What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-10-22 15:57:30 | Over 6,000 WordPress hacked to install plugins pushing infostealers (lien direct) | ## Instantané [GODADDY] (https://www.godaddy.com/resources/news/thereat-actors-push-clickfix-fake-browser-updates-using-stolen-credentials) Les chercheurs en sécurité ont identifié plus de 6 000 sites WordPress compromis par les nouveauxVariante de [clickfix] (https://security.microsoft.com/intel-explorer/articles/6d79c4e3) malware, également connu sous le nom de [clearfake] (https://security.microsoft.com/intel-explorer/articles/c75089e9), qui est distribué via de faux plugins WordPress. ## Description Certains des noms de sites WordPress compromis imitent les plugins légitimes.[Bleeping Computer] (https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/) fournit une liste des plugins malveillants qui ont été vusEntre juin et septembre 2024. Ces faux plugins contiennent des scripts qui injectent un javascript malveillant dans le HTML du site \\, qui tente ensuite de charger un autre javascript malveillant à partir d'un contrat intelligent Binance Smart Chain (BSC), affichant finalement les fausses mises à jour et erreurmessages utilisés pour distribuer [volet d'informations] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) malware.Les chercheurs de GoDaddy ont trouvé un modèleDans le nom de fichier JavaScript composé de la première lettre de chaque mot du nom du plugin, annexé avec «-script.js».Le contenu des métadonnées du plugin est faux, pour inclure le nom du plugin, l'URL, la description, la version, l'auteur, l'auteur URI, etc. Le plugin et l'auteur URI font fréquemment référence à GitHub, cependant, les référentiels de plugin associés sont inexistants sur GitHub.Les acteurs de la menace devraient utiliser des informations d'administration d'administration volées pour se connecter aux sites WordPress et installer automatiquement les plugins. Bleeping Computer conseille aux administrateurs WordPress de vérifier leurs plugins installés pour toutes les entrées non reconnues et, si des plugins inconnus sont identifiés, pour réinitialiser les mots de passe administratifs. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-10-22 15:22:52 | Using gRPC and HTTP/2 for Cryptominer Deployment: An Unconventional Approach (lien direct) | ## Instantané Trend Micro Researchers a récemment identifié un acteur de menace ciblant les serveurs API Docker détournés mal configurés pour déployer la crypto-monnaie SRBMiner et la crypto-monnaie Mine XRP. ## Description L'attaque a exploité le protocole GRPC sur H2C (HTTP / 2 en texte clair pour contourner les mesures de sécurité et exécuter des activités malveillantes sur l'hôte Docker.L'attaquant a d'abord vérifié la disponibilité de l'API Docker avant de demander des mises à niveau GRPC / H2C et d'utiliser des méthodes GRPC pour manipuler les fonctionnalités de Docker \\.Une fois réussi, l'attaquant a téléchargé le cryptominer SRBMiner de GitHub et a lancé des opérations minières liées à leur portefeuille. Cet incident met en évidence les risques posés par les API distantes Docker exposées, car les acteurs de la menace peuvent exploiter ces vulnérabilités pour obtenir un accès non autorisé et mener la cryptomiminage.L'utilisation en évolution de protocoles comme GRPC dans de telles attaques souligne la nécessité pour les organisations de sécuriser les plateformes de conteneurs et les fonctionnalités de gestion à distance pour prévenir les violations similaires. ## Recommandations Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez [Gestion des identités privilégiées] (https://learn.microsoft.com/azure/active-directory/priviled-entity-management/pim-configure) ou des comptes séparés pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et [Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview), en particulier pour les comptes avec des rôles élevés. - Implémentez le MFA: assurez-vous une utilisation complète de [MFA] (https://learn.microsoft.com/azure/active-directory/authentication/tutorial-enable-azure-mfa), en particulier pour les comptes avec des privilèges de contributeur de machine virtuel.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité cloud peut être trouvée dans [Recommandations de sécurité & # 8211;un guide de référence] (https://learn.microsoft.com/azure/defender-for-cloud/recommendations-reference?ocid=Magicti_TA_LearnDoc). - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les adresses IP Azure externes: l'authentification des adresses IP non locataires doit être considérée comme anormale.Utilisez la commande [AZ VM List-IP-Address] (https://learn.microsoft.com/cli/azure/vm?view=azure-cli-latest#az-vm-list-ip-address) pour identifier l'identification allouéeAdresses IP au sein du locataire. - Surveiller les augmentations de quotas: surveiller les augmentations de quotas inattendues, en particulier dans plusieurs régions ou pour des ressources rarement utilisées, car elles peuvent indiquer des attaques d'abus de ressources.Les détections d'augmentation des quotas peuvent être affinées en se concentrant sur le | Vulnerability Threat Prediction Cloud | ★★★ | |
 |
2024-10-22 14:10:41 | Stream.Security obtient 30 millions de dollars en financement de série B Stream.Security Secures $30 Million in Series B Funding (lien direct) |
Stream.Security sécurise 30 millions de dollars en financement de série B
Le modèle Twin Cloud Breakthrough alimente la seule solution de détection et de réponse à la menace et à l'exposition en temps réel auxquelles les équipes SECOPS peuvent faire confiance
-
Business News
Stream.Security Secures $30 Million in Series B Funding Breakthrough Cloud Twin Model Powers the Only Real Time Cloud Threat & Exposure Detection and Response Solution that SecOps Teams Can Trust - Business News |
Threat Cloud | ★★ | |
 |
2024-10-22 13:26:01 | Exploit publié pour l'attaque de relais NTLM "Winreg" NTLM Windows Server Exploit released for new Windows Server "WinReg" NTLM Relay attack (lien direct) |
Le code d'exploitation de preuve de concept est désormais public pour une vulnérabilité du client de registre distant de Microsoft \\ qui pourrait être utilisé pour prendre le contrôle d'un domaine Windows en rétrograçant la sécurité du processus d'authentification.[...]
Proof-of-concept exploit code is now public for a vulnerability in Microsoft\'s Remote Registry client that could be used to take control of a Windows domain by downgrading the security of the authentication process. [...] |
Threat | ★★★ | |
 |
2024-10-22 13:05:12 | Pour protéger Active Directory, neutralisez les menaces liées à l\'abus et à l\'élévation des privilèges (lien direct) | En 2021, l'attaque par ransomware Colonial Pipeline a entraîné de graves pénuries de carburant dans plusieurs états des États-Unis, et ce pendant plusieurs semaines. On a par la suite retracé la cause de cet incident majeur d'ampleur nationale à un unique compte de VPM mal sécurisé.... | Ransomware Threat | ★★ | |
 |
2024-10-22 13:00:00 | Gérer les opérations de sécurité dans un environnement complexe Managing Security Operations in a Complex Environment (lien direct) |
Un opérateur de réseau électrique a déployé une solution Fortinet SECOPS pour protéger contre les attaques zéro-jour, converger la sécurité informatique / OT et centraliser la gestion du système.
A power grid operator has deployed a Fortinet SecOps solution to protect against zero-day attacks, converge IT/OT security, and centralize system management. |
Vulnerability Threat Industrial | ★★★ | |
 |
2024-10-22 10:17:00 | La CISA ajoute la vulnérabilité ScienceLogic SL1 au catalogue exploité après une attaque active zéro jour CISA Adds ScienceLogic SL1 Vulnerability to Exploited Catalog After Active Zero-Day Attack (lien direct) |
L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a ajouté lundi une faille de sécurité critique impactant Sciencelogic SL1 à son catalogue connu sur les vulnérabilités exploitées (KEV), à la suite des rapports d'exploitation active en tant que zéro jour.
La vulnérabilité en question, suivie comme CVE-2024-9537 (score CVSS V4: 9.3), fait référence à un bogue impliquant un composant tiers non spécifié qui pourrait
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Monday added a critical security flaw impacting ScienceLogic SL1 to its Known Exploited Vulnerabilities (KEV) catalog, following reports of active exploitation as a zero-day. The vulnerability in question, tracked as CVE-2024-9537 (CVSS v4 score: 9.3), refers to a bug involving an unspecified third-party component that could |
Vulnerability Threat | ★★ | |
|
2024-10-22 09:59:06 | Les cyberattaques désastreuses montrent que les organisations doivent être plus proactives en défense, explique les oxylab Disastrous cyberattacks show organisations need to be more proactive in defence, says Oxylabs (lien direct) |
Les cyberattaques désastreuses montrent que les organisations doivent être plus proactives en défense, explique oxylabs
L'intelligence des menaces peut aider à identifier les motifs, les cibles et le comportement d'un acteur de menace, tout en isolant les menaces avant de causer des dommages.
-
Rapports spéciaux
Disastrous cyberattacks show organisations need to be more proactive in defence, says Oxylabs Threat intelligence can help identify a threat actor\'s motives, targets, and behaviour, all while isolating threats before causing harm. - Special Reports |
Threat | ★★ | |
 |
2024-10-21 20:57:28 | Les commentaires GitHub des référentiels légitimes exploités pour livrer Remcos Rat GitHub Comments from Legitimate Repositories Exploited to Deliver Remcos RAT (lien direct) |
> L'une des conclusions les plus intéressantes de notre rapport de NetSkope Threat Labs: Insurance 2024 a été la découverte que Github est l'application la plus populaire en termes de téléchargements de logiciels malveillants pour ce Microsoft Onedrive vertical spécifique, qui est généralement le leader incontestable de cette carte imputable.Une confirmation intéressante de cette tendance particulière du [& # 8230;]
>One of the most interesting findings of our Netskope Threat Labs Report: Insurance 2024 was the discovery that GitHub is the most popular application in terms of malware downloads for this specific vertical, surpassing Microsoft OneDrive, which is usually the undisputed leader of this unwelcome chart. An interesting confirmation of this peculiar trend of the […] |
Malware Threat Prediction | ★★ | |
|
2024-10-21 20:43:52 | Analysis of the Crypt Ghouls group: continuing the investigation into a series of attacks on Russia (lien direct) | ## Snapshot Kaspersky researchers identified a new threat group known as "Crypt Ghouls," which has been targeting Russian businesses and government agencies across various sectors, including mining, energy, finance, and retail. ## Description The group has been deploying ransomware such as LockBit 3.0 and Babuk, and their toolkit includes utilities like Mimikatz, XenAllPasswordPro, AnyDesk, and others. Initial access was often achieved using a contractor\'s login credentials to connect to the victim\'s internal systems via VPN, with subsequent maintenance of access through utilities like NSSM and Localtonet. The Crypt Ghouls have demonstrated a range of techniques for credential harvesting, domain controller access, network reconnaissance, and lateral movement. They have used tools like the MiniDump Tool to extract credentials from memory, copied browser-stored credentials, and employed PowerShell scripts for reconnaissance. For domain controller access, they connected via WMI, modified scheduler tasks, and dumped NTDS.dit. Network navigation was facilitated by tools such as PingCastle, SoftPerfect Network Scanner, WmiExec.py Impacket module, and PAExec. They also engaged in DLL sideloading using a legitimate Windows installer management application and a malicious loader. The group\'s ransomware attacks have been sophisticated, with LockBit 3.0 configured to encrypt specific files and directories, disable Windows Defender, and delete event logs, while Babuk targeted virtual machines on ESXi servers. Crypt Ghouls left ransom notes with contact links via the Session messaging service and used IP addresses from a Surfshark VPN subnet and hosting provider VDSina\'s network for remote connections. Their activities have shown similarities with other groups such as MorLock, BlackJack, Twelve, and Shedding Zmiy, indicating potential collaboration or resource sharing among these threat actors. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-ref | Ransomware Tool Threat | ★★ | |
|
2024-10-21 18:59:55 | China\'s Influence Ops | Twisting Tales of Volt Typhoon at Home and Abroad (lien direct) | ## Instantané Sentinélone a publié une analyse du dernier rapport du Coputer Virus Response Center (CVERC) de China \\, qui fait partie d'une série en trois parties affirmant que le gouvernement américain est derrière [Volt Typhoon] (https://security.microsoft.com/ Intel-Profiles / 8Fe93EBFB3A03FB94A92AC80847790F1D6CFA08F57B2BCEBFAD328A5C3E762CB), plutôt que la Chine.La Chine cherche probablement à détourner l'attention des récentes activités d'espionnage chinois et à affaiblir les outils de contre-espionnage américains. ## Description Le dernier rapport du Centre d'intervention d'urgence du virus informatique de Chine (CVERC) tente de déplacer le récit sur la surveillance américaine en se concentrant sur la section 702, une loi permettant aux États-Unis de collecter des renseignements étrangers par le biais de dispositifs nationaux.Le rapport le souligne comme un problème clé, arguant que les efforts de surveillance américaine, tels que ceux qui prétendument impliqués dans la campagne Volt Typhoon, menacent la vie privée.L'accent mis par la Chine sur la section 702 reflète son objectif plus large d'affaiblir les outils de contre-espionnage américains. Le rapport mentionne également Microsoft, qui fait partie d'un effort continu de la Chine pour retirer les technologies étrangères des systèmes gouvernementaux.Ceci est lié à une poussée plus large, décrite dans le document CCP 79, pour construire un écosystème technologique national et réduire la dépendance à l'égard des entreprises étrangères, dont Microsoft. Selon Sentinelone, le CVERC cherche en outre à détourner l'attention des récentes activités d'espionnage chinois en Europe en mettant l'accent sur l'espionnage américain en France et en Allemagne.Cela peut être une tentative d'influencer les discussions politiques en Europe, où les relations avec la Chine se sont tendues à la suite d'incidents liés à l'espionnage. Le rapport du CVERC, qui fait partie d'un récit plus coordonné par l'État, manque de nouvelles preuves mais est conforme aux efforts continus de la Chine pour façonner les discussions mondiales sur la surveillance et la cybersécurité.L'inclusion de traductions en plusieurs langues suggère un effort croissant pour atteindre le public international.Malgré ses affirmations, le rapport semble plus axé sur la messagerie politique que sur la présentation des résultats vérifiables de la cybersécurité. ## Analyse Microsoft et contexte OSINT supplémentaire Le Centre d'analyse des menaces de Microsoft (MTAC) suit les campagnes de l'opération d'influence chinoise (IO) et l'écosystème de propagande du Parti communiste chinois.Le vaste appareil des médias publics de la Chine, des représentants du gouvernement et des acteurs secrètes ont précédemment produit et amplifié le contenu qui maligne les États-Unis et accuse l'USG d'espionnage de la Chine et d'autres pays, le dernier rapport de CVERC n'est qu'un exemple de cela.Par exemple, en 2022 après que les services secrets américains ont accusé l'acteur de menace basé en Chine [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00f05aea -Le lié social secrèteL'acteur des médias [Taizi Flood] (https://security.microsoft.com/intel-profiles/c3e68b66eb6f4a8f77158d85c012c4b6c5a35dbceceee711863a811d148826d91) a affirmé que le gouvernement américain a affirmé que le gouvernement américain était en train de brasser. De plus, le rapport CVERC de China \\ présente des méthodes traditionnelles de cyber-guerre, en utilisant des stratégies de déni et de tromperie pour manipuler le récit entourant la récente [Volt Typhoon] (https://security.microsoft.com/intel-profiles/8FE93EBFB3A03FB94A92AC8084790F1D6CFA08F57B2BCEBFAD328A5C3E762CB) Activité d'espionnage.En contrecarrant les adversaires d'actions similaires et en détournant le blâme, la Chine cherche à contrôler le flux d'informations pour obscurcir son implication et façonner la perception | Ransomware Tool Threat | Guam | ★★ |
|
2024-10-21 18:57:24 | Bumblebee malware returns after recent law enforcement disruption (lien direct) | ## Instantané Les chercheurs de la société de cybersécurité Nettskope ont observé une résurgence du chargeur de logiciels malveillants de Bumblebee, qui s'était silencieux à la suite de la perturbation par Europol \\ 's \' Operation Endgame \\ 'en mai. ## Description Bumblebee, attribué à [TrickBot] (https://sip.security.microsoft.com/intel-profiles/5a0aed1313768d50c9e800748108f51d3dfea6a4b48aa71b630cff897982f7c) https://sip.security.microsoft.COM / Intel-Explorer / Articles / 8AAA95D1) Backdoor, facilitant les acteurs de ransomwares \\ 'Accès aux réseaux.Le malware est généralement réparti par le phishing, le malvertising et l'empoisonnement SEO, promouvant des logiciels contrefaits comme Zooom, Cisco AnyConnect, Chatgpt et Citrix Workspace.Il est connu pour la livraison de charges utiles telles que [Cobalt Strike] (https: //sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) Beacons, [standing 2575F9418D4B6723C17B8A1F507D20C2140A75D16D6) MALWARE et diverses souches de ransomware. La dernière chaîne d'attaque de Bumblebee commence par un phiShing Email qui trompe la victime pour télécharger une archive zip malveillante contenant un raccourci .lnk.Ce raccourci déclenche PowerShell pour télécharger un fichier .msi malveillant, se faisant passer pour une mise à jour légitime du pilote NVIDIA ou un programme d'installation de MidJourney, à partir d'un serveur distant.Le fichier .msi s'exécute silencieusement, en utilisant la table Self-Reg pour charger une DLL dans le processus msiexec.exe et déployer Bumblebee en mémoire.La charge utile dispose d'une DLL interne, de fonctions de noms de fonctions exportées et de mécanismes d'extraction de configuration cohérents avec les variantes précédentes. ## Analyse Microsoft et contexte OSINT supplémentaire L'acteur Microsoft suit [Storm-0249] (https://sip.security.microsoft.com/intel-profiles/75f82d0d2bf6af59682bbbbbbbb. et connu pour distribution de bazaloder, Gozi, emoTET, [IceDID] (https://sip.security.microsoft.com/intel-profiles/ee69395aeeea2b2322d5941be0ec4997a22d106f671ef84d35418ec2810faddb) et bumBlebee.Storm-0249 utilise généralement des e-mails de phishing pour distribuer leurs charges utiles de logiciels malveillants dans des attaques opportunistes.En mai 2022, Microsoft Threat Intelligence a observé que Storm-0249 s'éloigne de la précédente MALWLes familles de [Bumblebee] (https://security.microsoft.com/atheatanalytics3/048e866a-0a92-47b8-94ac-c47fe577cc33/analystreport?ocid=Magicti_TA_TA2) comme mécanisme initial de livraison de charge utile.Ils ont effectué des campagnes d'accès initiales basées sur des e-mails pour un transfert à d'autres acteurs, notamment pour les campagnes qui ont abouti au déploiement des ransomwares. Bumblebee Malware a fait plusieurs résurgences depuis sa découverte en 2022, adaptant et évoluant en réponse aux mesures de sécurité.Initialement observé en remplacement des logiciels malveillants bazarloader utilisés par les groupes cybercriminaux liés à TrickBot, Bumblebee a refait surface plusieurs fois avec des capacités améliorées et des stratégies d'attaque modifiées.Ces [résurgences] (https://sip.security.microsoft.com/intel-explorer/articles/ab2bde0b) coïncident souvent avec les changements dans l'écosystème de cybercriminalité, y compris le retrait de l'infrastructure de TrickBot \\ et de la puissance de conti ransomware de TrickBot \\ s et de la puissance de conti ransomware de TrickBot \\ s et de la puissance de contidrowware Contidownopérations. La capacité de Bumblebee \\ à réapparaître est due à son architecture modulaire flexible, permettant aux acteurs de menace de mettre à jour ses charges utiles et ses techniques d'évasion.Chaque résurgence a vu Bumblebee utilisé dans des campagnes de plus en plus sophistiquées, offrant fréquemment des ransomwares à fort impact comme BlackCat et Quantum.De plus, il a été lié à des tactiques d'évasion avancées | Ransomware Spam Malware Tool Threat Legislation | ChatGPT | ★★ |
|
2024-10-21 17:57:04 | La newsletter Horns & HOOVES livre le rat Netsupport et Burnsrat Horns&Hooves Newsletter Delivers NetSupport RAT and BurnsRAT (lien direct) |
#### Targeted Geolocations - Russia ## Snapshot In recent months, SecureList has detected a surge in phishing campaigns using malicious ZIP archives containing JScript files disguised as business requests. ## Description These emails, which began around March 2023, primarily target private users, retailers, and service companies primarily in Russia. The campaign, dubbed “Horns&Hooves,” cleverly mimics legitimate correspondence from real companies, using convincing file names like "Purchase Request" or "Request for Quotation." Attackers have modified their tactics multiple times, with early versions of the malware using HTA files and later versions transitioning to JS scripts. The malware often includes a decoy document, such as a PNG image or text file, designed to make the attack seem legitimate. The primary payload is a remote administration tool called NetSupport RAT, which allows the attackers to control infected systems remotely. A few instances from this campaign also distributed BurnsRAT. NetSupport RAT is distributed through fraudulent websites and fake updates. Once installed, the malware communicates with the attackers\' servers to download additional malicious files. Over time, the attackers have refined their techniques, embedding the malware directly into scripts to avoid detection. According to SecureList, the campaign appears to be linked to the TA569 group, tracked by Microsoft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9), a group known for selling access to compromised systems on the darknet. Depending on the buyer, the stolen data could lead to anything from theft to ransomware attacks. The campaign\'s evolution and the shift towards more self-contained malware delivery show a focus on evading detection and maximizing the attack\'s impact. ## Microsoft Analysis and Additional OSINT Context The actor that Microsoft tracks as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9) is a financially motivated cybercriminal group that provides initial access to ransomware operators, such as [Manatee Tempest](https://security.microsoft.com/threatanalytics3/31b81fc3-8c9b-4439-b954-2c374a2458b3/analystreport?ocid=magicti_ta_ta2) . Mustard Tempest infects its targets through drive-by scenarios using FakeUpdates (also known as SocGholish) malware. Targets are from a wide range of industry sectors including manufacturing, information technology, critical infrastructure, consulting, finance, education, healthcare, and engineering. Opportunistically targeted geographies include, but are not limited to, the United States, Canada, Europe, and South Africa. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert vol | Ransomware Malware Tool Threat Medical | ★★ | |
 |
2024-10-21 17:48:26 | Protection zéro-jour de Zimperium contre la campagne de lance de lance Makara Zimperium\\'s Zero-Day Protection Against Water Makara Spear-Phishing Campaign (lien direct) |
> Dans ce billet de blog, nous partageons la protection de Zimperium \\ contre la campagne de lance de lance Makara. .
>In this blog post we share Zimperium\'s Zero-Day Protection against the Water Makara Spear-Phishing campaign. |
Vulnerability Threat | ★★★ | |
 |
2024-10-21 15:30:00 | Les jetons d'accès volés mènent à une nouvelle violation d'archives Internet Stolen Access Tokens Lead to New Internet Archive Breach (lien direct) |
Un acteur de menace a prétendu obtenir une main d'un fichier de configuration GitLab exposé contenant des jetons d'accès API Zendesk
A threat actor claimed to get hold of an exposed GitLab configuration file containing Zendesk API access tokens |
Threat | ★★ | |
 |
2024-10-21 13:32:08 | MacOS HM Surf Vuln pourrait déjà être sous l'exploitation par une famille de logiciels malveillants majeure macOS HM Surf vuln might already be under exploit by major malware family (lien direct) |
Vous aimez garder votre appareil photo et votre microphone privé?Patch Up En révélant des détails sur une vulnérabilité qui menace la confidentialité des fans d'Apple, Microsoft exhorte tous les utilisateurs de MacOS à mettre à jour leurs systèmes.…
Like keeping your camera and microphone private? Patch up In revealing details about a vulnerability that threatens the privacy of Apple fans, Microsoft urges all macOS users to update their systems.… |
Malware Vulnerability Threat | ★★ | |
|
2024-10-21 11:41:26 | Faits saillants hebdomadaires OSINT, 21 octobre 2024 Weekly OSINT Highlights, 21 October 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme diversifiée de cybermenaces et d'évolution des vecteurs d'attaque.L'ingénierie sociale reste une tactique répandue, avec des campagnes telles que ClickFix tirant parti de faux messages d'erreur pour distribuer des logiciels malveillants, tandis que la campagne d'interview contagieuse CL-Sta-240 cible les demandeurs d'emploi en utilisant des logiciels malveillants déguisés en applications d'appel vidéo.Les voleurs d'informations, tels que Lumma et Meduza, continuent de proliférer et de tirer parti des plates-formes distribuées comme Telegram et Github.Les acteurs de ransomware exploitent les services cloud, comme le montre la campagne Ransomware abusant Amazon S3.Des groupes de l'État-nation, dont la Corée du Nord, l'Iran et la Chine, persistent à cibler des infrastructures critiques et des entités gouvernementales utilisant des techniques d'évasion sophistiquées et des outils open source, tandis que les acteurs motivés financièrement se concentrent sur les chevaux de Troie bancaires et le vol de crypto-monnaie.Ces tendances soulignent la sophistication et la diversité croissantes des acteurs de la menace \\ 'tactiques, à la fois avec les APT de l'État-nation et les cybercriminels ciblant un large éventail de secteurs. ## Description 1. [ClickFix Social Engineering Tactic] (https://sip.security.microsoft.com/intel-explorer/articles/6d79c4e3): Les chercheurs de Sekoia ont identifié Clickfix, une nouvelle tactique d'ingénierie sociale tirant parti de faux messages d'erreur de navigateur pour exécuter Male PowerShell malveillantCommandes.Il a été utilisé par des groupes comme l'Empire national slave et Scamquerteo pour distribuer des infostelleurs, des rats et des botnets ciblant la crypto-monnaie et les utilisateurs de Web3. 2. [Lumma Stealer Distribution via Hijackloader] (https://sip.security.microsoft.com/intel-explorer/articles/ef6514e6): les chercheurs de HarfangLab ont observé une augmentation de la distribution de voleur Lumma en utilisant Hijackloader avec des certificats de signature de code pour les défenses de bypass Lumma.Ces campagnes ont ciblé les utilisateurs à travers de fausses pages CAPTCHA, conduisant à une exécution de logiciels malveillants avec des certificats signés de sociétés légitimes. 3. [Meduza Stealer Spread via Telegram] (https://sip.security.microsoft.com/intel-explorer/articles/ac988484): CERT-UA a rapporté le voleur de Meduza distribué par des messages télégramme, exhortant les utilisateurs à télécharger "Special Special.logiciel."Les logiciels malveillants ont ciblé les entreprises ukrainiennes et volé des documents avant l'auto-délétion pour éviter la détection. 4. [Ransomware exploitant Amazon S3] (https://sip.security.microsoft.com/intel-explorer/articles/f5477a4): TrendMicro a identifié une campagne de ransomware exploitant la fonction d'accélération d'Amazon S3 \\ S pour l'expiltration de données.Déguisé en Lockbit, ce ransomware cible Windows et MacOS, en utilisant des informations d'identification AWS pour les téléchargements de données tout en tirant parti des techniques de chiffrement aux victimes de pression. 5. [AI abusité dans les opérations cyber] (https://sip.security.microsoft.com/intel-explorer/articles/e46070dd): OpenAI a rapporté plus de 20 cas d'utilisation abusive de l'IA par des acteurs malveillants pour le développement de logiciels malveillants, la désinformation et la lancePhishing.Les acteurs de la menace, dont Storm-0817 et SweetSpecter, ont exploité l'IA pour des tâches telles que la reconnaissance et le débogage du code, tandis que les IOS secrets ont été retracés en Iran et au Rwanda. 6. [Variants de trojan bancaires Trickmo] (https://sip.security.microsoft.com/intel-explorer/articles/1f1ea18b): les chercheurs de zimpérium ont découvert 40 variantes de tro-bancs Trickmo capables de l'interception OTP, de l'enregistrement de l'écran et de dispositif de dispositif de dispos | Ransomware Malware Tool Vulnerability Threat Cloud | APT 38 APT 37 APT-C-17 | ★★ |
 |
2024-10-21 10:13:48 | 21 octobre & # 8211;Rapport de renseignement sur les menaces 21st October – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 21 octobre, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violations des médecins de la santé des enfants de Boston, qui font partie du réseau hospitalier de Boston Children \\, ont subi une violation de données en septembre, exposant des informations sensibles aux patients, y compris les numéros de sécurité sociale, les dossiers médicaux et les détails de l'assurance maladie.Le [& # 8230;]
>For the latest discoveries in cyber research for the week of 21st October, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES Boston Children\'s Health Physicians, part of the Boston Children\'s Hospital network, suffered a data breach in September, exposing sensitive patient information, including Social Security numbers, medical records, and health insurance details. The […] |
Data Breach Threat Medical | ★★ | |
 |
2024-10-21 10:00:00 | Un regard sur l'élément d'ingénierie sociale des attaques de phishing de lance A Look at the Social Engineering Element of Spear Phishing Attacks (lien direct) |
When you think of a cyberattack, you probably envision a sophisticated hacker behind a Matrix-esque screen actively penetrating networks with their technical prowess. However, the reality of many attacks is far more mundane. A simple email with an innocent subject line such as “Missed delivery attempt” sits in an employee’s spam folder. They open it absentmindedly, then enter their Office 365 credentials on the credible-looking login page that appears. In an instant, bad actors have free reign in the organization’s systems without breaking a sweat. This example (which is all too realistic) highlights the massive threat spear phishing poses today. Rather than overt technical exploits, attackers leverage social engineering techniques that tap into the weaknesses of the human psyche. Meticulously crafted emails bypass even the most secure perimeter defenses by manipulating users into voluntarily enabling access. In this blog, I will analyze attackers’ real-world techniques to exploit our weak spots and pain points. I will also show just how much more elaborate these hacking attempts can be compared to the typical phishing attacks that many of us have become accustomed to. That way, you can recognize and resist spear phishing attempts that leverage psychological triggers against you. Anatomy of a Spear Phishing Hoax Before analyzing the specifics of social engineering, let’s level set on what defines a spear phishing attack. Highly targeted: Spear phishing targets specific individuals or organizations using personalization and context to improve credibility. This could be titles, familiar signatures, company details, projects worked on, etc. Appears legitimate: Spear phishers invest time in making emails and landing pages appear 100% authentic. They’ll often use real logos, domains, and stolen data. Seeks sensitive data: The end goal is to get victims to give away credentials, bank details, trade secrets, or other sensitive information or to install malware. Instills a sense of urgency/fear: Subject lines and content press emotional triggers related to urgency, curiosity, fear, and doubt to get quick clicks without deeper thought. With that foundation set, let’s examine how spear phishers socially engineer their attacks to exploit human vulnerabilities with frightening success. #1: They Leverage the Human Desire to Be Helpful Human beings have an innate desire to be perceived as helpful. When someone asks you for a favor, your first instinct is likely wanting to say yes rather than second-guess them. Spear phishers exploit this trait by crafting emails that make requests sound reasonable and essential. Even just starting an email with “I hope you can help me with...” triggers reciprocity bias that increases vulnerability to attack. Let’s take a look at an example: Subject: URGENT Support Needed Email Body: “Hi Amanda, I’m reaching out because I need your help, please. I’m currently out of office and having issues accessing invoices. Do you mind sending me over the 2 most recent invoices we received? I need to send them out by end of day. Sorry for the urgent request! Please let me know. Thanks, Sarah”. This email pulls together four highly effective social engineering triggers: Politeness – Saying “please” and “thank you” fits social norms for seeking help. Sense of urgency – Creating a short deadline pressures quick action without deeper thought. | Spam Malware Vulnerability Threat Cloud Technical | ★★ | |
 |
2024-10-21 01:00:00 | DPRC utilise Microsoft Zero-Day dans des attaques de pain grillé sans clics DPRK Uses Microsoft Zero-Day in No-Click Toast Attacks (lien direct) |
Les cyberattaques de la chaîne d'approvisionnement "Code-on-Toast" par APT37 ont livré des logiciels malveillants de vol de données aux utilisateurs de Corée du Sud qui avaient activé des publicités pop-up toast.
The "Code-on-Toast" supply chain cyberattacks by APT37 delivered data-stealing malware to users in South Korea who had enabled Toast pop-up ads. |
Malware Vulnerability Threat | APT 37 | ★★ |
 |
2024-10-21 00:00:00 | Les attaquants ciblent les serveurs API à distance docker exposés avec des logiciels malveillants perfctl Attackers Target Exposed Docker Remote API Servers With perfctl Malware (lien direct) |
Nous avons observé un acteur de menace inconnu abusant des serveurs API Docker exposés à déployer les logiciels malveillants perfctl.
We observed an unknown threat actor abusing exposed Docker remote API servers to deploy the perfctl malware. |
Malware Threat | ★★ | |
|
2024-10-20 13:07:00 | Les pirates exploitent la vulnérabilité de la carte Web Roundcube XSS pour voler des informations d'identification de connexion Hackers Exploit Roundcube Webmail XSS Vulnerability to Steal Login Credentials (lien direct) |
Des acteurs de menace inconnus ont été observés tentant d'exploiter un défaut de sécurité désormais réglé dans le logiciel webmail Roundcube open-source dans le cadre d'une attaque de phishing conçue pour voler des informations d'identification des utilisateurs.
La société russe de cybersécurité Positive Technologies a déclaré avoir découvert le mois dernier qu'un e-mail avait été envoyé à une organisation gouvernementale non spécifiée située dans l'un des Commonwealth de
Unknown threat actors have been observed attempting to exploit a now-patched security flaw in the open-source Roundcube webmail software as part of a phishing attack designed to steal user credentials. Russian cybersecurity company Positive Technologies said it discovered last month that an email was sent to an unspecified governmental organization located in one of the Commonwealth of |
Vulnerability Threat | ★★ | |
|
2024-10-19 19:51:10 | Les attaques par ransomware diminuent, mais la récupération après l\'attaque devient plus difficile, révèle l\'enquête Vade/Hornetsecurity (lien direct) | Les attaques par ransomware diminuent, mais la récupération après l'attaque devient plus difficile, révèle l'enquête Vade/Hornetsecurity sur les attaques de ransomware dans le monde au troisième trimestre 2024 Cette enquête, au rythme trimestriel, explore la fréquence et l'impact des ransomwares, mais aussi la manière dont les organisations adaptent leurs défenses pour faire face à ces menaces sophistiquées. - Investigations | Ransomware Threat | ★★ | |
|
2024-10-19 19:43:53 | Ivanti : Récapitulatif du Patch Tuesday d\'octobre (lien direct) | Octobre est le Cybersecurity Awareness Month (mois de sensibilisation à la cybersécurité) ! Microsoft publie des mises à jour pour Windows, Office, .Net et différents services Azure pour résoudre un total de 117 nouvelles CVE. Deux d'entre elles sont des exploitations Zero Day, toutes deux également divulguées publiquement. En outre, on compte trois autres CVE divulguées publiquement, mais pour lesquelles aucune exploitation n'a été signalée. On nous signale que la mise à jour Microsoft du mois résout (...) - Vulnérabilités | Threat | ★★ | |
|
2024-10-19 13:09:00 | Crypt Ghouls cible les entreprises russes avec Lockbit 3.0 et Babuk Ransomware Attacks Crypt Ghouls Targets Russian Firms with LockBit 3.0 and Babuk Ransomware Attacks (lien direct) |
Un acteur de menace naissant connu sous le nom de Ghouls Crypt a été lié à un ensemble de cyberattaques ciblant les entreprises russes et les agences gouvernementales avec des ransomwares avec les deux objectifs de perturbation des opérations commerciales et des gains financiers.
"Le groupe en cours d'examen a une boîte à outils qui comprend des services publics tels que Mimikatz, XenallPasswordpro, Pingcastle, Localtonet, Resocks, Anydesk, Psexec et autres", "
A nascent threat actor known as Crypt Ghouls has been linked to a set of cyber attacks targeting Russian businesses and government agencies with ransomware with the twin goals of disrupting business operations and financial gain. "The group under review has a toolkit that includes utilities such as Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec, and others," |
Ransomware Threat | ★★★ | |
 |
2024-10-19 03:00:15 | L'Asie du Sud-Est réitère l'engagement de collaborer au milieu des cyber-menaces croissantes à l'ère de l'IA Southeast Asia reiterates pledge to collaborate amid growing cyber threats in AI era (lien direct) |
Les États membres de l'ASEAN ont désormais une installation de certificat physique située à Singapour pour échanger des informations sur les menaces et les meilleures pratiques.
ASEAN member states now have a physical CERT facility located in Singapore to exchange threat intel and best practices. |
Threat | ★★ | |
|
2024-10-18 21:26:11 | MacOS Safari \\ 'HM SURF \\' Exploit Expose Camera, Mic, Data Browser MacOS Safari \\'HM Surf\\' Exploit Exposes Camera, Mic, Browser Data (lien direct) |
Les chercheurs de Microsoft ont joué avec des autorisations d'applications pour découvrir le CVE-2024-44133 du CVE-2024-44133, en les utilisant pour accéder aux données des utilisateurs sensibles.Les marchands adware peuvent également avoir.
Microsoft researchers toyed with app permissions to uncover CVE-2024-44133, using it to access sensitive user data. Adware merchants may have as well. |
Threat | ★★★ | |
|
2024-10-18 20:53:46 | Malicious ads exploited Internet Explorer zero day to drop malware (lien direct) | ## Instantané Ahnlab Security Intelligence Center et le National Cyber Security Center ont découvert une vulnérabilité zéro-jour dans le moteur de navigateur Internet Explorer, qui n'est plus soutenu, exploité par l'acteur de menace nord-coréen Scarcruft. ## Description Scarcruft (suivi par Microsoft comme [Pearl Sleet] (https://security.microsoft.com/intel-profiles/cc39cf4403d3dde8270a88784017b42c410a89ce1c94f232fa811059066d9e)) vulnérabilité pour exploiter un programme d'annonce de toast qui vientavec divers logiciels gratuits.Une annonce de toast est un type d'alerte contextuelle qui apparaît généralement en bas de l'écran de bureau.Scarcruft a lancé son attaque en compromettant un serveur coréen en ligne de publicité \\, injectant du code malveillant dans le script de contenu publicitaire.Cela a conduit à une attaque zéro-clic, sans interaction utilisateur, lorsque le programme publicitaire a téléchargé et rendu le contenu publicitaire compromis.La vulnérabilité, identifiée comme [CVE-2024-38178] (https://security.microsoft.com/intel-explorer/cves/cve-2024-38178/), se produit lorsqu'un type de données est traité par erreur comme un autre pendant leProcessus d'optimisation du moteur JavaScript d'Internet Explorer \\ (JScript9.dll), permettant aux attaquants de inciter les victimes à télécharger le malware.Microsoft a depuis publié une [mise à jour de sécurité] (https://msrc.microsoft.com/update-guide/vulnerabilité/CVE-2024-38178) pour aborder cette vulnérabilité. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Pour déterminer le cycle de vie du support pour votre logiciel, consultez le [Microsoft Support Lifecycle] (https://support.microsoft.com/lifecycle).Consultez la [Politique LifeCycle pour Internet Explorer] (https://learn.microsoft.com/en-us/lifecycle/faq/internet-explorer-microsoft-edge#what-is-the- lifecycle-policy-for-internet-explorateur-). - Utilisez la gestion de la vulnérabilité Microsoft Defender pour identifier et aborder [vulnérabilités zéro-jour] (https://learn.microsoft.com/en-us/defender-vulnerabilité-management/tvm-zero-ay-vulnerabilities). - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-thereat-protection/microsoft-Defender-SmartScreen /), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Créer une résilience organisationnelle en éduquant les utilisateurs sur la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-microsoft-defender-antivirus?ocid=Magicti%3CEM%3ETA%3C / EM% 3ELEARNDOC) et soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. ## références [Sleet Pearl] (https://security.microsoft.com/intel-profiles/cc39ccf4403d3dde8270a88784017b42c410a89cea1c94F232FA811059066D9E).Microsoft (2024-10-18) [Les publicités malveillant | Malware Vulnerability Threat | APT 37 | ★★★ |
|
2024-10-18 19:13:56 | (Déjà vu) AVERTISSEMENT contre les e-mails de phishing qui usurpent les grandes agences de divertissement coréennes Warning Against Phishing Emails Impersonating Major Korean Entertainment Agencies (lien direct) |
#### Targeted Geolocations - Korea ## Snapshot AhnLab Security Intelligence Center (ASEC) has reported that phishing emails impersonating major Korean entertainment agencies are being distributed in Korea. These emails attempt to trick recipients into clicking a link by claiming unauthorized use of their images in Facebook and Instagram advertisements. ## Description The link downloads a python-based [infostealer](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6), which is disguised as a PDF by changing the icon and adding spaces in the file name to conceal the .EXE extension. When executed, the malware presents a normal PDF document to distract the user while it collects a variety of sensitive information, including system and browser data, messenger information, screen captures, and Steam account details. This collected data is then sent to the threat actor\'s Telegram chat room. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator apps, ensure that the app requires a code to be typed in where possible, as many intrusions where MFA was enabled still succeeded due to users clicking “Yes” on the prompt on their phones even when they were not at their [devices](https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=magicti_ta_learndoc). Refer to [this article](https://learn.microsoft.com/azure/acti | Ransomware Spam Malware Tool Threat | ★★ | |
|
2024-10-18 18:47:52 | CISOS: Jeter de l'argent aux outils ne contribue pas CISOs: Throwing Cash at Tools Isn\\'t Helping Detect Breaches (lien direct) |
Une enquête montre que les trois quarts des CISO se noient dans les détections de menaces publiées par une pile tentaculaire d'outils, mais n'ont toujours pas la visibilité de base nécessaire pour identifier les violations.
A survey shows three-quarters of CISOs are drowning in threat detections put out by a sprawling stack of tools, yet still lack the basic visibility necessary to identify breaches. |
Tool Threat | ★★★ | |
|
2024-10-18 17:12:34 | (Déjà vu) La volonté de D: une plongée profonde dans le voleur de divulge, le voleur Dedsec et le voleur de canard The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer (lien direct) |
## Instantané Cyfirma a publié un rapport analysant le paysage du voleur d'informations, avec un accent particulier sur le divulge, le DEDSEC et le canard. ## Description Ces voleurs, principalement distribués via des plates-formes comme GitHub, Discord et Telegram, sont souvent construites à l'aide de code open-source et modifiés pour cibler des données sensibles telles que les informations d'identification du navigateur et les portefeuilles de crypto-monnaie.Divulge, fortement promu sur les forums souterrains, est un successeur du voleur umbral, avec des caractéristiques anti-VM et la capacité de voler des données de navigateur.DedSec, une copie de Doererium, utilise des tactiques anti-VM et échappe à la détection en s'ajoutant à la liste d'exclusion du défenseur Windows. Duck Stealer, qui partage une grande partie de son code avec Azstealer, est conçu pour collecter les données du navigateur, voler la crypto-monnaie et capturer les jetons Discord.Les trois voleurs utilisent diverses techniques d'évasion pour contourner la détection et ont intégré des caractéristiques anti-analyse.Cyfirma note que ces outils sont souvent favorisés via des canaux télégrammes ou discordes et que les développeurs conservent l'accès à toutes les données collectées par les utilisateurs utilisant ces voleurs.Beaucoup sont annoncés comme «gratuits» mais sont livrés avec des risques cachés d'infections à double hook.Dans l'ensemble, le rapport met en évidence la menace croissante des voleurs d'informations, en particulier celles ciblant les données du navigateur et de la discorde, avec une promotion active à travers diverses communautés en ligne. ## Analyse Microsoft et contexte OSINT supplémentaire Les cybercriminels utilisent de plus en plus des applications de message et les données ciblées exfiltrates.Ces plateformes offrent plusieurs avantages qui les rendent attrayants pour les acteurs de menace.Premièrement, Telegram et Discord fournissent une combinaison de simplicité, de sécurité et d'anonymat qui permet aux cybercriminels de communiquer facilement, soit dans des chats privés ou des canaux publics, sans la surveillance commune dans les forums underground traditionnels.Telegram, en particulier, permet [la communication cryptée] (https://tsf.telegram.org/manuals/e2ee-simple) et a été critiquée pour une "approche de laissez-faire pour les politiques de confidentialité", que les acteurs malveillants pourraient percevoir comme un renforcementla sécurité de leurs opérations. De plus, ces plates-formes prennent en charge les fonctionnalités telles que Webhooks et bots, qui sont exploitées par les attaquants pour distribuer des logiciels malveillants et mener des attaques de phishing.Par exemple, les webhooks de Discord \\, initialement conçus pour les notifications, peuvent être utilisés à mauvais escient pour exfiltrer les données collectées par les voleurs d'informations en les envoyant à des canaux contrôlés par l'attaquant via des demandes HTTPS.Cette mauvaise utilisation des webhooks complique les efforts de surveillance et de blocage en raison de leur intégration avec diverses applications et du chiffrement utilisé.Le réseau de livraison de contenu (CDN) de Discord \\ est également [exploité par les cybercriminels] (https://www.resecurity.com/blog/article/millions-of-undetectable-malicious-urls-generated-via-the-abuse-of-public-cloud-and-web-30-services) pour héberger des charges utiles de logiciels malveillants, ce qui en fait un outil de distribution efficace.Comme ces plateformes offrent à la fois des capacités d'automatisation robustes et des options de communication discrètes, elles sont devenues de plus en plus attrayantes pour les cybercriminels qui cherchent à contourner les mesures de sécurité traditionnelles et à atteindre un public plus large. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-10-18 16:43:16 | (Déjà vu) La stratégie multi-couches de l'acteur de menace vietnamien \\ sur les professionnels du marketing numérique Vietnamese Threat Actor\\'s Multi-Layered Strategy on Digital Marketing Professionals (lien direct) |
## Instantané Cyble Research and Intelligence Labs (CRIL) a découvert une campagne de logiciels malveillants complexe ciblant les demandeurs d'emploi et les professionnels du marketing numérique, en particulier ceux qui utilisent des méta-publicités.Le malware est livré via des e-mails de phishing contenant un fichier LNK malveillant, déguisé en PDF.Une fois déclenché, le malware utilise une série de scripts PowerShell obscurcis conçus pour échapper à la détection par des outils de sécurité, en utilisant des techniques telles que des vérifications de machine virtuelle et de bac à sable, ainsi que des méthodes anti-désabugage. L'approche en plusieurs étapes du malware \\ comprend l'escalade et la persistance des privilèges à travers des répertoires cachés.Il utilise le cryptage AES pour cacher la charge utile malveillante, qui n'est décryptée qu'en mémoire après avoir réussi plusieurs chèques de sécurité.Dans la dernière étape, le malware déploie Quasar Rat, un cheval de Troie à distance, accordant aux attaquants un contrôle total sur le système infecté, permettant le vol de données, la surveillance et l'exploitation ultérieure. CRIL a attribué cette campagne à un groupe de menaces vietnamiennes en fonction de son ciblage, de ses outils et techniques spécifiques, qui reflètent une campagne similaire à partir de juillet 2022. Les attaquants ont évolué leurs méthodes au fil du temps, en utilisant une variété de voleurs et de rats pour étendre leuratteindre.Selon Ot Cril, les tactiques d'évasion sophistiquées et l'utilisation de Quasar Rat font de cette campagne une menace notable pour les professionnels des secteurs du marketing numérique et du commerce électronique. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Enquête et remédiation] (https://learn.microsoft.com/microsoft-365/security/Defender-Endpoint / Automated Investigations? View = O365 Worldwide? OCID = magicti_ta_learndoc) en complet automatiséMode pour permettre à Microsoft Defender pour le point final de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de cr | Ransomware Malware Tool Threat Industrial | ★★★ | |
 |
2024-10-18 15:58:56 | Les capacités d'infraction numérique sont actuellement nettes négatives pour l'écosystème de sécurité Digital Offense Capabilities Are Currently Net Negative for the Security Ecosystem (lien direct) |
 PropositionDigital offense capabilities are currently net negative for the security ecosystem.[0]The costs of improved digital offense currently outweigh the benefits. The legitimate benefits of digital offense accrue primarily to the security one percent (#securityonepercent), and to intelligence, military, and law enforcement agencies. The derived defensive benefits depend on the nature of the defender. The entire security ecosystem bears the costs, and in some cases even those who see tangible benefit may suffer costs exceeding those benefits.The ReasonLimitations of scaling are the reason why digital offense capabilities are currently net negative.Consider the case of an actor developing a digital offense capability, and publishing it to the general public. From the target side, limitations on scaling prevent complete mitigation or remediation of the vulnerability.The situation is much different from the offense perspective.Any actor may leverage the offense capability against any Internet-connected target on the planet. The actor can scale that capability across the entire range of vulnerable or exposed targets.The ThreeOnly three sets of actors are able to possibly leverage an offense capability for defensive purposes.First, the organization responsible for developing and maintaining the vulnerable or exposed asset can determine if there is a remedy for the new offense capability. (This is typically a "vendor," but could be a noncommercial entity. As a shorthand, I will use "vendor.") The vendor can try to develop and deploy a patch or mitigation method.Second, major consumers of the vulnerable or exposed asset can take similar steps, usually by implementing the vendor\'s patch or mitigation.Third, the security one percent can take some defensive measures, either by implementing the vendor\'s patch or mitigation, or by developing and acting upon detection and response processes.The combination of the actions by these three sets of actors will not completely remediate the digital offense capab |
Ransomware Tool Vulnerability Threat Legislation Cloud Technical | ★★ | |
|
2024-10-18 15:29:40 | Nouveau Bumblebee Loader Infection Chain Signaux possibles résurgence New Bumblebee Loader Infection Chain Signals Possible Resurgence (lien direct) |
> Résumé Bumblebee est un téléchargeur très sophistiqué des cybercriminels utilisés par les cybercriminels pour accéder aux réseaux d'entreprise et livrer d'autres charges utiles telles que les balises de frappe de cobalt et les ransomwares.Le groupe d'analyse Google Threat a d'abord découvert le malware en mars 2022 et l'a nommé Bumblebee sur la base d'une chaîne d'agent utilisateur qu'il a utilisé.L'équipe des laboratoires des menaces de Netskope [& # 8230;]
>Summary Bumblebee is a highly sophisticated downloader malware cybercriminals use to gain access to corporate networks and deliver other payloads such as Cobalt Strike beacons and ransomware. The Google Threat Analysis Group first discovered the malware in March 2022 and named it Bumblebee based on a User-Agent string it used. The Netskope Threat Labs team […] |
Ransomware Malware Threat | ★★★ | |
|
2024-10-18 15:13:00 | Attention: les fausses pages Google Meet Fournissent des infostateurs dans la campagne Clickfix en cours Beware: Fake Google Meet Pages Deliver Infostealers in Ongoing ClickFix Campaign (lien direct) |
Les acteurs de la menace tirent parti des fausses pages Web Google Meet dans le cadre d'une campagne de logiciels malveillants en cours surnommée ClickFix pour fournir des infostelleurs ciblant Windows et MacOS.
"Cette tactique consiste à afficher de faux messages d'erreur dans les navigateurs Web pour tromper les utilisateurs dans la copie et l'exécution d'un code PowerShell malveillant donné, infectant enfin leurs systèmes", a déclaré la société de cybersécurité française Sekoia
Threat actors are leveraging fake Google Meet web pages as part of an ongoing malware campaign dubbed ClickFix to deliver infostealers targeting Windows and macOS systems. "This tactic involves displaying fake error messages in web browsers to deceive users into copying and executing a given malicious PowerShell code, finally infecting their systems," French cybersecurity company Sekoia said in |
Malware Threat | ★★★ | |
 |
2024-10-18 14:16:35 | Analyse des menaces: Ransomware des bêtes THREAT ANALYSIS: Beast Ransomware (lien direct) |
Ransomware Threat | ★★ | ||
|
2024-10-18 14:00:00 | La cybersécurité de la chaîne d'approvisionnement au-delà de la gestion des risques traditionnels des fournisseurs Supply Chain Cybersecurity Beyond Traditional Vendor Risk Management (lien direct) |
Les pratiques traditionnelles ne sont plus suffisantes dans le paysage des menaces d'aujourd'hui.Il est temps pour les professionnels de la cybersécurité de repenser leur approche.
Traditional practices are no longer sufficient in today\'s threat landscape. It\'s time for cybersecurity professionals to rethink their approach. |
Threat | ★★★ | |
|
2024-10-18 13:00:23 | Un examen plus approfondi du troisième trimestre 2024: 75% des cyberattaques dans le monde A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide (lien direct) |
> Un pic d'enregistrement dans les attaques: au troisième trimestre 2024, une moyenne de 1 876 cyberattaques par organisation a été enregistrée, marquant une augmentation de 75% par rapport à la même période en 2023 et une augmentation de 15% par rapport au trimestre précédent.Déchange sur le plan de l'industrie: Le secteur de l'éducation / de la recherche a été le plus ciblé avec 3 828 attaques hebdomadaires, suivie des secteurs gouvernementaux / militaires et de soins de santé, avec 2 553 et 2 434 attaques, respectivement.Faits saillants régionaux: L'Afrique a dû faire face à la moyenne la plus élevée des attaques à 3 370 par semaine (+ 90% en glissement annuel), tandis que l'Europe et l'Amérique latine ont également connu des augmentations significatives.Ransomware: une menace persistante: plus de 1 230 incidents de ransomware ont été signalés, avec l'Amérique du Nord [& # 8230;]
>A Record Spike in Attacks: In Q3 2024, an average of 1,876 cyber attacks per organization was recorded, marking a 75% increase compared to the same period in 2023 and a 15% rise from the previous quarter. Industry-wise Breakdown: The Education/Research sector was the most targeted with 3,828 weekly attacks, followed by the Government/Military and Healthcare sectors, with 2,553 and 2,434 attacks, respectively. Regional Highlights: Africa faced the highest average of attacks at 3,370 per week (+90% YoY), while Europe and Latin America also saw significant increases. Ransomware: A Persistent Threat: Over 1,230 ransomware incidents were reported, with North America […] |
Ransomware Threat Medical | ★★★ | |
 |
2024-10-18 13:00:00 | Qu'est-ce qui est derrière la baisse de 51% des attaques de ransomwares? What\\'s behind the 51% drop in ransomware attacks? (lien direct) |
Dans un monde où les cyber-menaces se sentent omniprésent, un récent rapport a révélé une bonne nouvelle inattendue: les attaques de ransomwares contre les gouvernements des États et locaux ont chuté de 51% en 2024. Pourtant, cette baisse ne signale pas la fin de la menace de ransomware, cela ne devrait pas non plus conduire à une complaisance.À mesure que la nature du ransomware évolue, donc [& # 8230;]
In a world where cyber threats feel omnipresent, a recent report has revealed some unexpected good news: ransomware attacks on state and local governments have dropped by 51% in 2024. Still, this decline does not signal the end of the ransomware threat, nor should it lead to complacency. As the nature of ransomware evolves, so […] |
Ransomware Threat | ★★★ | |
 |
2024-10-18 12:32:29 | Rafraîchissement des logiciels malveillants RomCom apparaît en Ukrainien, organisations polonaises Refresh of RomCom malware pops up in Ukrainian, Polish organizations (lien direct) |
Une variante nouvellement identifiée de RomCom Malware - qui a été attribuée aux acteurs de la menace russe - des entités ciblées en Ukraine et en Pologne, selon des chercheurs.
A newly identified variant of RomCom malware - which has been attributed to Russian-speaking threat actors - targeted entities in Ukraine and Poland, according to researchers. |
Malware Threat | ★★ | |
 |
2024-10-18 12:10:04 | Les acteurs de la menace exploitant zéro-jours plus rapidement que jamais & # 8211;Semaine en sécurité avec Tony Anscombe Threat actors exploiting zero-days faster than ever – Week in security with Tony Anscombe (lien direct) |
Le temps moyen qu'il faut des attaquants pour armer une vulnérabilité, avant ou après la libération d'un patch, réduit de 63 jours en 2018-2019 à seulement cinq jours l'année dernière
The average time it takes attackers to weaponize a vulnerability, either before or after a patch is released, shrank from 63 days in 2018-2019 to just five days last year |
Vulnerability Threat | ★★ | |
 |
2024-10-18 11:18:15 | L'APT nord-coréen a exploité IE Zero-Day dans l'attaque de la chaîne d'approvisionnement North Korean APT Exploited IE Zero-Day in Supply Chain Attack (lien direct) |
> Un APT aligné par Pyongyang a été surpris à exploiter un récent zéro-jour dans Internet Explorer dans une attaque de chaîne d'approvisionnement.
>A Pyongyang-aligned APT was caught exploiting a recent zero-day in Internet Explorer in a supply chain attack. |
Vulnerability Threat | ★★★★ | |
|
2024-10-17 21:43:00 | Les attaques de romcom russe ciblent le gouvernement ukrainien avec une nouvelle variante de rat singlecamper Russian RomCom Attacks Target Ukrainian Government with New SingleCamper RAT Variant (lien direct) |
L'acteur de menace russe connu sous le nom de ROMCOM est lié à une nouvelle vague de cyberattaques destinées aux agences gouvernementales ukrainiennes et aux entités polonaises inconnues depuis au moins fin 2023.
Les intrusions sont caractérisées par l'utilisation d'une variante du rat RomCom surnommé SingleCamper (AKA Snipbot ou RomCom 5.0), a déclaré Cisco Talos, qui surveillait le cluster d'activités sous le surnom UAT-5647.
"Ce
The Russian threat actor known as RomCom has been linked to a new wave of cyber attacks aimed at Ukrainian government agencies and unknown Polish entities since at least late 2023. The intrusions are characterized by the use of a variant of the RomCom RAT dubbed SingleCamper (aka SnipBot or RomCom 5.0), said Cisco Talos, which is monitoring the activity cluster under the moniker UAT-5647. "This |
Threat | ★★★ | |
|
2024-10-17 20:34:10 | Icepeony avec la culture de travail \\ '996 \\' IcePeony with the \\'996\\' work culture (lien direct) |
#### Géolocations ciblées - Maurice - Inde - Brésil - Vietnam #### Industries ciblées - agences et services gouvernementaux - Éducation - des groupes politiques et autres ## Instantané Des chercheurs de "Nao \ _sec", une équipe de recherche en cybersécurité, ont publié un rapport mettant en évidence un groupe de menace persistant avancé (APT) nouvellement découvert, nommé "Icepeony", qu'ils évaluent comme étant lié à la Chine. ## Description Actif depuis au moins 2023, Icepeony a ciblé les agences gouvernementales, les institutions universitaires et les organisations politiques dans des pays comme l'Inde, le Vietnam, le Maurice et peut-être le Brésil.Nao \ _sec a notamment découvert plus de 200 tentatives d'attaquer les sites Web du gouvernement en Inde.(Iis). Les activités d'Icepeony \\ ont été découvertes en raison d'erreurs de sécurité opérationnelle, y compris des répertoires exposés contenant des outils d'attaque comme [Cobaltstrike] (https: //security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) et sqlmap.Une découverte clé était un fichier "zsh \ _history", qui permettaitDes chercheurs pour reconstruire un calendrier détaillé des attaques du groupe.Pendant deux semaines, Icepeony a utilisé divers outils, notamment Stax (un outil de proxy modifié), URLFinder et la diamorphine Rootkit, pour compromettre les sites Web du gouvernement et voler des données sensibles. Selon Nao \ _sec, les attaques du groupe s'alignent sur les intérêts nationaux de la Chine et peuvent se concentrer sur la stratégie maritime chinoise.Le développement de logiciels malveillants d'Icepeony \\ révèle une utilisation approfondie d'outils open source, en combinaison avec IceCache et un autre malware, surnommé IceEvent.NAO \ _SEC évalue les Malwares montrent que les signes d'être créés par le même développeur.On pense que l'opération d'Icepeony \\ suivait le «système d'heure de travail 996 de la Chine», travaillant de longues heures six jours par semaine. L'attribution à la Chine est en outre soutenue par la présence de chinois simplifiés dans leurs outils et leur accent sur les pays engagés dans des tensions géopolitiques avec la Chine, comme l'Inde et Maurice.Selon NAO \ _SEC, le groupe devrait rester actif et un suivi continu de leurs activités est nécessaire. ## Analyse Microsoft et contexte OSINT supplémentaire Microsoft suit plusieurs groupes d'activités de l'État-nation basés en Chine qui ont été impliqués dans le ciblage des organisations maritimes dans le cadre de leurs cyber-opérations.Parmi ces groupes se trouve [Volt Typhoon] (https://security.microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb) accès, impactant particulièrement les organisations dansles États-Unis.Un autre groupe, [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/A2FC1302354083F4E693158EFFDBC17987818A2433C04BA1F56F4F603268AAB6), les concentrations sur la région de Maritime et la South.Cependant, les activités du Groupe \\ s'étendent également aux États-Unis, au Canada, en Europe, au Moyen-Orient et en Asie du Sud-Est, pour effectuer un espionnage et un vol de données. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magict | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-10-17 19:24:00 | Les chercheurs découvrent les opérations de ransomware CICADA3301 et son programme d'affiliation Researchers Uncover Cicada3301 Ransomware Operations and Its Affiliate Program (lien direct) |
Les chercheurs en cybersécurité ont glané des informations supplémentaires sur un ransomware naissant en tant que service (RAAS) appelé CICADA3301 après avoir réussi à accéder au panneau affilié du groupe \\ sur le Web Dark.
Le groupe de Singapour, dont le siège social, a déclaré qu'il avait contacté l'acteur de menace derrière le personnage de Cicada3301 sur le forum de cybercriminalité par rampe via le service de messagerie tox
Cybersecurity researchers have gleaned additional insights into a nascent ransomware-as-a-service (RaaS) called Cicada3301 after successfully gaining access to the group\'s affiliate panel on the dark web. Singapore-headquartered Group-IB said it contacted the threat actor behind the Cicada3301 persona on the RAMP cybercrime forum via the Tox messaging service after the latter put out an |
Ransomware Threat | ★★★ | |
|
2024-10-17 18:58:40 | (Déjà vu) ClickFix tactic: The Phantom Meet (lien direct) | ## Snapshot Researchers at Sekoia released a report highlighting the ClickFix social engineering tactic and its use in a variety of malicious campaigns. ## Description In May 2024, a new social engineering tactic known as ClickFix was identified, involving fake error messages in web browsers to deceive users into executing malicious PowerShell commands. This method, first identified by Proofpoint researchers, has been leveraged by threat actors, such as the initial access broker TA571, in phishing campaigns. These campaigns trick users into downloading malware like Matanbuchus or NetSupport RAT via HTML files disguised as Word documents. Sekoia researchers have tracked the increasing use of ClickFix, which is now used in campaigns to spread infostealers, botnets, and remote access tools on both Windows and macOS. A significant cluster using this tactic impersonates Google Meet, with fake video conference pages distributing malware. Sekoia linked this activity to two cybercrime groups, "Slavic Nation Empire" (SNE) and "Scamquerteo," both part of larger cryptocurrency scam operations. ClickFix allows attackers to bypass browser security features, making it an effective tool for infiltrating systems undetected. Its use in targeting cryptocurrency assets, Web3 applications, and decentralized finance indicates a focus on high-value victims. This tactic may be further adapted for broader malware distribution, presenting ongoing risks to both corporate and individual users. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft Defender XDR customers can turn on the following [attack surface reduction rule](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) to prevent common attack techniques used for ransomware. - - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-sur | Ransomware Malware Tool Threat Conference | ★★★ | |
|
2024-10-17 17:29:10 | Véritables certificats de signature trouvés utilisés par Hijackloader Genuine Signing Certificates Found Used by HijackLoader (lien direct) |
## Instantané Depuis septembre 2024, les chercheurs de Harfanglab ont observé une forte augmentation de la distribution du voleur de Lumma via Hijackloader.Certains de ces déploiements ont exploité des certificats de signature de code authentiques. ## Description La chaîne d'attaque commence généralement par les victimes visitant une fausse page Web Captcha qui déclenche un script PowerShell, conduisant au téléchargement et à l'exécution du malware.La variante Hijackloader signée a contourné les défenses traditionnelles et avait un faible taux de détection au moment de la découverte. Les chercheurs ont identifié plusieurs certificats compromis de différentes sociétés qui avaient été utilisés pour signer des logiciels malveillants, y compris des certificats de Lider LLC et Shanghai Yungpu Chemical Co., Ltd. Ils ont également constaté que les acteurs malveillants se faisaient l'identité d'un logiciel légitime pour cacher leurs activités.Grâce à cette enquête, ils ont découvert des certificats supplémentaires et des échantillons malveillants, qui ont tous été signalés et révoqués. Cette recherche met en évidence la menace croissante de logiciels malveillants signés et la nécessité de méthodes de détection complémentaires au-delà de la simple vérification de signature de code pour protéger les systèmes. ## Analyse Microsoft et contexte OSINT supplémentaire La signature de code est un mécanisme de sécurité où les développeurs signent numériquement un logiciel avec un certificat unique pour vérifier son origine et s'assurer qu'il n'a pas été modifié, faisant confiance aux utilisateurs dans l'authenticité du logiciel.Cependant, les acteurs de la menace peuvent exploiter ce processus en créant, en acquérant ou en volant des certificats pour signer des logiciels malveillants, ce qui le rend légitime.Cela permet aux logiciels malveillants de contourner les vérifications de sécurité, car la signature numérique crée un faux sentiment de confiance.La Miter Corporation suit les fichiers exécutables malveillants en tant que [Soupvert Trust Controls: Code Signing (T1553.002)] (https://attack.mitre.org/techniques/t1553/002/).Bien que largement utilisé sur les systèmes Windows et MacOS pour la validation des logiciels, la signature de code n'est pas utilisée sur Linux en raison de la nature décentralisée de la plate-forme. Microsoft a observé une variété d'acteurs de menaces à utiliser [des fichiers exécutables malveillants signés] (https://security.microsoft.com/intel-explorer/articles/702042f6) dans des campagnes, y compris les acteurs de menace nationale et financièrement motivés.Les acteurs de la menace criminelle ont développé un écosystème pour obtenir et vendre frauduleusement la possibilité de signer des dossiers exécutables malveillants, en particulier les conducteurs.Cet écosystème de signature de pilote en tant que service (DSAAS) rend la signature de code à la disposition de nombreux autres acteurs de menace. Des exemples notables d'acteurs de menace utilisant des exécutables malveillants signés incluent [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aaa6af91dda5edd1fe8ec5365918c5) omettre la chaîne d'approvisionnement deLe logiciel Promeo de CyberLink \\ a] (https://security.microsoft.com/intel-explorer/articles/ec4552cc) et Storm-1232, un groupe basé en Chine qui a livré des logiciels malveillants avec une signature numérique valide via le [compromis baséd'un service de dépôt d'impôt américain] (https://security.microsoft.com/intel-explorer/articles/0cd099a9). Pour en savoir plus sur la façon dont les acteurs de la menace exploitent les fichiers exécutables malveillants signés dans les attaques, lisez Microsoft \\ S [Profil Technique] (https://security.microsoft.com/intel-explorer/articles/702042f6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette men | Malware Threat | ★★★ | |
 |
2024-10-17 17:04:25 | Windows 95 sur Nintendo 3DS - Aussi fun qu\'inutile (lien direct) | Préparez-vous à un voyage dans le temps ! Car OUI, il est possible de faire tourner un Windows 95 sur une console portable Nintendo 3DS. J’en n’avais jamais rêvé cela dit… Mais un bidouilleur ingénieux du nom de MetraByte a réussi cet exploit aussi inattendu qu’amusant. Tout commence avec DOSBox, un émulateur open-source qui permet d’exécuter des programmes DOS sur des machines récente. A l’aide d’un portage maison de DOSBox réalisé pour la Nintendo 3DS, MetraByte s’est lancé dans le pari un peu fou d’installer Windows 95 via DOSBox sur une New Nintendo 3DS. | Threat | ★★★ | |
|
2024-10-17 15:45:00 | Sidewinder APT frappe le Moyen-Orient et l'Afrique avec une attaque à plusieurs étapes furtive SideWinder APT Strikes Middle East and Africa With Stealthy Multi-Stage Attack (lien direct) |
Un acteur avancé de menace persistante (APT) ayant des liens présumés avec l'Inde est sorti avec une rafale d'attaques contre les entités de grande envergure et les infrastructures stratégiques au Moyen-Orient et en Afrique.
L'activité a été attribuée à un groupe suivi en tant que Sidewinder, qui est également connu sous le nom d'APT-C-17, Baby Elephant, Hardcore Nationalist, LeafperForator, RattleSnake, Razor Tiger et T-APT-04.
"
An advanced persistent threat (APT) actor with suspected ties to India has sprung forth with a flurry of attacks against high-profile entities and strategic infrastructures in the Middle East and Africa. The activity has been attributed to a group tracked as SideWinder, which is also known as APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger, and T-APT-04. " |
Threat | APT-C-17 | ★★★ |
 |
2024-10-17 13:16:53 | Zscaler publie un rapport de menace 2024 mettant en évidence le besoin d'une sécurité améliorée dans les systèmes mobiles, IoT, OT Zscaler releases 2024 Threat Report highlighting need for enhanced security in mobile, IoT, OT systems (lien direct) |
La société de sécurité du cloud ZSCaler a publié mardi son rapport Zscaler ThreatLabz 2024, IoT, et un rapport de menace OT, qui ...
Cloud security firm Zscaler published on Tuesday its Zscaler ThreatLabz 2024 Mobile, IoT, and OT Threat Report, which... |
Threat Mobile Industrial | ★★★ |
To see everything:
Our RSS (filtrered)
