What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2025-03-06 23:19:16 | Les États-Unis facturent 12 ressortissants chinois pour piratage soutenu par l'État U.S. Charges 12 Chinese Nationals For State-Backed Hacking (lien direct) |
Le ministère américain de la Justice (MJ) a inculpé mercredi 12 ressortissants chinois pour avoir prétendument engagé des opérations de cyber-espionnage approfondies au nom du ministère de la Sécurité publique de Chine (MPS) et du ministère de la Sécurité des États (MSS), pour avoir ciblé plus de 100 organisations américaines, y compris le Département du Trésor. . Les suspects comprennent deux officiers de députés, huit employés d'une entreprise de République de Chine (PRC), Axun Information Technology, Ltd. (?????????? Les accusés comprennent des hauts fonctionnaires tels que Wu Haibo (PDG de I-Soon), Chen Cheng (COO de I-Soon), Wang Liyu et Sheng Jing (officiers MPS) et des pirates éminents APT27 comme Yin Kecheng (aka «YKC») et Zhou Shuai (aka «Coldface»). . Selon le DOJ, ces acteurs de menace ont mené des cyber-intrusions à la direction du gouvernement chinois et, parfois, de leur propre chef. Leurs opérations ont consisté à voler des données sensibles, à cibler les critiques et les dissidents du Parti communiste chinois (PCC) et la suppression de la liberté d'expression à l'échelle mondiale. «Ces cyber-acteurs malveillants, agissant en tant que pigistes ou en tant qu'employés de I-Soon, ont mené des intrusions informatiques en direction des députés de la RPC et du ministère de la Sécurité de l'État (MSS) et de leur propre initiative. Les députés et MSS ont payé généreusement pour les données volées ", le doj a dit dans un communiqué de presse mercredi. «Les victimes comprennent les critiques et les dissidents basés aux États-Unis de la RPC, une grande organisation religieuse aux États-Unis, les ministères étrangères de plusieurs gouvernements en Asie et les agences gouvernementales fédérales et étatiques américaines, y compris le Département américain du Trésor (Trésor) fin 2024». Réseau de piratage soutenu par l'État de Chine Selon les documents judiciaires, les députés et MSS ont utilisé I-Soon et d'autres sociétés privées comme front pour mener des opérations de piratage à grande échelle pour pirater et voler des informations. En employant ces pirates pour l'embauche, le gouvernement de la RPC a obscurci son implication directe et leur a permis de profiter en commettant des intrusions d'ordinateur supplémentaires dans le monde. L'acte d'accusation allègue que I-Soon, sous la direction de Wu, a généré des dizaines de millions de dollars de revenus en tant qu'acteur clé de l'écosystème de pirate-pour-location du PRC \\ en pirant des comptes de messagerie, des téléphones portables, des serveurs et des sites Web de diverses organisations de 2016 à 2023. Dans d'autres cas, I-Soon aurait agi indépendamment, vendant des données volées à au moins 43 bureaux différents du MSS ou des députés dans 31 provinces et municipalités en Chine. La société aurait prétendument facturé le MSS et les députés entre environ 10 000 $ et 75 000 $ pour chaque boîte de réception par e-mail qu'il a exploité avec succès. Dans un acte d'accusation séparé, un tribunal fédéral a accusé les pirates de pirates APT27, Yin Kecheng et Zhou Shuai, de participer à des complots sophistiqués de piratage depuis 2011. Ils auraient violé les entreprises, les municipalités et les organisations américaines pour les campagnes d'intrusion d'ordinateurs à but lucratif, le maintien d'un accès persistant via le malware Plugx et la vente de données volées aux clients avec des connexions avec le gouvernement de la RPC et l'armée. Récompenses et crises monétaires Dans le cadre de la répression, le DOJ a saisi quatre domaines liés à i-soon et apt27: | Malware Hack Threat | APT 27 | ★★ |
 |
2025-03-06 17:45:00 | EncrypThub déploie des ransomwares et du voleur via des applications trojanisées, des services PPI et un phishing EncryptHub Deploys Ransomware and Stealer via Trojanized Apps, PPI Services, and Phishing (lien direct) |
L'acteur de menace financièrement motivé connu sous le nom de Encrypthub a été observé orchestrant des campagnes de phishing sophistiquées pour déployer des voleurs d'informations et des ransomwares, tout en travaillant sur un nouveau produit appelé Encryptrat.
"Encrypthub a été observé ciblant les utilisateurs d'applications populaires, en distribuant des versions trojanisées", a déclaré Uptost24 Krakenlabs dans un nouveau rapport partagé avec le
The financially motivated threat actor known as EncryptHub has been observed orchestrating sophisticated phishing campaigns to deploy information stealers and ransomware, while also working on a new product called EncryptRAT. "EncryptHub has been observed targeting users of popular applications, by distributing trojanized versions," Outpost24 KrakenLabs said in a new report shared with The |
Ransomware Threat | ★★★ | |
|
2025-03-06 17:31:00 | MEDUSA Ransomware frappe plus de 40 victimes en 2025, exige une rançon de 100 000 $ à 15 millions de dollars Medusa Ransomware Hits 40+ Victims in 2025, Demands $100K–$15M Ransom (lien direct) |
Les acteurs de la menace derrière le Ransomware de Medusa ont réclamé près de 400 victimes depuis sa première émergence en janvier 2023, les attaques motivées financièrement témoignant d'une augmentation de 42% entre 2023 et 2024.
Au cours des deux premiers mois de 2025 seulement, le groupe a réclamé plus de 40 attaques, selon les données de l'équipe Hunter de Symantec Threat Hunter dans un rapport partagé avec le Hacker News. Le
The threat actors behind the Medusa ransomware have claimed nearly 400 victims since it first emerged in January 2023, with the financially motivated attacks witnessing a 42% increase between 2023 and 2024. In the first two months of 2025 alone, the group has claimed over 40 attacks, according to data from the Symantec Threat Hunter Team said in a report shared with The Hacker News. The |
Ransomware Threat | ★★★ | |
 |
2025-03-06 15:09:01 | L\'ANSSI publie son plan stratégique 2025-2027 (lien direct) | L'ANSSI publie son plan stratégique 2025-2027
anssiadm
jeu 06/03/2025 - 15:09
A l'issue d'une réflexion collective menée au cours des derniers mois, l'ANSSI publie aujourd'hui son plan stratégique pour la période 2025-2027.
L'intelligence artificielle, le cloud ou bien encore le développement potentiel d'un ordinateur quantique capable de remettre en cause les propriétés fondamentales de la cryptographie asymétrique, ces technologies bouleversent notre monde et notre approche du cyberespace alors que la menace cyber affecte dorénavant tous les pans de notre économie et de notre société. Cette menace est par ailleurs accentuée par une situation internationale de plus en plus conflictuelle, qui a des répercussions toujours plus significatives dans le cyberespace.
Depuis plusieurs années, la France et l'Union européenne (UE) travaillent à la prise en compte de ces paramètres au travers notamment de réseaux de coopération et de différents textes règlementaires (directive sur la sécurité des réseaux et des systèmes d'information (NIS 2), règlement sur la résilience cyber (CRA), etc.), qui participent tous à un objectif d'élévation générale de la cybersécurité de l'UE et de ses Etats membres.
La réussite des Jeux olympiques et paralympiques de Paris 2024 (JOP) a été l'aboutissement d'un travail intense durant deux ans des agents de l'ANSSI et de " l'équipe de France " de la cybersécurité dans son ensemble. Au-delà des enseignements qui ont déjà été tirés sur le travail de préparation, d'entrainement et d'articulation avec l'écosystème, y compris international, cette réussite des JOP est venue consacrer un modèle français de la cybersécurité qui repose sur une séparation claire, au sein de l'État, entre les missions défensives et offensives, l'Agence étant chargée de coordonner le champ de la défense et de la protection des systèmes d'information.
Forte de ces constats, prenant acte des évolutions du paysage cyber et s'appuyant sur la compétence, l'ouverture et l'agilité qui constituent ses trois valeurs centrales, l'ANSSI a rédigé un nouveau plan stratégique cinq ans après le Manifeste, dern |
Threat Cloud | ★★★★ | |
 |
2025-03-06 11:50:55 | L'UAC-0173 reprend des cyberattaques contre les bureaux notariens ukrainiens utilisant des logiciels malveillants sombres UAC-0173 Resumes Cyberattacks Against Ukrainian Notary Offices Using DARKCRYSTALRAT Malware (lien direct) |
Vector d'attaque et exécution À partir de fin janvier 2025, UAC-0173 a intensifié son phishing campagnes. Le 11 février, les attaquants ont distribué des courriels malveillants imitants au ministère de la Justice de l'Ukraine. Ces e-mails contenaient des liens vers des fichiers exécutables, tels que: haka3.exe Ordonnance du ministère de la Justice du 10 février 2025 n ° 43613.1-03.exe pour votre information.exe L'exécution de ces fichiers infecte le système avec DarkCrystalrat (DCRAT), accordant aux attaquants un accès initial à la machine compromise. tactiques, techniques et procédures (TTPS) | Malware Tool Threat | ★★★ | |
 |
2025-03-06 10:21:19 | État des MSSP 2025 : Comment les MSSP peuvent conquérir de nouveaux marchés ? (lien direct) | >Les entreprises européennes ont besoin d'aide pour gérer leur cybersécurité. Avec un paysage de menaces en constante évolution, des menaces de plus en plus difficiles à détecter et un contexte réglementaire en pleine expansion, ce constat n'est pas surprenant. En fait, 23% des organisations qui gèrent elles-mêmes leur sécurité aujourd'hui envisagent de recourir à l'externalisation.Pour [...] | Threat | ★★ | |
 |
2025-03-06 10:00:04 | Les chevaux de Troie déguisés en AI: les cybercriminels exploitent la popularité de Deepseek \\ Trojans disguised as AI: Cybercriminals exploit DeepSeek\\'s popularity (lien direct) |
Les experts de Kaspersky ont découvert des campagnes distribuant des voleurs, des scripts PowerShell malveillants et des déambulations via des pages Web imitant les sites Web Deepseek et Grok.
Kaspersky experts have discovered campaigns distributing stealers, malicious PowerShell scripts, and backdoors through web pages mimicking the DeepSeek and Grok websites. |
Threat | ★★ | |
|
2025-03-06 07:48:58 | Phantom-Goblin: Exploitation du vol d'identification et VSCODE Covert et VSCODE Phantom-Goblin: Covert Credential Theft and VSCode Tunnel Exploitation (lien direct) |
Key Takeaways
Threat Actors (TA) use social engineering to trick users into executing a malicious LNK file disguised as a PDF document, leading to malware infection.
The malware then leverages PowerShell to download and execute malicious payloads from a GitHub repository while ensuring persistence through registry modifications.
The malware extracts browser cookies by enabling remote debugging, bypassing Chrome\'s App Bound Encryption (ABE) for stealthy data exfiltration.
A malicious binary establishes a Visual Studio Code (VSCode) tunnel, allowing TA to maintain unauthorized remote access while evading detection.
Another payload collects browsing history, login credentials, session details, and other sensitive browser-related information before exfiltrating it to a Telegram channel.
Stolen data, including cookies and browser credentials, is archived and transmitted to the TA\'s Telegram bot, ensuring covert data transfer and persistence.
Executive Summary
A newly identified malware strain is being distributed through RAR attachments, using social engineering techniques to deceive users into executing a malicious LNK file disguised as a legitimate document. Once executed, this LNK file triggers a PowerShell command that retrieves additional payloads from a GitHub repository, allowing the malware to perform various malicious activities while operating stealthily.
The malware primarily targets web browsers and developer tools for data theft and unauthorized system access. It forcefully terminates browser processes to extract sensitive information such as cookies, login credentials, and browsing history. Additionally, it leverages Visual Studio Code tunnels to establish unauthorized |
Spam Malware Tool Threat | ★★ | |
 |
2025-03-06 05:28:25 | Le typhon de soie cible la chaîne d'approvisionnement en évolution de la cyber campagne Silk Typhoon Targets IT Supply Chain in Evolving Cyber Campaign (lien direct) |
Microsoft Threat Intelligence a mis en garde contre un changement de tactique par le typhon de soie, un groupe d'espionnage chinois qui exploite désormais des vulnérabilités dans des solutions informatiques courantes, y compris les outils de gestion à distance et les applications cloud pour obtenir un accès initial aux entités cibles. Le géant du logiciel dit qu'il n'a pas observé d'attaques directes contre ses services cloud, mais a vu [...]
Microsoft Threat Intelligence has warned of a shift in tactics by Silk Typhoon, a Chinese espionage group that is now exploiting vulnerabilities in common IT solutions-including remote management tools and cloud applications-to gain initial access to target entities. The software giant says it has not observed direct attacks against its cloud services, but has seen [...] |
Tool Vulnerability Threat Cloud | ★★★ | |
 |
2025-03-06 02:53:22 | Acteur d'espionnage \\ 'Lotus Blossom \\' cible l'Asie du Sud-Est Espionage Actor \\'Lotus Blossom\\' Targets South East Asia (lien direct) |
L'acteur de menace, d'origine inconnue, déploie un logiciel malveillant de porte dérobée propriétaire connu sous le nom de "Sagerunex" contre les infrastructures critiques à Hong Kong, aux Philippines, à Taiwan et au Vietnam.
The threat actor, of unknown origin, is deploying a proprietary backdoor malware known as "Sagerunex" against critical infrastructure in Hong Kong, Philippines, Taiwan, and Vietnam. |
Malware Threat | ★★ | |
 |
2025-03-05 22:04:21 | Trois vulnérabilités zéro jour découvertes dans les produits VMware Three Zero-Day Vulnerabilities Discovered in VMware Products (lien direct) |
les principaux plats à retenir
Trois vulnérabilités à jour zéro ont été découvertes dans les produits VMware, suivis comme CVE-2025-22224 , CVE-2025-22225 , et CVE-2025-22226 . .
Presque tous les produits VMware pris en charge et non pris en charge sont touchés, notamment VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion, VMware Cloud Foundation et VMware Telco Cloud Platform.
Chaîner ces 3 vulnérabilités ensemble permet à un attaquant d'échapper ou de «sortir» d'une machine virtuelle «enfant» (VM), d'accéder à l'hyperviseur ESXi «parent» et potentiellement accéder à toute autre machine virtuelle accessible ainsi que pour le réseau de gestion du cluster VMware exposé.
Nous recommandons la mise à niveau vers des «versions fixes» indiquées dans le vmware par Broadcom Matrix immédiatement.
|
Vulnerability Threat Cloud | ★★ | |
|
2025-03-05 21:15:32 | Le typhon APT du Typhoon de la Chine se déplace vers la chaîne d'approvisionnement des attaques de chaîne d'approvisionnement China\\'s Silk Typhoon APT Shifts to IT Supply Chain Attacks (lien direct) |
Selon Microsoft, le groupe de menaces nationales a violé les fournisseurs d'outils de gestion à distance, les fournisseurs de gestion de l'identité et d'autres sociétés informatiques pour accéder aux réseaux d'entités ciblées.
The nation-state threat group has been breaching providers of remote management tools, identity management providers, and other IT companies to access networks of targeted entities, according to Microsoft. |
Tool Threat | ★★ | |
|
2025-03-05 21:14:00 | Le typhon de soie lié à la Chine étend les cyberattaques des chaînes d'approvisionnement pour l'accès initial China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access (lien direct) |
L'acteur de menaces doublé de Chine derrière l'exploitation zéro-jour des défauts de sécurité dans les serveurs de Microsoft Exchange en janvier 2021 a déplacé ses tactiques pour cibler la chaîne d'approvisionnement des technologies de l'information (TI) comme moyen d'obtenir un accès initial aux réseaux d'entreprise.
Cela \\ est selon les nouvelles conclusions de l'équipe Microsoft Threat Intelligence, qui a déclaré que le typhon de soie (anciennement hafnium)
The China-lined threat actor behind the zero-day exploitation of security flaws in Microsoft Exchange servers in January 2021 has shifted its tactics to target the information technology (IT) supply chain as a means to obtain initial access to corporate networks. That\'s according to new findings from the Microsoft Threat Intelligence team, which said the Silk Typhoon (formerly Hafnium) hacking |
Vulnerability Threat | ★★★ | |
|
2025-03-05 19:07:00 | Dark Caracal utilise Poco Rat pour cibler les entreprises hispanophones en Amérique latine Dark Caracal Uses Poco RAT to Target Spanish-Speaking Enterprises in Latin America (lien direct) |
L'acteur de menace connu sous le nom de Dark Caracal a été attribué à une campagne qui a déployé un cheval de Troie à distance appelé Poco Rat dans des attaques ciblant les cibles hispanophones en Amérique latine en 2024.
Les résultats proviennent de la société russe de cybersécurité Positive Technologies, qui a décrit le malware comme chargé d'une "suite complète de fonctionnalités d'espionnage".
"Il pourrait télécharger des fichiers, capturer des captures d'écran
The threat actor known as Dark Caracal has been attributed to a campaign that deployed a remote access trojan called Poco RAT in attacks targeting Spanish-speaking targets in Latin America in 2024. The findings come from Russian cybersecurity company Positive Technologies, which described the malware as loaded with a "full suite of espionage features." "It could upload files, capture screenshots |
Malware Threat | ★★★ | |
|
2025-03-05 18:30:36 | Les attaquants ciblent plus de 4000 adresses IP des États-Unis, les FAI en Chine Attackers Target Over 4000 IP Addresses of US, China ISPs (lien direct) |
L'équipe de recherche sur les menaces de Splunk a découvert une cyber-campagne généralisée ciblant les fournisseurs d'infrastructures de service Internet (ISP) sur la côte ouest des États-Unis et en Chine. Plus de 4 000 IP liés aux ISP ont été explicitement ciblés dans cette campagne. L'attaque, qui serait originaire d'Europe de l'Est, utilise des tactiques de force brute pour exploiter les informations d'identification faibles. [...]
The Splunk Threat Research Team has uncovered a widespread cyber campaign targeting Internet Service Provider (ISP) infrastructure providers on the West Coast of the United States and in China. Over 4,000 ISP-related IPs were explicitly targeted in this campaign. The attack, believed to have originated from Eastern Europe, uses brute-force tactics to exploit weak credentials. [...] |
Threat | ★★ | |
 |
2025-03-05 18:14:04 | Zimperium annonce une nouvelle intégration avec Crowdsstrike Falcon® Next-Gen Siem Zimperium Announces New Integration with CrowdStrike Falcon® Next-Gen SIEM (lien direct) |
Zimperium annonce une nouvelle intégration avec CrowdStrike Falcon® Next-Gen SIEM pour améliorer la sécurité mobile
La visibilité des menaces unifiées sur les points de terminaison mobiles améliore la posture de sécurité pour les organisations
-
Revues de produits
Zimperium Announces New Integration with CrowdStrike Falcon® Next-Gen SIEM to Enhance Mobile Security Unified Threat Visibility Across Mobile Endpoints Enhances Security Posture for Organizations - Product Reviews |
Threat Mobile | ★★★ | |
|
2025-03-05 18:00:15 | Team Cymru est lancé le flux de menace Insights Team Cymru is launched the Insights Threat Feed (lien direct) |
L'équipe Cymru lance Insights Threat Feed pour couper les faux positifs et rationaliser la sécurité
-
Revues de produits
Team Cymru launches Insights Threat Feed to cut false positives and streamline security - Product Reviews |
Threat | ★★★ | |
 |
2025-03-05 17:24:48 | Les cybercriminels ont accéléré le rythme des attaques l'année dernière Cybercriminals picked up the pace on attacks last year (lien direct) |
> Les groupes de ransomwares ont réalisé l'an dernier le mouvement latéral en moyenne 48 minutes après avoir accédé initial à des environnements ciblés, ont déclaré les experts de l'intelligence des menaces.
>Ransomware groups last year achieved lateral movement within an average of 48 minutes after gaining initial access to targeted environments, threat intelligence experts said. |
Threat | ★★ | |
|
2025-03-05 16:33:00 | Chinois Apt Lotus Panda cible les gouvernements avec de nouvelles variantes de porte dérobée Sagerunex Chinese APT Lotus Panda Targets Governments With New Sagerunex Backdoor Variants (lien direct) |
L'acteur de menace connu sous le nom de Lotus Panda a été observé ciblant les secteurs du gouvernement, de la fabrication, des télécommunications et des médias aux Philippines, au Vietnam, à Hong Kong et à Taiwan avec des versions mises à jour d'une porte dérogeuse connue appelée Sagerunex.
"Lotus Blossom utilise la porte dérobée de Sagerunex depuis au moins 2016 et utilise de plus en plus les coquilles de commande de persistance à long terme et se développe
The threat actor known as Lotus Panda has been observed targeting government, manufacturing, telecommunications, and media sectors in the Philippines, Vietnam, Hong Kong, and Taiwan with updated versions of a known backdoor called Sagerunex. "Lotus Blossom has been using the Sagerunex backdoor since at least 2016 and is increasingly employing long-term persistence command shells and developing |
Threat | ★★★ | |
 |
2025-03-05 16:30:00 | Le typhon de soie déplace des tactiques pour exploiter les solutions informatiques communes Silk Typhoon Shifts Tactics to Exploit Common IT Solutions (lien direct) |
Le groupe de soie du groupe d'espionnage chinois exploite de plus en plus des solutions informatiques communes aux réseaux infiltrés et aux données d'exfiltration
Chinese espionage group Silk Typhoon is increasingly exploiting common IT solutions to infiltrate networks and exfiltrate data |
Threat | ★★★ | |
 |
2025-03-05 14:11:50 | [Tête haute] L'attaque de phishing sophistiquée utilise un nouvel astuce d'obscuscations JavaScript [Heads Up] Sophisticated Phishing Attack Uses New JavaScript Obfuscation Trick (lien direct) |
Threat | ★★★ | ||
 |
2025-03-05 13:18:39 | Les pirates de typhon de soie ciblent désormais les chaînes d'approvisionnement pour vioder les réseaux Silk Typhoon hackers now target IT supply chains to breach networks (lien direct) |
Microsoft avertit que le groupe chinois des menaces de cyber-espionage \\ 'Silk Typhoon \' a déplacé ses tactiques, ciblant désormais des outils de gestion à distance et des services cloud dans des attaques de chaîne d'approvisionnement qui leur donnent accès à des clients en aval. [...]
Microsoft warns that Chinese cyber-espionage threat group \'Silk Typhoon\' has shifted its tactics, now targeting remote management tools and cloud services in supply chain attacks that give them access to downstream customers. [...] |
Tool Threat Cloud | ★★ | |
|
2025-03-05 12:42:23 | ACSC avertit de l'augmentation des risques de ransomware et offre des conseils de protection clés ACSC Warns of Increasing Ransomware Risks and Offers Key Protection Tips (lien direct) |
aperçu
Le Centre de cybersécurité australien (ACSC) a publié un rapport complet en mettant en lumière la menace croissante de ransomwares et en offrant des conseils détaillés sur la façon dont les particuliers et les entreprises peuvent se protéger de cette cyber-menace croissante. Les cybercriminels devenant plus sophistiqués, les attaques de ransomwares sont en augmentation.
En réponse à cette menace croissante, le ACSC \'s Guidance souligne l'importance de la compréhension de l'impact potentiel d'une attaque de ransomware. Les victimes de ces attaques peuvent se retrouver verrouillées de leurs appareils, incapables d'accéder à des fichiers cruciaux et de faire face à la décision intimidante de payer la rançon ou de faire face à la perte potentielle de données. L'ACSC encourage les individus et les organisations à considérer la valeur de leurs données lors de l'évaluation du risque de Attaque du ransomware , Poser des questions telles que: "Quelles données pouvez-vous vous permettre de perdre?" et "Quelles étapes êtes-vous prêt à prendre pour vous remettre d'une telle attaque?"
L'ACSC décrit plusieurs étapes critiques que les utilisateurs et les organisations devraient suivre pour atténuer le risque et l'impact des ransomwares.
ACSC partage de nouvelles stratégies d'atténuation pour les ransomwares
1. Sécréments sécurisés |
Ransomware Threat Studies Cloud | ★★★ | |
|
2025-03-05 12:37:00 | Sept forfaits go malveillants trouvés en déploiement de logiciels malveillants sur les systèmes Linux et MacOS Seven Malicious Go Packages Found Deploying Malware on Linux and macOS Systems (lien direct) |
Les chercheurs en cybersécurité lancent une campagne malveillante en cours ciblant l'écosystème GO avec des modules typosquattés conçus pour déployer des logiciels malveillants de chargeur sur les systèmes Linux et Apple MacOS.
"L'acteur de menace a publié au moins sept packages imitants imitants des bibliothèques GO largement utilisées, dont une (github [.] Com / shallowmulti / hypert) qui semble cibler les développeurs des réseaux financiers
Cybersecurity researchers are alerting of an ongoing malicious campaign targeting the Go ecosystem with typosquatted modules that are designed to deploy loader malware on Linux and Apple macOS systems. "The threat actor has published at least seven packages impersonating widely used Go libraries, including one (github[.]com/shallowmulti/hypert) that appears to target financial-sector developers |
Malware Threat | ★★★ | |
|
2025-03-05 11:54:05 | Février voit des attaques de ransomwares record, les nouvelles données montrent February Sees Record-Breaking Ransomware Attacks, New Data Shows (lien direct) |
Ransomware Tool Vulnerability Threat Patching Prediction | ★★★ | ||
 |
2025-03-05 10:52:13 | Les pirates exploitent les erreurs de configuration du cloud pour répandre les logiciels malveillants Hackers Exploit Cloud Misconfigurations to Spread Malware (lien direct) |
Veriti Research révèle que 40% des réseaux permettent un accès cloud «tout», exposant des vulnérabilités critiques. Découvrez comment les logiciels malveillants comme Xworm…
Veriti Research reveals 40% of networks allow ‘any/any’ cloud access, exposing critical vulnerabilities. Learn how malware like XWorm… |
Malware Vulnerability Threat Cloud | ★★★ | |
 |
2025-03-05 09:44:36 | Menaces invisibles : quand le tourisme industriel devient une porte d\'entrée pour l\'espionnage économique (lien direct) | Loin d'être anodines, les visites d'entreprises offrent une opportunité d'intrusion pour des acteurs malveillants. La DGSI alerte sur ces risques d'ingérence économique et préconise des mesures strictes pour protéger les sites industriels et les laboratoires sensibles.... | Threat Industrial | ★★★ | |
 |
2025-03-05 07:00:00 | Février 2025 Mises à jour du conseil en cybersécurité et activité de ransomware February 2025 Cybersecurity Consulting Updates and Ransomware Activity (lien direct) |
Chaque mois, nous décomposons les développements critiques de la cybersécurité, équipant des professionnels de la sécurité des renseignements exploitables pour renforcer les défenses. Au-delà de la sensibilisation à la menace, ce blog fournit également un aperçu de la préparation et de la réponse des incidents , en s'appuyant sur des expériences réelles dans la consultation des services de cybersécurité. Learn how organizations can proactively prepare for cyber incidents, mitigate risks, and enhance their resilience against evolving attack vectors. Que vous affinez votre posture de sécurité ou que vous répondiez à des menaces actives, notre blog fournit l'expertise et les conseils stratégiques pour rester préparé dans le paysage des menaces dynamiques d'aujourd'hui. Voici un aperçu de haut niveau des dernières mises à jour de cybersécurité et des menaces de ransomware pour février 2025, afin d'informer les entreprises et les utilisateurs technologiques des risques clés. Pour des informations techniques détaillées, reportez-vous au briefing PowerPoint qui l'accompagne disponible sur Incible Response & Numéro & Numéro & Numéro / Nibre Forensics. Les grandes sociétés technologiques ont publié des mises à jour de sécurité concernant 284 vulnérabilités. Les faits clés comprennent: Microsoft a corrigé 67 vulnérabilités, dont quatre défauts critiques et deux bogues activement exploités sous Windows, corrigé le 11 février 2025. Apple a fixé 16 vulnérabilités, dont deux défauts critiques activement exploités dans iOS et iPados, corrigé le 27 janvier et le 10 février 2025. Adobe a abordé 45 vulnérabilités, dont 23 défauts critiques dans des produits comme InDesign et Commerce, corrigé le 11 février 2025. Google a résolu 68 à 69 vulnérabilités dans Android et Chrome, y compris deux défauts critiques et un bogue activement exploité dans Android, corrigé le 3 février pour Android et le 15 janvier et le 5 février 2025, pour Chrome. Cisco a corrigé 17 vulnérabilités, dont deux défauts critiques dans son moteur de services d'identité, mis à jour du 5 au 6 février 2025. SAP a fixé 19 vulnérabilités, dont six défauts de haute sévérité dans Business Intelligence and Enterprise Software, corrigé le 11 février 2025. Palo Alto Networks a résolu 10 vulnérabilités, dont quatre défauts de haute sévérité et deux bogues activement exploités dans Pan-OS, corrigé le 12 février 2025. CISA a ajouté 12 vulnérabilités à son catalogue de vulnérabilités exploité connu, tous activement exploités, affectant les produits Microsoft, Apple, Google et Palo Alto. Au cours du dernier mois, le groupe de ransomwares CLOP a réclamé 347 victimes, ciblant des industries comme la vente au détail, la logistique, la finance et les soins de santé. CloP a exploité des vulnérabilités dans les produits de transfert de fichiers de Cleo, Harmony, VLTrader et Lexicom, en particulier CVE-2024-50623 (non corrigé, permettant une exécution de code à distance) et CVE-2024-55956 (largement corrigé, permettant une exécution de code à distance), un impact sur 4200 organisations globalement, avec 63 à 79% des expositions aux États-Unis. Du 28 janvier au 27 février 2025, le groupe de ransomware CloP a réclamé 347 victimes, ciblant des industries comme la vente au détail, la logistique, la finance et les soins de santé. Clop, détecté pour la première fois en février 2019, fonctionne comme un modèle de ransomware en tant que service (RAAS), géré par le groupe FancyCat, lié à des acteurs motivés financièrement comme FIN11 et TA505. Il a gagné en notoriété par le biais d'attaques de haut niveau en utilisant une extorsion double et triple, crypter des fichiers (pa | Ransomware Tool Vulnerability Threat Patching Mobile Prediction Medical Technical | ★★★ | |
 |
2025-03-05 00:00:00 | De l'événement à la perspicacité: déballer un scénario de compromis par e-mail B2B (BEC) From Event to Insight: Unpacking a B2B Business Email Compromise (BEC) Scenario (lien direct) |
Trend Micro ™ a géré que XDR a aidé à une enquête sur une attaque B2B BEC qui a dévoilé un maillage enchevêtré tissé par l'acteur de menace à l'aide d'un serveur compromis, efforçant trois partenaires commerciaux dans un programme qui a duré des jours. Cet article comprend des informations d'enquête, un calendrier d'incident proposé et des pratiques de sécurité recommandées.
Trend Micro™ Managed XDR assisted in an investigation of a B2B BEC attack that unveiled an entangled mesh weaved by the threat actor with the help of a compromised server, ensnaring three business partners in a scheme that spanned for days. This article features investigation insights, a proposed incident timeline, and recommended security practices. |
Threat Prediction | ★★★ | |
|
2025-03-04 22:29:43 | 3 bogues VMware zéro-jour permettent d'échapper 3 VMware Zero-Day Bugs Allow Sandbox Escape (lien direct) |
Les bogues maintenant paralysés sont sous exploitation active et permettent aux attaquants de réaliser un large éventail d'activités malveillantes, notamment en échappant à une machine virtuelle et en accédant à l'hôte sous-jacent.
The now-patched bugs are under active exploit and enable attackers to carry out a wide range of malicious activities, including escaping a virtual machine and gaining access to the underlying host. |
Vulnerability Threat | ★★★ | |
|
2025-03-04 21:51:00 | Les chercheurs relient les tactiques du ransomware du cactus aux anciens affiliés de Black Basta Researchers Link CACTUS Ransomware Tactics to Former Black Basta Affiliates (lien direct) |
Les acteurs de menace déploient les familles de ransomware Black Basta et Cactus se sont avérées compter sur le même module de backconnect (BC) pour maintenir un contrôle persistant sur les hôtes infectés, un signe que les affiliés précédemment associés à Black Basta ont peut-être transmis à un cactus.
"Une fois infiltré, il accorde aux attaquants un large éventail de capacités de télécommande, leur permettant d'exécuter
Threat actors deploying the Black Basta and CACTUS ransomware families have been found to rely on the same BackConnect (BC) module for maintaining persistent control over infected hosts, a sign that affiliates previously associated with Black Basta may have transitioned to CACTUS. "Once infiltrated, it grants attackers a wide range of remote control capabilities, allowing them to execute |
Ransomware Threat | ★★★ | |
 |
2025-03-04 21:33:36 | La menace posée par les nouvelles vulnérabilités d'hyperjacking VMware est difficile à surestimer Threat posed by new VMware hyperjacking vulnerabilities is hard to overstate (lien direct) |
Une seule machine virtuelle compromise peut faire de toutes les autres machines virtuelles sur ces canards assis par l'hyperviseur.
Just one compromised VM can make all other VMs on that hypervisor sitting ducks. |
Vulnerability Threat | ★★★ | |
|
2025-03-04 21:26:07 | Acteur de menace \\ 'javaghost \\' cible les environnements AWS dans le schéma de phishing Threat Actor \\'JavaGhost\\' Targets AWS Environments in Phishing Scheme (lien direct) |
Palo Alto Networks \\ 'Unit 42 détaille comment un acteur de menace esquive la détection avec un ciblage minutieux et l'utilisation d'outils de messagerie natif d'Amazon \\.
Palo Alto Networks\' Unit 42 details how a threat actor is dodging detection with careful targeting and the use of Amazon\'s native email tools. |
Tool Threat | ★★★ | |
|
2025-03-04 21:06:38 | Téléphone de la police serbe Hack Proteter \\ avec la chaîne d'exploitation Cellebrite Serbian Police Hack Protester\\'s Phone With Cellebrite Exploit Chain (lien direct) |
Amnesty International a déclaré que la police serbe a utilisé une chaîne d'exploitation en tandem avec un dongle d'extraction mobile légitime du vendeur Cellebrite dans une attaque qui soulève des questions sur le développement de la technologie éthique.
Amnesty International said Serbian police used an exploit chain in tandem with legitimate mobile extraction dongle from vendor Cellebrite in an attack that brings up questions around ethical technology development. |
Hack Threat Legislation Mobile | ★★ | |
|
2025-03-04 19:14:25 | CISA Flags Exploits actifs dans Windows, Cisco CISA Flags Active Exploits In Windows, Cisco (lien direct) |
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) Ajout Deux vulnérabilités de sécurité affectant les produits Cisco et Windows à son catalogue connu sur les vulnérabilités exploitées (KEV), lundi, avertir les organisations d'exploitation active par des acteurs malveillants. Les deux vulnérabilités mentionnées en dessous, qui ont été ajoutées au KEV sur la base de preuves de campagnes d'exploitation, sont des vecteurs d'attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour les organisations. Ce sont: CVE-2023-20118 (CVSS Score: 6.5) - Cisco Small Business RV Series Routers Routers Injection Vulnérabilité: Ce défaut existe dans l'interface de gestion basée sur le Web des routeurs de petites entreprises Cisco RV016, RV042, RV042G, RV082, RV320 et RV325 routeurs. La vulnérabilité permet à un attaquant distant authentifié d'exécuter des commandes arbitraires sur un dispositif affecté, ce qui est dû à une mauvaise validation de la saisie de l'utilisateur dans les paquets HTTP entrants. Cette vulnérabilité peut être exploitée par l'attaquant en envoyant une demande HTTP spécialement conçue à l'interface de gestion basée sur le Web. En cas de succès, l'attaquant pourrait obtenir des privilèges de niveau racine et accéder aux données non autorisées. Cependant, l'exploitation nécessite des informations d'identification administratives valides sur le dispositif affecté. cve-2018-8639 (cvs score: 7.8) - Micrécosoft Windows . Arrêt ou libération de ressources incorrectes: Ce défaut est une élévation de la vulnérabilité des privilèges, qui existe sous Windows lorsque le composant Win32K ne gérait pas correctement les objets en mémoire, alias «Win32K Elevation of Privilege Vulnerabilité». Exploiter cette vulnérabilité peut permettre aux attaquants locaux d'obtenir des privilèges élevés et potentiellement d'exécuter du code arbitraire en mode noyau, prenant efficacement le contrôle du système Windows affecté. Selon A SECURIT La vulnérabilité CVE-2018-8639 affecte Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 et Windows 10 serveurs. En réponse à l'exploitation active de ces vulnérabilités, la CISA a obligé toutes les agences fédérales de la Direction de la direction civile (FCEB), conformément à la directive opérationnelle contraignante de novembre 2021 22-01, pour appliquer les correctifs d'ici le 24 mars 2025, pour atténuer les vulnérabilités identifiées et protéger leurs réseaux contre les menaces potentielles. En ce qui concerne la vulnérabilité CVE-2023-20118, Cisco n'a pas publié de correctif pour le réparer, car les modèles affectés ont atteint leur fin de vie (EOL). . En revanche, Microsoft a corrigé la vulnérabilité CVE-2018-8639 en décembre 2018 avec une mise à jour de la sécurité Microsoft Windows. Les organisations utilisant ces produits sont conseillées de prendre des actions défensives immédiates, telles que la désactivation de la gestion à distance, la mise à niveau vers le dernier micrologiciel, la surveillance de l' | Vulnerability Threat | ★★ | |
|
2025-03-04 16:44:28 | Javaghost utilise les autorisations d'Amazon IAM aux organisations phish JavaGhost Uses Amazon IAM Permissions to Phish Organizations (lien direct) |
L'unité 42 découvre les attaques AWS en évolution de Javaghost. Découvrez comment cet acteur de menace utilise le phishing, les abus IAM et avancé…
Unit 42 uncovers JavaGhost’s evolving AWS attacks. Learn how this threat actor uses phishing, IAM abuse, and advanced… |
Threat | ★★ | |
|
2025-03-04 15:45:00 | VMware avertit les clients de corriger les vulnérabilités activement exploitées zéro-jours VMware Warns Customers to Patch Actively Exploited Zero-Day Vulnerabilities (lien direct) |
La société de logiciels cloud VMware a émis un avis de sécurité essentiel, détaillant trois vulnérabilités zéro-jour exploitées activement dans la nature
Cloud software firm VMware has issued a critical security advisory, detailing three zero-day vulnerabilities being actively exploited in the wild |
Vulnerability Threat Cloud | ★★★ | |
|
2025-03-04 15:28:00 | Les pirates iraniens présumés ont utilisé le courrier électronique de la société indienne compromis à cibler U.A.E. Secteur de l'aviation Suspected Iranian Hackers Used Compromised Indian Firm\\'s Email to Target U.A.E. Aviation Sector (lien direct) |
Les chasseurs de menaces attirent l'attention sur une nouvelle campagne de phishing hautement ciblée qui a distingué "moins de cinq" entités aux Émirats arabes unis (U.A.E.) pour livrer une porte dérobée Golang auparavant sans papiers surnommée Sosano.
L'activité malveillante a été spécifiquement dirigée contre les organisations de communications de l'aviation et du satellite, selon Proofpoint, qui l'a détecté fin octobre
Threat hunters are calling attention to a new highly-targeted phishing campaign that singled out "fewer than five" entities in the United Arab Emirates (U.A.E.) to deliver a previously undocumented Golang backdoor dubbed Sosano. The malicious activity was specifically directed against aviation and satellite communications organizations, according to Proofpoint, which detected it in late October |
Threat | ★★★ | |
 |
2025-03-04 15:11:10 | Concentrez-vous sur les algorithmes d'Elon Musk \\, pas ses mots, dit l'agence de désinformation de la France \\ Focus on Elon Musk\\'s algorithms, not his words, says France\\'s disinformation agency (lien direct) |
Anne-Sophie Dhiver, la chef adjointe de l'agence gouvernementale française Viginum, a parlé à des nouvelles futures pourquoi et comment son agence abordait la menace de désinformation.
Anne-Sophie Dhiver, the deputy head of the French government agency Viginum, spoke to Recorded Future News about why and how her agency was addressing the threat of disinformation. |
Threat | ★★★ | |
|
2025-03-04 14:31:00 | Plus de 4 000 IPS IPS ciblés dans des attaques brutes pour déployer des voleurs d'informations et des cryptomineurs Over 4,000 ISP IPs Targeted in Brute-Force Attacks to Deploy Info Stealers and Cryptominers (lien direct) |
Les fournisseurs de services Internet (FAI) en Chine et la côte ouest des États-Unis sont devenus la cible d'une campagne d'exploitation de masse qui déploie des voleurs d'informations et des mineurs de crypto-monnaie sur des hôtes compromis.
Les résultats proviennent de l'équipe de recherche sur les menaces de Splunk, qui a déclaré que l'activité a également conduit à la livraison de divers binaires qui facilitent l'exfiltration des données et l'offre
Internet service providers (ISPs) in China and the West Coast of the United States have become the target of a mass exploitation campaign that deploys information stealers and cryptocurrency miners on compromised hosts. The findings come from the Splunk Threat Research Team, which said the activity also led to the delivery of various binaries that facilitate data exfiltration as well as offer |
Threat | ★★★ | |
|
2025-03-04 13:07:26 | CISA ajoute de nouvelles vulnérabilités critiques au catalogue de vulnérabilités exploitées connues CISA Adds New Critical Vulnerabilities to Known Exploited Vulnerabilities Catalog (lien direct) |
Tool Vulnerability Threat Patching | ★★★ | ||
|
2025-03-04 12:06:26 | Le nouveau voleur de zhong chinois infecte fintech via le support client New Chinese Zhong Stealer Infects Fintech via Customer Support (lien direct) |
Une nouvelle menace de logiciels malveillante appelée Zhong Stealer a fait surface de la Chine, et elle glisse déjà dans les entreprises à travers…
A new malware threat called Zhong Stealer has surfaced from China, and it\'s already slipping into businesses through… |
Malware Threat | ★★ | |
 |
2025-03-04 12:02:54 | Appelez cela comme vous voulez: l'acteur de menace offre un malware polyglotte à plusieurs étapes très ciblé Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware (lien direct) |
Conclusions clés Les chercheurs de ProofPoint ont identifié une campagne de messagerie électronique très ciblée ciblant moins de cinq clients Proofpoint aux Émirats arabes unis avec un intérêt distinct pour les organisations de communication de l'aviation et des communications par satellite, ainsi que des infrastructures de transport critique. Les messages malveillants ont été envoyés à partir d'une entité compromise dans une relation commerciale de confiance avec les cibles et ont utilisé des leurres personnalisés à chaque cible. Cette campagne a conduit à la porte dérobée nouvellement découverte surnommée Sosano par Proofpoint, qui a exploité de nombreuses techniques pour obscurcir le malware et sa charge utile, indiquant probablement un adversaire avec des capacités de développement importantes avec un intérêt à protéger leurs charges utiles contre une analyse facile. La campagne a utilisé des fichiers polyglots pour obscurcir le contenu de la charge utile, une technique relativement rare pour les acteurs motivés à l'espionnage dans la télémétrie de preuves et témoigne du désir de l'opérateur de rester non détecté. ProofPoint suit ce nouveau cluster de menace sous le nom de Unk_craftyCamel. Aperçu À l'automne 2024, UNK_CraftyCamel a exploité une société d'électronique indienne compromise pour cibler moins de cinq organisations aux Émirats arabes unis avec un fichier zip malveillant qui a exploité plusieurs fichiers polyglots pour éventuellement installer un Sosano sur la porte de Backdoor sur mesure. Remarque d'analyste: Proofpoint utilise le concepteur UNK_ pour définir des grappes d'activités qui se développent encore et n'ont pas été suffisamment observées pour recevoir une désignation Numerical TA. Analyse de la chaîne de livraison et d'infection Fin octobre 2024, les acteurs de l'UNK_CraftyCamel ont mis l'accès à un compte de messagerie compromis appartenant à la société d'électronique indienne Indic Electronics pour envoyer des e-mails malveillants. Les e-mails contenaient des URL pointant vers le net indicèle du domaine contrôlé par l'acteur [.] Le net, qui imite le domaine électronique indicatif indicatif. Les URL malveillantes liées à https: // indicèlecléaire [.] Net / ou / 1 / orderlist.zip, qui a téléchargé une archive zip qui, à première vue, contenait un fichier XLS et deux fichiers PDF. Fichier sur le leurre-indic.pdf. Fichier Electronica-2024.pdf Lere. Cependant, à une enquête plus approfondie, ProofPoint a déterminé que le fichier XLS était en fait un fichier LNK utilisant une double extension, et les fichiers PDF étaient tous deux polyglots; Le premier, un fichier PDF a ajouté avec un HTA tandis que le deuxième fichier PDF avait une archive zip annexe. Visualisation du fichier zip. Les fichiers polyglot sont des fichiers qui peuvent être interprétés comme plusieurs formats différents, selon la façon dont ils sont lus. Ils sont créés en structurant soigneusement des données afin que différents analyseurs interprètent le même fichier différemment, souvent en exploitant des caprices spécifiques au format ou en en-têtes qui se chevauchent. Ils ne sont pas couramment utilisés dans le développement de logiciels de tous les jours mais restent un outil puissant de niche dans des domaines techniques spécialisés. Pour créer un fichier polyglot, un acteur doit d'abord identifier des formats compatibles avec des structures flexibles. Ensuite, ils doivent aligner les en-têtes et les pieds de page pour s'assurer qu'ils n'interfèrent pas avec la structure de l'autre format. Après cela, ils peuvent utiliser des éditeurs hexagonaux, Python ou même l'outil de ligne de commande CAT pour construire le polyglot. Une fois créé, il est important de tester le fichier pour comprendre comment différents programmes tels que les explorateurs de fichiers, les outils en ligne de commande et les navigateurs l'interprète. Un exemple de fichiers pol | Malware Tool Threat Technical Commercial | ★★★ | |
 |
2025-03-04 11:59:32 | Nouvelles fonctionnalités de détection d'escroqueries alimentées par AI pour vous protéger sur Android New AI-Powered Scam Detection Features to Help Protect You on Android (lien direct) |
Publié par Lyubov Farafonova, chef de produit, téléphone par Google; ALBERTO PASTOR NIETO, SR. GESTION DE PRODUIT MESSAGES Google et RCS Spam et abus Google a été à l'avant-garde de la protection des utilisateurs de la menace toujours croissante de arnaques et | Spam Tool Threat Mobile | ★★★ | |
|
2025-03-04 09:34:08 | IA, ransomware et cyberterrorisme: comment les EAU se battent 200 000 attaques quotidiennes AI, Ransomware, and Cyberterrorism: How UAE is Fighting 200,000 Daily Attacks (lien direct) |
Overview
The UAE Cyber Security Council (CSC) has disclosed that the country faces over 200,000 cyberattacks daily, primarily targeting strategic sectors. These cyberterrorist attacks originate from 14 countries, with their perpetrators and attack launch sites identified and countered using advanced global cybersecurity measures.
These attacks aim to disrupt critical infrastructure, steal sensitive data, and undermine national security. The CSC has implemented state-of-the-art threat detection and mitigation strategies to safeguard essential services and institutions from these cyber threats.
Strategic Sectors Under Attack
The CSC has reported that cyberterrorist groups primarily focus their attacks on key industries, aiming to disrupt operations and steal sensitive information. Among the affected sectors, the government sector accounted for the highest share at 30%, followed by the financial and banking sector at 7% and the education sector at 7%. Other affected industries, including technology, aviation, and hospitals, each experienced 4% of the attacks, while the remaining 44% were distributed among various other sectors.
Cyberattack Types and Methods
Cyberattacks come in various forms, each posing unique threats to digital infrastructure. The CSC identified several key attack types:
Attacks on Information Technology and Infrastructure – 40% of total incidents
File-sharing Attacks – 9%
Database Vulnerabilities – 3%
|
Ransomware Malware Vulnerability Threat | ★★ | |
|
2025-03-04 06:38:22 | Google fixe Android Zero-Day exploité par les autorités serbes Google fixes Android zero-day exploited by Serbian authorities (lien direct) |
Google a publié des correctifs pour 43 vulnérabilités dans la mise à jour de sécurité en mars 2025 d'Android \\, y compris deux jours zéro. Les autorités serbes ont utilisé l'un des jours zéro pour débloquer des appareils confisqués. [...]
Google has released patches for 43 vulnerabilities in Android\'s March 2025 security update, including two zero-days. Serbian authorities have used one of the zero-days to unlock confiscated devices. [...] |
Vulnerability Threat Mobile | ★★ | |
 |
2025-03-04 02:56:16 | Alors… la Russie n'est plus une cyber-menace pour l'Amérique? So … Russia no longer a cyber threat to America? (lien direct) |
Les messages mixtes du Pentagone, CISA comme Trump obtient Pally avec Poutine et Kremlin nous frappe les réseaux critiques commentaires Les chefs de la cybersécurité de l'Amérique \\ ont envoyé des messages mitigés sur la menace posée par la Russie dans le monde numérique.…
Mixed messages from Pentagon, CISA as Trump gets pally with Putin and Kremlin strikes US critical networks Comment America\'s cybersecurity chiefs in recent days have been sending mixed messages about the threat posed by Russia in the digital world.… |
Threat | ★★ | |
|
2025-03-04 01:23:01 | Construire vers un assistant d'investigation pour les incidents de sécurité alimentée par l'IA Building Towards an AI-Powered Security Incident Investigation Assistant (lien direct) |
Engineering Insights est une série de blogs en cours qui donne à des coulisses sur les défis techniques, les leçons et les avancées qui aident nos clients à protéger les personnes et à défendre les données chaque jour. Nos ingénieurs rédigent chaque article, expliquant le processus qui a conduit à une innovation de point de preuve. Lorsque les analystes enquêtent sur les incidents de sécurité, ils doivent naviguer dans des schémas complexes et en constante expansion qui contiennent des milliers de champs imbriqués complexes et de valeurs d'énumération. S'ils veulent interroger efficacement cet ensemble de données, ils devraient avoir une connaissance complexe du flux de travail et être en mesure d'affiner itérativement une enquête. Nous avons construit un assistant d'enquête de sécurité alimenté par l'IA qui aide les analystes à interagir avec les données de sécurité en utilisant le langage naturel. Nous l'avons fait en simplifiant la formulation de la requête et en guidant les enquêtes avec des recommandations de renforcement de contexte. Ce billet de blog explore notre processus. Traduire le langage naturel en une requête DSL Notre assistant suggère dynamiquement les bonnes questions à poser en fonction de l'état actuel du locataire et des étapes d'enquête précédentes. Il accélère les flux de travail de sécurité et assure une analyse complète. L'un de ses composants clés est qu'il traduit les requêtes du langage naturel à la langue spécifique au domaine. Ceci, à son tour, interroge nos magasins de données backend. Lorsqu'un analyste pose une question en langage naturel, l'outil le traduit en une requête DSL structurée. La requête DSL générée est ensuite rendue dans une fenêtre d'exploration comme une séquence d'étapes connectées. Les filtres, les gammes de temps et les conditions logiques sont toutes incluses. La figure 1 ci-dessous montre un extrait du flux de travail global. Figure 1: Requête d'exploration alimentée par AI. Cette représentation intuitive améliore la visibilité dans le processus d'exploration des données. Il aide également les analystes à affiner leur enquête avec un minimum d'effort. Défis clés L'un de nos principaux défis a été la mise à la terre du modèle grand langage (LLM) avec des faits utilisant des données étiquetées de haute qualité. Pour le surmonter, nous avons utilisé des investigations existantes et le schéma de base de données comme sources de données principales. Cependant, ils ont présenté des problèmes importants de qualité des données. De nombreuses enquêtes passées ont été mal étiquetées. De plus, ils manquaient de titres et de descriptions claires. Un autre défi était que le schéma de la base de données n'avait pas de descriptions intuitives pour chaque champ et valeur d'énumération. Cela a limité la capacité de LLM \\ à générer des requêtes perspicaces. Améliorer nos données de semences En plus des annotations humaines, nous avons utilisé des LLM pour améliorer la qualité de nos données de semences de deux manières clés: Enrichissement du schéma. Nous avons nourri le schéma de base de données bruts dans un LLM et généré de manière itérative pour chaque champ et valeur d'énumération. Étiquetage d'exploration. Ensuite, nous avons utilisé un LLM pour analyser les enquêtes passées en utilisant les descriptions de schéma que nous avons générées. À ce stade, des titres et des descriptions significatifs ont été créés. Ce marquage structuré a amélioré la qualité de nos données de semences. Et cela a conduit à une base contextuelle robuste lorsque les requêtes utilisateur de forme libre ont été traitées. Architecture Le graphique ci-dessous illustre les pipelines d'entraînement et d'inférence à un niveau élevé. Figure 2: Architecture illustrant les pipelines d'entraînement et d'inférence à un niveau élevé. Tout au long, il y a une stricte adhésion à la vie privée et à la conformité. Aucun PII ou le | Tool Threat Cloud Technical | ★★ | |
|
2025-03-03 22:56:00 | Les pirates exploitent AWS erronés pour lancer des attaques de phishing via SES et Workmail Hackers Exploit AWS Misconfigurations to Launch Phishing Attacks via SES and WorkMail (lien direct) |
Les acteurs de la menace ciblent les environnements d'Amazon Web Services (AWS) pour pousser les campagnes de phishing vers des cibles sans méfiance, selon les résultats de l'unité 42 de Palo Alto Networks.
La société de cybersécurité suit le cluster d'activités sous le nom de TGR-UNK-0011 (abréviation d'un groupe de menaces avec motivation inconnue), qui a déclaré chevauche un groupe connu sous le nom de Javaghost. TGR-UNK-0011 est connu pour
Threat actors are targeting Amazon Web Services (AWS) environments to push out phishing campaigns to unsuspecting targets, according to findings from Palo Alto Networks Unit 42. The cybersecurity company is tracking the activity cluster under the name TGR-UNK-0011 (short for a threat group with unknown motivation), which it said overlaps with a group known as JavaGhost. TGR-UNK-0011 is known to |
Threat | ★★★ | |
|
2025-03-03 19:30:00 | Les pirates utilisent Clickfix Trick pour déployer Havoc C2 basé sur PowerShell via des sites SharePoint Hackers Use ClickFix Trick to Deploy PowerShell-Based Havoc C2 via SharePoint Sites (lien direct) |
Les chercheurs en cybersécurité attirent l'attention sur une nouvelle campagne de phishing qui utilise la technique ClickFix pour livrer un cadre de commande et de contrôle (C2) open-source (C2) appelé Havoc.
"L'acteur de menace cache chaque étape de logiciels malveillants derrière un site SharePoint et utilise une version modifiée de Havoc Demon en collaboration avec l'API Microsoft Graph pour obscurcir les communications C2 dans des
Cybersecurity researchers are calling attention to a new phishing campaign that employs the ClickFix technique to deliver an open-source command-and-control (C2) framework called Havoc. "The threat actor hides each malware stage behind a SharePoint site and uses a modified version of Havoc Demon in conjunction with the Microsoft Graph API to obscure C2 communications within trusted, well-known |
Malware Threat | ★★★ |
To see everything:
Our RSS (filtrered)
