SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-11-04 10:30:00	Sophos ajoute de nouveaux pare-feux de bureau à sa série XGS et met à jour son logiciel Firewall Software (lien direct)	Sophos ajoute de nouveaux pare-feux de bureau à sa série XGS et annonce la mise à jour de son logiciel Firewall Software Plus performants, les neuf nouveaux pare-feux Sophos XGS sont également moins gourmands en énergie. Le logiciel Sophos Firewall peut désormais utiliser des flux de renseignements sur les menaces issus de sources tierce partie pour mieux protéger les entreprises contre les cyberattaques. - Produits	Threat		★★★
	2024-11-04 06:42:08	Des moyens proactifs de combler l'écart de talents de cybersécurité Proactive Ways To Bridge The Cybersecurity Talent Gap (lien direct)	La nécessité de mesures de cybersécurité robustes n'a jamais été plus grande à une époque où les cyber-menaces évoluent rapidement, et les violations sont devenues une inévitabilité pour les entreprises de chaque secteur.Gérer ce complexe & # 160; Le paysage des menaces & # 160; nécessite des solutions avancées et des experts qualifiés qui comprennent les menaces modernes et les malfaiteurs derrière eux.Cependant, malgré la conscience croissante du cyber [...] The need for robust cybersecurity measures has never been greater in a time when cyber threats are evolving rapidly, and breaches have become an inevitability for businesses in every sector. Managing this complex threat landscape requires advanced solutions and skilled experts who understand modern threats and the malefactors behind them. However, despite the growing awareness of cyber [...]	Threat		★★
	2024-11-04 06:24:46	Variante avancée des logiciels malveillants FAKECALL cible les utilisateurs mobiles avec des attaques de vue sophistiquées Advanced Variant of FakeCall Malware Targets Mobile Users with Sophisticated Vishing Attacks (lien direct)	L'équipe de ZLABS de Zimperium \\ de ZLABS a découvert une variante avancée du malware FAKECALL qui utilise & # 8220; Vishing & # 8221;(Phishing vocal) pour tromper les utilisateurs mobiles pour partager des informations sensibles, telles que les informations d'identification de connexion et les coordonnées bancaires.Cette campagne sophistiquée de logiciels malveillants met en évidence un paysage de menace en évolution où les acteurs malveillants exploitent des caractéristiques spécifiques aux mobiles pour mener un phishing de plus en plus trompeur [...] Mobile security company Zimperium\'s zLabs team has uncovered an advanced variant of the FakeCall malware that employs “Vishing” (voice phishing) to deceive mobile users into sharing sensitive information, such as login credentials and banking details. This sophisticated malware campaign highlights an evolving threat landscape where malicious actors exploit mobile-specific features to conduct increasingly deceptive phishing [...]	Malware Threat Mobile		★★★
	2024-11-04 04:14:37	Cisco dit que la fuite du site Devhub a gagné \\ 'ne permette pas de futures violations Cisco says DevHub site leak won\\'t enable future breaches (lien direct)	Cisco affirme que les fichiers non publiques récemment téléchargés par un acteur de menace à partir d'un portail Devhub orienté par le public ne contiennent pas des informations qui pourraient être exploitées dans les futures violations des systèmes de la société.[...] Cisco says that non-public files recently downloaded by a threat actor from a misconfigured public-facing DevHub portal don\'t contain information that could be exploited in future breaches of the company\'s systems. [...]	Threat		★★★
	2024-11-04 04:02:42	Stratégies de mise en œuvre de la détection efficace des menaces dans IIOT Strategies for Implementing Effective Threat Detection in IIoT (lien direct)	L'Internet industriel des objets (IIoT) se développe rapidement.Bien que cela ait la bonne nouvelle pour les entreprises en termes de productivité et d'économies, ces appareils comportent des risques de cybersécurité uniques qui exigent l'attention.Au milieu de ces préoccupations croissantes, la détection des menaces IIOT est un must.Pourquoi les organisations ont besoin de la détection des menaces IIOT IIOT Endpoints sont intrinsèquement risqués en raison du potentiel de mouvement latéral.La violation d'un système de technologie opérationnelle connectée (OT) est souvent plus facile qu'un informatique.En conséquence, les attaquants peuvent utiliser les appareils IoT comme entrées dans un réseau et se déplacer vers des systèmes et des données sensibles ... The industrial Internet of Things (IIoT) is growing rapidly. While that\'s good news for businesses in terms of productivity and cost savings, these devices carry unique cybersecurity risks that demand attention. Amid such rising concerns, IIoT threat detection is a must. Why Organizations Need IIoT Threat Detection IIoT endpoints are inherently risky because of the potential for lateral movement. Breaching a connected operational technology (OT) system is often easier than an IT one. As a result, attackers can use IoT devices as entryways into a network and move to sensitive systems and data...	Threat Industrial		★★★
	2024-11-01 19:56:31	Greynoise Intelligence découvre les vulnérabilités zéro-jour dans les caméras en streaming en direct avec l'aide de l'IA GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI (lien direct)	#### Industries ciblées - agences et services gouvernementaux - Services publics généraux - local - Services publics généraux - État - Santé et santé publique - Fabrication critique - Organisation non gouvernementale - Organisation religieuse ## Instantané Greynoise a découvert de graves vulnérabilités de jour zéro dans les caméras IoT en direct populaires, mettant en évidence des risques importants dans la fabrication, les soins de santé, les affaires, le gouvernement et d'autres secteurs sensibles. ## Description En exploitant ces défauts, les attaquants pourraient prendre le contrôle total des caméras affectées, manipuler les flux vidéo, désactiver les appareils ou les coopter dans des botnets pour des attaques plus larges.Les vulnérabilités, suivies comme [CVE-2024-8956] (https://security.microsoft.com/intel-explorer/cves/cve-2024-8956/) et [CVE-2024-8957] (https: // security.microsoft.com / Intel-Explorer / CVES / CVE-2024-8957 /), affectez les caméras Pan-Tilt-Zoom (PTZ) compatibles avec NDI utilisées dans les applications où la fiabilité et la confidentialité sont essentielles. Avec une authentification insuffisante (CVE-2024-8956) et des défauts d'injection de commande (CVE-2024-8957), les pirates peuvent accéder aux données sensibles, reconfigurer ou désactiver les caméras et effectuer une surveillance non autorisée.Cela expose les entreprises à des violations de données potentielles, des invasions de confidentialité et même des attaques de ransomwares, car les caméras compromises pourraient permettre des intrusions de réseau plus larges.Dans les milieux industriels, de telles violations pourraient avoir un impact sur la surveillance des machines et du contrôle de la qualité, tandis que dans les soins de santé, ils pourraient compromettre la télésanté et les flux en direct chirurgicaux. Ces vulnérabilités mettent en évidence un défi croissant de cybersécurité dans les écosystèmes IoT, où les conceptions non sécurisées rendent les appareils sensibles à l'exploitation.Les attaquants peuvent pivoter de ces caméras pour cibler d'autres appareils en réseau, conduisant à des violations de données plus larges ou à des attaques de ransomwares. ## Recommandations GreyNoise recommande que les organisations utilisant le micrologiciel de la caméra VHD PTZ	Ransomware Vulnerability Threat Industrial Medical		★★
	2024-11-01 19:39:00	Ngioweb reste actif 7 ans plus tard Ngioweb Remains Active 7 Years Later (lien direct)	Executive Summary Seven years after its first appearance, the proxy server botnet Ngioweb continues its impactful presence on the internet with barely any relevant changes in its original code. Threat actors have continued to actively use Nbioweb extensively to scan for vulnerable devices (including a new arsenal of exploits) which can be turned into new proxies. All infected systems are then sold in the black market for pennies as residential proxies via Nsocks. Key Takeaways: Nsocks offers 30,000 IPs globally and sells them for prices under $1.50 for 24hours of access. The main targets are residential ISP users, representing more than 75% of the infected users. The threat actors behind Ngioweb are using dedicated scanners per vulnerability/device to avoid exposing their whole arsenal. Linear eMerge, Zyxel routers, and Neato vacuums are some of the most targeted devices, but there are many other routers, cameras, and access control systems being targeted. Ngioweb Background In August 2018, Check Point published a report and deep analysis on a new multifunctional proxy server botnet named Ngioweb. The proxy service was being loaded by the banking malware family Ramnit. In their report, Check Point reported that the first sample was observed in the second half of 2017. After the publication of that initial report, additional articles were released. Netlab wrote two blogs that took a deep-dive into the available Ngioweb samples, describing the domain generating algorithm (DGA), communication protocols, command and control (C&C) infrastructure, exploited CVEs for D-Link and Netgear devices, its updated features, and more. For details on the nature of Ngioweb, read Netlab’s blog which includes coverage that remains valid today.[t1] [PA2] Most recently, in 2024 TrendMicro reported how cybercriminals and nation states are leveraging residential proxy providers to perform malicious actions. For example, one of these nation-state actors, Pawn Storm, had been using a network of hundreds of small office and home office (SOHO) routers through January 2024, when the FBI neutralized part of the botnet. During TrendMicro’s investigation of several EdgeOS infected systems, they identified that in addition to Pawn Storm, the Canadian Pharmacy gang and a threat actor using Ngioweb malware were also abusing the infected device. Malware Analysis This last spring 2024, LevelBlue Labs identified scanning activity on vulnerable devices and those devices were carrying Ngioweb as the delivered payload. Depending on the targeted system, the exploit used a downloader for several CPU architectures or directly contained the specific payload for the targeted system. One of the samples obtained during 2024 (be285b77211d1a33b7ae1665623a9526f58219e20a685b6548bc2d8e857b6b44) allowed LevelBlue Labs to determine that the Ngioweb trojan our researchers identified works very similarly to how Ngioweb worked in 2019, with only a few, slight modifications to Ngioweb’s original code added to elude detections or nosy security researchers. DGA domains Domain generation algorithms (DGA) aren’t new to Ngioweb (they have been identified as present in previous reports, specifically when Netlab sinkholed several domains). The Ngioweb sample LevelBlue Labs analyzed uses a very similar algorithm to those that have been identified in the past. The DGA selects domains from a pool of thousands, depending on the malware configurations, and it will then start trying to connect to all of them until it finds a resolving domain. However, in an attempt to avoid the first stage C&C being sinkholed by researchers, the threat actors using the sample LevelBlue Labs analyzed have included a sanity check. All active C&C communications carry a unique and encrypted TXT response that acts as a signature of its authenticity. This response carries	Malware Vulnerability Threat Mobile Technical	APT 28	★★★
	2024-11-01 17:00:00	La centralisation de la sécurité informatique rend l'utilisation des espions industriels plus rentables IT Security Centralization Makes the Use of Industrial Spies More Profitable (lien direct)	Alors que les organisations centralisent la sécurité informatique, le risque d'espionnage devient silencieusement une menace plus rentable. As organizations centralize IT security, the risk of espionage is silently becoming a more profitable threat.	Threat Industrial		★★
	2024-11-01 16:56:15	(Déjà vu) Les acteurs de la menace utilisent le leurre de phishing de violation du droit d'auteur pour déployer des infostèleurs Threat actors use copyright infringement phishing lure to deploy infostealers (lien direct)	#### Géolocations ciblées - Taiwan ## Instantané Cisco Talos a récemment identifié une campagne de phishing ciblant les comptes commerciaux et publicitaires de Facebook à Taïwan. ## Description Cette campagne implique des e-mails se faisant passer pour des avis juridiques de sociétés bien connues, revendiquant une violation du droit d'auteur et exigeant des mesures dans les 24 heures.Les e-mails attirent les destinataires dans le téléchargement des logiciels malveillants déguisés en fichiers PDF.L'acteur de menace utilise plusieurs techniques pour échapper à la détection, notamment à abuser des domaines AppSpot.com de Google \\ et Dropbox pour la distribution de logiciels malveillants. Les e-mails de phishing utilisent la langue chinoise traditionnelle, avec des noms de fichiers conçus pour ressembler à des documents juridiques de sociétés reconnaissables, suggérant que l'attaquant a recherché à fond ses objectifs.Lorsque les victimes téléchargent le fichier RAR ci-joint, une archive protégée par mot de passe contient un voleur d'informations, généralement le malware Lummac2 ou Rhadamanthys, qui recueille des données sensibles, y compris les informations d'identification du système, et la transmet à la commande et au contrôle de l'attaquant \\ (C2 (C2 (C2 (C2 (C2 (C2 (C2 (C2 (C2 est de) serveurs. TALOS a observé que Lummac2 fonctionne en cryptant son shellcode, en cachant la charge utile dans la mémoire du système et en utilisant l'API CreateFileMappinga pour échapper à la détection.Rhadamanthys repose également sur l'obscurcissement et l'injection de processus, augmentant les tailles de fichiers pour contourner les analyses antivirus et s'intègre dans les processus système légitimes.Les deux chargeurs de logiciels malveillants manipulent les entrées de registre pour la persistance et utilisent des objets Mutex pour prévenir les infections en double.Cette campagne démontre l'évolution de la sophistication des attaques de phishing ciblant les comptes commerciaux et les méthodes utilisées pour contourner les mesures de sécurité traditionnelles. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dan	Ransomware Spam Malware Tool Threat		★★
	2024-11-01 15:18:00	Microsoft met en garde contre le botnet chinois exploitant les défauts du routeur pour un vol d'identification Microsoft Warns of Chinese Botnet Exploiting Router Flaws for Credential Theft (lien direct)	Microsoft a révélé qu'un acteur de menace chinois, il suit, alors que Storm-0940 tire parti d'un botnet appelé Quad7 pour orchestrer des attaques de pulvérisation de mot de passe très évasives. Le géant de la technologie a donné au botnet le nom CoverTnetwork-1658, indiquant que les opérations de pulvérisation de mot de passe sont utilisées pour voler des informations d'identification à plusieurs clients Microsoft. "Actif Depuis au moins 2021, Storm-0940 obtient un accès initial Microsoft has revealed that a Chinese threat actor it tracks as Storm-0940 is leveraging a botnet called Quad7 to orchestrate highly evasive password spray attacks. The tech giant has given the botnet the name CovertNetwork-1658, stating the password spray operations are used to steal credentials from multiple Microsoft customers. "Active since at least 2021, Storm-0940 obtains initial access	Threat		★★★
	2024-11-01 13:00:39	La menace évolutive de Ransomware \\: la montée de RansomHub, le déclin de Lockbit et la nouvelle ère de l'extorsion des données Ransomware\\'s Evolving Threat: The Rise of RansomHub, Decline of Lockbit, and the New Era of Data Extortion (lien direct)		Ransomware Threat Industrial Medical		★★★
	2024-11-01 13:00:00	Ce qui est derrière la prolifération de CVE incontrôlée, et que faire à ce sujet What\\'s behind unchecked CVE proliferation, and what to do about it (lien direct)	Le volume des vulnérabilités et des expositions communs (CVE) a atteint des niveaux stupéfiants, exerçant une immense pression sur les organisations & # 8217;Cyber Defenses.Selon SecurityScoreCard, 29 000 vulnérabilités ont été enregistrées en 2023 et, à la mi-2024, près de 27 500 avaient déjà été identifiés.Pendant ce temps, la coalition est de l'indice de cyber-menace de la coalition que le nombre total de CVE pour 2024 frappera [& # 8230;] The volume of Common Vulnerabilities and Exposures (CVEs) has reached staggering levels, placing immense pressure on organizations’ cyber defenses. According to SecurityScorecard, there were 29,000 vulnerabilities recorded in 2023, and by mid-2024, nearly 27,500 had already been identified. Meanwhile, Coalition’s 2024 Cyber Threat Index forecasts that the total number of CVEs for 2024 will hit […]	Vulnerability Threat		★★★
	2024-11-01 12:47:39	Le rapport à terme de niveau 2024 se concentre sur les défis de la cyber-résilience, les opportunités d'énergie et les services publics LevelBlue 2024 Futures Report focuses on cyber resilience challenges, opportunities in energy and utilities (lien direct)	> LevelBlue, un fournisseur de services de sécurité de réseau gérés, de détection et de réponse gérés, de conseil stratégique et de renseignement sur les menaces, publié ... >LevelBlue, a provider of managed network security services, managed detection and response, strategic consulting, and threat intelligence, released...	Threat		★★★
	2024-11-01 11:00:00	Les États-Unis et Israël mettent en garde contre les nouveaux métiers de l'acteur iranien de la menace \\ US and Israel Warn of Iranian Threat Actor\\'s New Tradecraft (lien direct)	Les agences gouvernementales américaines et israéliennes ont averti que l'acteur de menace parrainé par l'État iranien, Cotton Sandstorm, déploie une nouvelle transmission pour étendre ses opérations US and Israeli government agencies have warned that the Iranian state-sponsored threat actor Cotton Sandstorm is deploying new tradecraft to expand its operations	Threat		★★★
	2024-11-01 09:57:00	Arrêtez les attaques LUCR-3: Apprenez les clés des tactiques de sécurité de l'identité dans ce webinaire d'experts Stop LUCR-3 Attacks: Learn Key Identity Security Tactics in This Expert Webinar (lien direct)	Saviez-vous que les acteurs de menace avancés peuvent infiltrer les systèmes d'identité des grandes organisations et extraire des données sensibles en quelques jours?C'est une réalité effrayante, devenant plus courante et concernant de jour en jour. Ces attaquants exploitent les vulnérabilités dans le SaaS et les environnements cloud, en utilisant des identités compromises pour se déplacer latéralement dans les réseaux, causant des dommages généralisés. Cybersécurité et informatique Did you know that advanced threat actors can infiltrate the identity systems of major organizations and extract sensitive data within days? It\'s a chilling reality, becoming more common and concerning by the day. These attackers exploit vulnerabilities in SaaS and cloud environments, using compromised identities to move laterally within networks, causing widespread damage. Cybersecurity and IT	Vulnerability Threat Cloud		★★★
	2024-11-01 05:06:31	Le voleur Redline domine: le rapport Q3 de Vipre \\ met en évidence les tactiques BEC sophistiquées et l'évolution des tendances des logiciels malveillants Redline Stealer Dominates: VIPRE\\'s Q3 Report Highlights Sophisticated BEC Tactics and Evolving Malware Trends (lien direct)	Le rapport sur les tendances des menaces par e-mail de VIPRE Security Group \\ révèle la sophistication croissante des menaces par e-mail, en particulier les campagnes par e-mail (BEC) et les campagnes de Malspam, qui se sont intensifiées dans toutes les industries.Analyse de 1,8 milliard de courriels dans le monde, dont 208 millions ont été identifiés comme malveillants.À mesure que la sécurité des e-mails progresse, les cybercriminels utilisent des tactiques plus sophistiquées pour échapper à la détection.[...] VIPRE Security Group\'s Q3 2024 Email Threat Trends Report reveals the increasing sophistication of email-based threats, particularly business email compromise (BEC) and malspam campaigns, which have intensified across industries. Analyzing 1.8 billion emails globally, of which 208 million were identified as malicious. As email security advances, cybercriminals are using more sophisticated tactics to evade detection. [...]	Malware Threat		★★
	2024-11-01 00:32:10	Un guide étape par étape sur le fonctionnement de la chasse aux menaces A Step-by-Step Guide to How Threat Hunting Works (lien direct)	Restez en avance sur la cybercriminalité avec une chasse aux menaces proactive.Découvrez comment les chasseurs de menaces identifient les menaces cachées, protégez les systèmes critiques, & # 8230; Stay ahead of cybercrime with proactive threat hunting. Learn how threat hunters identify hidden threats, protect critical systems,…	Threat		★★★
	2024-10-31 22:29:13	Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware (lien direct)	## Instantané Des chercheurs de Zimperium ont identifié une nouvelle variante de FakeCall malware, qui utilise une méthode de phishing vocal (Vishing) pour inciter les utilisateurs à révéler des informations sensibles, y compris les informations d'identification de connexion et les coordonnées bancaires.Ce malware Vishing fait partie d'une tendance plus large connue sous le nom de «Mishing» - des techniques de phishing ciblant spécifiquement des fonctionnalités mobiles telles que les appels, les SMS et les codes QR. ## Description FAKECALL est très sophistiqué, capable d'intercepter et de contrôler les appels sur l'appareil de la victime.L'attaque commence lorsque l'utilisateur télécharge sans le savoir un APK qui laisse tomber le malware.Une fois actif, FAKECALL communique avec un serveur de commande et de contrôle (C2), permettant aux attaquants d'émettre des commandes distantes sur l'appareil infecté.Les fonctions du malware \\ sont activées par des services comme l'accessibilité, qui surveille les interactions utilisateur, et l'auditeur de téléphone, qui agit comme un conduit entre l'appareil et le serveur C2. Notre analyse a révélé que FakeCall utilise une obscurcissement complexe et une architecture de fichiers .DEX, ce qui rend la détection plus difficile.Les nouvelles fonctionnalités incluent Bluetooth et les récepteurs d'écran, qui surveillent les états de l'état et de l'écran Bluetooth, bien que leur objectif complet ne soit pas clair.La capacité du malware \\ à sauter le service d'accessibilité d'Android \\ est particulièrement préoccupante, car elle peut automatiquement accorder des autorisations, manipuler l'interface utilisateur et surveiller l'activité du dialesseur, ce qui permet aux attaquants de contrôler à distance l'appareil. Lorsque vous êtes défini comme le gestionnaire d'appels par défaut, FakeCall intercepte tous les appels, affichant une fausse interface qui imite le numéroteur Android.Cela permet aux logiciels malveillants de rediriger les appels légitimes, par exemple, à un nombre frauduleux, trompant l'utilisateur en pensant qu'il parle à une entité de confiance comme sa banque.Cette manipulation rend les utilisateurs vulnérables au vol d'identité et à la fraude financière, car les attaquants ont un accès non autorisé à leurs informations sensibles. ## Recommandations - Installez uniquement les applications à partir de sources de confiance et de magasins officiels. - Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil. - Utilisez des solutions mobiles telles que [Microsoft Defender pour un point final sur unDroid] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-android?view = o365 worldwide) pour détecter les applications malveillantes - Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues. - Évaluez si [Microsoft Defender pour l'Internet des objets (IoT)] (https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/overview) est applicable à votre environnement IoT. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojanspy: AndroidoS / FakeCalls] (https://www.microsoft.com/en-us/wdssi/therets/malware-encycopedia-description?name=trojanspy:Androidos/fakeCalls.d!mtb) ## références [Mishing in Motion: Découvrir les fonctionnalités évolutives du malware FAKECALL] (https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/).Zimperium (consulté en 2024-10-31) ## Copyright &copie;Microsoft 2024 .Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est	Malware Threat Mobile Prediction		★★★
	2024-10-31 21:16:49	La campagne soupçonnée de phishing de la RPDC cible Naver;Cluster d'usurpation de domaine Apple séparé identifié Suspected DPRK Phishing Campaign Targets Naver; Separate Apple Domain Spoofing Cluster Identified (lien direct)	#### Géolocations ciblées - Corée ## Instantané Les chercheurs de Hunt ont découvert une campagne de phishing présumée liée au nord-coréen ciblant Naver, une grande plate-forme technologique sud-coréenne. ## Description La campagne implique un répertoire ouvert contenant des pages de phishing qui semblent avoir été fabriqués pour voler les informations de connexion des utilisateurs de Naver.Le serveur de phishing héberge plus de 200 domaines, dont beaucoup utilisent des domaines de niveau supérieur peu communs en plus de .store, comme .cfd et .info.La plupart des domaines affichent un thème technique, incorporant des termes tels que "Online", "Server", "JSON", "Mail" et "Hosting".Les chercheurs de Hunt ont également trouvé un cluster d'infrastructure non apparenté utilisant des domaines et des certificats qui se font passer pour la pomme. Les chercheurs de Hunt rapportent que la campagne de phishing ciblant les utilisateurs de NAVER contient trois dossiers de changement de dossier, de cookie et de connexion qui s'aligne sur les modèles dans les campagnes de vol d'identification et avec des acteurs de menace comme Kimsuky (suivi par Microsoft comme [Emerald Sleet] (HTTPS://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e)).Les journaux IP suggèrent que l'acteur de menace suit activement les connexions entrantes, surveille potentiellement les chercheurs ou identifie les cibles futures.Les chercheurs ont également examiné l'histoire de la SSL.Ils ont constaté que les certificats TLS délivrés par Let \'s Encrypt, un service gratuit, ont souvent été modifiés tous les quelques jours. ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https: //Learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_TA_LearnDoc) Dans votre locataire. - Investir dans avancé unSolutions de phisces NTIP qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_TA_LearnDoc), y compris ces États-UnisEd dans cette campagne de phishing.Pour renforcer la résilience contre les attaques de phishing en général, les organisations peuvent utiliser [des politiques anti-phishing] (https://docs.microsoft.com/microsoft-365/security/office-365-security/set-ul-anti-phishing-polices? View = O365-Worldwide) pour activer les paramètres d'intelligence de la boîte aux lettres, ainsi que la configuration des paramètres de protection d'identification pour des messages spécifiques et des domaines de l'expéditeur.Activer [SafeLinks] (https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) garantit une protection en temps réel	Threat Technical		★★★
	2024-10-31 21:09:33	Les entreprises Facebook ciblées dans la campagne de phishing infoséléraire Facebook Businesses Targeted in Infostealer Phishing Campaign (lien direct)	Les acteurs de la menace trompent leurs victimes en usurpant l'identité des équipes juridiques des entreprises, des magasins Web bien connus et des fabricants. The threat actors deceive their victims by impersonating the legal teams of companies, well-known Web stores, and manufacturers.	Threat		★★★
	2024-10-31 20:29:50	Pacific Rim Timeline: Informations pour les défenseurs contre une tresse de campagnes d'attaque entrelacées Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns (lien direct)	## Instantané Depuis plus de cinq ans, Sophos a suivi plusieurs groupes basés en Chine ciblant leurs pare-feu grâce à des botnets sophistiqués, des exploits uniques et des logiciels malveillants personnalisés. ## Description La collaboration avec divers fournisseurs de cybersécurité, les agences gouvernementales et les forces de l'ordre a permis aux Sophos d'attribuer des activités spécifiques à des groupes comme [Volt Typhoon] (https: // Security.Microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb), APT31 (suivi par Microsoft comme [Violet.Micoft 8039ED98462546859F2AC987E7EC77A6C7DA15D760E7AC0AAF173AC486)), et APT41 (suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6)).Enquêtes récentesPar Sophos X-OPS a révélé que le développement d'exploitation de confiance élevée se produisait à Sichuan, où ces exploits seraient partagés entre des groupes parrainés par l'État avec des objectifs et des capacités variables. L'analyse met également en évidence l'exploitation de vulnérabilités spécifiques, notamment [CVE-2020-12271] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2020-12271 /), [CVE-2020-15069] (https://security.microsoft.com/intel-explorer/cves/cve-2020-15069/), [CVE-2020-29574] (https://security.microsoft.com/intel-explorer/cves/cve-2020-29574/), [CVE-2022-1040] (https://secuth-2022-3236 /). Sophos a noté un changement significatif dans les comportements des attaquants, passant de larges attaques bruyantes destinées à établir des boîtes de relais opérationnelles (ORB) à des opérations plus ciblées et furtives ciblant les infrastructures de grande valeur, en particulier dans la région indo-pacifique.Les victimes comprennent des organisations dans les secteurs nucléaire, militaire, télécom et gouvernemental.Les tactiques employées par ces adversaires reflètent une amélioration de la furtivité et de la persistance, notamment l'utilisation de techniques de vie, de classes Java en arrière, de chevaux de Troie uniquement et d'un rootkit complexe nommé Cloud Snooper, qui est remarquable pour ses capacités multiplategiennes. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learnDoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-O	Malware Tool Vulnerability Threat Legislation Cloud	APT 41 APT 31	★★★
	2024-10-31 19:07:37	Les Poissons Jumpy s'engagent dans des ransomwares de jeu Jumpy Pisces Engages in Play Ransomware (lien direct)	## Snapshot Unit 42 has identified the North Korean state-sponsored threat group Jumpy Pisces, also known as Andariel and Onyx Sleet, engaging in a recent ransomware incident through a potential collaboration with the Play ransomware group. ## Description Historically known for cyberespionage, financial crime, and ransomware attacks, Jumpy Pisces (Which Microsoft tracks as [Onyx Sleet](https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0)) gained initial access to a victim\'s network in early September 2024 through a compromised user account. They maintained persistence and moved laterally using the open-source tool Sliver, their custom malware DTrack, and other tools such as a customized version of Mimikatz for credential dumping, a tool for creating privileged user accounts with RDP enabled, and a trojanized binary for stealing browser data. These tools communicated with a command-and-control server until the deployment of [Play Ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e). During the period from May to September 2024, the attackers executed various activities, including credential harvesting and privilege escalation, and notably uninstalled endpoint detection and response (EDR) sensors before deploying the ransomware. The use of additional tools like TokenPlayer for Windows access token abuse and PsExec was also observed. The nature of Jumpy Pisces ([Onyx Sleet](https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0))\'s involvement with [Play Ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) is not definitively clear, as they could be acting as an affiliate or as an Initial Access Broker (IAB) by selling network access to Play ransomware actors. This incident marks a significant development in cyber threats, indicating a convergence of state-sponsored and underground ransomware operations and potentially signaling a trend where North Korean threat groups increasingly participate in global ransomware campaigns. ## Microsoft Analysis and Additional OSINT Context The threat actor that Microsoft tracks as Onyx Sleet is a North Korea-affiliated activity group. First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, TDrop2, Jumpy Pisces, and APT45. Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. Microsoft Defender for Endpoint detects this activity as Onyx Sleet activity group. Microsoft Defender customers can turn on attack surface reduction rules to prevent common attack techniques such as blocking executable files from running unless they meet a prevalence, age, or trusted list criterion, blocking the launch of potentially obfuscated	Ransomware Malware Tool Threat Prediction	APT 45	★★
	2024-10-31 17:18:14	Rapport trimestriel de la cyber-menace: Tendances du cadre Mitre ATT & CK à OSINT (juillet à septembre 2024) Quarterly cyber threat report: MITRE ATT&CK framework trends in OSINT (July to September 2024) (lien direct)	## Snapshot This report presents an analysis of recent trends in cyber threats based on 242 articles published by threat researchers across the security community between July and September 2024 (Q3). These articles are curated by Microsoft Threat Intelligence from over one hundred trusted sources and are included in Microsoft Defender Threat Intelligence as open-source intelligence (OSINT) articles. The analysis focuses on over 2,000 MITRE ATT&CK framework tags correlated to the content in each article. By distilling insights from these tags and the related intelligence, we can highlight prevalent tactics, techniques, and procedures (TTPs) observed in the cyber security landscape over the past quarter. This dataset is not exhaustive but represents a curated set of the most high-profile cyber threat intelligence reporting from across the security community. When prioritizing cyber security efforts, it\'s essential to understand the trending TTPs observed in the wild. This knowledge helps defenders make informed decisions about the most effective strategies to implement, especially where to focus engineering efforts and finite resources. ## Activity Overview - Initial Access: Phishing remains the most prevalent initial attack vector, featuring in approximately 40% of OSINT reports from Q3. Phishing continues to dominate as an initial access technique, underscoring its perennial effectiveness and emphasizing the ongoing need for comprehensive user education programs and enhanced email security solutions. - Execution: As we reflect on the prominence of phishing, User Execution also remains the most common method of launching attacks, with users often enticed to click on malicious files or links. A notable runner-up was [Command and Scripting Interpreter/PowerShell](https://attack.mitre.org/techniques/T1059/001/), which was the preceding quarter\'s top execution technique. - Persistence: [Boot or Logon Autostart Execution](https://attack.mitre.org/techniques/T1547/001/), particularly through Registry Run Keys and Startup Folder manipulation, is the most cited persistence technique. This method demonstrates attackers\' continued focus on maintaining persistence across system restarts by embedding themselves in critical system components. As these techniques are frequently used to bypass detection, strengthening endpoint detection and response capabilities around startup processes is essential. - Command and Control: [Application Layer Protocols/Web Protocols](https://attack.mitre.org/techniques/T1071/001/) is the most reported command and control (C2) method reflecting adversaries\' use of legitimate web protocols to mask malicious C2 traffic. Attackers frequently leverage common protocols like HTTP/HTTPS to blend in with normal network traffic, highlighting the need for advanced network traffic analysis. - Impact: Ransomware, specifically [Data Encrypted for Impact](https://attack.mitre.org/techniques/T1486/), remains the most frequently reported impact technique. This reaffirms ransomware\'s role as a dominant threat, particularly due to its financial and operational implications. The consistent mention of encryption underscores the importance of data backup strategies and swift incident response capabilities. - Defense Evasion: [Obfuscated Files or Information](https://attack.mitre.org/techniques/T1027/005/) is the most frequently used technique to evade detection, maintaining its top place from previous quarters. Techniques such as [Deobfuscate/Decode Files or Information](https://attack.mitre.org/techniques/T1140/) and [Indicator Removal/File Deletion](https://attack.mitre.org/techniques/T1070/004/) followed closely, each being cited in roughly 10% of the reports. The use of these techniques highlights the adaptive strategies attackers use to bypass detection, making the development of robust detection tools and behavior-based analysis critical for defense. Read the previous quarter\'s report, [MITRE ATT&CK framework trends in OSINT (April 2024 - Jun	Ransomware Spam Malware Tool Vulnerability Threat Prediction Cloud Technical		★★★
	2024-10-31 16:59:38	Le Canada est aux prises avec des acteurs de menace soutenus par \\ 'sans coup sûr \\' Canada Grapples With \\'Second-to-None\\' PRC-Backed Threat Actors (lien direct)	Les apts chinois se sont coiffés dans les réseaux du gouvernement canadien pendant cinq ans - et cela est juste un parmi une série de menaces de mauvais acteurs chinois. Chinese APTs lurked in Canadian government networks for five years - and that\'s just one among a whole host of threats from Chinese bad actors.	Threat		★★★
	2024-10-31 16:03:43	Microsoft: les pirates chinois utilisent le botnet Quad7 pour voler des informations d'identification Microsoft: Chinese hackers use Quad7 botnet to steal credentials (lien direct)	Microsoft avertit que les acteurs de la menace chinoise utilisent le botnet Quad7, compromis de routeurs SOHO piratés, pour voler des informations d'identification dans des attaques de pulvérisation de mot de passe.[...] Microsoft warns that Chinese threat actors use the Quad7 botnet, compromised of hacked SOHO routers, to steal credentials in password-spray attacks. [...]	Threat		★★
	2024-10-31 16:00:00	Rapport de menace de l'identité d'entreprise 2024: dévoiler des menaces cachées pour les identités des entreprises Enterprise Identity Threat Report 2024: Unveiling Hidden Threats to Corporate Identities (lien direct)	Dans le lieu de travail moderne et centré sur le navigateur, l'identité d'entreprise agit comme la défense de première ligne pour les organisations.Souvent appelée «le nouveau périmètre», l'identité se situe entre la gestion sûre des données et les violations potentielles.Cependant, un nouveau rapport révèle comment les entreprises ignorent souvent la façon dont leurs identités sont utilisées sur diverses plateformes.Cela les rend vulnérables aux données In the modern, browser-centric workplace, the corporate identity acts as the frontline defense for organizations. Often referred to as “the new perimeter”, the identity stands between safe data management and potential breaches. However, a new report reveals how enterprises are often unaware of how their identities are being used across various platforms. This leaves them vulnerable to data	Threat Studies		★★★★
	2024-10-31 15:54:00	Le plugin de cache LiteSpeets pose un risque important pour les sites Web WordPress LiteSpeed Cache Plugin Vulnerability Poses Significant Risk to WordPress Websites (lien direct)	Une faille de sécurité de haute sévérité a été divulguée dans le plugin de cache LiteSpeed pour WordPress qui pourrait permettre à un acteur de menace non authentifié d'élever leurs privilèges et d'effectuer des actions malveillantes. La vulnérabilité, suivie en CVE-2024-50550 (score CVSS: 8.1), a été abordée dans la version 6.5.2 du plugin. "Le plugin souffre d'une vulnérabilité d'escalade de privilège non authentifiée A high-severity security flaw has been disclosed in the LiteSpeed Cache plugin for WordPress that could allow an unauthenticated threat actor to elevate their privileges and perform malicious actions. The vulnerability, tracked as CVE-2024-50550 (CVSS score: 8.1), has been addressed in version 6.5.2 of the plugin. "The plugin suffers from an unauthenticated privilege escalation vulnerability	Vulnerability Threat		★★
	2024-10-31 15:28:56	La Corée du Nord \\ a Andariel pivots to \\ 'jouer \\' ransomware jeux North Korea\\'s Andariel Pivots to \\'Play\\' Ransomware Games (lien direct)	La menace persistante avancée parrainée par l'État (APT), alias Pisces Jumpy, semble s'éloigner de ses principaux motivations de cyber-espionnage et vers des perturbations et des dégâts généralisés. The prominent state-sponsored advanced persistent threat (APT), aka Jumpy Pisces, appears to be moving away from its primary cyber-espionage motives and toward wreaking widespread disruption and damage.	Ransomware Threat	APT 45	★★
	2024-10-31 14:03:08	NOMA lance avec des plans pour sécuriser les données, le cycle de vie de l'IA Noma Launches With Plans to Secure Data, AI Life Cycle (lien direct)	Les équipes de sécurité des applications des sociétés du Fortune 500 utilisent déjà la plate-forme de cycle de vie de Noma \\, qui offre aux organisations des données et à la sécurité de la chaîne d'approvisionnement en IA, de la gestion de la posture de sécurité de l'IA et de la détection et de la réponse des menaces en IA. Application security teams from Fortune 500 companies are already using Noma\'s life cycle platform, which offers organizations data and AI supply chain security, AI security posture management, and AI threat detection and response.	Threat		★★
	2024-10-31 14:00:00	Données du gouvernement canadien volées par des pirates chinois Canadian Government Data Stolen By Chinese Hackers (lien direct)	Un rapport du Centre canadien de cybersécurité a décrit la Chine comme la cyber-menace la plus sophistiquée pour le Canada, a également identifié l'Inde comme une menace émergente A report by the Canadian Centre for Cyber Security described China as the most sophisticated cyber threat to Canada, also identified India as an emerging threat	Threat		★★★
	2024-10-31 13:00:35	Halloween effroi de l'ère numérique: les cybermenaces nous hantant en 2024 Halloween Frights of the Digital Age: Cyber Threats Haunting Us in 2024 (lien direct)	> Halloween est un moment pour les maisons hantées, les costumes effrayants et les tours ou le traitement, mais dans le paysage numérique d'aujourd'hui, il y a des choses plus effrayantes qui se cachent juste sous la surface.L'augmentation des cyber-menaces mondiales peindra des attaques d'image d'image effrayantes ont augmenté par un alarmante 75% dans le monde au cours du troisième trimestre 2024. Cette augmentation de l'activité malveillante n'est pas juste une peur saisonnière;Cela fait partie d'une augmentation soutenue des menaces ciblant les individus et les organisations.Les cyber-criminels utilisent des technologies avancées pour exploiter les vulnérabilités personnelles et d'entreprise, créant une histoire d'horreur moderne qui affecte des millions dans le monde.Ici \\ est un regard plus approfondi sur les «hantises» numériques de [& # 8230;] >Halloween is a time for haunted houses, spooky costumes, and trick-or-treating, but in today\'s digital landscape, there are scarier things lurking just beneath the surface. The rise in global cyber threats paints a chilling picture-cyber attacks have surged by an alarming 75% worldwide as of Q3 2024. This spike in malicious activity isn\'t just a seasonal scare; it\'s part of a sustained increase in threats targeting individuals and organizations alike. Cyber criminals are using advanced technologies to exploit personal and corporate vulnerabilities, creating a modern horror story that affects millions globally. Here\'s a closer look at the digital “hauntings” of […]	Vulnerability Threat		★★
	2024-10-31 11:55:17	Attaque de la chaîne d'approvisionnement de Lottiefiles expose les utilisateurs au drainage de portefeuille de crypto malveillant LottieFiles supply chain attack exposes users to malicious crypto wallet drainer (lien direct)	A quelques heures d'Halloween effrayantes pour l'équipe derrière un plugin Web extrêmement populaire Lottiefiles surmonte quelque chose d'une peur d'Halloween après avoir combattu pour reprendre le contrôle d'un compte de développeur compromis qui a été utilisé pour exploiter les utilisateurs \\ 'cryptoportefeuilles.…	Threat		★★
	2024-10-31 09:32:49	Les fraudeurs exploitent la fièvre des élections générales américaines, avertit le FBI Fraudsters Exploit US General Election Fever, FBI Warns (lien direct)	Alors que les États-Unis d'Amérique entrent dans les derniers jours de la course à la Maison Blanche, le FBI a averti que les fraudeurs utilisent la campagne électorale présidentielle pour échapper aux citoyens de leurs économies et de leurs données personnelles.Selon une annonce de la fonction publique publiée par Internet Crime Plainte Center (IC3), les escrocs qui ont déjà exploité les élections nationales et locales visent des victimes à travers les États-Unis à l'approche du vote électoral général le 5 novembre 2024. UtilisationLes images, les noms, les logos et les slogans des candidats, les fraudeurs arnaquent les imprudents dans ... As the United States of America enters the final days of the race for the White House, the FBI has warned that fraudsters are using the presidential election campaign to scam citizens out of their savings and personal data. According to a public service announcement published by the Internet Crime Complaint Center (IC3), scammers who have previously exploited state and local elections are targeting victims across the United States in the run-up to the general election vote on November 5, 2024. Using the images, names, logos and slogans of candidates, fraudsters are scamming the unwary into...	Threat		★★
	2024-10-31 08:11:10	Présentation de @NExTRonResearch: un nouveau canal pour les informations sur les menaces Introducing @NextronResearch: A New Channel for Threat Intelligence (lien direct)	Pas de details / No more details	Threat		★★
	2024-10-30 22:54:12	La Maison Blanche décrit le rôle de l'Ai \\ dans la sécurité nationale White House Outlines AI\\'s Role in National Security (lien direct)	Le mémorandum de la sécurité nationale sur les tâches de renseignement artificiel diverses agences fédérales à assurer la chaîne d'approvisionnement de l'IA à partir de cyberattaques potentielles et à diffuser des informations en temps opportun sur ces attaques. The National Security Memorandum on Artificial Intelligence tasks various federal agencies with securing the AI supply chain from potential cyberattacks and disseminating timely threat information about such attacks.	Threat		★★
	2024-10-30 22:28:21	(Déjà vu) Strela Stealer cible le centre et le sud-ouest de l'Europe grâce à une exécution furtive via webdav Strela Stealer targets Central and Southwestern Europe through Stealthy Execution via WebDAV (lien direct)	#### Targeted Geolocations - Spain - Germany ## Snapshot The latest Strela Stealer phishing campaign, identified by Cyble Research and Intelligence Labs, uses deceptive invoices to lure victims, mainly impacting Central and Southwestern Europe. ## Description These phishing emails contain ZIP files with obfuscated JavaScript files that, when opened, trigger a PowerShell command to download a malicious payload directly from a WebDAV (Web Distributed Authoring and Versioning) server. This method allows Strela Stealer to bypass detection by not saving files to disk. The malware\'s payload is embedded within a DLL file designed to extract email credentials and other sensitive details, specifically from Microsoft Outlook and Mozilla Thunderbird, which are then transmitted to the attackers\' command server. Strela Stealer tailors its activity to specific geographic areas, in this campaign mainly Germany and Spain, by checking locale settings on the infected system. Additionally, it collects system details and file directory data, which allows attackers to perform reconnaissance and possibly conduct follow-up attacks. The malware uses sophisticated evasion techniques, such as JavaScript obfuscation and base64 encoding, making it challenging for security tools to detect. Strela Stealer\'s evolution-from simple phishing with ISO attachments to complex fileless execution-highlights the ongoing advancements in malware distribution tactics, emphasizing the need for robust cybersecurity measures to address such sophisticated threats. ## Microsoft Analysis and Additional OSINT Context Threat actors use WebDAV for distributing information-stealing malware, such as Strela Stealer, because it offers several advantages for evasion, simplicity, and control over payload delivery: - Fileless Execution and Evasion: WebDAV enables fileless malware execution by running malicious payloads directly from remote servers without saving them locally on the target machine. This helps bypass many traditional security defenses that focus on scanning files on disk, as no local file is created. - Direct Remote Access: WebDAV is designed to allow clients to interact with remote servers as though they were local folders. This allows threat actors to distribute payloads seamlessly over HTTP/HTTPS, appearing as legitimate remote connections to the system, which reduces the chances of detection. - Efficient Data Transmission: WebDAV supports real-time access to resources over the network, making it efficient for both distribution and control. Attackers can change payloads or update malicious DLLs on their WebDAV server, ensuring that new or adapted versions of malware are available without having to reinfect machines. - Bypassing Firewalls and Security Filters: Many organizations allow outbound WebDAV traffic through HTTP or HTTPS. This allows attackers to communicate with compromised devices without raising alarms, as this traffic blends in with normal web traffic. - Modular and Scalable Attacks: By using WebDAV, threat actors can scale their operations, as they only need to update files on a centralized server to infect multiple systems, enhancing the malware\'s reach with minimal adjustments on the attacker\'s side. These qualities make WebDAV an attractive option for attackers seeking stealthy, flexible, and scalable methods to deliver information-stealing malware. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 t	Ransomware Spam Malware Tool Threat		★★
	2024-10-30 21:30:28	Conscience des menaces, sécurité du cloud, informatique quantique entre les priorités des cyber-politiques d'agence en chef Threat awareness, cloud security, quantum computing among chief agency cyber policy priorities ahead (lien direct)	> Le directeur fédéral de la sécurité de l'information fédérale par intérim a énoncé quelques éléments de l'ordre du jour 2025 pour les fédéraux de Cybertalks. >The interim Federal Chief Information Security Officer spelled out some 2025 agenda items for feds at CyberTalks.	Threat Cloud		★★
	2024-10-30 21:14:00	Le groupe nord-coréen collabore avec les ransomwares de jeu dans une cyberattaque importante North Korean Group Collaborates with Play Ransomware in Significant Cyber Attack (lien direct)	Les acteurs de menace en Corée du Nord ont été impliqués dans un incident récent qui a déployé une famille de ransomwares connue appelée Play, soulignant leurs motivations financières. L'activité, observée entre mai et septembre 2024, a été attribuée à un acteur de menace suivi comme des Poissons nerveux, qui est également connu sous le nom d'Andariel, APT45, Darkseoul, Nickel Hyatt, Onyx Sleet (anciennement plutonium), opération Troy, Threat actors in North Korea have been implicated in a recent incident that deployed a known ransomware family called Play, underscoring their financial motivations. The activity, observed between May and September 2024, has been attributed to a threat actor tracked as Jumpy Pisces, which is also known as Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (formerly Plutonium), Operation Troy,	Ransomware Threat	APT 15 APT 45	★★★
	2024-10-30 18:53:30	Des pirates chinois soutenus par l'État ont violé 20 réseaux gouvernementaux canadiens sur quatre ans, avertit l'agence Chinese state-backed hackers breached 20 Canadian government networks over four years, agency warns (lien direct)	Dans sa dernière évaluation de la menace biennale, l'agence de cybersécurité du Canada a compté les intrusions connues de pirates chinois soutenus par le gouvernement dans les réseaux gouvernementaux. In its latest biennial threat assessment, Canada\'s cybersecurity agency tallied up known intrusions by Chinese government-backed hackers into government networks.	Threat		★★
	2024-10-30 18:25:16	(Déjà vu) Rekoobe Backdoor découverte dans le répertoire ouvert, ciblant éventuellement les utilisateurs de TradingView Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users (lien direct)	## Instantané Une enquête récente a découvert la présence de Rekoobe, une porte dérobée initialement utilisée par APT31, suivie parMicrosoft comme [Violet Typhoon] (https://security.microsoft.com/intel-profiles/978d728039ed98462546859f2ac987e77a6c7da15d760e7ac0aaf173AC486), dans les répertoires ouverts. ## Description Rekoobe, basé en partie sur Tiny Shell, a évolué avec un chiffrement avancé et des paramètres de commande et de contrôle uniques, ce qui rend la détection difficile.Les chercheurs ont trouvé deux échantillons de rekoobe sur un répertoire ouvert lié à l'adresse IP 27.124.45 \ [. \] 146, révélant des binaires de logiciels malveillants étiquetés selon l'architecture et la date.Ces binaires ont tenté de se connecter avec le serveur d'hébergement via un port spécifique, suivant les modèles observés dans d'autres logiciels malveillants Rekoobe. Une analyse plus approfondie a identifié plusieurs domaines de sosie imitant le site Web populaire de TradingView, suggérant des efforts de phishing potentiels ciblant la communauté financière.Ces domaines présentent de légères variations typographiques, peut-être pour l'ingénierie sociale ou les attaques de phishing.Bien qu'aucun contenu actif n'ait été observé, le chevauchement de ces domaines avec une activité Rekoobe suggère une campagne coordonnée. L'enquête a également lié d'autres serveurs dans la même infrastructure basée à Hong Kong à l'aide de clés SSH partagées, renforçant la notion d'une configuration malveillante plus large.De plus, un outil de sécurité, Yakit, connu pour son équipe rouge légitime, a été trouvé sur un serveur, soulevant des questions sur son utilisation dans ce contexte.Collectivement, ces résultats révèlent une opération malveillante potentiellement étendue destinée aux plateformes financières, exigeant un examen minutieux. ## Analyse Microsoft et contexte OSINT supplémentaire L'acteur Microsoft suit comme [Violet Typhoon] (https://security.microsoft.com/intel-profiles/978d728039ed98462546859f2ac987e7ec77a6c7da15d760e7ac0aaf173ac486). Phoon est connu principalementcibler l'ancien gouvernement et le personnel militaire, les ONG et les groupes de réflexion aux États-Unis.Violet Typhoon se concentre sur l'espionnage.L'acteur est connu pour effectuer une analyse de vulnérabilité pour identifier l'infrastructure Web exposée à Internet, telles que les serveurs Web, la gestion de contenu ou les portails de gestion, puis exploiter ces vulnérabilités pour installer des shells Web.De plus, Violet Typhoon utilise la technique de reconnaissance des bogues Web. Le typhon Violet a également été observé à l'aide de courriels de phisseur de lance contenant un lien qui redirige vers les pages de connexion de récolte des informations d'identification.Après avoir obtenu un accès initial, le typhon Violet utilise des techniques d'adversaire dans le milieu et des capacités de fenêtres intégrées pour le mouvement latéral et l'escalade des privilèges.Microsoft a également observé le groupe à l'aide d'exploits de jours zéro pour l'escalade des privilèges.Violet Typhoon est suivi par d'autres sociétés de sécurité en tant qu'APT31. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, m	Ransomware Malware Tool Vulnerability Threat	APT 31	★★
	2024-10-30 18:22:27	Interbank confirme la violation des données après l'extorsion échouée, fuite de données Interbank confirms data breach following failed extortion, data leak (lien direct)	Interbank, l'une des principales institutions financières du Pérou, a confirmé une violation de données après qu'un acteur de menace qui a piraté ses systèmes a divulgué des données volées en ligne.[...] Interbank, one of Peru\'s leading financial institutions, has confirmed a data breach after a threat actor who hacked into its systems leaked stolen data online. [...]	Data Breach Threat		★★
	2024-10-30 15:00:44	(Déjà vu) Akira Ransomware continue d'évoluer Akira Ransomware Continues to Evolve (lien direct)	## Instantané Les chercheurs de Cisco Talos ont identifié que le fonctionnement des ransomwares Akira est revenu à ses méthodes de chiffrement précédentes, les combinant avec des tactiques d'extorsion de vol de données. ## Description Les affiliés des ransomwares d'Akira ont exploité de nouvelles vulnérabilités pour l'accès initial, notamment CVE-2024-40766 dans Sonicwall Sonicos, CVE-2020-3259, CVE-2023-20263 et CVE-2023-48788.Le groupe, qui s'était temporairement décalé pour se concentrer uniquement sur l'exfiltration des données, a mis à jour son ransomware pour utiliser le chiffrement du flux Chacha8 pour un chiffrement plus rapide et plus efficace.Ils ont également utilisé des informations d'identification VPN compromises et des appareils de réseau ciblés pour l'entrée. Une fois à l'intérieur, ils déploient des scripts PowerShell pour la récolte des diplômes et l'escalade des privilèges, ainsi que diverses techniques d'évasion de défense.Le ransomware Akira, qui ajoute l'extension ".akira" aux fichiers cryptés et laisse tomber une note de rançon nommée "Akira \ _readme.txt", a été observée pour cibler des organisations dans les secteurs de la fabrication et des services scientifiques et techniques.Le groupe a montré l'adaptabilité en développant un nouvel encryptor Linux et en mettant à jour sa variante Windows, indiquant un retour à l'utilisation des encrypteurs C ++.Ils ont également démontré une focalisation stratégique sur les plates-formes de virtualisation en ciblant les hôtes ESXi et en cryptant le chemin «/ VMFS / Volumes /», ce qui permet le cryptage et les perturbations de masse avec un mouvement latéral minimal.Le groupe Akira devrait continuer à se concentrer sur l'attaque des environnements ESXi et Linux de VMware \\, exploitant leur prévalence dans l'infrastructure d'entreprise pour un impact opérationnel important.Cette tendance s'aligne sur les observations plus larges du paysage des ransomwares, où les adversaires ciblent les plates-formes hébergeant des infrastructures critiques et des données de grande valeur. ## Analyse Microsoft et contexte OSINT supplémentaire Avant le déploiement des ransomwares, les attaquants prennent souvent plusieurs mesures pour se déplacer latéralement, acquérir des informations d'identification et exfiltrate les données.Pour un guide holistique sur la sécurisation de votre organisation à partir des menaces de ransomware, reportez-vous à la [Ransomware-as-a-service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-Service-compréhension-the-cybercririme-gig-economy-and-how-to-protect-yourself / # défendant-against-ransomware). Microsoft évalue qu'Akira est probablement une offre de ransomware fermée & # 8211;Exclusif et non ouvertement commercialisé comme un ransomware en tant que service & # 8211;distribué par un petit nombre d'acteurs de menace.Depuis qu'il a fait surface dans l'écosystème de la cybercriminalité, Microsoft a observé les acteurs de menace suivants utilisant Akira dans leurs opérations de ransomware: - [Storm-0844] (https://security.microsoft.com / Intel-Profiles / 25834DC6253E91BF4FAEE49069AF4572E6306B294039442AA82C048DF4995408), un groupe cybercriminal qui a déplacé des charges salariales de ransomware.De divers écosystèmes de rançon au fil du temps, y compris Hive, Royal à partir de l'automne 2022 et Akira en juin 2023. - Storm-1400, un groupe de cybercrimins qui n'a pas été suivi auparavant par Microsoft, a commencé à déployer Akira en juin 2023. - [Storm-1567] (https: // Security.Microsoft.com/intel-profiles/675EEE77614A60E98BC69CD4177522142E7D283EAAAB5D2107A2E7A53B964AF36), un groupe cybercriminal non suivi précédemment par Microsoft,a commencé à déployer Akira fin mai 2023. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées.	Ransomware Malware Tool Vulnerability Threat Prediction Technical		★★★
	2024-10-30 14:29:02	Rapport sur l'état de la sécurité de l'état de la sécurité de l'état de la STAT API: Les violations de l'API persistent comme une fraude, des attaques de bot et une augmentation générative des risques Traceable Releases 2025 State of API Security Report: API Breaches Persist as Fraud, Bot Attacks, and Generative AI Increase Risks (lien direct)	Reliminaires traçables 2025 Rapport sur la sécurité de l'état de l'API: les violations de l'API persistent comme une fraude, des attaques de bot et une augmentation générative des risques 57% des organisations souffrent de violations liées à l'API;Fraude, attaques de bot, et les applications d'IA génératrices exploitent les vulnérabilités de l'API à mesure que les défenses traditionnelles échouent - Rapports spéciaux Traceable Releases 2025 State of API Security Report: API Breaches Persist as Fraud, Bot Attacks, and Generative AI Increase Risks 57% of Organizations Suffer API-related Breaches; Fraud, Bot Attacks, and Generative AI Applications Exploit API Vulnerabilities as Traditional Defenses Fail - Special Reports	Vulnerability Threat		★★
	2024-10-30 14:16:09	IA générative, utilisation détournée d\'outils de cybersécurité, exploitation d\'environnements clouds mal configurés : le Global Threat Report 2024 d\'Elastic met en lumière les nouvelles cybermenaces qui pèsent sur les entreprises (lien direct)	IA générative, utilisation détournée d'outils de cybersécurité, exploitation d'environnements clouds mal configurés : le Global Threat Report 2024 d'Elastic met en lumière les nouvelles cybermenaces qui pèsent sur les entreprises Les outils de sécurité offensive disponibles dans le commerce et les environnements cloud mal configurés amplifient la surface d'attaque des organisations. - Investigations	Tool Threat Cloud		★★
	2024-10-30 14:01:17	Comment la protection de l'information ProofPoint offre une valeur aux clients How Proofpoint Information Protection Provides Value for Customers (lien direct)	Recently, I read the Gartner® research report, Demystifying Microsoft\'s Data Security Capabilities and Licensing. Many of the report\'s findings aligned with what dozens of customers have shared with me over the past several years. I have seen many organizations turn to Proofpoint Information Protection solutions after encountering challenges with other vendors\' offerings. Today, more than half of Fortune 100 companies trust Proofpoint to power their data loss prevention (DLP) programs. This isn\'t by chance. When comparing Proofpoint DLP with other solutions, our offering stands out as the clear choice. In this blog post, I\'ll highlight the key reasons why I believe Proofpoint excels. Realizing customer value In my opinion, a key indicator of the value that Proofpoint brings is shown in the 2024 Gartner® Peer Insights™ Voice of the Customer for Data Loss Prevention. Proofpoint was the only vendor recognized with a Customers\' Choice distinction. This recognizes vendors who meet or exceed market averages for Overall Experience and User Interest and Adoption. One of the reasons I believe why Proofpoint was recognized with this distinction is the way that we\'ve streamlined management and lowered costs. This can be seen when comparing our solution to Microsoft Purview. Because Proofpoint Managed Services runs Purview for some of our customers, our team was able to analyze how much time and effort it takes to operate and maintain it. According to Proofpoint analysis, organizations using Microsoft Purview experience: A 33% detection rate of data loss incidents 50% more alerts to manage 2.5 times longer time to triage incidents These inefficiencies directly translate into higher operational costs because organizations often must hire more staff to deal with increased alerts and the number of incidents to triage. In contrast, Proofpoint uses a human-centric approach that provides deep insight into user intent, data and application access patterns. It provides capabilities that detect all manner of data loss incidents because its rules are both content- and context-based. This allows for protecting data and alerting on behaviors that are not possible with traditional, content-centric systems and assures far lower risks of false negatives and false positives. For instance, Proofpoint will issue an alert if a user downloads a file from a sensitive data repository, encrypts it and transfers the file to a USB. In contrast, systems that employ a traditional approach rely on reading the content of data. This isn\'t reliable because of a variety of reasons, such as poorly written rules or encrypted data in transit. Our intuitive interface and single, unified dashboard speed up investigations. This not only lowers management costs, but it also means that your data is better protected. Proofpoint is not just technically superior. It also has significant cost advantages. Our team\'s analysis also compared the costs of operating and maintaining our DLP solution to Purview\'s. Organizations that make the switch to Proofpoint can expect: A 50% reduction in total cost of ownership An average payback period of just 4.5 months based on breach avoidance and workforce efficiency If you combine our detection capabilities and streamlined management with our cost benefits, then the value of our comprehensive solution becomes clear. Proofpoint reduces risk Proofpoint Information Protection takes a human-centric approach to security. We integrate user behavior and content telemetry across all DLP channels, including email, cloud apps, endpoints and the web. This context-rich data provides security analysts with what they need to quickly and accurately assess incidents-and prevent data loss before it happens. Generative AI (GenAI) is a good example of why this is so important. You can\'t enforce acceptable use policies for GenAI tools if you don\'t understand your content	Tool Threat Cloud	ChatGPT	★★
	2024-10-30 14:00:28	Les laboratoires TRM et Flashpoint unissent leurs forces pour améliorer la visibilité dans les cyberattaques impliquant des crypto-monnaies TRM Labs and Flashpoint Join Forces to Enhance Visibility into Cyberattacks Involving Cryptocurrencies (lien direct)	Trm Labs et Flashpoint se joignent à l'amélioration de la visibilité dans les cyberattaques impliquant des crypto-monnaies Un nouveau partenariat stratégique améliorera les enquêtes de cybersécurité en intégrant la principale intelligence de menace de Flashpoint \\ dans la plate-forme de renseignement de la blockchain TRM \\ ' - Revues de produits TRM Labs and Flashpoint Join Forces to Enhance Visibility into Cyberattacks Involving Cryptocurrencies New strategic partnership will enhance cybersecurity investigations by integrating Flashpoint\'s leading threat intelligence into TRM Labs\' blockchain intelligence platform - Product Reviews	Threat		★★
	2024-10-30 13:13:27	\\ 'Crossbarking \\' Attack cible les API Secret, expose les utilisateurs du navigateur d'opéra \\'CrossBarking\\' Attack Targets Secret APIs, Exposes Opera Browser Users (lien direct)	À l'aide d'une extension chromée malveillante, les chercheurs ont montré comment un attaquant pouvait injecter du code personnalisé dans un navigateur d'opéra victime pour exploiter des API spéciaux et puissantes, utilisés par les développeurs et généralement enregistrés pour les sites les plus fiables. Using a malicious Chrome extension, researchers showed how an attacker could inject custom code into a victim\'s Opera browser to exploit special and powerful APIs, used by developers and typically saved for only the most trusted sites.	Threat		★★
	2024-10-30 13:00:00	Mishing in Motion: Découvrir la fonctionnalité évolutive des logiciels malveillants FAKECALL Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware (lien direct)	> Dans ce billet de blog, nous partageons la protection de Zimperium \\ contre la campagne de phission de lance Makara. . >In this blog post we share Zimperium\'s Zero-Day Protection against the Water Makara Spear-Phishing campaign.	Malware Vulnerability Threat		★★
	2024-10-30 12:46:59	Notlockbit (lien direct)	> également connu sous le nom de heur: trojan-ransom.osx.agent.f Type: Ransomware Plateforme: Mac OS 9 Dernière mise à jour: 30/10/24 19:32 PM Niveau de menace: High Description notlockbit est un ransomware qui est écrit en Go et tente de tromper les utilisateurs pour éviter les messages d'avertissement à exécuter pour crypter les fichiers de l'utilisateur pour Ransom. Notlockbit Menace Removal MacScan peut détecter et supprimer les ransomwares notlockbit de votre système, ainsi que la protection contre d'autres menaces de sécurité et de confidentialité.Un essai de 30 jours est disponible pour scanner votre système pour cette menace. Télécharger macScan >also known as HEUR:Trojan-Ransom.OSX.Agent.f Type: Ransomware Platform: Mac OS 9 Last updated: 10/30/24 7:32 pm Threat Level: High Description NotLockBit is ransomware that is written in Go and attempts to trick users to avoid warning messages to execute to encrypt the user’s files for ransom. NotLockBit Threat Removal MacScan can detect and remove NotLockBit Ransomware from your system, as well as provide protection against other security and privacy threats. A 30-day trial is available to scan your system for this threat. Download MacScan	Ransomware Threat		★★
	2024-10-30 10:05:26	ODNI choisit des recenses pour offrir une plate-forme d'intelligence Internet aux agences de renseignement américaines ODNI chooses Censys to offer Internet Intelligence Platform to US intelligence agencies (lien direct)	> Censys, une plate-forme de renseignement sur Internet pour la chasse aux menaces et l'attaque de la gestion de la surface, annonce mardi que la société ... >Censys, an Internet Intelligence Platform for Threat Hunting and Attack Surface Management, announce on Tuesday that the company...	Threat		★★

Last update at: 2025-05-12 13:08:25
See our sources.

To see everything: Our RSS (filtrered)