What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-11-12 16:20:08 | Immersive Labs announced the launch of its ground-breaking "AI Scenario Generator" (lien direct) | Immersive Labs Unveils GenAI-Powered Cyber Exercise Creator to Rapidly Prepare Workforces for Threats
New "AI Scenario Generator" Empowers Security Teams to Effortlessly Design Customized Cyber Threat Scenarios to Upskill Teams at the Speed of Cyber
-
Product Reviews
Immersive Labs Unveils GenAI-Powered Cyber Exercise Creator to Rapidly Prepare Workforces for Threats New "AI Scenario Generator" Empowers Security Teams to Effortlessly Design Customized Cyber Threat Scenarios to Upskill Teams at the Speed of Cyber - Product Reviews |
Threat | ★★ | |
 |
2024-11-12 16:07:46 | Surge in exploits of zero-day vulnerabilities is \\'new normal\\' warns Five Eyes alliance (lien direct) | In a co-authored advisory, the agencies list the top 15 most routinely exploited vulnerabilities of 2023, with CVE-2023-3519 - an issue affecting Citrix\'s networking product NetScalers - being the most widely used.
In a co-authored advisory, the agencies list the top 15 most routinely exploited vulnerabilities of 2023, with CVE-2023-3519 - an issue affecting Citrix\'s networking product NetScalers - being the most widely used. |
Vulnerability Threat | ★★★ | |
 |
2024-11-12 15:16:50 | Critical Veeam RCE bug now used in Frag ransomware attacks (lien direct) | ## Snapshot Researchers at Cody White security have discovered a critical vulnerability in Veeam Backup & Replication (VBR), [CVE-2024-40711](https://security.microsoft.com/intel-explorer/cves/CVE-2024-40711/), has been exploited in ransomware attacks, including Akira, Fog, and more recently, Frag ransomware. ## Description The vulnerability allows for remote code execution (RCE) by unauthenticated attackers due to a deserialization of untrusted data weakness. Despite efforts to delay exploitation by withholding a proof-of-concept exploit and Veeam issuing [updates](https://www.veeam.com/kb4649), [Sophos X-Ops](https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag/) observed that threat actors, using stolen VPN credentials, exploited the RCE flaw to gain access to unpatched servers, adding rogue accounts to critical groups. The threat activity cluster known as "STAC 5881" has been linked to these attacks, with Sophos detailing the use of the CVE-2024-40711 exploit in conjunction with compromised VPN appliances to deploy Frag ransomware. According to Researchers at [Agger Labs,](https://agger-labs.com/ransomware/unpacking-the-frag-ransomware-how-attackers-exploit-vulnerabilities-and-use-lolbins-to-disrupt-organisations/) the Frag ransomware gang is known for using Living Off The Land binaries (LOLBins) to evade detection and has a similar attack pattern to [Akira](https://sip.security.microsoft.com/intel-profiles/eb747f064dc5702e50e28b63e4c74ae2e6ae19ad7de416902e998677b4ad72ff?tid=72f988bf-86f1-41af-91ab-2d7cd011db47) and [Fog](https://security.microsoft.com/intel-explorer/articles/b474122c) operators, targeting unpatched vulnerabilities and misconfigurations in backup and storage solutions. Another high-severity VBR vulnerability, [CVE-2023-27532](https://security.microsoft.com/intel-explorer/cves/CVE-2023-27532/), was patched by [Veeam](https://www.veeam.com/kb4424) in March 2023 but was later exploited by the FIN7 threat group in Cuba ransomware attacks against U.S. critical infrastructure organizations. Veeam\'s products are widely used, with over 550,000 customers globally, including a significant portion of the Global 2,000 companies. ## Microsoft Analysis and Additional OSINT Context CVE-2024-40711 affects Veeam Backup and Recovery version 12.0.0.120 to 12.2.0.334 and was added to the [Known Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2024-40711&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=) on October 10, 2024. Cybersecurity Infrastructure Security Agency (CISA) strongly encourages all organizations to prioritize timely remediation of cataloged vulnerabilities as part of their vulnerability management practices. In March 2023, Veeam disclosed CVE-2023-27532, a similar vulnerability that affects Veeam Backup & Replication component and allows unauthenticated users within the backup infrastructure network to obtain encrypted credentials. The vulnerability was used as an initial access vector in an Akira ransomware attack where the attacker leveraged AnyDesk to maintain persistence and exfiltrate data. This illustrates a rising trend where cybercriminals and state-sponsored actors are utilizing Remote Monitoring and Management (RMM) tools in their attacks. Microsoft has indicated that the misuse of RMMs, especially in ransomware incidents, represents an increasing threat. This is largely because these tools are often authorized for legitimate use by Managed Service Providers (MSPs) and IT teams, which complicates automated detection efforts. For further insights into how threat actors are leveraging RMMs in their operations, check out the [Recent OSINT trends in abuse of remote monitoring and management tools](https://security.microsoft.com/intel-explorer/articles/687fdb34). ## Recommendations Veeam reccomends users immediately update Veeam Backup & Replication to version 12.2 to mitiage this threat: | Ransomware Tool Vulnerability Threat Prediction | ★★ | |
 |
2024-11-12 15:09:12 | Citrix \\'Recording Manager\\' Zero-Day Bug Allows Unauthenticated RCE (lien direct) | The unpatched security vulnerability, which doesn\'t have a CVE yet, is due to an exposed Microsoft Message Queuing (MSMQ) instance and the use of the insecure BinaryFormatter.
The unpatched security vulnerability, which doesn\'t have a CVE yet, is due to an exposed Microsoft Message Queuing (MSMQ) instance and the use of the insecure BinaryFormatter. |
Vulnerability Threat | ★★ | |
 |
2024-11-12 14:00:00 | New Citrix Zero-Day Vulnerability Allows Remote Code Execution (lien direct) | watchTowr has found a flaw in Citrix\'s Session Recording Manager that can be exploited to enable unauthenticated RCE against Citrix Virtual Apps and Desktops
watchTowr has found a flaw in Citrix\'s Session Recording Manager that can be exploited to enable unauthenticated RCE against Citrix Virtual Apps and Desktops |
Vulnerability Threat | ★★★ | |
 |
2024-11-12 09:01:00 | LightSpy: APT41 Deploys Advanced DeepData Framework In Targeted Southern Asia Espionage Campaign (lien direct) | The threat actor behind LightSpy has expanded their toolset with the introduction of DeepData, a modular Windows-based surveillance framework that significantly broadens their espionage capabilities.
The threat actor behind LightSpy has expanded their toolset with the introduction of DeepData, a modular Windows-based surveillance framework that significantly broadens their espionage capabilities. |
Threat | APT 41 | ★★★ |
 |
2024-11-12 04:21:20 | Winter Fuel Payment Scam Targets UK Citizens Via SMS (lien direct) | Scammers have leapt at the opportunity to exploit vulnerable UK residents by sending bogus messages telling them they need to take action to receive help with their winter heating bills. In July, the UK\'s new Labour Government announced that it was limiting who was eligible for assistance with their winter fuel bills by making eligibility means-tested. The controversial decision appears to have inspired fraudsters to launch a campaign designed to steal sensitive information from low-income senior citizens and leave them even more out of pocket. Many people have reported receiving scam text...
Scammers have leapt at the opportunity to exploit vulnerable UK residents by sending bogus messages telling them they need to take action to receive help with their winter heating bills. In July, the UK\'s new Labour Government announced that it was limiting who was eligible for assistance with their winter fuel bills by making eligibility means-tested. The controversial decision appears to have inspired fraudsters to launch a campaign designed to steal sensitive information from low-income senior citizens and leave them even more out of pocket. Many people have reported receiving scam text... |
Threat | ★★★ | |
 |
2024-11-12 04:01:26 | New Phishing Campaign Delivers Advanced Remcos RAT Variant (lien direct) | Fortinet\'s FortiGuard Labs has uncovered a sophisticated phishing campaign distributing a new variant of the Remcos Remote Access Trojan (RAT). The campaign begins with a phishing email containing a malicious Excel document designed to exploit vulnerabilities and deliver the Remcos malware onto victims’ devices. Remcos is a commercial remote administration tool (RAT) readily available for [...]
Fortinet\'s FortiGuard Labs has uncovered a sophisticated phishing campaign distributing a new variant of the Remcos Remote Access Trojan (RAT). The campaign begins with a phishing email containing a malicious Excel document designed to exploit vulnerabilities and deliver the Remcos malware onto victims’ devices. Remcos is a commercial remote administration tool (RAT) readily available for [...] |
Malware Tool Vulnerability Threat Commercial | ★★★ | |
|
2024-11-11 23:53:46 | (Déjà vu) Les pirates utilisent désormais la concaténation des fichiers zip pour échapper à la détection (lien direct) | ## Instantané [Perception Point Researchers] (https://perception-point.io/blog/evasive-cicontenated-zip-trojan-targets-windows-users/) ont identifié une nouvelle méthode d'attaque de phishing où les pirates ciblent les machines Windows à l'aide de la concaténation du fichier zip à zip à la concaténation du fichier zip à la concatenation du fichier zip à concaténation du fichier zip à concaténation du fichier zip à concaténation du fichier zip de concaténation du fichier zip de concaténation du fichier zip à la concaténation du fichier ZIP FILE CONCATENTIA Technique pour fournir des charges utiles malveillantes. Cette technique tire parti des variations de zip aux analyseurs zip et aux gestionnaires d'archives gère les fichiers zip concaténés, qui sont des archives composées de plusieurs structures zippées fusionnées en une seule. ## Description Dans l'attaque de phishing observée, les attaquants ont attiré les victimes avec un faux avis d'expédition et ont livré une archive zip concaténée qui est apparue comme un fichier RAR. La charge utile malveillante dans le linge de script AutoIt a exploité ses tâches pour automatiser ses tâches. L'attaque commence par la création d'archives zippées séparées, avec la charge utile malveillante cachée dans l'un d'eux. Ces fichiers sont ensuite concaténés, résultant en un seul fichier qui contient plusieurs structures zip, chacune avec son propre répertoire et ses marqueurs finaux. Le succès de l'attaque dépend de l'application zip \\\\\\\\\\\\ \’s de la gestion des archives concaténées. 7zip affiche uniquement les premières archives potentiellement bénignes, tandis que Winrar montre les deux, révélant le contenu malveillant. Windows File Explorer pourrait ne pas ouvrir le fichier ou, s'il a une extension .rar, affichez uniquement la deuxième archive contenant le malware. Les tests de point de perception ont montré que 7ZIP n'a affiché qu'un PDF inoffensif, mais Windows Explorer a révélé l'exécutable malveillant lors de l'ouverture du même fichier. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contre nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise. Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent malware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rap | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
|
2024-11-11 21:31:13 | Halliburton reste optimiste au milieu des pertes de violation de données de 35 millions de dollars (lien direct) | Bien que son rapport sur les gains du troisième trimestre confirme que la société reste sur la bonne voie, elle ne sait pas comment cela sera affecté si les acteurs de la menace commettent d'autres dommages.
Though its third-quarter earnings report confirms that the company remains on track, it\\\\\\\\\\\\'s unclear how that will be affected if the threat actors commit further damage. |
Data Breach Threat | ★★★ | |
|
2024-11-11 21:00:54 | (Déjà vu) Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ [Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ ] (lien direct) | ## Instantané Les chercheurs de l'ESET ont détaillé les opérations de Redline Stealer, un malware infosélérateur découvert pour la première fois en 2020 par Proofpoint, qui fonctionne sous un modèle de logiciel malveillant en tant que service (MAAS). Le malware est conçu pour voler une variété d'informations, notamment des portefeuilles de crypto-monnaie et des informations d'identification de navigateur. ## Description L'infrastructure backend de Redline Stealer a évolué, la version 2023 utilisant le cadre de communication Windows et la version 2024 utilisant une API REST pour la communication. Les modules backend, tels que redline.nodes.dbController et redline.nodes.loadBalancer, sont écrits en C # avec le Framework .NET et gérer les données d'affiliation, les publicités et les fonctionnalités du serveur. Les échantillons de logiciels malveillants peuvent être personnalisés et empêcher l'exécution dans plusieurs pays. L'opération de voleur Redline a été perturbée en avril 2023 lorsque son référentiel GitHub, utilisé comme résolveur à goutte à chair, a été supprimé. Cependant, les opérateurs se sont adaptés en distribuant de nouvelles versions des panneaux et en déplaçant leurs résolveurs à goutte dès la pâte et finalement leurs propres domaines. Les composants du serveur backend ont été infiltrés par des chercheurs qui ont créé des comptes d'affiliation et authentifiés sans acheter un abonnement. Le backend n'utilise pas de base de données traditionnelle mais stocke les enregistrements en tant qu'objets codés par Protobuf dans des fichiers individuels. Le module LoadBalancer, qui gère la création d'échantillons de logiciels malveillants, comprend désormais une fonction de génération de certificat auto-signée et a supprimé la fonctionnalité de détournement de presse-papiers dans les dernières versions. Meta Stealer, apparaissant pour la première fois en 2022, partage des similitudes de code substantielles avec Redline, suggérant une origine ou un créateur commun. Meta Stealer et Redline ont été retirés dans une opération nommée Operation Magnus. Malgré le retrait, il est prudent que Redline pourrait continuer à fonctionner dans une certaine mesure, car les panneaux déjà en cours d'exécution pourraient toujours recevoir des données, et des copies anciennes et fissurées du malware pourraient encore fonctionner. La distribution géographique des panneaux rouges hébergés et des serveurs backend indique une présence significative en Russie, en Allemagne, aux Pays-Bas, en Finlande et aux États-Unis, avec des serveurs backend principalement situés en Russie, au Royaume-Uni, aux Pays-Bas et en République tchèque. Les organismes d'application de la loi ont reçu des listes de serveurs d'authentification obtenus à partir de dossiers décryptés, contribuant à la perturbation de ces infostelleurs. En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre les nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de | Ransomware Spam Malware Tool Threat Legislation Cloud | ★★★ | |
|
2024-11-11 18:57:29 | Déballage de l\\\\\\\\\\'attaque de ransomware de verrouillage de verrouillage (lien direct) | ## Instantané La réponse aux incidents de Cisco Talos a observé le groupe de ransomwares de verrouillage se livrant à des attaques de chasse au grand jeu et à une double extorsion, ciblant des secteurs tels que les soins de santé, la technologie, le gouvernement aux États-Unis et la fabrication en Europe depuis son émergence en septembre 2024. ## Description Le groupe emploie une chaîne de livraison multi-composants, lançant son attaque via un site Web légitime compromis qui incite les victimes à télécharger un faux parcours de mise à jour du navigateur. Cet exécutable est un outil d'accès à distance (RAT) qui établit la persistance, collecte les informations système et communique avec un serveur de commande et de contrôle (C2). Les attaquants utilisent également un voleur d'identification, Keylogger et des outils comme AnyDesk, Putty et Azure Storage Explorer pour le mouvement latéral et l'exfiltration des données. Le ransomware de verrouillage, qui a à la fois des variantes Windows et Linux, chiffre les fichiers et ajoute l'extension «.Interlock», tout en évitant le chiffrement de certains dossiers système et extensions de fichiers. La variante Windows utilise un cryptage de chaînage de blocs de chiffre d'affaires (CBC) et la variante Linux utilise le cryptage CBC ou RSA. Le ransomware établit la persistance en créant une tâche quotidienne et peut se supprimer après le cryptage. Une note de rançon est configurée pour s'afficher pendant la connexion interactive à l'aide d'objets de stratégie de groupe, exigeant une réponse dans les 96 heures pour éviter les fuites de données et la notification médiatique. Talos IR note que les ransomwares de verrouillage peuvent avoir des connexions avec les opérateurs ou développeurs de ransomwares Rhysida, suggérés par des similitudes de tactique, de techniques et de procédures (TTPS), ainsi que les comportements des binaires des encryptateurs de ransomware. Les deux groupes utilisent Azcopy pour l'exfiltration des données et fournissent des notes de rançon qui offrent de l'aide plutôt que des menaces, indiquant une tendance de diversification et de collaboration entre les groupes de ransomwares. ## Recommandations Microsoft recommande les atténuations suivantes pour se défendre contre cette menace: - Gardez le logiciel à jour. Appliquez de nouveaux correctifs de sécurité dès que possible. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rapide des outils et techniques d'attaquant. Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) . - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_Ta_LearnDoc) pour que Microsoft Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou Lorsque Microsoft Defender Antivirus fonctionne en mode passif. EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Configurer [Investigation and remédiation] (https://learn.microsoff Sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lisez notre [Ransomware Menace Présentation] (https://security.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStreport) pour le développement d'une posture de sécurité holistique pour éviter Ransomware, y compris l'hygiène de | Ransomware Malware Tool Threat Prediction Medical Cloud | APT 45 | ★★★ |
|
2024-11-11 18:49:52 | Le nouveau voleur utilise un certificat non valide pour compromettre les systèmes (lien direct) | ## Instantané Trellix a publié un rapport détaillant Fickle Stealer, un puissant [Information Stealer] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). Phishing, téléchargements d'entraînement et ingénierie sociale. ## Description Ce logiciel malveillant basé sur la rouille est très polyvalent, capable d'infecter des systèmes via plusieurs types de fichiers comme des documents Word et des exécutables, et il contourne le contrôle du compte utilisateur (UAC) à l'aide de PowerShell. Une fois installé, le voleur capricieux peut exfiltrer des données sensibles, telles que les mots de passe, l'historique du navigateur et les informations de portefeuille de crypto-monnaie, et il peut s'auto-se débrouiller après l'exécution pour éviter la détection. Fickle utilise également une signature numérique usurpée pour apparaître comme une application de bureau GitHub légitime, ce qui le rend plus trompeur et difficile pour les utilisateurs de s'identifier comme malveillants. La chaîne d'attaque complexe du voleur \\\\\\\\\\\\ \\\\\\\\ \\\\ \\\\ \\\\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ gerMe de la chaîne d'attaque incorpore une obscurcissement en plusieurs étapes, ce qui lui permet d'éviter la détection par des mesures de sécurité traditionnelles. Il exploite à la fois les gouttes VBA et les fichiers personnalisés pour cacher ses outils d'analyse de charge utile et d'éviter. Notamment, Fickle Stealer envoie des données de victime à l'attaquant via un bot télégramme, révélant des informations géographiques et spécifiques au système. Comme le logiciel malveillant fonctionne en furtivité, il utilise une série de scripts PowerShell pour scanner des fichiers pour injecter avec le code shell, garantissant la persistance et la réinfection. Cette technique d'évasion multicouche, couplée à sa conception à base de rouille, fait de la menace difficile pour les défenses standard. ## Analyse Microsoft et contexte OSINT supplémentaire Les acteurs de la menace peuvent utiliser [des signatures de code non valides] (https://attack.mitre.org/techniques/t1036/001/) dans les logiciels malveillants pour créer une couche trompeuse de légitimité autour de leur logiciel malveillant, exploitant un utilisateur \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\t La confiance de \\\\\\ \ \ \ \ \ \ \ \ \ Files signées numériquement. L'utilisation de signatures non valides permet aux attaquants de faire apparaître des fichiers malveillants comme s'ils proviennent de sources de confiance, même si elles manquent d'authentification valide. En imitant les signatures numériques légitimes, les attaquants peuvent contourner certaines mesures de sécurité, car certains systèmes peuvent toujours reconnaître ou hiérarchiser les fichiers avec des signatures numériques, même si elles ne sont pas valides. Cette approche est particulièrement utile dans les attaques ciblées, car les utilisateurs et les systèmes de sécurité peuvent supposer que le fichier est sûr en raison de la marque ou de l'organisation familière qu'elle prétend être signée. La combinaison de signatures de code non valides avec des tactiques telles que l'identification de la marque augmente encore la probabilité d'une livraison réussie de logiciels malveillants, ce qui en fait une méthode puissante pour l'évasion et l'ingénierie sociale. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection | Ransomware Spam Malware Tool Threat Cloud | ★★★ | |
|
2024-11-11 18:08:06 | Bonjour encore, Fakebat: le chargeur populaire revient après une pause de plusieurs mois (lien direct) | ## Instantané Après une période de diminution de l'activité, le chargeur FakeBat, également connu sous le nom d'Eugenloader ou Paykloader, a refait surface via une publicité Google malveillante imitante de la notion d'application de productivité. ## Description Fakebat fonctionne comme un chargeur de logiciels malveillants souvent utilisé pour livrer des charges utiles de suivi comme [Lummac2 Stealer] (https://security.microsoft.com/intel-profiles/33933578825488511C30B0728DD3C4F8B5CA20E41C285A56f796eb39f531ad). L'annonce récente pour la notion, conçue pour paraître légitime avec l'image de marque, a utilisé une séquence de redirections d'URL, y compris des liens de camouflage et de suivi, pour échapper à la détection et à rediriger les utilisateurs sans méfiance vers un site malveillant. En exploitant le système d'annonces de Google \\\\\\\\\\\\\\ \\\\ \\\\\\ \ \ \\\\\\\\ \ \ useau, les attaquants ont masqué la véritable destination pour les utilisateurs et redirigé les utilisateurs non ciblés vers le site Web de notion légitime, en contournant efficacement Google \\\\\\\ Les chèques de sécurité de \\\\\. Lors de l'infection, FakeBat initie une attaque PowerShell en deux étapes, en utilisant des techniques d'empreintes digitales pour éviter la détection de bac à sable et utiliser l'obscurcissement des réacteurs .NET pour cacher son code. Ce malware charge ensuite Lummac2, un voleur conçu pour capturer les informations utilisateur, en utilisant le processus msbuild.exe pour l'injection. Cette résurgence d'annonces malveillantes souligne à quelle facilité les cybercriminels peuvent se faire passer pour les marques réputées, en profitant des plates-formes publicitaires pour répandre les logiciels malveillants avec une résistance minimale. ## Analyse Microsoft et contexte OSINT supplémentaire Les cybercriminels utilisent des techniques de malvertisation pour diffuser des voleurs d'informations comme Lummac2 car ils offrent une large portée avec un minimum de barrières, exploitant souvent des plateformes publicitaires populaires telles que Google, Facebook et Bing Ads. Grâce à Malvertising, les attaquants peuvent déployer de fausses publicités imitantes de marques bien connues, ce qui renforce une crédibilité instantanée avec des victimes potentielles, en les incitant à cliquer sur des liens malveillants. Ces publicités peuvent contourner les mesures de sécurité traditionnelles en utilisant le camouflage et la redirection d'URL, affichant un contenu légitime vers des non-cibles tout en dirigeant les victimes prévues vers des sites chargés de logiciels malveillants. Les voleurs d'informations sont des charges utiles particulièrement attrayantes dans les campagnes de malvertisation, car ils peuvent rapidement recueillir des données sensibles auprès des utilisateurs, tels que les informations d'identification, les détails financiers et les informations système, ce qui les rend précieuses pour la revente sur le Dark Web ou pour une nouvelle exploitation. La polyvalence et l'évolutivité de la malvertisation permettent aux attaquants de lancer un large filet à travers divers emplacements géographiques, maximisant leur capacité à compromettre un nombre important de systèmes avec un coût initial minimal. Pour en savoir plus sur la malvertising, lisez les [Trends OSInt en malvertising] (https://security.microsoft.com/intel-explorer/articles/a52645c5-5560-80d4-2311-6b09d1a63811). ## Recommandations Les organisations peuvent atténuer certains risques de la malvertisation en permettant la protection des réseaux et [Programme potentiellement indésirable (PUA) Application] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-block-potential-unwanted-apps-microsoft-defender-antivirus?View=O365-worlwide). En utilisant le principe du moindre privilège et de la construction d'hygiène des diplômes, les administrateurs peuvent limiter l'impact destructeur des attaques de malvertisati | Ransomware Malware Tool Threat Cloud | ★★★ | |
 |
2024-11-11 17:27:00 | Recapt THN: les principales menaces, outils et pratiques de cybersécurité (04 novembre - 10 novembre) (lien direct) |
⚠️ Imagine this: the very tools you trust to protect you online-your two-factor authentication, your car\\\\\\\\\\\\'s tech system, even your security software-turned into silent allies for hackers. Sounds like a scene from a thriller, right? Yet, in 2024, this isn\\\\\\\\\\\\'t fiction; it\\\\\\\\\\\\'s the new cyber reality. Today\\\\\\\\\\\\'s attackers have become so sophisticated that they\\\\\\\\\\\\'re using our trusted tools as secret pathways,
⚠️ Imagine this: the very tools you trust to protect you online-your two-factor authentication, your car\\\\\\\\\\\\'s tech system, even your security software-turned into silent allies for hackers. Sounds like a scene from a thriller, right? Yet, in 2024, this isn\\\\\\\\\\\\'t fiction; it\\\\\\\\\\\\'s the new cyber reality. Today\\\\\\\\\\\\'s attackers have become so sophisticated that they\\\\\\\\\\\\'re using our trusted tools as secret pathways, |
Tool Threat | ★★★ | |
 |
2024-11-11 13:03:03 | Octobre 2024 \\\\\\\\\\\\\'s MALWWare: InfostEllers Monte alors que les cybercriminels exploitent les vecteurs d\\\\\\\\\\'attaque innovants (lien direct) | > Vérifier les logiciels de point de point \\\\\\\\\\\\\ \ \ \ index des menaces de l'as Tactiques utilisées par les cybercriminels à travers le monde. Le point de vérification \\\\\\\\\\\\\’s Global Menage Index pour octobre 2024 révèle une tendance préoccupante dans le paysage de la cybersécurité: la montée des infostelleurs et la sophistication croissante des méthodes d’attaque employées par les cybercriminels. Le mois dernier, les chercheurs ont découvert une chaîne d'infection où de fausses pages CAPTCHA sont utilisées pour distribuer du malware Lumma Stealer, qui a atteint la 4e place dans le classement des logiciels malveillants mensuels. […]
>Check Point Software\\\\\\\\\\\\'s latest threat index reveals a significant rise in infostealers like Lumma Stealer, while mobile malware like Necro continues to pose a significant threat, highlighting the evolving tactics used by cyber criminals across the globe. Check Point\\\\\\\\\\\\'s Global Threat Index for October 2024 reveals a concerning trend in the cyber security landscape: the rise of infostealers and the increasing sophistication of attack methods employed by cyber criminals. Last month researchers discovered an infection chain where fake CAPTCHA pages are being utilized to distribute Lumma Stealer malware, which has climbed to 4th place in the Monthly Top Malware rankings. […] |
Malware Threat Mobile Prediction | ★★ | |
|
2024-11-11 13:01:32 | 11 novembre - Rapport de renseignement sur les menaces (lien direct) | > Pour les dernières découvertes en cyber Les meilleurs attaques et violations Memorial Hospital and Manor à Bainbridge, en Géorgie, ont été victimes d'une attaque de ransomware qui a entraîné la perte d'accès à son système de dossier de santé électronique. The Embargo Ransomware Gang […]
>For the latest discoveries in cyber research for the week of 11th November, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES Memorial Hospital and Manor in Bainbridge, Georgia, has been a victim of a ransomware attack that resulted in the loss of access to its electronic health record system. The Embargo ransomware gang […] |
Ransomware Threat Medical | ★★★ | |
|
2024-11-11 12:45:44 | Faits saillants hebdomadaires, 11 novembre 2024 (lien direct) | ## Instantané La semaine dernière, le rapport \\\\\\\\\\\\\ \ \ ait le rapport a mis en évidence un paysage à multiples facettes de cybermenaces motivé par diverses tactiques, vecteurs et cibles. L'analyse a souligné l'utilisation persistante du phishing comme vecteur dominant, allant de la lance sophistiquée ciblant les entités sud-coréennes par APT37 à des campagnes à grande échelle en Ukraine par l'UAC-0050. Des groupes avancés de menace persistante (APT) comme Sapphire Sleet, APT-36 et TA866 ont utilisé des méthodes furtives, y compris des logiciels malveillants modulaires et des outils RMM, pour atteindre l'espionnage et le gain financier. Les vulnérabilités d'infrastructures critiques, comme celles des systèmes Synology NAS et Palo Alto, ont en outre souligné les risques pour les dispositifs d'entreprise et de consommation. Les acteurs de la menace, notamment des groupes parrainés par l'État et des cybercriminels, des outils à effet de levier comme les logiciels malveillants de cryptomine, les botnets sophistiqués et les nouveaux rats pour étendre leur contrôle sur les systèmes, tandis que les élections influencent les opérations par des entités russes et iraniennes ont mis en lumière les dimensions géopolitiques des cyber-activités. Dans l'ensemble, la semaine a révélé un paysage de menaces en évolution marqué par des méthodes d'attaque adaptatives ciblant les institutions financières, les agences gouvernementales et les utilisateurs de tous les jours. ## Description 1. [Attaque silencieuse de l'écumeur] (https://sip.security.microsoft.com/intel-explorer/articles/2f001d21): l'unité 42 a suivi un compromis de serveur Web ciblant une organisation multinationale nord-américaine, liée à la campagne silencieuse de la campagne Skimmer Volet données de paiement en ligne. Les attaquants ont utilisé des vulnérabilités de Telerik UI, établi la persistance via des coquilles Web et des données exfiltrées à l'aide d'outils de tunneling. 1. [Bundle Steelfox Crimeware] (https://sip.security.microsoft.com/intel-explorer/articles/0661f634): une nouvelle étendue de paquet de logiciels malveillants via de faux activateurs de logiciels effectue une attaque multi-étages impliquant un theft de données et une cryptominage. Il cible principalement les utilisateurs du monde entier en exploitant les vulnérabilités de Windows pour élever les privilèges et maintenir la persistance. 1. [CloudComptation \\\\\\\\\\\\\\ ’scolatics d’espionnage évolutif] (https://sip.security.microsoft.com/intel-explorer/articles/792a6266): SecureList de Kaspersky a rapporté que CloudComputation (backdoordiplomacy) est passé à l'utilisation du framework QSC, un malware multi-plugine Outil conçu pour l'exécution des modules en mémoire, améliorant la furtivité et la persistance. Les attaques du groupe \\\\\\\\\\\\\ \\\ \ \\\\\\\\\ \ \ \ \ opérations système. 1. [Remcos Rat Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/d36e3ff1): Fortiguard Labs a découvert une campagne de phishing déploiement des rat remcos via des documents Ole Excel ole excel qui exploitent les vulnérabilités de Microsoft. Cette attaque tire parti des techniques d'anti-analyse, de la livraison de charge utile sans fil et de la manipulation du système pour la persistance, permettant aux attaquants de contrôler les appareils de victime, de collecter des données et de communiquer avec un serveur de commandement et de contrôle à l'aide de canaux cryptés. 1. [Wish Stealer Malware] (https://sip.security.microsoft.com/intel-explorer/articles/a11d08f6): Cyfirma a découvert un voleur d'informations Windows ciblant la discorde, les navigateurs Web et les portefeuilles de crypto-monnaie. Il utilise le détournement de presse-papiers, les fonctionnalités anti-détection et la discorde pour l'exfiltration des données, posant des risques à la sécurité des utilisateurs. 1. [Apt37 ciblant la Corée du Sud] (https://sip.security.microsoft.com/in | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT 37 | ★★★ |
|
2024-11-11 11:43:00 | Les cybercriminels utilisent Excel Exploit pour répartir les logiciels malveillants Remcos Remcos sans fil (lien direct) | Les chercheurs en cybersécurité ont découvert une nouvelle campagne de phishing qui diffuse une nouvelle variante inébranlable des logiciels malveillants commerciaux connus appelés Remcos Rat.
Remcos Rat "fournit des achats avec une large gamme de fonctionnalités avancées pour contrôler à distance les ordinateurs appartenant à l'acheteur", a déclaré le chercheur de Fortinet Fortiguard Labs, Xiaopeng Zhang, dans une analyse publiée la semaine dernière.
"Cependant, les acteurs de la menace ont
Cybersecurity researchers have discovered a new phishing campaign that spreads a new fileless variant of known commercial malware called Remcos RAT. Remcos RAT "provides purchases with a wide range of advanced features to remotely control computers belonging to the buyer," Fortinet FortiGuard Labs researcher Xiaopeng Zhang said in an analysis published last week. "However, threat actors have |
Malware Threat Commercial | ★★★ | |
 |
2024-11-11 00:02:57 | L\\\\\\\\\\\'importance d\\\\\\\\\\\'une réponse efficace sur les incidents [L\\\\\\\\\\\'importance d\\\\\\\\\\\'une réponse efficace sur les incidents ] (lien direct) | Avec des menaces de cybersécurité en évolution continue, un plan de réponse aux incidents (IR) (IR) est crucial pour les entreprises de tous…
With cybersecurity threats continuously evolving, having a strong incident response (IR) plan is crucial for businesses of all… |
Threat | ★★★ | |
|
2024-11-09 11:42:00 | Palo Alto conseille de sécuriser l'interface PAN-OS au milieu des préoccupations potentielles de menace RCE Palo Alto Advises Securing PAN-OS Interface Amid Potential RCE Threat Concerns (lien direct) |
Vendredi, Palo Alto Networks a publié un avis d'information exhortant les clients à s'assurer que l'accès à l'interface de gestion PAN-OS est sécurisé en raison d'une vulnérabilité potentielle d'exécution de code distant.
"Palo Alto Networks est au courant d'une réclamation d'une vulnérabilité d'exécution de code distant via l'interface de gestion PAN-OS", a indiqué la société."Pour le moment, nous ne connaissons pas les détails du
Palo Alto Networks on Friday issued an informational advisory urging customers to ensure that access to the PAN-OS management interface is secured because of a potential remote code execution vulnerability. "Palo Alto Networks is aware of a claim of a remote code execution vulnerability via the PAN-OS management interface," the company said. "At this time, we do not know the specifics of the |
Vulnerability Threat | ★★★ | |
 |
2024-11-09 10:20:54 | Comprendre le filtrage web : une solution essentielle pour la sécurité et la productivité (lien direct) | Le filtrage web est une technologie conçue pour contrôler l'accès à Internet en bloquant ou en autorisant certains sites web. Cette solution est devenue incontournable pour les établissements scolaires, qui cherchent à protéger les élèves des contenus inappropriés et des menaces potentielles. | Threat | ★★★ | |
|
2024-11-08 21:43:02 | (Déjà vu) New Campaign Uses Remcos RAT to Exploit Victims (lien direct) | ## Instantané Fortiguard Labs a découvert une campagne de phishing en tirant parti du rat Remcos pour prendre le contrôle des ordinateurs des victimes. ## Description L'attaque commence par un e-mail de phishing contenant un document Ole Excel malveillant qui exploite [CVE-2017-0199] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/), une vulnérabilité dansMicrosoft Office et WordPad, pour télécharger et exécuter un fichier HTA.Ce fichier télécharge ensuite un exécutable, dllhost.exe, qui initie un processus PowerShell pour charger et exécuter du code malveillant avec des techniques d'anti-analyse comme la gestion des exceptions vectorée, l'appel dynamiquement des API système et le crochet API.Le logiciel malveillant garantit la persistance en effectuant des creux de processus pour s'injecter dans un nouveau processus, vaccinende.exe, et en modifiant le registre système pour la course automatique. La charge utile REMCOS, une variante inutile de malware, est déployée directement dans la mémoire et communique avec un serveur C&C à l'aide du trafic chiffré.Il recueille des informations de base de l'appareil de la victime, y compris l'état du processeur et de la mémoire, le niveau de privilège des utilisateurs et l'emplacement de l'appareil, entre autres.REMCOS peut exécuter des commandes à partir du serveur C&C, telles que Keylogging, prendre des captures d'écran, enregistrer l'audio et envoyer une liste de tous les processus en cours d'exécution. ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender pour Office365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble des incidents et une gestion des alertes à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_Learndoc), y compris ceux utilisés dans cette campagne de phishing.Pour renforcer la résilience contre les attaques de phishing en général, les organisations peuvent utiliser [des politiques anti-phishing] (https://docs.microsoft.com/microsoft-365/security/office-365-security/set-ul-anti-phishing-polices? View = O365-Worldwide) pour activer les paramètres d'intelligence de la boîte aux lettres, ainsi que la configuration des paramètres de protection d'identification pour des messages spécifiques et des domaines de l'expéditeur.Activer [SafeLinks] (https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) garantit une protection en temps réel en scannant au moment de la livraison et au niveau de la livraison et à laheure du clic. - Surveillez les activités suspectes ou anormales et recherchez des tentatives de connexion avec des ca | Malware Vulnerability Threat | ★★★ | |
|
2024-11-08 21:31:05 | QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns (lien direct) | ## Instantané
Securelist de Kaspersky a identifié un changement dans la tactique de la compartation Cloud, également connue sous le nom de backoordindiplomacy, un groupe de cyber-espionnage qui a été observé ciblant le secteur des télécommunications.
## Description
La nouvelle approche du groupe \\ implique le framework QSC, un cadre de logiciel malveillant multi-plugine qui charge et exécute des modules en mémoire, améliorant sa furtivité et sa persistance.La conception modulaire de QSC \\ utilise un chargeur pour initier une infection, injectant les modules de noyau et de réseau dans la mémoire, ce qui permet aux attaquants de mener des actions sur mesure comme la collecte de données et l'exploration du réseau sans laisser de traces sur le disque.
En plus de QSC, CloudComptating continue d'utiliser une version évoluée de leur porte dérobée Quarian, qui comprend désormais des capacités d'évasion de détection, permettant un accès prolongé à des systèmes compromis.Le groupe a également déployé GoClient, une porte dérobée écrite à Golang, qui facilite la communication cryptée avec des serveurs de commande et de contrôle (C2).Cette combinaison d'outils a permis au groupe de collecter les informations du système, de se déplacer latéralement à travers les réseaux et de sécuriser l'accès continu.
Selon SecureList, l'adaptabilité montrée par Cloudcompotting souligne la nécessité d'une surveillance solide et continue dans les secteurs touchés, car ces acteurs affinent leur boîte à outils pour échapper à la détection et maintenir leurs campagnes.
## Analyse Microsoft et contexte OSINT supplémentaire
Selon les rapports de [Bitdefender] (https://www.bitdefender.com/en-au/blog/labs/backdoor-diplomacy-wields-new-tools-in-fresh-middle-est-campaign/), la menaceLe groupe connu sous le nom de backdoordiplomacy and cloudcompotting est un acteur de menace chinois, actif depuis au moins 2017.La backdoordiplomatie a été observée ciblant les organisations diplomatiques, les organisations caritatives et les sociétés de télécommunications.
In its attacks, BackdoorDiplomacy has been observed exploiting [CVE-2020-5902](https://security.microsoft.com/intel-explorer/cves/CVE-2020-5902/), a Remote Code Execution (RCE) vulnerability inBig-ip, et employant une gamme d'outils, notamment Earthworm, [Mimikatz] (https://security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f Shell qui a été utilisé par diversGroupes depuis 2013.
Un certain nombre d'acteurs Microsoft Tracks a utilisé Chinachopper dans le cadre de leurs opérations, y compris [Silk Typhoon] (https://security.microsoft.com/intEl-Profiles / 4Fe46ed1e8116901052cca3df4c03fca1c56b72c3aaa769b3907ebb7dcbf875d), [Flax-Typhoon] (https://security.microsoft.com/intel-profiles/1d86849881abbbbbbbbbbbb39539393939393939393939393939390 9ad57e901d557fa8c25e0b3fd281e13764ff0), [Granite 472), [Shadow Typhoon] (https://security.microsoft.com/intel-profiles/d4c57dac5bef57ade80e2934610388b82a0120c58fbae9d86c9101fd18d549ef0?tab=Traraft& microsoft.com/intel-profiles/64C6DECA650949DF6465DBA5FE64BC7BD0BD9A4B1DB77CD9D3F6C0FE758FD721).
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants:
- [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/casdet!rfn)
## références
[QSC: un cadre multi-plugins utilisé par le groupe CloudComptating dans les campagnes de cyberespionnage] (https://securelist.com/cloudcompautant-qc-framework/114438/).SecureList par Kapersky (consulté en 2024-11-08)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot SecureList by K |
Malware Tool Vulnerability Threat | ★★ | |
|
2024-11-08 19:32:00 | AndroxGH0st Malware intègre Mozi Botnet pour cibler les services IoT et Cloud AndroxGh0st Malware Integrates Mozi Botnet to Target IoT and Cloud Services (lien direct) |
Les acteurs de la menace derrière les logiciels malveillants AndroxGH0st exploitent désormais un ensemble plus large de défauts de sécurité ayant un impact sur diverses applications orientées Internet, tout en déployant le malware Mozi Botnet.
"Ce botnet utilise l'exécution du code distant et les méthodes de vol d'identification pourMaintenir un accès persistant, tirant parti des vulnérabilités non corrigées pour infiltrer les infrastructures critiques ", a déclaré Cloudsek dans un
The threat actors behind the AndroxGh0st malware are now exploiting a broader set of security flaws impacting various internet-facing applications, while also deploying the Mozi botnet malware. "This botnet utilizes remote code execution and credential-stealing methods to maintain persistent access, leveraging unpatched vulnerabilities to infiltrate critical infrastructures," CloudSEK said in a |
Malware Vulnerability Threat Cloud | ★★★ | |
|
2024-11-08 18:01:58 | (Déjà vu) Runningrat \\'s Next Move: de l'accès à distance à l'exploitation de cryptographie à but lucratif RunningRAT\\'s Next Move: From Remote Access to Crypto Mining for Profit (lien direct) |
## Instantané Hunt \ [. \] IO a publié le rapport détaillant comment l'exécution d'un accès à distance (rat), traditionnellement utilisé pour le vol d'informations et pour obtenir un accès à distance a été observé en déploiement des charges utiles de crypto-extraction. ## Description Initialement observé dans les attaques ciblant les Jeux olympiques d'hiver de PyeongChang, RunningRat a traditionnellement permis aux attaquants de surveiller les systèmes, de désactiver les anti-logiciels et d'exfiltrer les données sur les serveurs de commandement et de contrôle (C2).Cependant, des analyses récentes révèlent que RunningRat est désormais également utilisé pour un gain financier grâce à l'extraction de la crypto-monnaie, comme en témoigne la découverte de scripts de crypto-exploitation sur ses serveurs. Cette nouvelle variante des téléchargements RunningRat et installe Monero Mining Software (XMRIG) en utilisant des répertoires et des scripts ouverts pour détourner les ressources système, telles que CPU Power, pour les opérations minières.Il vérifie également les capacités matérielles des systèmes compromis pour déterminer leur aptitude à l'exploitation minière.Le logiciel malveillant atteint la persistance en s'inclinant comme un service Windows légitime, ce qui rend plus difficile pour les utilisateurs. Selon Hunt \ [. \] IO, la présence d'échantillons de runningrat dans des référentiels en ligne accessibles, couplés à ses tactiques en évolution, indique que les logiciels malveillants sont activement adaptés et redéployés à des fins variées.Ce changement illustre comment les logiciels malveillants établis peuvent évoluer en permanence, posant des risques continus pour les utilisateurs et soulignant l'importance de rester vigilant contre les nouvelles capacités dans les menaces familières. ## Recommandations Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez [Gestion des identités privilégiées] (https://learn.microsoft.com/azure/active-directory/priviled-entity-management/pim-configure) ou des comptes séparés pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et [Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview), en particulier pour les comptes avec des rôles élevés. - Implémentez le MFA: assurez-vous une utilisation complète de [MFA] (https://learn.microsoft.com/azure/active-directory/authentication/tutorial-enable-azure-mfa), en particulier pour les comptes avec des privilèges de contributeur de machine virtuel.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité cloud peut être trouvée dans [Recommandations de sécurité & # 8211;un guide de référence] (https://learn.microsoft.com/azure/defender-for-cloud/recommendations-reference?ocid=Magicti_TA_LearnDoc). - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les | Malware Threat Cloud | ★★★ | |
|
2024-11-08 17:53:00 | Icepeony et la tribu transparente ciblent les entités indiennes avec des outils basés sur le cloud IcePeony and Transparent Tribe Target Indian Entities with Cloud-Based Tools (lien direct) |
Les entités de haut niveau en Inde sont devenues la cible de campagnes malveillantes orchestrées par l'acteur de menace de tribu transparente basé au Pakistan et un groupe de cyber-espionnage China-Nexus, auparavant inconnu, surnommé Icepeony.
Les intrusions liées à la tribu transparente impliquent l'utilisation d'un logiciel malveillant appelé Elizarat et une nouvelle charge utile de voleur surnommée Apolostealer sur des victimes d'intérêt spécifiques, point de contrôle
High-profile entities in India have become the target of malicious campaigns orchestrated by the Pakistan-based Transparent Tribe threat actor and a previously unknown China-nexus cyber espionage group dubbed IcePeony. The intrusions linked to Transparent Tribe involve the use of a malware called ElizaRAT and a new stealer payload dubbed ApoloStealer on specific victims of interest, Check Point |
Malware Tool Threat | APT 36 | ★★★ |
|
2024-11-08 17:23:00 | Les packages NPM malveillants ciblent les utilisateurs de Roblox avec des logiciels malveillants voleurs de données Malicious NPM Packages Target Roblox Users with Data-Stealing Malware (lien direct) |
Une nouvelle campagne a ciblé le référentiel de packages NPM avec des bibliothèques JavaScript malveillantes qui sont conçues pour infecter les utilisateurs de Roblox avec des logiciels malveillants de voleur open-source tels que Skuld et Blank-Grabber.
"Cet incident met en évidence la facilité alarmante avec laquelle les acteurs de menace peuvent lancer des attaques de chaîne d'approvisionnement en exploitant la confiance et l'erreur humaine dans l'écosystème open source et en utilisant facilement disponible
A new campaign has targeted the npm package repository with malicious JavaScript libraries that are designed to infect Roblox users with open-source stealer malware such as Skuld and Blank-Grabber. "This incident highlights the alarming ease with which threat actors can launch supply chain attacks by exploiting trust and human error within the open source ecosystem, and using readily available |
Malware Threat | ★★★ | |
|
2024-11-08 17:13:26 | Les pirates peuvent accéder aux commandes de véhicules Mazda via les vulnérabilités du système Hackers Can Access Mazda Vehicle Controls Via System Vulnerabilities (lien direct) |
Les pirates peuvent exploiter les vulnérabilités critiques dans le système d'infodivertissement de Mazda \\, y compris une qui permet l'exécution de code via USB, compromettant & # 8230;
Hackers can exploit critical vulnerabilities in Mazda\'s infotainment system, including one that enables code execution via USB, compromising… |
Vulnerability Threat | ★★★ | |
|
2024-11-08 15:29:17 | (Déjà vu) BlueNoroff Hidden Risk | Threat Actor Targets Macs with Fake Crypto News and Novel Persistence (lien direct) | ## Snapshot SentinelLabs identified a campaign named \'Hidden Risk\' by the suspected DPRK threat actor BlueNoroff (tracked by Microsoft as [Sapphire Sleet](https://security.microsoft.com/intel-profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1)), targeting cryptocurrency-related businesses with novel multi-stage malware. The campaign employs phishing emails with fake news about cryptocurrency trends to deliver a malicious application disguised as a PDF file. ## Description The emails use the names of real individuals from unrelated industries and mimic forwarding messages from well-known crypto social media influencers. The initial infection is achieved via a link to this application, which is presented as a PDF document on cryptocurrency topics such as “Hidden Risk Behind New Surge of Bitcoin Price,” “Altcoin Season 2.0-The Hidden Gems to Watch,” and “New Era for Stablecoins and DeFi, CeFi.” The first stage of the attack involves a Mac application that downloads a decoy PDF and a malicious binary named \'growth,\' which acts as a backdoor to execute remote commands. This backdoor uses the SaveAndExec function to create a hidden file with world read, write, and execute permissions in the /Users/Shared directory and executes embedded commands. It is only functional on Intel architecture Mac computers or Apple silicon devices with Rosetta emulation framework installed. The malware installs persistence, gathers environmental information, generates a UUID, and communicates with a command-and-control (C2) server. A novel persistence mechanism is observed, which abuses the Zshenv configuration file, allowing the malware to persist without triggering user notifications for background Login Items in MacOS 13 Ventura and later. While this is a known technique, SentinelLabs reports that it\'s the first time they\'ve observed it in the wild. ## Microsoft Analysis and Additional OSINT Context Sapphire Sleet is a nation-state-sponsored group operating from North Korea since as early as March 2020. The group focuses primarily on organizations in the cryptocurrency sector but has been observed expanding its targets to banks within the financial services sector since 2022, and more recently, to the [aerospace and aviation sectors](https://sip.security.microsoft.com/intel-explorer/articles/aff030bb). Sapphire Sleet\'s targets are often global, with a particular interest in the United States and East Asian and African countries. The primary motivation of this group is to steal cryptocurrency wallets to generate revenue, and target technology or intellectual property related to cryptocurrency trading and blockchain platforms. Sapphire Sleet typically uses LinkedIn as a primary method to lure users to click on links containing malicious files, often hosted in attacker-owned OneDrive or Google Drive locations. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Implement multifactor authentication (MFA) to mitigate credential theft from phishing attacks. MFA can be complemented with the following solutions and best practices to protect organizations: - Activate conditional access policies. [Conditional access](https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) policies are evaluated and enforced every time an attacker attempts to use a stolen session cookie. Organizations can protect themselves from attacks that leverage stolen credentials by activating policies regarding compliant devices or trusted IP address requirements. - Configure [continuous access evaluation](https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc) in your tenant. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defende | Malware Threat | ★★★ | |
 |
2024-11-08 14:00:00 | Une nouvelle campagne utilise Remcos Rat pour exploiter les victimes New Campaign Uses Remcos RAT to Exploit Victims (lien direct) |
Découvrez comment les acteurs de la menace ont abusé des remcos pour collecter des informations sensibles auprès des victimes et contrôler à distance leurs ordinateurs pour accomplir d'autres actes malveillants.
See how threat actors have abused Remcos to collect sensitive information from victims and remotely control their computers to perform further malicious acts. |
Threat | ★★★ | |
 |
2024-11-08 13:00:44 | Convergez votre WAN et la sécurité avec le pare-feu Cisco Converge Your WAN and Security With Cisco Firewall (lien direct) |
Cisco Secure Firewall est une offre complète qui simplifie la protection des menaces en appliquant des politiques de sécurité cohérentes dans les environnements. 
Cisco Secure Firewall is a comprehensive offering that simplifies threat protection by enforcing consistent security policies across environments. |
Threat | ★★★ | |
|
2024-11-08 13:00:41 | Tiration de l'intelligence des menaces dans Cisco Secure Network Analytics, partie 2 Leveraging Threat Intelligence in Cisco Secure Network Analytics, Part 2 (lien direct) |
Vous pouvez utiliser des blogs publics de Cisco Talos et des données de renseignement sur les menaces tierces avec Cisco Secure Network Analytics pour créer des événements de sécurité personnalisés. 
You can use public Cisco Talos blogs and third-party threat intelligence data with Cisco Secure Network Analytics to build custom security events. |
Threat | ★★★ | |
 |
2024-11-08 12:48:19 | Les bogues Mazda Connect non corrigées Laissent les pirates d'installation de logiciels malveillants persistants Unpatched Mazda Connect bugs let hackers install persistent malware (lien direct) |
Les attaquants pourraient exploiter plusieurs vulnérabilités dans l'unité d'infodivertissement de Mazda Connect, présente dans plusieurs modèles de voitures, y compris Mazda 3 (2014-2021), pour exécuter du code arbitraire avec une autorisation racine.[...]
Attackers could exploit several vulnerabilities in the Mazda Connect infotainment unit, present in multiple car models including Mazda 3 (2014-2021), to execute arbitrary code with root permission. [...] |
Malware Vulnerability Threat | ★★★ | |
|
2024-11-07 23:34:32 | Fortinet continue d'étendre l'IA générative à travers son portefeuille avec deux nouveaux ajouts pour simplifier les opérations de sécurité Fortinet Continues to Expand Generative AI Across Its Portfolio with Two New Additions to Simplify Security Operations (lien direct) |
Fortiai couvre désormais sept produits Fortinet uniques avec de nouvelles intégrations Genai pour FortinDr pour accélérer l'analyse de la couverture des menaces et le lacework Forticnapp pour rationaliser l'enquête
-
Revues de produits
FortiAI now spans seven unique Fortinet products with new GenAI integrations for FortiNDR Cloud to accelerate threat coverage analysis and Lacework FortiCNAPP to streamline investigation - Product Reviews |
Threat Cloud | ★★★ | |
|
2024-11-07 22:07:45 | Démasking veildrive: les acteurs de la menace exploitent les services Microsoft pour C2 Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2 (lien direct) |
## Snapshot Researchers at Hunters\' Team AXON identified an ongoing threat campaign named "VEILDrive," which leverages Microsoft\'s SaaS services for command and control (C2) operations. The campaign, believed to have Russian origins, began in early August 2024 and utilizes Microsoft Teams, SharePoint, Quick Assist, and OneDrive to conduct spear-phishing campaigns and store malware. ## Description The attackers gain initial access through spear-phishing messages sent via Microsoft Teams impersonating an IT team member and requesting remote access via [Quick Assist](https://learn.microsoft.com/windows/client-management/client-tools/quick-assist). Once granted access, the attacker downloads a malicious .zip file hosted on a SharePoint site containing [remote monitoring and management (RMM) tools](https://sip.security.microsoft.com/intel-explorer/articles/9782a9ef). The attackers utilized these tools for persistence, creating scheduled tasks to repeatedly execute malware. The associated malware, a Java-based .jar file named Cliento.jar, evades detection and establishes persistence through scheduled tasks and registry runkeys. It uses hard-coded credentials to authenticate and access OneDrive for C2 purposes, featuring two C2 channels: a traditional HTTPS Socket C2 communicating with an Azure VM and a unique OneDrive-based C2. This OneDrive C2 uses UUID files to distinguish victims and execute commands remotely, including file transfers and command execution. The malware also leverages Azure VMs and Azure AD App Registration for additional C2 capabilities. ## Microsoft Analysis and Additional OSINT Context Microsoft Threat Intelligence is closely tracking how adversaries are abusing Microsoft SaaS applications as part of sophisticated phishing attacks. For example, in April 2024, Microsoft observed that financially motivated group [Storm-1811](https://sip.security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b) has [used Microsoft Teams to impersonate IT or help desk personnel](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/), leveraging [social engineering](https://www.microsoft.com/en-us/microsoft-365-life-hacks/privacy-and-safety/what-is-social-engineering.) techniques to gain victim trust and initiate misuse of tools like Quick Assist for remote access. In this observed activity, the threat actors used remote monitoring and management (RMM) tools, including ScreenConnect and NetSupport Manager, to maintain persistence and enhance control over compromised systems. The attack chain also included credential theft using EvilProxy, execution of batch scripts, and the deployment of malware such as Qakbot and Cobalt Strike and culminated in ransomware attacks like [Black Basta](https://sip.security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3bed8d726). ## Recommendations Microsoft recommends the following best practices to protect users and organizations from attacks and threat actors that misuse Quick Assist: - Consider [blocking or uninstalling](https://learn.microsoft.com/en-us/windows/client-management/client-tools/quick-assist#disable-quick-assist-within-your-organization) Quick Assist and other remote monitoring and management tools if these tools are not in use in your environment. If your organization utilizes another remote support tool such as [Remote Help](https://www.microsoft.com/security/business/endpoint-management/microsoft-intune-remote-help), block or remove Quick Assist as a best practice. Remote Help is part of the [Microsoft Intune Suite](https://learn.microsoft.com/windows/client-management/client-tools/quick-assist#disable-quick-assist-within-your-organization) and provides authentication and security controls for helpdesk connections. - Educate users about protecting themselves from [tech support scams](https://support.microsoft.com/windows/protect-yourself-fro | Ransomware Malware Tool Threat Cloud Technical | ★★ | |
|
2024-11-07 22:00:02 | Les cyberattaques de chèvre-charge ciblent les aficionados du Bengal-Cat à Oz Gootloader Cyberattackers Target Bengal-Cat Aficionados in Oz (lien direct) |
On ne sait pas ce que les acteurs de la menace ont contre cette race de chat particulière, mais cela supprime les amateurs de Kitty \\ avec des liens avec un stéacre et des charges utiles de logiciels malveillants.
It\'s unclear what the threat actors have against this particular breed of cat, but it\'s taking down the kitty\'s enthusiasts with SEO-poisoned links and malware payloads. |
Malware Threat | ★★★ | |
|
2024-11-07 21:47:54 | Analyse des activités de reconnaissance Cyber ?? Analysis of Cyber ??Reconnaissance Activities Behind APT37 Threat Actor (lien direct) |
#### Géolocations ciblées - Corée ## Instantané Les chercheurs géniens ont analysé une série d'attaques attribuées à APT37 (également connu sous le nom de [Pearl Sleet] (https://security.microsoft.com/intel-profiles/cc39b42c403d3dde8270a88784017b42c410a89cea1c94f232fa811059066d) acteur de menace OLD, ciblant les organisations sud-coréennesImpliqué dans les droits de l'homme nord-coréens, les transfuges, les journalistes et les experts en unification et en sécurité nationale. ## Description Les attaquants ont utilisé des e-mails de phisseur de lance qui semblaient provenir de sources de confiance, contenant des fichiers de raccourcis malveillants (LNK) conçus pour exécuter des commandes PowerShellet déployer le [Rokrat] (https://security.microsoft.com/intel-profiles/8fcae4db5ec22dcdd4b6a41896def195417e2a706e3a82a6b2a3d5022220ea89f8)malware.Ce logiciel malveillant permet aux attaquants de collecter des informations système étendues, y compris des adresses IP, des données de navigateur et des types de documents spécifiques, et collecte des extensions de fichiers d'enregistrement des smartphones.Les attaques récentes comprenaient des courriels avec des documents d'apparence légitime intitulés «Tendances de la Corée du Nord en avril» et «Matériel de cours de cyber-terrorisme nord-coréen». Les charges utiles de logiciels malveillants arrivent aux côtés des documents de leurre, dissimulés dans des fichiers chiffrés nommés "panic.dat" ou "Viewer.dat".Les chercheurs ont également identifié des modèles dans les adresses et les domaines IP des attaquants, les liant à travers les campagnes.APT37 a utilisé des services cloud, tels que les comptes Google Gmail.En outre, ils ont utilisé des balises Web intégrées dans des e-mails pour recueillir des renseignements sans utiliser de pièces jointes ou de liens directs. ## Analyse Microsoft et contexte OSINT supplémentaire Rokrat est une information personnalisée volant des logiciels malveillants utilisés exclusivement par Pearl Sleet.Pearl Sleet est un groupe d'activités nationales basé en Corée du Nord qui est actif depuis au moins 2012. Pearl Sleet est connu pour cibler principalement les transfuges de la Corée du Nord, des médias numériques, imprimés et diffusés, et des organisations religieuses, en particulier en Asie de l'Est.Le groupe de menaces se concentre sur l'espionnage et les services cloud pour l'exfiltration des données et la commande et le contrôle (C2).Le groupe utilise l'ingénierie sociale pour mener des attaques de trous de phishing et d'arrosage pour accéder aux utilisateurs ciblés \\ 'Boîtes et réseaux et réseaux.L'activité du grésil perlé est suivie par une autre sécuritéCompagnies AS APT37, Richochet Chollima, Temp.reper, Scarcruft et Inkysquid. ## Recommandations Microsoft recommande le suiviDen fait des atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing av | Malware Threat Cloud | APT 37 | ★★ |
|
2024-11-07 21:35:51 | (Déjà vu) Souhaiter Stealer Wish Stealer (lien direct) |
## Snapshot CYFIRMA released a report detailing Wish Stealer, a new information stealer malware that targets Windows systems to exfiltrate information from Discord, web browsers, and cryptocurrency wallets, among other applications. ## Description This malware gains access by exploiting user sessions, allowing it to extract login credentials, cookies, credit card details, and even disable antivirus software. It monitors two-factor authentication codes, making it a threat to both personal and corporate security. The malware deploys a "clipper" function that monitors the clipboard, replacing cryptocurrency wallet addresses with those controlled by the attacker to misdirect funds. By executing stealth functions, such as anti-debugging, anti-VM (virtual machine), and anti-defender capabilities, Wish Stealer evades detection and enhances its persistence on infected systems. Stored credentials for social media and other applications, often found in the AppData folder, are also targeted, allowing the malware to access accounts and bypass two-factor authentication. Additionally, Wish Stealer uses various folders to manage and execute its functions, including hiding itself as a legitimate process in the $APPDATA directory. It even injects code to gather and archive stolen data, subsequently uploading it to a server, and delivers the data to hackers via Discord. The tool has been circulating on the surface web since October 2024, but threat actors on Discord have been promoting its sale since late September. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/ | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-11-07 21:28:49 | (Déjà vu) New SteelFox Trojan mimics software activators, stealing sensitive data and mining cryptocurrency (lien direct) | ## Snapshot A new crimeware bundle named "SteelFox" was identified in August 2024, which is distributed through forum posts and malicious torrents disguised as popular software activators for programs like Foxit PDF Editor and AutoCAD. The malware tricks users into downloading what they believe to be legitimate software, which then deploys a multi-stage attack. ## Description The initial dropper requests administrator access and uses AES-128 encryption to drop and decrypt a second-stage payload. This loader, disguised as a Windows service, checks against running services to avoid detection, creates a service for persistence, and loads the final stage. The final payload involves a DLL that exploits vulnerable WinRing0.sys drivers, enabling privilege escalation, and launches a modified XMRig miner and a stealer component that collects a wide range of user data, including browser cookies and credit card information. The SteelFox campaign operates on a mass scale with over 11,000 detections worldwide, particularly in Brazil, China, Russia, Mexico, UAE, Egypt, Algeria, Vietnam, India, and Sri Lanka. The malware uses the StartServiceCtrlDispatcherW function for decryption and injection, and it employs an unusual persistence mechanism by interacting with the AppInfo service. It resolves the IP address of its C2 server using Google Public DNS and DNS over HTTPS to remain undetected and sends collected data to the C2 server in a large JSON file via TLSv1.3 with SSL pinning. The campaign is not targeted at specific individuals or organizations, and attribution remains uncertain, with posts linking to the malware often made by compromised accounts or unaware users. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information Stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on[safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refe | Ransomware Spam Malware Tool Threat Cloud | ★★ | |
|
2024-11-07 18:55:11 | L'écumateur silencieux devient fort (encore) Silent Skimmer Gets Loud (Again) (lien direct) |
## Snapshot Unit 42 researchers detected an attack in which a threat actor compromised multiple web servers to access a North American multinational organization. ## Description This activity was linked to the same threat actor behind the Silent Skimmer campaign, which initially surfaced in September 2023 to steal online payment data. The attackers exploited two known Telerik UI vulnerabilities ([CVE-2017-11317](https://security.microsoft.com/intel-explorer/cves/CVE-2017-11317/) and [CVE-2019-18935](https://security.microsoft.com/intel-explorer/cves/CVE-2019-18935/)) to gain entry, then performed reconnaissance and established persistence on the compromised servers. Using web shells and reverse shells, the attackers maintained control and exfiltrated sensitive data. The threat actor leveraged tunneling and reverse proxy tools (Fuso and FRP) and GodPotato for privilege escalation to bypass security measures, embedding native C++ code within .NET binaries to evade detection. The actor also deployed the RingQ loader to execute encrypted payloads, adding complexity to the malware\'s analysis. During the attack, the actor used a Python script to connect to the victim\'s database, extracting payment information to a CSV file for later retrieval. This activity shares tactics, techniques, and procedures (TTPs) with other Silent Skimmer incidents, including the exploitation of outdated Telerik UI vulnerabilities and reverse shell installations via PowerShell. Despite some differences in data extraction methods, the threat actor\'s persistence and consistent tactics highlight the need for proactive cybersecurity measures and timely patching of known vulnerabilities. Unit 42 continues to track this cluster of activity as CL-CRI-0941. ## Microsoft Analysis and Additional OSINT Context [CVE-2019-18935](https://security.microsoft.com/intel-explorer/cves/CVE-2019-18935/) is a severe remote code execution vulnerability in the Telerik UI for ASP.NET AJAX, due to insecure .NET deserialization within its RadAsyncUpload function. This vulnerability allows attackers to run arbitrary code on a server remotely, often granting them unauthorized access and control over the compromised environment. For this exploit to be successful, attackers typically need access to certain encryption keys used within the Telerik framework, a gap often bridged by chaining CVE-2019-18935 with another vulnerability in the Telerik suite-[CVE-2017-11317](https://security.microsoft.com/intel-explorer/cves/CVE-2017-11317/). The latter allows for unrestricted file upload due to weak encryption, enabling attackers to upload malicious payloads that further facilitate remote access and control. A notable example of these vulnerabilities being exploited in the wild was observed in 2022 when threat actors used CVE-2019-18935 and CVE-2017-11317 to [breach a U.S. government Internet Information Services (IIS) server](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-074a). After initial access was gained, attackers uploaded DLL files masquerading as PNG images, which contained encoded reverse shell tools. These tools enabled unencrypted communication with a command-and-control (C2) server, allowing attackers to establish a reverse shell, interactively access the compromised server, execute commands, and potentially upload files. In another high-profile case, the activity cluster [Blue Mockingbird leveraged CVE-2019-18935](https://redcanary.com/blog/threat-intelligence/blue-mockingbird-cryptominer/) to launch a widespread cryptomining campaign. The group targeted unpatched ASP.NET applications, where they deployed web shells to maintain persistence and escalate privileges. Using these web shells, Blue Mockingbird installed the XMRig cryptominer, effectively hijacking system resources to mine Monero cryptocurrency. This attack impacted thousands of systems, highlighting the critical need for timely patching and mitigation of such vulnerabilities in exposed applications. Similarly, in a [series of a | Malware Tool Vulnerability Threat Patching | ★★ | |
|
2024-11-07 18:10:00 | Les pirates nord-coréens ciblent les entreprises cryptographiques avec des logiciels malveillants à risque caché sur macOS North Korean Hackers Target Crypto Firms with Hidden Risk Malware on macOS (lien direct) |
Un acteur de menace ayant des liens avec la République de Corée du peuple démocrate a été observé ciblant les entreprises liées à la crypto-monnaie avec un logiciel malveillant en plusieurs étapes capable d'infecter les appareils Apple MacOS.
La société de cybersécurité Sentinelone, qui a surnommé le risque caché de la campagne, l'a attribuée avec une grande confiance à Bluenoroff, qui a été auparavant liée à des familles de logiciels malveillants tels que
A threat actor with ties to the Democratic People\'s Republic of Korea (DPRK) has been observed targeting cryptocurrency-related businesses with a multi-stage malware capable of infecting Apple macOS devices. Cybersecurity company SentinelOne, which dubbed the campaign Hidden Risk, attributed it with high confidence to BlueNoroff, which has been previously linked to malware families such as |
Malware Threat | ★★ | |
|
2024-11-07 17:15:24 | Les pirates nord-coréens utilisent de nouveaux logiciels malveillants de macOS contre les entreprises cryptographiques North Korean hackers use new macOS malware against crypto firms (lien direct) |
L'acteur de menace nord-coréenne Bluenoroff a ciblé les entreprises liées à la crypto avec un nouveau logiciel malveillant en plusieurs étapes pour les systèmes macOS.[...]
North Korean threat actor BlueNoroff has been targeting crypto-related businesses with a new multi-stage malware for macOS systems. [...] |
Malware Threat | ★★ | |
|
2024-11-07 15:10:00 | Les pirates de miroir aligné en Chine ciblent les diplomates de l'UE avec World Expo 2025 Bait China-Aligned MirrorFace Hackers Target EU Diplomats with World Expo 2025 Bait (lien direct) |
L'acteur de menace aligné par la Chine connu sous le nom de Mirrorface a été observé ciblant une organisation diplomatique dans l'Union européenne, marquant la première fois que l'équipage de piratage a ciblé une organisation dans la région.
"Au cours de cette attaque, l'acteur de menace a utilisé comme leurre la prochaine exposition mondiale, qui se tiendra en 2025 à Osaka, au Japon", a déclaré Eset dans son rapport d'activité approprié pour la période avril à
The China-aligned threat actor known as MirrorFace has been observed targeting a diplomatic organization in the European Union, marking the first time the hacking crew has targeted an organization in the region. "During this attack, the threat actor used as a lure the upcoming World Expo, which will be held in 2025 in Osaka, Japan," ESET said in its APT Activity Report for the period April to |
Threat | ★★★ | |
 |
2024-11-07 14:00:00 | Explorer Dora: comment gérer les incidents des TIC et minimiser les risques de cyber-menace Exploring DORA: How to manage ICT incidents and minimize cyber threat risks (lien direct) |
> Alors que les violations de la cybersécurité continuent d'augmenter à l'échelle mondiale, les institutions gantant les informations sensibles sont particulièrement vulnérables.En 2024, le coût moyen d'une violation de données dans le secteur financier a atteint 6,08 millions de dollars, ce qui en fait le deuxième coup le plus difficile après les soins de santé, selon le coût en 2024 de l'IBM en 2024 d'un rapport de violation de données.Cela souligne la nécessité de la robuste [& # 8230;]
>As cybersecurity breaches continue to rise globally, institutions handling sensitive information are particularly vulnerable. In 2024, the average cost of a data breach in the financial sector reached $6.08 million, making it the second hardest hit after healthcare, according to IBM’s 2024 Cost of a Data Breach report. This underscores the need for robust IT […] |
Data Breach Threat Medical | ★★★ | |
 |
2024-11-07 13:28:53 | Malware Loki ou l\'art subtil de l\'obfuscation (lien direct) | Face à la multiplication des cyberattaques, le partage de renseignements sur les menaces sous forme d\'informations à forte valeur, de tendances et d\'échantillons est crucial pour lutter efficacement contre les nouvelles et les anciennes menaces. Des chercheurs en sécurité indépendants du monde entier contribuent aux efforts en matière de défense via différents référentiels, qui jouent [...]
Face à la multiplication des cyberattaques, le partage de renseignements sur les menaces sous forme d\'informations à forte valeur, de tendances et d\'échantillons est crucial pour lutter efficacement contre les nouvelles et les anciennes menaces. Des chercheurs en sécurité indépendants du monde entier contribuent aux efforts en matière de défense via différents référentiels, qui jouent [...] |
Malware Threat | ★★ | |
|
2024-11-07 11:55:25 | (Déjà vu) Bluenoroff Risque caché - L'acteur de menace cible les macs avec de fausses nouvelles cryptographiques et la persistance des romans BlueNoroff Hidden Risk - Threat actor targets Macs with fake crypto news and novel persistence (lien direct) |
Bluenoroff Risque caché - L'acteur de menace cible les macs avec de fausses nouvelles crypto et la persistance des romans
Sentinelabs a observé un acteur de menace nord-coréen présumé ciblant les entreprises liées à la crypto avec de nouveaux logiciels malveillants à plusieurs étapes.
-
Mise à jour malware
BlueNoroff Hidden Risk - Threat actor targets Macs with fake crypto news and novel persistence SentinelLabs has observed a suspected North Korean threat actor targeting crypto-related businesses with novel multi-stage malware. - Malware Update |
Malware Threat | ★★★ | |
 |
2024-11-07 10:55:47 | Bluenoroff Risque caché |L'acteur de menace cible les macs avec de fausses nouvelles cryptographiques et de persistance de roman BlueNoroff Hidden Risk | Threat Actor Targets Macs with Fake Crypto News and Novel Persistence (lien direct) |
Sentinellabs a observé un acteur suspecté de menace de la RPRC ciblant les entreprises liées à la cryptographie avec de nouveaux logiciels malveillants en plusieurs étapes.
SentinelLabs has observed a suspected DPRK threat actor targeting Crypto-related businesses with novel multi-stage malware. |
Malware Threat | ★★ | |
|
2024-11-07 10:30:00 | NCSC publie des conseils pour lutter contre la menace de malvertisation NCSC Publishes Tips to Tackle Malvertising Threat (lien direct) |
Le National Cyber Security Center du Royaume-Uni a publié des conseils de malvertisation pour les marques et leurs partenaires publicitaires
The UK\'s National Cyber Security Centre has released malvertising guidance for brands and their ad partners |
Threat | ★★★ | |
 |
2024-11-07 08:06:31 | CI-ISAC Australia ajoute Hayley Van Loon en tant que membre fondateur de Cyber Threat Intelligence Ambassador Cadre CI-ISAC Australia adds Hayley van Loon as founding member of Cyber Threat Intelligence Ambassador Cadre (lien direct) |
> Ci-Isac Australia, une organisation à but non lucratif dédiée à la cybersécurité et opérant sur un modèle d'adhésion, a accueilli Hayley Van ...
>CI-ISAC Australia, a not-for-profit organization dedicated to cybersecurity and operating on a membership model, has welcomed Hayley van... |
Threat | ★★ |
To see everything:
Our RSS (filtrered)
