la Russie, était derrière certaines cyberattaques.
Ce n'est pas la première fois que les pirates russes sont accusés d'espionnage de l'Allemagne.
En 2020, Angela Merkel, qui était la chancelière de l'Allemagne à l'époque, a accusé la Russie de l'espionner.
Un incident majeur imputé aux pirates russes a été en 2015 lorsqu'ils ont attaqué le Parlement de l'Allemagne, ce qui l'a fait fermer pendant des jours. |
Hack Vulnerability Threat | APT 28 | ★★★ |
|
2024-05-04 14:08:00 | Microsoft Outlook Flaw exploité par Russia \\'s APT28 à pirater les entités tchèques, allemandes Microsoft Outlook Flaw Exploited by Russia\\'s APT28 to Hack Czech, German Entities (lien direct) |
La Tchéche et l'Allemagne ont révélé vendredi qu'ils étaient la cible d'une campagne de cyber-espionnage à long terme menée par l'acteur de l'État-nation lié à la Russie connue sous le nom de & NBSP; APT28, tirant la condamnation de l'Union européenne (E.U.), l'Organisation du traité de l'Atlantique Nord (OTAN), le Royaume-Uni, et les États-Unis
Le ministère des Affaires étrangères de la République tchèque (MFA), dans un communiqué, & nbsp; a dit certains sans nom
Czechia and Germany on Friday revealed that they were the target of a long-term cyber espionage campaign conducted by the Russia-linked nation-state actor known as APT28, drawing condemnation from the European Union (E.U.), the North Atlantic Treaty Organization (NATO), the U.K., and the U.S. The Czech Republic\'s Ministry of Foreign Affairs (MFA), in a statement, said some unnamed |
Hack | APT 28 | ★★★ |
|
2024-05-03 11:47:35 | L'OTAN et l'UE condamnent les cyberattaques de la Russie contre l'Allemagne, la Tchéche NATO and EU condemn Russia\\'s cyberattacks against Germany, Czechia (lien direct) |
L'OTAN et l'Union européenne, avec des partenaires internationaux, ont officiellement condamné une campagne de cyber-espionnage à long terme contre les pays européens menés par le groupe de menaces russes APT28.[...]
NATO and the European Union, with international partners, formally condemned a long-term cyber espionage campaign against European countries conducted by the Russian threat group APT28. [...] |
Threat | APT 28 | ★★★ |
 |
2024-05-01 00:00:00 | Routeur Roulette: Cybercriminaux et États-nations partageant des réseaux compromis Router Roulette: Cybercriminals and Nation-States Sharing Compromised Networks (lien direct) |
Cette entrée de blog vise à mettre en évidence les dangers des routeurs orientés Internet et à exploiter l'exploitation de Pawn Storm \\, complétant le conseil du FBI \\ à partir du 27 février 2024.
This blog entry aims to highlight the dangers of internet-facing routers and elaborate on Pawn Storm\'s exploitation of EdgeRouters, complementing the FBI\'s advisory from February 27, 2024. |
APT 28 | ★★★ | |
|
2024-04-25 10:00:00 | Pole Voûte: cyber-menaces aux élections mondiales Poll Vaulting: Cyber Threats to Global Elections (lien direct) |
Written by: Kelli Vanderlee, Jamie Collier
Executive Summary The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats. Elections attract threat activity from a variety of threat actors including: state-sponsored actors, cyber criminals, hacktivists, insiders, and information operations as-a-service entities. Mandiant assesses with high confidence that state-sponsored actors pose the most serious cybersecurity risk to elections. Operations targeting election-related infrastructure can combine cyber intrusion activity, disruptive and destructive capabilities, and information operations, which include elements of public-facing advertisement and amplification of threat activity claims. Successful targeting does not automatically translate to high impact. Many threat actors have struggled to influence or achieve significant effects, despite their best efforts. When we look across the globe we find that the attack surface of an election involves a wide variety of entities beyond voting machines and voter registries. In fact, our observations of past cycles indicate that cyber operations target the major players involved in campaigning, political parties, news and social media more frequently than actual election infrastructure. Securing elections requires a comprehensive understanding of many types of threats and tactics, from distributed denial of service (DDoS) to data theft to deepfakes, that are likely to impact elections in 2024. It is vital to understand the variety of relevant threat vectors and how they relate, and to ensure mitigation strategies are in place to address the full scope of potential activity. Election organizations should consider steps to harden infrastructure against common attacks, and utilize account security tools such as Google\'s Advanced Protection Program to protect high-risk accounts. Introduction The 2024 global election cybersecurity landscape is characterized by a diversity of targets, tactics, and threats. An expansive ecosystem of systems, administrators, campaign infrastructure, and public communications venues must be secured against a diverse array of operators and methods. Any election cybersecurity strategy should begin with a survey of the threat landscape to build a more proactive and tailored security posture. The cybersecurity community must keep pace as more than two billion voters are expected to head to the polls in 2024. With elections in more than an estimated 50 countries, there is an opportunity to dynamically track how threats to democracy evolve. Understanding how threats are targeting one country will enable us to better anticipate and prepare for upcoming elections globally. At the same time, we must also appreciate the unique context of different countries. Election threats to South Africa, India, and the United States will inevitably differ in some regard. In either case, there is an opportunity for us to prepare with the advantage of intelligence. |
Ransomware Malware Hack Tool Vulnerability Threat Legislation Cloud Technical | APT 40 APT 29 APT 28 APT 43 APT 31 APT 42 | ★★★ |
|
2024-04-24 11:54:21 | Russian APT28 Exploitation de Windows Vulnérabilité avec outil d'Oeeegg Russian APT28 Exploiting Windows Vulnerability with GooseEgg Tool (lien direct) |
> Par waqas
Mettez à jour les fenêtres maintenant ou soyez piraté: Microsoft met en garde contre la vulnérabilité activement exploitée!
Ceci est un article de HackRead.com Lire le post original: Russian APT28 Exploitation de Windows Vulnérabilité avec l'outil Gooseegg
>By Waqas Update Windows Now or Get Hacked: Microsoft Warns of Actively Exploited Vulnerability! This is a post from HackRead.com Read the original post: Russian APT28 Exploiting Windows Vulnerability with GooseEgg Tool |
Tool Vulnerability | APT 28 | ★★★ |
|
2024-04-23 22:47:49 | Les pirates de la Russie ont exploité Windows Flaw pour déployer & # 8216; GooseEgg & # 8217;Malware Russia’s APT28 Hackers Exploited Windows Flaw To Deploy ‘GooseEgg’ Malware (lien direct) |
Microsoft a récemment révélé que le groupe de menaces russes & # 8220; APT28 & # 8243;utilisé un outil de piratage précédemment inconnu, «GooseEgg & # 8221;Pour exploiter la vulnérabilité Windows Print Spooler pour obtenir un accès élevé aux systèmes cibles et voler des informations d'identification et des informations. Selon l'équipe de renseignement des menaces de Redmond, APT28, également appelée Fancy Bear and Forest Blizzard (anciennement Strontium), utilise l'outil post-compromis depuis au moins juin 2020 et peut-être dès avril 2019Pour exploiter le CVE-2022-38028 (score CVSS: 7.8) Vulnérabilité dans Windows Print Spooler Service. Cet outil modifie un fichier de contraintes JavaScript et l'exécute avec des autorisations au niveau du système. Bien que la société ait abordé la vulnérabilité, CVE-2022-38028, rapportée par la U.S.Mate Security Agency (NSA) dans le cadre de Microsoft & # 8217; s octobre 2022 Patch Mardi Security Mises à jour, elle n'a fait aucune mention du défaut dans son avis . Microsoft a observé APT28 en utilisant GooseEgg dans le cadre des activités post-compromis contre diverses cibles, y compris les organisations gouvernementales, non gouvernementales, de l'éducation et des transports en Ukraine, en Europe occidentale et en Amérique du Nord. Bien que Gooseegg soit une application de lanceur simple, il peut engendrer d'autres applications sur la ligne de commande avec des autorisations élevées. Cela permet aux acteurs de menace de prendre en charge les activités malveillantes telles que l'exécution du code distant, l'installation d'une porte dérobée et le déplacement latéralement à travers des réseaux compromis. Les gouvernements américains et britanniques ont lié Forest Blizzard à l'unité 26165 de la Fédération de Russie \'s Military Intelligence Agency, la principale Direction du renseignement de l'état-major général des Forces armées de la Fédération de Russie (GRU). «Microsoft a observé qu'après avoir obtenu l'accès à un appareil cible, Forest Blizzard utilise GooseEgg pour élever les privilèges dans l'environnement.GooseEgg est généralement déployé avec un script de lot, que nous avons observé en utilisant le nom execute.bat et doit.bat .Ce script de lot écrit le fichier servtask.bat, qui contient des commandes pour enregistrer / compresser les ruches de registre.Le script de lot invoque l'exécutable de GooseEgg apparié et configure la persistance en tant que tâche planifiée conçue pour exécuter servtask.bat », lit le Advisory publié par Microsoft lundi. Les chercheurs de Microsoft ont noté qu'un fichier DLL malveillant intégré généralement, qui comprend l'expression « wayzgoose»; par exemple, wayzgoose23.dll , est une application de lanceur utilisée par la menaceLes acteurs doivent lancer d'autres charges utiles avec des autorisations au niveau du système et installer une porte dérobée, se déplacer latéralement dans le réseau de la victime et exécuter à distance le code sur les systèmes violés. Comme mentionné précédemment, la société a corrigé le défaut de sécurité des spouleurs imprimés en 2022. Il a également corrigé les vulnérabilités imprimées précédemment exploitées en 2021. «Les clients qui n'ont pas encore mis en œuvre ces correctifs sont invités à le faire dès que possible pour la sécurité de leur organisation», a déclaré Microsoft dans son avis. De plus, la société recommande également de dé | Malware Tool Vulnerability Threat | APT 28 | ★★★ |
|
2024-04-23 13:21:39 | Russie \\'s Fancy Bear Pummels Windows Print Spooler Bogue Russia\\'s Fancy Bear Pummels Windows Print Spooler Bug (lien direct) |
Le tristement célèbre acteur de menace russe a créé un outil personnalisé appelé GooseEgg pour exploiter CVE-2022-38028 dans des attaques de cyber-espionnage contre les cibles en Ukraine, en Europe occidentale et en Amérique du Nord.
The infamous Russian threat actor has created a custom tool called GooseEgg to exploit CVE-2022-38028 in cyber-espionage attacks against targets in Ukraine, Western Europe, and North America. |
Tool Threat | APT 28 | ★★★ |
 |
2024-04-23 12:50:57 | Les cyberespaces russes livrent \\ 'gooseegg \\' malware aux organisations gouvernementales Russian Cyberspies Deliver \\'GooseEgg\\' Malware to Government Organizations (lien direct) |
APT28, lié à la Russie, déploie l'outil post-exploitation d'OeEEGG contre de nombreuses organisations américaines et européennes.
Russia-linked APT28 deploys the GooseEgg post-exploitation tool against numerous US and European organizations. |
Malware Tool | APT 28 | ★★★ |
|
2024-04-23 09:53:00 | La Russie \\'s APT28 exploite Windows Print Spooler Flaw to déploier \\ 'gooseegg \\' malware Russia\\'s APT28 Exploited Windows Print Spooler Flaw to Deploy \\'GooseEgg\\' Malware (lien direct) |
L'acteur de menace nationale lié à la Russie a suivi comme & nbsp; apt28 & nbsp; a armé un défaut de sécurité dans le composant de spouleur d'impression Microsoft Windows pour fournir un logiciel malveillant personnalisé auparavant inconnu appelé Gooseegg.
L'outil post-compromise, & nbsp; qui est & nbsp;
The Russia-linked nation-state threat actor tracked as APT28 weaponized a security flaw in the Microsoft Windows Print Spooler component to deliver a previously unknown custom malware called GooseEgg. The post-compromise tool, which is said to have been used since at least June 2020 and possibly as early as April 2019, leveraged a now-patched flaw that allowed for |
Malware Tool Threat | APT 28 | ★★★ |
|
2024-04-23 08:45:00 | Groupe russe APT28 dans la nouvelle campagne de piratage «Gooseegg» Russian APT28 Group in New “GooseEgg” Hacking Campaign (lien direct) |
Microsoft a mis en garde contre une campagne de vol d'identification de longue date de l'APT28 de la Russie
Microsoft has warned of a long-running credential stealing campaign from Russia\'s APT28 |
APT 28 | ★★★ | |
 |
2024-04-23 01:15:11 | Old Windows Print Spooler Bug est la dernière cible du gang d'ours sophistiqué de la Russie Old Windows print spooler bug is latest target of Russia\\'s Fancy Bear gang (lien direct) |
Les copains de Poutine \\ utilisent \\ 'gooseegg \' malware pour lancer des attaques que vous pouvez vaincre avec des correctifs ou une suppression Les espions russes exploitent une vulnérabilité de spooler d'impression Windows vieille et utilisent unUn outil personnalisé appelé GooseEgg pour élever les privilèges et voler des informations d'identification sur des réseaux compromis, selon Microsoft Threat Intelligence.…
Putin\'s pals use \'GooseEgg\' malware to launch attacks you can defeat with patches or deletion Russian spies are exploiting a years-old Windows print spooler vulnerability and using a custom tool called GooseEgg to elevate privileges and steal credentials across compromised networks, according to Microsoft Threat Intelligence.… |
Malware Tool Vulnerability Threat | APT 28 | ★★★ |
|
2024-03-18 11:29:00 | Groupe de pirates APT28 ciblant l'Europe, les Amériques, l'Asie dans un schéma de phishing généralisé APT28 Hacker Group Targeting Europe, Americas, Asia in Widespread Phishing Scheme (lien direct) |
L'acteur de menace lié à la Russie connue sous le nom de & nbsp; apt28 & nbsp; a été lié à de multiples campagnes de phishing en cours qui utilisent des documents leurre imitant les organisations gouvernementales et non gouvernementales (ONG) en Europe, au Caucase du Sud, en Asie centrale et en Amérique du Nord et du Nord.
"Les leurres découverts comprennent un mélange de documents internes et accessibles au public, ainsi que possible
The Russia-linked threat actor known as APT28 has been linked to multiple ongoing phishing campaigns that employ lure documents imitating government and non-governmental organizations (NGOs) in Europe, the South Caucasus, Central Asia, and North and South America. "The uncovered lures include a mixture of internal and publicly available documents, as well as possible actor-generated |
Threat | APT 28 | ★★★ |
|
2024-03-05 19:03:47 | Rester en avance sur les acteurs de la menace à l'ère de l'IA Staying ahead of threat actors in the age of AI (lien direct) |
## Snapshot Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI\'s blog on the research [here](https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors). Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors\' usage of AI. However, Microsoft and our partners continue to study this landscape closely. The objective of Microsoft\'s partnership with OpenAI, including the release of this research, is to ensure the safe and responsible use of AI technologies like ChatGPT, upholding the highest standards of ethical application to protect the community from potential misuse. As part of this commitment, we have taken measures to disrupt assets and accounts associated with threat actors, improve the protection of OpenAI LLM technology and users from attack or abuse, and shape the guardrails and safety mechanisms around our models. In addition, we are also deeply committed to using generative AI to disrupt threat actors and leverage the power of new tools, including [Microsoft Copilot for Security](https://www.microsoft.com/security/business/ai-machine-learning/microsoft-security-copilot), to elevate defenders everywhere. ## Activity Overview ### **A principled approach to detecting and blocking threat actors** The progress of technology creates a demand for strong cybersecurity and safety measures. For example, the White House\'s Executive Order on AI requires rigorous safety testing and government supervision for AI systems that have major impacts on national and economic security or public health and safety. Our actions enhancing the safeguards of our AI models and partnering with our ecosystem on the safe creation, implementation, and use of these models align with the Executive Order\'s request for comprehensive AI safety and security standards. In line with Microsoft\'s leadership across AI and cybersecurity, today we are announcing principles shaping Microsoft\'s policy and actions mitigating the risks associated with the use of our AI tools and APIs by nation-state advanced persistent threats (APTs), advanced persistent manipulators (APMs), and cybercriminal syndicates we track. These principles include: - **Identification and action against malicious threat actors\' use:** Upon detection of the use of any Microsoft AI application programming interfaces (APIs), services, or systems by an identified malicious threat actor, including nation-state APT or APM, or the cybercrime syndicates we track, Microsoft will take appropriate action to disrupt their activities, such as disabling the accounts used, terminating services, or limiting access to resources. - **Notification to other AI service providers:** When we detect a threat actor\'s use of another service provider\'s AI, AI APIs, services, and/or systems, Microsoft will promptly notify the service provider and share relevant data. This enables the service provider to independently verify our findings and take action in accordance with their own policies. - **Collaboration with other stakeholders:** Microsoft will collaborate with other stakeholders to regularly exchange information a | Ransomware Malware Tool Vulnerability Threat Studies Medical Technical | APT 28 ChatGPT APT 4 | ★★ |
To see everything:
Our RSS (filtrered)
