What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-12-14 10:00:00 | GambleForce Group cible les sites Web avec injection SQL GambleForce Group Targets Websites With SQL Injection (lien direct) |
Group-IB prévient le nouvel acteur de menace Gambleforce, qui utilise des attaques d'injection SQL pour voler des données sur les sites Web
Group-IB warns of new threat actor GambleForce, which uses SQL injection attacks to steal data from websites |
Threat | ★★★ | |
 |
2023-12-14 09:44:32 | Atténuation des menaces d'initié: 5 meilleures pratiques pour réduire le risque Insider Threat Mitigation: 5 Best Practices to Reduce Risk (lien direct) |
(This is an updated version of a blog that was originally published on 1/28/21.) Most security teams focus on detecting and preventing external threats. But not all threats come from the outside. The shift to hybrid work, accelerated cloud adoption and high rates of employee turnover have created a perfect storm for data loss and insider threats over the past several years. Today, insider threats rank amongst the top concerns for security leaders-30% of chief information security officers report that insider threats are their biggest cybersecurity threat over the next 12 months. It\'s easy to understand why. Insider threats have increased 44% since 2020 due to current market dynamics-and security teams are struggling to keep pace. According to the Verizon 2023 Data Breach Investigations Report, 74% of all breaches involve the human element. In short, data doesn\'t lose itself. People lose it. When the cybersecurity risk to your company\'s vital systems and data comes from the inside, finding ways to mitigate it can be daunting. Unlike with tools that combat external threats, security controls for data loss and insider threats can impact users\' daily jobs. However, with the right approach and insider threat management tools, that doesn\'t have to be the case. In this blog post, we\'ll share best practices for insider threat mitigation to help your business reduce risk and overcome common challenges you might face along the way. What is an insider threat? But first, let\'s define what we mean by an insider threat. In the cybersecurity world, the term “insider” describes anyone with authorized access to a company\'s network, systems or data. In other words, it is someone in a position of trust. Current employees, business partners and third-party contractors can all be defined as insiders. As part of their day-to-day jobs, insiders have access to valuable data and systems like: Computers and networks Intellectual property (IP) Personal data Company strategy Financial information Customer and partner lists All insiders pose a risk given their position of trust-but not all insiders are threats. An insider threat occurs when someone with authorized access to critical data or systems misuses that access-either on purpose or by making a mistake. The fallout from an insider threat can be dire for a business, including IP loss, legal liability, financial consequences and reputational damage. The challenge for security firms is to determine which insiders are threats, and what type of threats they are, so they know how to respond. There are three insider threat types: Careless. This type of risky insider is best described as a user with good intentions who makes bad decisions that can lead to data loss. The 2022 Cost of Insider Threats Global Report from Ponemon Institute notes that careless users account for more than half (56%) of all insider-led incidents. Malicious. Some employees-or third parties, like contractors or business partners-are motivated by personal gain. Or they might be intent on harming the business. In either case, these risky users might want to exfiltrate trade secrets or take IP when they leave the company. Industrial espionage and sabotage are examples of malicious insider activity. Ponemon research shows malicious insiders account for 26% of insiders. Compromised. Sometimes, external threat actors steal user login information or other credentials. They then use those credentials to access applications and systems. Ponemon reports that compromised users account for 18% of insiders. Insider threat mitigation best practices Companies can minimize brand and financial damage by detecting and stopping insider threats. How each security team approaches insider threats will vary depending on the industry, maturity and business culture. However, every organization can use the five best practices we\'ve outlined below to improve their insider threat prevention. 1. Identify your risky users Most insiders fall into the “care | Data Breach Tool Threat Industrial Cloud Technical | ★★ | |
|
2023-12-14 09:30:00 | Microsoft cible Prolific Outlook Frauder Storm-1152 Microsoft Targets Prolific Outlook Fraudster Storm-1152 (lien direct) |
Microsoft perturbe le groupe de menaces du Vietnam Storm-1152, qui a vendu 750 millions de faux comptes
Microsoft disrupts Vietnam based threat group Storm-1152, which has sold 750 million fake accounts |
Threat | ★★ | |
|
2023-12-14 09:00:56 | La détection de code QR malveillant fait un bond en avant géant Malicious QR Code Detection Takes a Giant Leap Forward (lien direct) |
Proofpoint introduces inline, pre-delivery QR code detection engine to help protect against imaged-based QR code phishing attacks QR code phishing, also known as quishing, is the latest attack hitting inboxes. This emerging threat is able to get around traditional email defenses and is forging a new way to deliver email attacks directly to users. Along with email phishing, executive impersonation, spear phishing and business email compromise (BEC), this threat has become one of the top concerns for security and IT teams. In response, Proofpoint has launched new inline sandboxing capabilities to detect and stop suspicious QR code threats. Not only do we support behavioral and sandbox detection engines, but we also provide pre- and post-scanning for risky QR codes. When combined, these capabilities more accurately detect and better protect against this new threat vector. Most API-based email security tools rely on behavioral signals, which means they can only detect a suspicious QR code email after it has been delivered to the user\'s inbox. In contrast, Proofpoint stops attacks pre-delivery, so threats can never make it to users\' inboxes. In this blog post, we\'ll cover what you should know about QR code phishing and detection-and how Proofpoint can help. Why QR codes? When Microsoft disabled macros to prevent threat actors from exploiting them to deliver malware, threat actors started to test various new attack delivery techniques, such as QR codes. Used by marketers as a quick and easy way to connect with consumers and drive engagement, QR codes have become a part of our daily lives and are now used in retail stores, airline tickets, contactless menus and scan-to-pay, among many others. While it\'s common knowledge that standard QR codes can be used in malicious ways, a recent Scantrust QR code survey found that “over 80% of US-based QR code users said that they think QR codes are safe.” It\'s this inherent trust of QR codes that threat actors depend on. That and the fact that QR codes do not expose malicious URLs make them very hard detect with traditional email security tools. What is QR code phishing? A QR code scam is when a bad actor creates a QR code phishing campaign to trick a user into navigating to a malicious URL. This leads them to a malicious website that then harvests their credentials or downloads malware onto their device. These campaigns include payment scams, package scams, email scams and even donation scams during the holiday season. Because all QR codes look similar, users are easily fooled. Figure 1: How a QR scam typically works. Why are QR codes getting through? Legacy email security providers and most API-based email security tools have a very difficult time detecting these attacks. That\'s because these tools scan email messages for known malicious links-they don\'t scan images for links that are hidden inside QR code images. This attack method also creates a new security blind spot. QR codes are scanned by a separate device, like a smartphone, from where the email is delivered. And smartphones are less likely to have robust security protection, which is needed to detect and prevent these attacks. For this reason, it\'s essential that an email security tool detects and blocks QR code phishing emails before they reach users\' inboxes. When messages are scanned post-delivery, like with API-based tools, there\'s a chance that users will get to them first-before they\'re clawed back. Post-delivery-only detection risks Post-delivery-only email security tools claim to “detect and block” QR code phishing emails, but they simply cannot. While they may “detect” a suspicious QR code email, it\'s only after the threat has been delivered to the user\'s inbox. Moreover, these tools do not sandbox suspicious QR codes. This means they have a high miss rate-which creates more risk for your company. Besides creating more risk, they also create more work for your teams. By relying solely on behavioral anomalies, these tools | Malware Tool Threat Mobile Cloud | ★★★ | |
 |
2023-12-14 08:02:07 | Gouvernement britannique malheureusement non préparé pour \\ 'Attaque de ransomware catastrophique UK government woefully unprepared for \\'catastrophic\\' ransomware attack (lien direct) |
Extorsionware \\ 'démantelié sans relâche \' et même le roi Charles semble inconscient de danger, le rapport cinglant trouve Le Royaume-Uni n'a pas répondu à la menace posée par les ransomwares, laissant le pays à la merci deUne attaque de ransomware catastrophique que le comité conjoint sur la stratégie de sécurité nationale (JCNSS) a averti hier pourrait se produire "à tout moment."…
Extortionware \'relentlessly deprioritized\' and even King Charles seems oblivious to danger, scathing report finds The UK has failed to address the threat posed by ransomware, leaving the country at the mercy of a catastrophic ransomware attack that the Joint Committee on National Security Strategy (JCNSS) yesterday warned could occur "at any moment."… |
Ransomware Threat | ★★ | |
|
2023-12-14 07:44:10 | J'ai cassé mon téléphone!Une mise à jour sur les nouveaux développements dans les attaques conversationnelles contre le mobile I Broke My Phone! An Update on New Developments in Conversational Attacks on Mobile (lien direct) |
C'est la saison des achats, ce qui ne peut signifier qu'une chose: des dizaines de fausses messages de «livraison manqués» qui tentent de voler notre argent, nos données et nos identités.Mais il y a de bonnes nouvelles.Les données de preuve Point montrent que la croissance des smirs a ralenti au cours des 18 derniers mois dans de nombreuses régions, devenant une partie établie du paysage plutôt qu'une menace croissante. Tendances mondiales de smirs. Cependant, le risque reste grave.Et dans de nombreux cas, les attaques deviennent plus spécialisées et sournoises. De nouvelles attaques conversationnelles émergent Au cours de la dernière année, nous avons connu une croissance rapide des attaques conversationnelles contre le mobile.Ces tactiques impliquent que les attaquants envoient plusieurs messages, imitant les modèles d'engagement authentique pour renforcer la confiance.Pendant ce temps, nous avons vu le volume des attaques conversationnelles augmenter de 318% dans le monde, 328% aux États-Unis et 663% dans la boucherie de porc au Royaume-Uni, que nous avons couverte auparavant sur le blog, est un exemple notabled'une menace conversationnelle.Mais ce n'est pas le seul. Dans certaines parties du monde, une usurpation d'identité est devenue une tendance importante.C'est là que l'attaquant prétend être quelqu'un que la victime connaît, comme un membre de la famille, un ami ou une connaissance des entreprises.L'usurpation d'identité peut augmenter la probabilité que la victime faisait confiance au message et attiré dans la conversation. Au Royaume-Uni, l'une des tactiques d'identité communes est de prétendre être un enfant avec un téléphone perdu ou cassé. Exemple d'un texte envoyé par les attaquants. Ceci est un exemple classique de l'ingénierie sociale, en utilisant l'anxiété parentale pour contourner notre prudence habituelle.La prochaine étape dans les abus de conversation implique généralement de persuader la victime de passer à WhatsApp ou un autre service de messagerie avant de demander un transfert d'argent.Dans ce cas, la somme est susceptible d'être faible, mais nous avons vu des montants importants demandés et reçus dans une gamme de leurres conversationnels. Des messages familiaux similaires ont également été signalés en Nouvelle-Zélande.Aux États-Unis, l'identité est plus susceptible d'être un ami ou une connaissance d'entreprise revendiquant une connexion manquée ou demandant à rattraper son retard.Les méthodes qui réussissent dans un pays sont souvent appliquées ailleurs, donc il ne faudra peut-être pas longtemps avant que «Hey Mum» du Royaume-Uni ne devienne «Hey Mom» d'Amérique \\. Et comme les licenciements et l'incertitude économique restent une réalité pour beaucoup, les escroqueries de recrutement ont également passé le courrier électronique au mobile.Après une approche initiale via SMS, les attaquants tenteront de poursuivre l'engagement sur un service de messagerie.Les victimes peuvent être ciblées pour une fraude à des fins avancées, faire face au vol de données personnelles ou être recrutées comme des mules de l'argent pour le blanchiment de gangs criminels. Restez vigilant et signalez des messages malveillants Le ralentissement de la croissance peut sembler une bonne nouvelle.Mais la réalité est que les attaques de smirs sont simplement devenues omniprésentes, tout en grandissant en sophistication et en ruse.Et le risque pour les utilisateurs et l'écosystème mobile reste sévère.Nos téléphones sont toujours au centre de notre vie personnelle, professionnelle et financière.À mesure que les escroqueries deviennent plus variées et ciblées, le coût de la victime d'une attaque peut être significatif. Si vous rencontrez du shishing, du spam ou d'autres contenus suspects, assurez-vous d'utiliser les fonctionnalités de rapport Android et iOS.Ou si la capacité de rapport simplifiée n'est pas disponible, vous pouvez transmettre des messages texte de spam à 7726 qui épellent le «spam» sur le clavier | Spam Threat Mobile Prediction | ★★★ | |
 |
2023-12-14 00:08:10 | Problèmes de chemin d'installation et de portabilité personnalisés Custom Install Path & portability issues (lien direct) |
Si vous lisez mon blog depuis un certain temps, vous saurez que j'aime défier mon jeu de chasse aux menaces avec beaucoup d'err & # 8230;.banalités.Et pas les banalités que je peux ignorer, mais beaucoup d'entre elles & # 8230; Continuer la lecture & # 8594;
If you’ve been reading my blog for a while now you will know that I love to challenge my threat hunting game with a lot of err…. banalities. And not the banalities I can ignore, but a lot of these … Continue reading → |
Threat Technical | ★★★★ | |
 |
2023-12-13 23:26:00 | L'exploitation mondiale de l'équipe ouvre la porte au cauchemar de style solarwinds Global TeamCity Exploitation Opens Door to SolarWinds-Style Nightmare (lien direct) |
L'APT29 de la Russie va après une faille critique dans la plate-forme de développeur de logiciels d'équipe JetBrains, ce qui a incité les gouvernements du monde entier à émettre un avertissement urgent au patch.
Russia\'s APT29 is going after a critical RCE flaw in the JetBrains TeamCity software developer platform, prompting governments worldwide to issue an urgent warning to patch. |
Threat | APT 29 | ★★★ |
 |
2023-12-13 23:13:19 | (Déjà vu) Silent, Yet Powerful Pandora hVNC, The Popular Cybercrime Tool That Flies Under the Radar (lien direct) | Pandora HVNC est un cheval de Troie (rat) à l'accès à distance qui est annoncé sur les forums de cybercriminalité depuis 2021. Étonnamment, il a reçu peu d'attention de la communauté de la cybersécurité.Malgré cela, il reste un outil largement utilisé et est favorisé par de nombreux acteurs de menace.Pandora HVNC permet aux attaquants de prendre un contrôle secrète sur l'ordinateur d'une victime.Cet article analysera les caractéristiques de Pandora Hvnc.
-
mise à jour malveillant
Pandora hVNC is a remote access trojan (RAT) that has been advertised on cybercrime forums since 2021. Surprisingly, it has received little attention from the cybersecurity community. Despite this, it remains a widely used tool and is favoured by many threat actors. Pandora hVNC enables attackers to gain covert control over a victim\'s computer. This article will analyse the features of Pandora hVNC. - Malware Update |
Tool Threat | ★ | |
 |
2023-12-13 20:52:00 | Les escrocs de phishing de Bazacall tirent désormais parti des formulaires Google pour la tromperie BazaCall Phishing Scammers Now Leveraging Google Forms for Deception (lien direct) |
Les acteurs de la menace derrière le & nbsp; Bazacall & nbsp; rappeler des attaques de phishing ont été observés en train de tirer parti des formulaires Google pour donner au schéma un placage de crédibilité.
La méthode est une "tentative d'élever l'authenticité perçue des courriels malveillants initiaux", "la société de cybersécurité ANNORMAL SECURITY & NBSP; Said & NBSP; dans un rapport publié aujourd'hui.
Bazacall & nbsp; (aka bazarcall), qui était & nbsp; d'abord
The threat actors behind the BazaCall call back phishing attacks have been observed leveraging Google Forms to lend the scheme a veneer of credibility. The method is an "attempt to elevate the perceived authenticity of the initial malicious emails," cybersecurity firm Abnormal Security said in a report published today. BazaCall (aka BazarCall), which was first |
Threat | ★★ | |
|
2023-12-13 20:48:00 | Mitre lance la modélisation des menaces ICS pour les systèmes intégrés MITRE Debuts ICS Threat Modeling for Embedded Systems (lien direct) |
Emb3d, comme ATT & amp; CK et CWE, cherche à fournir une compréhension commune des cyber-menaces aux dispositifs intégrés et des mécanismes de sécurité pour les aborder.
EMB3D, like ATT&CK and CWE, seeks to provide a common understanding of cyber-threats to embedded devices and of the security mechanisms for addressing them. |
Threat Industrial | ★★★★ | |
 |
2023-12-13 20:11:19 | Les escrocs ont armé les formulaires Google dans une nouvelle attaque bazarcall Scammers Weaponize Google Forms in New BazarCall Attack (lien direct) |
> Par waqas
Bazarcall évolue: démêler les complexités des formes Google dans les dernières tactiques de phishing!
Ceci est un article de HackRead.com Lire le post original: Les escrocs ont armé les formulaires Google dans une nouvelle attaque bazarcall
>By Waqas BazarCall Evolves: Unraveling the Complexities of Google Forms in the Latest Phishing Tactics! This is a post from HackRead.com Read the original post: Scammers Weaponize Google Forms in New BazarCall Attack |
Threat | ★★★ | |
 |
2023-12-13 19:14:05 | Pandora Hvnc silencieuse, mais puissante, l'outil de cybercriminalité populaire qui vole sous le radar Silent, Yet Powerful Pandora hVNC, The Popular Cybercrime Tool That Flies Under the Radar (lien direct) |
> Pandora HVNC est un cheval de Troie (rat) d'accès à distance qui est annoncé sur les forums de cybercriminalité depuis 2021. Étonnamment, il a reçu peu d'attention de la communauté de la cybersécurité.Malgré cela, il reste un outil largement utilisé et est favorisé par de nombreux acteurs de menace.Pandora HVNC permet aux attaquants d'obtenir un contrôle secrète sur un ordinateur victime.Ce [& # 8230;]
Le post Silencieux, mais mais encorePuissant Pandora Hvnc, le populaire outil de cybercriminalité qui vole sous le radar est apparu pour la première fois sur slashnext .
>Pandora hVNC is a remote access trojan (RAT) that has been advertised on cybercrime forums since 2021. Surprisingly, it has received little attention from the cybersecurity community. Despite this, it remains a widely used tool and is favoured by many threat actors. Pandora hVNC enables attackers to gain covert control over a victim’s computer. This […] The post Silent, Yet Powerful Pandora hVNC, The Popular Cybercrime Tool That Flies Under the Radar first appeared on SlashNext. |
Tool Threat Technical | ★★★★ | |
|
2023-12-13 18:45:00 | Les attaquants ciblent les comptes Microsoft pour armer les applications OAuth Attackers Target Microsoft Accounts to Weaponize OAuth Apps (lien direct) |
Après avoir compromis les comptes d'utilisateurs Azure et Outlook, les acteurs de la menace créent des applications malveillantes avec des privilèges élevés pour mener la cryptomiminage, le phishing et la pulvérisation de mot de passe.
After compromising Azure and Outlook user accounts, threat actors are creating malicious apps with high privileges to conduct cryptomining, phishing, and password spraying. |
Threat | ★★★ | |
 |
2023-12-13 17:47:20 | KV-Botnet détourné les routeurs SoHo et les appareils VPN Stealthy KV-botnet hijacks SOHO routers and VPN devices (lien direct) |
Le groupe de piratage APT parrainé par l'État chinois connu sous le nom de Volt Typhoon (Bronze Silhouette) a été lié à un botnet sophistiqué nommé \\ 'KV-Botnet \' depuis au moins 2022 pour attaquer les routeurs Soho dans des cibles à grande valeur.[...]
The Chinese state-sponsored APT hacking group known as Volt Typhoon (Bronze Silhouette) has been linked to a sophisticated botnet named \'KV-botnet\' since at least 2022 to attack SOHO routers in high-value targets. [...] |
Threat | Guam | ★★★ |
|
2023-12-13 16:25:00 | Microsoft met en garde contre les pirates exploitant Oauth pour l'extraction et le phishing des crypto-monnaies Microsoft Warns of Hackers Exploiting OAuth for Cryptocurrency Mining and Phishing (lien direct) |
Microsoft a averti que les adversaires utilisent des applications OAuth comme outil d'automatisation pour déployer des machines virtuelles (VM) pour l'exploitation de crypto-monnaie et le lancement d'attaques de phishing.
"Les acteurs de la menace compromettent les comptes d'utilisateurs pour créer, modifier et accorder des privilèges élevés aux applications OAuth qu'ils peuvent abuser pour cacher l'activité malveillante", l'équipe Microsoft Threat Intelligence & nbsp; a dit & nbsp; dans un
Microsoft has warned that adversaries are using OAuth applications as an automation tool to deploy virtual machines (VMs) for cryptocurrency mining and launch phishing attacks. "Threat actors compromise user accounts to create, modify, and grant high privileges to OAuth applications that they can misuse to hide malicious activity," the Microsoft Threat Intelligence team said in an |
Tool Threat | ★★ | |
|
2023-12-13 15:30:00 | Mitre lance le cadre du modèle de menace d'infrastructure critique MITRE Launches Critical Infrastructure Threat Model Framework (lien direct) |
L'EMB3D de Mitre \\ fournit aux fabricants industriels une compréhension partagée pour atténuer les cyber-menaces
MITRE\'s EMB3D provides industrial manufacturers with a shared understanding to mitigate cyber threats |
Threat Industrial | ★★★★ | |
 |
2023-12-13 11:14:19 | Le correctif de décembre 2023 de Microsoft \\ est de mardi 36 vulnérabilités, 3 critiques et un jour zéro non microsoft Microsoft\\'s December 2023 Patch Tuesday Tackles 36 Vulnerabilities, 3 Critical, and a Non-Microsoft Zero-Day (lien direct) |
Microsoft a publié son correctif de décembre 2023 mardi, adressant un total de 36 vulnérabilités de sécurité ....
Microsoft has released its December 2023 Patch Tuesday, addressing a total of 36 security vulnerabilities.... |
Vulnerability Threat | ★★★ | |
 |
2023-12-13 11:09:37 | (Déjà vu) Turtle (lien direct) | > également connu sous le nom de heur: trojan-ransom.osx.agent.trtl
Type:
Ransomware
Plateforme:
Mac OS 9
Dernière mise à jour:
13/12/23 6:58 PM
Niveau de menace:
High
Description
La tortue est un ransomware qui crypte les fichiers sur des systèmes compromis.
Débours des menaces de tortue
MacScan peut détecter et éliminer les ransomwares de tortues de votre système, ainsi que de protéger d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace.
télécharger macscan
>also known as HEUR:Trojan-Ransom.OSX.Agent.trtl Type: Ransomware Platform: Mac OS 9 Last updated: 12/13/23 6:58 pm Threat Level: High Description Turtle is ransomware that encrypts files on compromised systems. Turtle Threat Removal MacScan can detect and remove Turtle Ransomware from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan |
Ransomware Threat | ★★ | |
|
2023-12-13 11:09:36 | Chisel (lien direct) | > Également connu sous le nom de pas-a-virus: heur: server-proxy.osx.chisel.a
Type:
Trojan Horse
Plateforme:
mac os x
Dernière mise à jour:
10/11/23 17:26 PM
Niveau de menace:
High
Description
Chisel est un Troie qui effectue diverses activités telles que l'exploitation minière, les logiciels espions et capables de permettre un accès à distance à votre machine.
Retrait des menaces de ciseau
MacScan peut détecter et retirer le cheval de Troie Chisel de votre système, ainsi que la protection contre d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace.
télécharger macscan
>also known as not-a-virus:HEUR:Server-Proxy.OSX.Chisel.a Type: Trojan Horse Platform: Mac OS X Last updated: 10/11/23 5:26 pm Threat Level: High Description Chisel is a trojan that performs various activities such as mining, spyware and capable for allowing remote access to your machine. Chisel Threat Removal MacScan can detect and remove Chisel Trojan Horse from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan |
Threat | ★★ | |
|
2023-12-13 11:00:00 | Les gangs de ransomware utilisent l'offensive du charme des relations publiques pour faire pression sur les victimes Ransomware Gangs Use PR Charm Offensive to Pressure Victims (lien direct) |
Les acteurs de la menace embrassent pleinement la machine à spin: rebrandir, parler avec les médias, écrire des FAQ détaillées, et plus encore, le tout dans le but de faire la une des journaux.
Threat actors are fully embracing the spin machine: rebranding, speaking with the media, writing detailed FAQs, and more, all in an effort to make headlines. |
Ransomware Threat | ★★ | |
|
2023-12-13 10:30:00 | Microsoft corrige 34 CVE et un jour zéro en décembre mardi Microsoft Fixes 34 CVEs and One Zero-Day in December Patch Tuesday (lien direct) |
Microsoft a publié des mises à jour pour des dizaines de vulnérabilités, y compris une faille zéro jour
Microsoft has released updates for dozens of vulnerabilities including one zero-day flaw |
Vulnerability Threat | ★★★ | |
|
2023-12-13 09:19:50 | Rapport Threat Lab de WatchGuard : La forte activité d\'une nouvelle variante de Medusa fait bondir le volume global des attaques de ransomwares sur les endpoints de 89% (lien direct) | Rapport Threat Lab de WatchGuard : La forte activité d'une nouvelle variante de Medusa fait bondir le volume global des attaques de ransomwares sur les endpoints de 89% Le dernier rapport WatchGuard sur la sécurité internet fait également état d'une diminution du nombre de malwares transmis par le biais de connexions chiffrées (à 48% contre 95% lors du dernier rapport) et une montée en puissance de l'utilisation d'infostealers par les cybercriminels. - Investigations | Threat | ★★★ | |
 |
2023-12-13 07:57:24 | Préserver l'intégrité des systèmes OT pour se défendre contre la vie des techniques terrestres Preserving Integrity in OT Systems to Defend Against Living off the Land Techniques (lien direct) |
> Les techniques de vie (LOTL) peuvent réduire le temps et les ressources nécessaires pour exploiter ou corrompre les systèmes & # 8211;abus de volé ...
>Living-off-the-land (LotL) techniques may reduce the time and resources required to exploit or corrupt systems – abusing stolen... |
Threat Industrial | ★★ | |
 |
2023-12-12 22:15:48 | Toyota avertit des informations financières personnelles et financières peuvent avoir été exposées dans la violation de données Toyota Warns Personal, Financial Info May Have Been Exposed In Data Breach (lien direct) |
Toyota Financial Services (TFS), une filiale financière de la populaire constructeur automobile Toyota Motor Corporation, avertit les clients qu'il a subi une violation de données qui a exposé les informations personnelles, y compris les informations de compte bancaire, dans l'attaque (via BleepingComputer ). Pour ceux qui ne le savent pas, certains des systèmes de TFS \\ en Europe et en Afrique ont subi une attaque de ransomware le mois dernier. The Medusa Ransomware Gang Responsabilité affirmée pourL'attaque et les TF répertoriés comme site de fuite de données sur le Web Dark. Le groupe a exigé que l'entreprise paie une rançon de 8 millions de dollars américains en 10 jours pour supprimer les données qui auraient été volées à la société japonaise, avec la possibilité de payer 10 000 $ pour une extension de jour. . Pour soutenir sa réclamation, le gang de ransomware a également publié des captures d'écran de plusieurs documents, aux côtés d'une arborescence de fichiers de toutes les données exfiltrées. Il comprenait des documents financiers, des feuilles de calcul, des mots de passe du compte hachée, des factures d'achat, des analyses de passeport, des identifiants utilisateur en texte clair et des mots de passe, des adresses e-mail du personnel, des graphiques d'organisation interne, des rapports de performances financières, des accords, et plus encore. «Toyota Motor Corporation est un fabricant d'automobile multinational japonais dont le siège est à Toyota City, Aichi, Japon.Toyota est l'un des plus grands constructeurs automobiles au monde, produisant environ 10 millions de véhicules par an », a déclaré le site de fuite de Medusa \\, qui comprenait une brève description du piratage. «Les données divulguées proviennent de Toyota Financial Services en Allemagne.Toyota Deutschland GmbH est une société affiliée détenue par Toyota Motor Europe (TME) à Bruxelles / Belgique et située à K & OUML; LN (Cologne). » Suite à la menace de fuite de données par Medusa Ransomware, un porte-parole de Toyota a confirmé à BleepingComputer qu'il a détecté un accès non autorisé sur certains de ses systèmes en Europe et en Afrique. À l'époque, TFS n'a confirmé pas si l'une de ses données avait été volée dans la violation, mais a déclaré qu'elle avait pris des systèmes hors ligne pour atténuer les risques et aider ses enquêtes. Il semble que Toyota n'a pas cédé aux demandes du gang de ransomware de Medusa, car toutes les données divulguées ont été publiées sur le portail d'extorsion de Medusa & # 8217; Plus tôt ce mois-Germany-Toyota-KreditBank-GmbH-2 / Texte "Data-Wpel-Link =" External "rel =" Nofollow Noopener NoreFerrer "> Identifié comme l'une des divisions affectées, admettant que certains fichiers TKG étaient accessibles parpirates pendant l'attaque. Les lettres de notification de violation qui ont été envoyées en allemand aux clients touchés de Toyota \\ ont été accessibles par le point de presse allemand heise . Il les informe que les informations compromises dans la violation de données sur la base de l'enquête en cours comprennent les noms de premier et de famille, les adresses résidentielles, les informations du contrat, les détails de l'achat de location et Iban (numéro de compte bancaire international). Étan | Ransomware Data Breach Hack Threat | ★★★ | |
|
2023-12-12 20:22:00 | Hackers russes APT28 ciblant 13 nations dans une campagne de cyber-espionnage en cours Russian APT28 Hackers Targeting 13 Nations in Ongoing Cyber Espionage Campaign (lien direct) |
L'acteur de menace russe de l'État-nation connu sous le nom de & nbsp; apt28 & nbsp; a été observé en utilisant des leurres liés à la guerre en cours d'Israël-Hamas pour faciliter la livraison d'une porte dérobée personnalisée appelée Headlace.
IBM X-Force suit l'adversaire sous le nom ITG05, qui est également connu sous le nom de Bledelta, Fancy Bear, Forest Blizzard (anciennement Strontium), Frozenlake, Iron Twilight, Sednit, Sofacy et
The Russian nation-state threat actor known as APT28 has been observed making use of lures related to the ongoing Israel-Hamas war to facilitate the delivery of a custom backdoor called HeadLace. IBM X-Force is tracking the adversary under the name ITG05, which is also known as BlueDelta, Fancy Bear, Forest Blizzard (formerly Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy, and |
Threat | APT 28 | ★★★ |
 |
2023-12-12 19:00:56 | ProofPoint expose une attaque sophistiquée d'ingénierie sociale contre les recruteurs qui infecte leurs ordinateurs par des logiciels malveillants Proofpoint Exposes Sophisticated Social Engineering Attack on Recruiters That Infects Their Computers With Malware (lien direct) |
Les recruteurs et toute autre personne impliquée dans les processus d'embauche devraient être bien informés sur cette menace d'attaque d'ingénierie sociale.
Recruiters and anyone else involved in hiring processes should be knowledgeable about this social engineering attack threat. |
Malware Threat | ★★ | |
|
2023-12-12 17:54:45 | Faux curriculum vitae, vrais logiciels malveillants: TA4557 exploite les recruteurs pour un accès de porte dérobée Fake Resumes, Real Malware: TA4557 Exploits Recruiters for Backdoor Access (lien direct) |
> Par waqas
TA4557 est un acteur de menace à motivation financière connue pour distribuer la porte dérobée More_Eggs contre les recruteurs sur LinkedIn.
Ceci est un article de HackRead.com Lire le post d'origine: faux curriculum vitae, Real malware: TA4557 exploite les recruteurs pour l'accès de la porte dérobée
>By Waqas TA4557 is a financially motivated threat actor known to distribute the More_Eggs backdoor against recruiters on LinkedIn. This is a post from HackRead.com Read the original post: Fake Resumes, Real Malware: TA4557 Exploits Recruiters for Backdoor Access |
Malware Threat | ★★★ | |
 |
2023-12-12 15:59:36 | Novembre 2023 \\'s Most Wanted Maleware: New Asyncrat Campaign découvert tandis que FakeUpdates est rentré dans le top dix après une brève pause November 2023\\'s Most Wanted Malware: New AsyncRAT Campaign Discovered while FakeUpdates Re-Entered the Top Ten after Brief Hiatus (lien direct) |
> Les chercheurs ont rendu compte d'une nouvelle campagne asyncrat où des fichiers HTML malveillants étaient utilisés pour diffuser les logiciels malveillants furtifs.Pendant ce temps, le téléchargeur FakeUpdates a sauté directement à la deuxième place après une courte pause de la liste des dix premières, notre dernier indice de menace mondial pour le novembre 2023, les chercheurs ont vu une campagne asyncrat où des fichiers HTML malveillants ont été utilisés pour diffuser le malware secret.Pendant ce temps, le téléchargeur JavaScript, FakeUpdates, a sauté directement à la deuxième place après une interruption de deux mois de la liste des dix premières, et l'éducation est restée l'industrie la plus touchée dans le monde.Asyncrat est un cheval de Troie (rat) d'accès à distance connu pour sa capacité à à distance [& # 8230;]
>Researchers reported on a new AsyncRAT campaign where malicious HTML files were being used to spread the stealthy malware. Meanwhile, downloader FakeUpdates jumped straight into second place after a short break from the top ten list Our latest Global Threat Index for November 2023 saw researchers discover a AsyncRAT campaign where malicious HTML files were used to spread the covert malware. Meanwhile, JavaScript downloader, FakeUpdates, jumped straight into second place after a two-month hiatus from the top ten list, and Education remained the most impacted industry worldwide. AsyncRAT is a Remote Access Trojan (RAT) known for its ability to remotely […] |
Malware Threat | ★★ | |
 |
2023-12-12 15:21:32 | Dévoiler «Vetta Loader»: un chargeur personnalisé frappant l'Italie et se propage dans les disques USB infectés Unveiling “Vetta Loader”: A Custom Loader Hitting Italy and Spread Through Infected USB Drives (lien direct) |
#### Description
Dans une récente enquête menée par l'équipe malveillante du malware de Yoroi \\, une menace persistante affectant plusieurs sociétés italiennes, principalement dans les secteurs de l'industrie, de la fabrication et de l'impression numérique, a été dévoilé.Le modus operandi de cette menace implique l'utilisation de disques USB infectés, exploitant la forte dépendance à l'égard des rédrivits pour le partage de données au sein de ces secteurs.
Le logiciel malveillant identifié, nommé "Vetta Loader", utilise les services vidéo publics comme un conduit pour fournir sa charge utile malveillante.Le rapport suggère un niveau de confiance moyen-élevé que l'acteur de menace derrière cette campagne est italien.Notamment, la recherche a révélé quatre variantes distinctes du chargeur Vetta, chacune codée dans différents langages de programmation-nodejs, Golang, Python et .NET - tout en partageant une approche commune de la communication avec les serveurs de commande et de contrôle et les téléchargements de stade ultérieurs.
#### URL de référence (s)
1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-harthrough-Enfini-usb-drives /
#### Date de publication
6 décembre 2023
#### Auteurs)
Luigi Marre
Carmelo ragusa
Giovanni pirozzi
Marco Giorgi
#### Description In a recent investigation conducted by Yoroi\'s malware ZLab team, a persistent threat affecting several Italian companies, primarily in industrial, manufacturing, and digital printing sectors, has been unveiled. The modus operandi of this threat involves the utilization of infected USB drives, exploiting the heavy reliance on pen-drives for data sharing within these sectors. The identified malware, named "Vetta Loader," employs public video services as a conduit for delivering its malicious payload. The report suggests a medium-high confidence level that the threat actor behind this campaign is Italian-speaking. Notably, the research uncovered four distinct variants of the Vetta Loader, each coded in different programming languages-NodeJS, Golang, Python, and .NET-while sharing a common approach to communication with command and control servers and subsequent stage downloads. #### Reference URL(s) 1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-through-infected-usb-drives/ #### Publication Date December 6, 2023 #### Author(s) Luigi Martire Carmelo Ragusa Giovanni Pirozzi Marco Giorgi |
Malware Threat Industrial | ★★★ | |
 |
2023-12-12 14:36:47 | Alerte Vert Threat: décembre 2023 Patch mardi analyse VERT Threat Alert: December 2023 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte VERT de \\ sont des mises à jour de sécurité de décembre 2023 de Microsoft.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1086 le mercredi 13 décembre.CVE CVE-2023-20588 AMD a publié CVE-2023-20588 a publié AMD-SB-7007 & # 8211;Avis de sécurité des fuites spéculatives, qui décrit comment certains processeurs AMD peuvent potentiellement renvoyer des données spéculatives après une division par zéro.Le Bulletin AMD d'origine a été publié le 8 août 2023. Microsoft a signalé que cette vulnérabilité comme exploitation était moins probable.Déchange de CVE par tag tandis que la sécurité historique de Microsoft ...
Today\'s VERT Alert addresses Microsoft\'s December 2023 Security Updates . VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1086 on Wednesday, December 13th. In-The-Wild & Disclosed CVEs CVE-2023-20588 AMD has released AMD-SB-7007 – Speculative Leaks Security Notice , which describes how some AMD processors can potentially return speculative data after a division-by-zero. The original AMD bulletin was issued on August 8, 2023. Microsoft has reported this vulnerability as Exploitation Less Likely . CVE Breakdown by Tag While historical Microsoft Security... |
Vulnerability Threat | ★★ | |
 |
2023-12-12 12:00:09 | Durcissant les bandes de base cellulaire dans Android Hardening cellular basebands in Android (lien direct) |
Posted by Ivan Lozano and Roger Piqueras Jover Android\'s defense-in-depth strategy applies not only to the Android OS running on the Application Processor (AP) but also the firmware that runs on devices. We particularly prioritize hardening the cellular baseband given its unique combination of running in an elevated privilege and parsing untrusted inputs that are remotely delivered into the device. This post covers how to use two high-value sanitizers which can prevent specific classes of vulnerabilities found within the baseband. They are architecture agnostic, suitable for bare-metal deployment, and should be enabled in existing C/C++ code bases to mitigate unknown vulnerabilities. Beyond security, addressing the issues uncovered by these sanitizers improves code health and overall stability, reducing resources spent addressing bugs in the future. An increasingly popular attack surface As we outlined previously, security research focused on the baseband has highlighted a consistent lack of exploit mitigations in firmware. Baseband Remote Code Execution (RCE) exploits have their own categorization in well-known third-party marketplaces with a relatively low payout. This suggests baseband bugs may potentially be abundant and/or not too complex to find and exploit, and their prominent inclusion in the marketplace demonstrates that they are useful. Baseband security and exploitation has been a recurring theme in security conferences for the last decade. Researchers have also made a dent in this area in well-known exploitation contests. Most recently, this area has become prominent enough that it is common to find practical baseband exploitation trainings in top security conferences. Acknowledging this trend, combined with the severity and apparent abundance of these vulnerabilities, last year we introduced updates to the severity guidelines of Android\'s Vulnerability Rewards Program (VRP). For example, we consider vulnerabilities allowing Remote Code Execution (RCE) in the cellular baseband to be of CRITICAL severity. Mitigating Vulnerability Root Causes with Sanitizers Common classes of vulnerabilities can be mitigated through the use of sanitizers provided by Clang-based toolchains. These sanitizers insert runtime checks against common classes of vulnerabilities. GCC-based toolchains may also provide some level of support for these flags as well, but will not be considered further in this post. We encourage you to check your toolchain\'s documentation. Two sanitizers included in Undefine | Tool Vulnerability Threat Mobile Prediction Conference | ★★★ | |
 |
2023-12-12 11:00:00 | Qu'est-ce que le partage de l'intelligence des menaces de cybersécurité What is Cybersecurity threat intelligence sharing (lien direct) |
Knowledge is power and collaboration is key for organizations to continuously adapt and improve their security measures in order to stay ahead of cybercriminals. An effective way to stay ahead is by enhancing an organization\'s security posture through cybersecurity threat intelligence sharing. By exchanging information about potential and existing cyber threats with other organizations, individuals, or entities, organizations can better understand the threat landscape and make informed decisions about their security strategies. In this article, we will explore what threat intelligence sharing is and provide guidance on starting your own program.
How threat intelligence sharing works
Threat intelligence sharing can be compared to a neighborhood watch program, where community members collaborate and share information about suspicious activities, potential threats, and crime incidents to improve the overall safety and security of the neighborhood.
Similarly, threat intelligence sharing is a collaborative process that enables organizations to exchange information such as indicators of compromise (IoCs), tactics, techniques, and procedures (TTPs), and vulnerabilities between each other. It involves gathering threat intelligence from various sources, such as internal network logs, security tools, open-source intelligence (OSINT), commercial threat intelligence feeds, and industry-specific sharing communities like Information Sharing and Analysis Centers (ISACs).
The collected data is then analyzed to identify patterns, trends, and actionable insights, which help organizations understand the threat landscape and make informed decisions about their security strategies.
Addressing threat intelligence sharing legal, regulatory, and privacy concerns
To maintain privacy and foster collaboration, organizations should establish clear guidelines and use standardized protocols like Structured Threat Information Expression (STIX) or Trusted Automated eXchange of Indicator Information (TAXII) when sharing threat intelligence outside the company. This collaborative approach will ultimately improve the security posture of all participating organizations.
Also, participating organizations should work closely with legal and compliance teams to understand the requirements and establish guidelines for sharing threat intelligence while adhering to data privacy regulations and industry-specific compliance standards. Guidelines should include sanitization, anonymization, and encryption techniques to protect sensitive information from being publicly disclosed.
How threat intelligence data is structured
Standardized formats and languages, such as STIX or TAXII, are used to structure the data, ensuring consistency, readability, and easy processing by different tools and systems. Organizations share this threat intelligence through various channels, including email, file transfers, web platforms, or automated protocols like STIX and TAXII. Shared intelligence is then consumed, and appropriate countermeasures are implemented based on the insights gained.
Organizations collaboratively and continuously monitor the effectiveness of their threat intelligence sharing efforts, providing feedback to each other and refining their processes to improve the quality and relevance of the shared data.
Benefits of participating in threat intelligence sharing
Just as neighborhood watch programs promote involvement through community building, shared responsibility, and mutual benefit, threat intelligence sharing programs encourage participation by doing the following:
Raising aw |
Tool Vulnerability Threat Commercial | ★★★ | |
|
2023-12-12 10:30:00 | L'acteur de menace cible les recruteurs avec des logiciels malveillants Threat Actor Targets Recruiters With Malware (lien direct) |
Les recruteurs sont invités à éduquer le personnel sur une augmentation des attaques de phishing du groupe de menaces TA4557
Recruiters are urged to educate staff about a surge in phishing attacks from threat group TA4557 |
Malware Threat | ★★ | |
|
2023-12-12 09:41:10 | Naviguer dans le paysage des menaces de fabrication Navigating the Manufacturing Threat Landscape (lien direct) |
> Bienvenue à notre série sur la cybersécurité dans l'industrie manufacturière.Partie 1: Cybersécurité de la cybersécurité industrielle dans le ...
>Welcome back to our series on cybersecurity in the manufacturing industry. Part 1: Industrial Cybersecurity Manufacturing Cybersecurity in the... |
Threat Industrial | ★★★ | |
|
2023-12-12 05:00:00 | Mémoire de sécurité: TA4557 cible les recruteurs directement par e-mail Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) |
What happened Since at least October 2023, TA4557 began using a new technique of targeting recruiters with direct emails that ultimately lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. Previously, throughout most of 2022 and 2023, TA4557 typically applied to existing open job listings purporting to be a job applicant. The actor included malicious URLs, or files containing malicious URLs, in the application. Notably, the URLs were not hyperlinked and the user would have to copy and paste the URL text to visit the website. The legitimate job hosting sites would then generate and send email notifications to the prospective employers who posted the positions. In recently observed campaigns, TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Specifically in the attack chain that uses the new direct email technique, once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. Alternatively, the actor was observed replying with a PDF or Word attachment containing instructions to visit the fake resume website. Example initial outreach email by TA4557 to inquire about a job posting. Example follow up email containing a URL linking to a fake resume website. Very notably, in campaigns observed in early November 2023, Proofpoint observed TA4557 direct the recipient to “refer to the domain name of my email address to access my portfolio” in the initial email instead of sending the resume website URL directly in a follow up response. This is likely a further attempt to evade automated detection of suspicious domains. Email purporting to be from a candidate directing the recipient to visit the domain in an email address. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. Example of a fake candidate website operated by TA4557 that leads to download of a zip attachment. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pass the filtering checks, they are directed to the candidate website. The candidate website uses a CAPTCHA which, if completed, will initiate the download of a zip file containing a shortcut file (LNK). The LNK, if executed, abuses legitimate software functions in "ie4uinit.exe" to download and execute a scriptlet from a location stored in the "ie4uinit.inf" file. This technique is commonly referred to as "Living Off The Land" (LOTL). The scriptlet decrypts and drops a DLL in the %APPDATA%\Microsoft folder. Next, it attempts to create a new regsrv32 process to execute the DLL using Windows Management Instrumentation (WMI) and, if that fails, tries an alternative approach using the ActiveX Object Run method. The DLL employs anti-sandbox and anti-analysis techniques. It incorporates a loop specifically designed to retrieve the RC4 key necessary for deciphering the More_Eggs backdoor. This loop is strategically crafted to extend its execution time, enhancing its evasion capabilities within a sandbox environment. Furthermore, the DLL employs multiple checks to determine if it is currently being debugged, utilizing the NtQueryInformationProcess function. The DLL drops the More_Eggs backdoor along with the MSXSL executable. Subsequently, it initiates the creation of the MSXSL process using the WMI service. Once completed, the DLL deletes itself. More_Eggs can be used to establish persistence, profile the machine, and drop additional payloads. Attribution Proofpoint has been tracking TA4557 since 2018 as a | Malware Tool Threat | ★★★ | |
|
2023-12-11 19:54:39 | Les joueurs ont mis en garde contre l'exploit potentiel CS2 qui peut révéler des adresses IP Gamers Warned of Potential CS2 Exploit That Can Reveal IP Addresses (lien direct) |
> Par waqas
Les influenceurs de jeu conseillent aux joueurs de CS2 de s'abstenir de jouer au jeu en ce moment.
Ceci est un article de HackRead.com Lire la publication originale: Les joueurs ont mis en garde contre un exploit potentiel CS2 qui peut révéler les adresses IP
>By Waqas Gaming influencers are advising CS2 players to refrain from playing the game at the moment. This is a post from HackRead.com Read the original post: Gamers Warned of Potential CS2 Exploit That Can Reveal IP Addresses |
Threat | ★★★ | |
|
2023-12-11 19:29:00 | Les chercheurs démasquent le lien caché de Sandman Apt \\ avec la porte de la porte de la Chine à la Chine Researchers Unmask Sandman APT\\'s Hidden Link to China-Based KEYPLUG Backdoor (lien direct) |
Des chevauchements tactiques et des ciblage ont été découverts entre la menace persistante avancée énigmatique (APT) appelée & nbsp; Sandman & nbsp; et un groupe de menaces basé sur la Chine qui est connu pour utiliser une porte dérobée connue sous le nom de clés.
L'évaluation provient conjointement de Sentinélone, PwC et de l'équipe Microsoft Threat Intelligence Bases sur le fait que le malware Luadream et KeyPlug de l'adversaire ont été basés sur Lua
Tactical and targeting overlaps have been discovered between the enigmatic advanced persistent threat (APT) called Sandman and a China-based threat cluster that\'s known to use a backdoor known as KEYPLUG. The assessment comes jointly from SentinelOne, PwC, and the Microsoft Threat Intelligence team based on the fact that the adversary\'s Lua-based malware LuaDream and KEYPLUG have been |
Malware Threat | ★★★ | |
|
2023-12-11 18:30:00 | Groupe Lazarus utilisant des exploits log4j pour déployer des chevaux de Troie à distance Lazarus Group Using Log4j Exploits to Deploy Remote Access Trojans (lien direct) |
L'acteur de menace notoire en Corée du Nord connu sous le nom de & NBSP; Lazarus Group & NBSP; a été attribué à une nouvelle campagne mondiale qui implique l'exploitation opportuniste des défauts de sécurité dans Log4J pour déployer des trojans d'accès à distance non documenté (rats) sur des hôtes compromis.
Cisco Talos suit l'activité sous le nom de l'opération Blacksmith, notant l'utilisation de trois dlang
The notorious North Korea-linked threat actor known as the Lazarus Group has been attributed to a new global campaign that involves the opportunistic exploitation of security flaws in Log4j to deploy previously undocumented remote access trojans (RATs) on compromised hosts. Cisco Talos is tracking the activity under the name Operation Blacksmith, noting the use of three DLang-based |
Threat | APT 38 | ★★★ |
|
2023-12-11 16:25:32 | Les pirates de Lazarus déposent de nouveaux logiciels malveillants de rat en utilisant un bug Log4J de 2 ans Lazarus hackers drop new RAT malware using 2-year-old Log4j bug (lien direct) |
Le célèbre groupe de piratage nord-coréen connu sous le nom de Lazarus continue d'exploiter le CVE-2021-44228, alias "Log4Shell", cette fois pour déployer trois familles de logiciels malveillants invisibles écrites à Dlang.[...]
The notorious North Korean hacking group known as Lazarus continues to exploit CVE-2021-44228, aka "Log4Shell," this time to deploy three previously unseen malware families written in DLang. [...] |
Malware Threat | APT 38 | ★★ |
 |
2023-12-11 13:55:30 | Sandman apt |Les adversaires basés en Chine embrassent Lua Sandman APT | China-Based Adversaries Embrace Lua (lien direct) |
Les chercheurs de Sentinellabs, Microsoft et PwC Threat Intelligence fournissent des informations pertinentes sur l'attribution sur le cluster Sandman APT.
SentinelLabs, Microsoft, and PwC threat intelligence researchers provide attribution-relevant information on the Sandman APT cluster. |
Threat | ★★★ | |
|
2023-12-11 13:14:16 | 11 décembre & # 8211;Rapport de renseignement sur les menaces 11th December – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes principales attaques et violations l'American Greater Richmond Transit Company (GRTC), qui fournissent des services à des millions de personnes, a été victime d'une cyberattaque qui a eu un impact sur certaines applications et parties du réseau GRTC.Le ransomware de lecture [& # 8230;]
>For the latest discoveries in cyber research for the week of 11th December, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES The American Greater Richmond Transit Company (GRTC), which provides services for millions of people, has been a victim of cyber-attack that impacted certain applications and parts of the GRTC network. The Play ransomware […] |
Ransomware Threat | ★★ | |
 |
2023-12-11 13:00:00 | Les OP de piratage nord-coréen continuent d'exploiter Log4Shell North Korean hacking ops continue to exploit Log4Shell (lien direct) |
> Deux ans après sa divulgation, la vulnérabilité LOG4J continue de permettre les opérations de piratage nord-coréen.
>Two years after it was disclosed, the Log4j vulnerability continues to enable North Korean hacking operations. |
Vulnerability Threat | ★★ | |
|
2023-12-11 11:55:33 | Espagne Base de données et vente d'accès australien, violation Everlast, voleur MacOS Metamask, nouvel exploit Microsoft Spain Database and Australian Access Sale, Everlast Breach, macOS Metamask Stealer, New Microsoft Exploit (lien direct) |
Dans la dernière édition de la semaine dans Dark Web, l'équipe Web Socradar Dark ...
In the latest edition of the Week in Dark Web, the SOCRadar Dark Web Team... |
Threat | ★★ | |
|
2023-12-11 11:28:00 | Nouvelles techniques d'injection de processus de poolsty New PoolParty Process Injection Techniques Outsmart Top EDR Solutions (lien direct) |
Une nouvelle collection de huit techniques d'injection de processus, collectivement surnommée & NBSP; PoolParty, pourrait être exploitée pour réaliser l'exécution du code dans les systèmes Windows tout en éludant des systèmes de détection et de réponse (EDR).
Le chercheur de SafeBreach, Alon Leviev & NBSP,;
A new collection of eight process injection techniques, collectively dubbed PoolParty, could be exploited to achieve code execution in Windows systems while evading endpoint detection and response (EDR) systems. SafeBreach researcher Alon Leviev said the methods are "capable of working across all processes without any limitations, making them more flexible than existing process |
Threat | ★★ | |
 |
2023-12-11 08:00:00 | ActiveMQ CVE-2023-46604 Exploité par Kinsing: Analyse des menaces ActiveMQ CVE-2023-46604 Exploited by Kinsing: Threat Analysis (lien direct) |
> Ce rapport a été initialement publié pour nos clients le 27 novembre 2023. Dans le cadre de notre routine de surveillance des vulnérabilités critiques, la menace de Sekoia \'s & # 38;L'équipe de recherche de détection (TDR) déploie et supervise les points de miel à différents endroits du monde entier pour identifier les exploitations potentielles.Table des matières Introduction Exploitation de CVE-2023-46604 Détails d'exploitation Code Présentation des pots de miel Kinsing Infections [& # 8230;]
la publication Suivante activemq cve-2023-46604 Exploité par Kinsing: Analyse des menaces est un article de Blog Sekoia.io .
>This report was originally published for our customers on 27 November 2023. As part of our critical vulnerabilities monitoring routine, Sekoia\'s Threat & Detection Research (TDR) team deploys and supervises honeypots in different locations around the world to identify potential exploitations. Table of contents Introduction Exploitation of CVE-2023-46604 Exploitation details code Honeypots overview Kinsing infections […] La publication suivante ActiveMQ CVE-2023-46604 Exploited by Kinsing: Threat Analysis est un article de Sekoia.io Blog. |
Vulnerability Threat | ★★ | |
|
2023-12-11 07:35:53 | Distribution des e-mails de phishing sous couvert de fuite de données personnelles (Konni) Distribution of Phishing Email Under the Guise of Personal Data Leak (Konni) (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a récemment identifié la distribution d'un fichier exe malveillant déguisé en matière liée au matériel lié au matérielÀ une fuite de données personnelles, ciblant les utilisateurs individuels.Le comportement final de ce logiciel malveillant n'a pas pu être observé car le C2 a été fermé, mais le malware est une porte dérobée qui reçoit des commandes obscurcies de l'acteur de menace et les exécute au format XML.Lorsque le fichier EXE malveillant est exécuté, les fichiers de la section .data sont créés dans le% ProgramData% ...
AhnLab Security Emergency response Center (ASEC) recently identified the distribution of a malicious exe file disguised as material related to a personal data leak, targeting individual users. The final behavior of this malware could not be observed because the C2 was closed, but the malware is a backdoor that receives obfuscated commands from the threat actor and executes them in xml format. When the malicious exe file is executed, the files in the .data section are created into the %Programdata%... |
Malware Threat | ★★★ | |
|
2023-12-09 17:22:00 | SLAM ATTACH: La vulnérabilité basée sur le nouveau Spectre a un impact sur les processeurs Intel, AMD et ARM SLAM Attack: New Spectre-based Vulnerability Impacts Intel, AMD, and Arm CPUs (lien direct) |
Des chercheurs de la Vrije Universiteit Amsterdam ont révélé une nouvelle attaque du canal latéral appelé & nbsp; slam & nbsp; qui pourrait être exploité pour divulguer des informations sensibles de la mémoire du noyau sur les processeurs actuels et à venir d'Intel, AMD et ARM.
L'attaque est un exploit de bout en bout pour Spectre basé sur une nouvelle fonctionnalité dans les processeurs Intel appelés & nbsp; Masking d'adresse linéaire & nbsp; (LAM) ainsi que son analogue
Researchers from the Vrije Universiteit Amsterdam have disclosed a new side-channel attack called SLAM that could be exploited to leak sensitive information from kernel memory on current and upcoming CPUs from Intel, AMD, and Arm. The attack is an end-to-end exploit for Spectre based on a new feature in Intel CPUs called Linear Address Masking (LAM) as well as its analogous |
Vulnerability Vulnerability Threat | ★★★★ | |
|
2023-12-09 12:46:00 | Les chercheurs déverrouillent les dernières techniques anti-analyse de Guloader. Researchers Unveal GuLoader Malware\\'s Latest Anti-Analysis Techniques (lien direct) |
Les chasseurs de menaces ont démasqué les dernières astuces adoptées par une souche malveillante appelée & nbsp; Guloder & nbsp; dans le but de rendre l'analyse plus difficile.
"Alors que la fonctionnalité principale de Guloader \\ n'a pas changé radicalement au cours des dernières années, ces mises à jour constantes dans leurs techniques d'obscurcissement font de l'analyse de Guloder un processus long et à forte intensité de ressources", Elastic Security Labs
Threat hunters have unmasked the latest tricks adopted by a malware strain called GuLoader in an effort to make analysis more challenging. "While GuLoader\'s core functionality hasn\'t changed drastically over the past few years, these constant updates in their obfuscation techniques make analyzing GuLoader a time-consuming and resource-intensive process," Elastic Security Labs |
Malware Threat Technical | ★★★★ | |
|
2023-12-09 01:02:00 | ALPHV/BlackCat Takedown Appears to Be Law Enforcement Related (lien direct) | Les sources Intel de menace confirment que le site de Ransomware Group \\ a été fermé par les forces de l'ordre.
Threat intel sources confirm the ransomware group\'s site has been shuttered by law enforcement. |
Ransomware Threat | ★★★ |
To see everything:
Our RSS (filtrered)
