What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-10-10 12:00:46 | Utilisation des API de l'accessibilité de Chrome pour trouver des bogues de sécurité Using Chrome\\'s accessibility APIs to find security bugs (lien direct) |
Posted by Adrian Taylor, Security Engineer, Chrome
Chrome\'s user interface (UI) code is complex, and sometimes has bugs.
Are those bugs security bugs? Specifically, if a user\'s clicks and actions result in memory corruption, is that something that an attacker can exploit to harm that user?
Our security severity guidelines say “yes, sometimes.” For example, an attacker could very likely convince a user to click an autofill prompt, but it will be much harder to convince the user to step through a whole flow of different dialogs.
Even if these bugs aren\'t the most easily exploitable, it takes a great deal of time for our security shepherds to make these determinations. User interface bugs are often flakey (that is, not reliably reproducible). Also, even if these bugs aren\'t necessarily deemed to be exploitable, they may still be annoying crashes which bother the user.
It would be great if we could find these bugs automatically.
If only the whole tree of Chrome UI controls were exposed, somehow, such that we could enumerate and interact with each UI control automatically.
Aha! Chrome exposes all the UI controls to assistive technology. Chrome goes to great lengths to ensure its entire UI is exposed to screen readers, braille devices and other such assistive tech. This tree of controls includes all the toolbars, menus, and the structure of the page itself. This structural definition of the browser user interface is already sometimes used in other contexts, for example by some password managers, demonstrating that investing in accessibility has benefits for all users. We\'re now taking that investment and leveraging it to find security bugs, too.
Specifically, we\'re now “fuzzing” that accessibility tree - that is, interacting with the different UI controls semi-randomly to see if we can make things crash. This technique has a long pedigree.
Screen reader technology is a bit different on each platform, but on Linux the tree can be explored using Accerciser.
Screenshot of Accerciser showing the tree of UI controls in Chrome
All we have to do is explore the same tree of controls with a fuzzer. How hard can it be?
“We do this not because it is easy, but because we thought it would be easy” - Anon.
Actually we never thought this would be easy, and a few different bits of tech have had to fall into place to make this possible. Specifically,
There are lots of combinations of ways to interact with Chrome. Truly randomly clicking on UI controls probably won\'t find bugs - we would like to leverage coverage-guided fuzzing to help the fuzzer select combinations of controls that seem to reach into |
Threat | ★★★ | |
 |
2024-10-10 09:54:00 | Firefox Zero-Day sous attaque: Mettez à jour votre navigateur immédiatement Firefox Zero-Day Under Attack: Update Your Browser Immediately (lien direct) |
Mozilla a révélé qu'un défaut de sécurité critique impactant Firefox et Firefox prolongé de support (ESR) a fait l'objet d'une exploitation active dans la nature.
La vulnérabilité, suivie sous forme de CVE-2024-9680, a été décrite comme un bogue d'utilisation sans usage dans le composant de la chronologie d'animation.
"Un attaquant a pu réaliser l'exécution du code dans le processus de contenu en exploitant un usage après
Mozilla has revealed that a critical security flaw impacting Firefox and Firefox Extended Support Release (ESR) has come under active exploitation in the wild. The vulnerability, tracked as CVE-2024-9680, has been described as a use-after-free bug in the Animation timeline component. "An attacker was able to achieve code execution in the content process by exploiting a use-after-free in |
Vulnerability Threat | ★★★ | |
|
2024-10-09 22:30:00 | Google s'associe à GASA et DNS RF pour s'attaquer aux escroqueries en ligne à grande échelle Google Joins Forces with GASA and DNS RF to Tackle Online Scams at Scale (lien direct) |
Google a annoncé mercredi un nouveau partenariat avec la Global Anti-Scam Alliance (GASAA) et la Fédération de recherche DNS (DNS RF) pour lutter contre les escroqueries en ligne.
L'initiative, qui a été nommée par le nom du Global Signal Exchange (GSE), est conçue pour créer des informations en temps réel sur les escroqueries, la fraude et d'autres formes de cybercriminalité regroupant les signaux de menace à partir de différentes sources de données afin de créer
Google on Wednesday announced a new partnership with the Global Anti-Scam Alliance (GASA) and DNS Research Federation (DNS RF) to combat online scams. The initiative, which has been codenamed the Global Signal Exchange (GSE), is designed to create real-time insights into scams, fraud, and other forms of cybercrime pooling together threat signals from different data sources in order to create |
Threat | ★★★ | |
 |
2024-10-09 22:06:48 | Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS Palo Alto Networks Uncovers Four New DNS Tunneling Campaigns (lien direct) |
## Instantané
Des chercheurs de Palo Alto Networks ont identifié quatre campagnes de tunneling DNS non conçues, surnommées Finhealthxds, Russians, 8NS et NSFinder.
## Description
La première campagne, FinhealthXDS, cible les industries financières et de la santé avec 12 domaines utilisant un format DNS personnalisé pour Cobalt Strike C2 Communications, indiqué par un préfixe à trois lettres.La deuxième campagne, la RussieSite, implique plus de 100 domaines avec une IP de servante partagée partagée de la Russie, ayant un impact sur l'enseignement supérieur, le gouvernement et les entités de santé.
La troisième campagne, 8NS, comprend six domaines avec huit enregistrements NS chacun.Cette campagne utilise des logiciels malveillants, y compris certains de la famille Hiloti, pour tirer parti des requêtes DNS pour la communication C2.Enfin, la campagne NSFinder se compose de plus de 50 domaines et attire des victimes de sites Web pour adultes pour voler des informations sur les cartes de crédit.Ce Campign est lié à des chevaux de Troie comme Icedid et Redline Stealer et a eu un impact sur les victimes dans les secteurs de haute technologie, d'éducation et de fabrication.
## Recommandations
Azure Defender pour DNS offre une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS à partir de vos ressources Azure et exécute des analyses de sécurité avancées pour vous alerter lorsque l'activité suspecte est détectée.
Azure Defender pour DNS protège contre les questions, notamment:
- Exfiltration de données à partir de vos ressources Azure à l'aide de tunneling DNS.
- Communication malveillante avec le serveur de commande et de contrôle.
- Communication avec des domaines malveillants comme le phishing et l'extraction de crypto.
- DNS attaque la communication avec des résolveurs DNS malveillants.
[En savoir plus sur Azure Defender pour DNS] (http://aka.ms/defenderfordns).
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de menace comme le FMALWOWIRS DE SOWNING:
- [Trojan: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:mil/agenttesla.dt!mtb)
- [Trojan: Win32 / Hiloti] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hiloti.gen!d)
- [Trojan: Win64 / IceDID] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-DEscription? Name = Trojan: Win64 / IceDID)
## références
[Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS] (https://unit42.paloaltonetworks.com/Detecting-dns-Tunneling-Campaignes/#new_tab).Palo Alto Networks (consulté en 2024-10-08)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Palo Alto Networks have identified four previously unrepored DNS tunneling campaigns dubbed FinHealthXDS, RussianSite, 8NS, and NSfinder. ## Description The first campaign, FinHealthXDS, targets the finance and healthcare industries with 12 domains using a customized DNS beaconing format for Cobalt Strike C2 communications, indicated by a three-letter prefix. The second campaign, RussianSite, involves over 100 domains with a shared nameserver IP from Russia, impacting higher education, government, and health entities. The third campaign, 8NS, features six domains with eight NS records each. This campaign uses malware, including some from the Hiloti family, to leverage DNS queries for C2 communication. Finally, the NSfinder campaign consists of over 50 domains and lures victims to adult websites to steal credit card information. This campiagn is linked to Trojans like IcedID and RedLine stealer and ha |
Malware Threat Medical Cloud | ★★★ | |
|
2024-10-09 19:03:00 | Les pirates coréens de N. utilisent de fausses interviews pour infecter les développeurs avec des logiciels malveillants multiplateformes N. Korean Hackers Use Fake Interviews to Infect Developers with Cross-Platform Malware (lien direct) |
Des acteurs de menaces ayant des liens avec la Corée du Nord ont été observés pour cibler les demandeurs d'emploi dans l'industrie de la technologie pour livrer des versions mises à jour de familles de logiciels malveillants connues suivis sous le nom de Beavertail et InvisibleFerret.
Le cluster d'activités, suivi comme CL-SA-0240, fait partie d'une campagne surnommée interview contagieuse que l'unité de Palo Alto Networks 42 a divulguée pour la première fois en novembre 2023.
"L'acteur de menace derrière CL-Sta-0240
Threat actors with ties to North Korea have been observed targeting job seekers in the tech industry to deliver updated versions of known malware families tracked as BeaverTail and InvisibleFerret. The activity cluster, tracked as CL-STA-0240, is part of a campaign dubbed Contagious Interview that Palo Alto Networks Unit 42 first disclosed in November 2023. "The threat actor behind CL-STA-0240 |
Malware Threat | ★★★ | |
 |
2024-10-09 18:22:20 | Archives Internet piratées, la violation de données a un impact sur 31 millions d'utilisateurs Internet Archive hacked, data breach impacts 31 million users (lien direct) |
La "Machine Wayback" de Internet Archive \\ a subi une violation de données après qu'un acteur de menace a compromis le site Web et a volé une base de données d'authentification des utilisateurs contenant 31 millions d'enregistrements uniques.[...]
Internet Archive\'s "The Wayback Machine" has suffered a data breach after a threat actor compromised the website and stole a user authentication database containing 31 million unique records. [...] |
Data Breach Threat | ★★★ | |
|
2024-10-09 18:13:00 | (Déjà vu) Voleur de Vilsa VILSA STEALER (lien direct) |
## Snapshot Cyfirma recently identified a sophisticated malware called “Vilsa Stealer” on GitHub. The malware is designed to discreetly and efficiently extract sensitive data. ## Description Vilsa stealer targets information from various sources like browsers, cryptocurrency wallets, Discord, Steam, and Telegram, among others. Written in Python, it employs encryption to obfuscate its behavior and uses advanced techniques to bypass security measures. Vilsa Stealer also ensures persistence by copying itself into the Windows Startup folder, enabling it to run at each boot. One of its key functions is targeting browser extensions to steal cryptocurrency wallet data, while another feature terminates processes associated with security analysis tools like Wireshark or Process Hacker. The malware also checks for virtual machines and terminates if detected. It uploads stolen data to a remote server using the GoFile API and encrypts files, making detection harder. An additional payload, "hvnc.py," gives remote access to compromised systems, evading security with UAC bypass techniques. CYFIRMA\'s investigation revealed that the malware uploads stolen data to a server linked to a suspicious IP address, which points to a spyware panel associated with a Telegram channel. The malware\'s sophisticated capabilities make it a potent tool in the cybercriminal landscape. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenti | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-10-09 17:00:18 | Voleur d'unité YUNIT STEALER (lien direct) |
## Snapshot Cyfirma has identified a new [information stealer](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6), Yunit Stealer, designed to extract sensitive data, including system information, credentials, cookies, and cryptocurrency wallets. ## Description The malware uses JavaScript and various persistence techniques like modifying Windows registry keys and disabling Windows Defender. It utilizes Discord and Telegram webhooks for data exfiltration. The malware employs obfuscation to evade detection and uses PowerShell commands to hide its actions. Yunit Stealer\'s developer is believed to be based in France, with ties to gaming platforms. The malware is particularly adept at gathering and exfiltrating browser data and cryptocurrency information by manipulating common system utilities and files. In addition, it uses scheduled tasks and registry modifications to ensure it remains active on compromised systems. The malware\'s code includes geofencing capabilities, allowing it to selectively operate based on geographic location. Cyfirma\'s investigation suggests that the developer has a history of malicious projects and is actively involved in gaming-related communities, which may influence their development of this stealer. Yunit Stealer\'s techniques make it an information stealing threat, particularly due to its persistence mechanisms and ability to bypass security measures. ## Microsoft Analysis Cybercriminals are increasingly using messaging apps like Discord and Telegram as private communication channels, to spread [information stealers](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6), and exfiltrate targeted data. These platforms offer several advantages that make them attractive to threat actors. Firstly, Telegram and Discord provide a combination of simplicity, security, and anonymity that allows cybercriminals to communicate easily, either in private chats or public channels, without the oversight common in traditional underground forums. Telegram, in particular, enables [encrypted communication](https://tsf.telegram.org/manuals/e2ee-simple) and has been criticized for a "laissez-faire approach to privacy policies," which malicious actors might perceive as bolstering the security of their operations. Additionally, these platforms support features like webhooks and bots, which are exploited by attackers to distribute malware and conduct phishing attacks. For instance, Discord\'s webhooks, initially designed for notifications, can be misused to exfiltrate data collected by information stealers by sending it to attacker-controlled channels through HTTPS requests. This misuse of webhooks complicates monitoring and blocking efforts due to their integration with various apps and the encryption used. Discord\'s content delivery network (CDN) is also [exploited by cybercriminals](https://www.resecurity.com/blog/article/millions-of-undetectable-malicious-urls-generated-via-the-abuse-of-public-cloud-and-web-30-services) to host malware payloads, making it an effective distribution tool. As these platforms offer both robust automation capabilities and discreet communication options, they have become increasingly attractive to cybercriminals looking to bypass traditional security measures and reach a wider audience. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click] | Ransomware Spam Malware Tool Threat | ★★★ | |
 |
2024-10-09 16:30:00 | Alors que les attaquants embrassent l'IA, chaque organisation devrait faire ces 5 choses As Attackers Embrace AI, Every Organization Should Do These 5 Things (lien direct) |
Les acteurs de la menace utilisent l'IA pour augmenter le volume et la vitesse de leurs attaques.Voici ce que les organisations devraient faire à ce sujet.
Threat actors are using AI to increase the volume and velocity of their attacks. Here\'s what organizations should do about it. |
Threat | ★★★ | |
 |
2024-10-09 15:00:00 | Nouvelle génération de codes QR malveillants découverts par les chercheurs New Generation of Malicious QR Codes Uncovered by Researchers (lien direct) |
Les chercheurs de Barracuda ont identifié une nouvelle vague d'attaques de phishing du code QR qui échappent aux mesures de sécurité traditionnelles et constituent une menace importante pour la sécurité par e-mail
Barracuda researchers have identified a new wave of QR code phishing attacks that evade traditional security measures and pose a significant threat to email security |
Threat | ★★ | |
 |
2024-10-09 13:00:06 | Opération Middlefloor: démasquer la campagne de désinformation ciblant les élections nationales de la Moldavie Operation MiddleFloor: Unmasking the Disinformation Campaign Targeting Moldova\\'s National Elections (lien direct) |
Malware Threat | ★★ | ||
 |
2024-10-09 13:00:00 | Mois de sensibilisation à la cybersécurité: histoires d'horreur Cybersecurity Awareness Month: Horror stories (lien direct) |
> En ce qui concerne la cybersécurité, la question est de savoir quand, pas si, une organisation subira un cyber-incident.Même les outils de sécurité les plus sophistiqués ne peuvent pas résister à la plus grande menace: le comportement humain.Octobre est le mois de sensibilisation à la cybersécurité, la période de l'année où nous célébrons tout ce qui est effrayant.Il semblait donc approprié de demander aux professionnels de la cybersécurité [& # 8230;]
>When it comes to cybersecurity, the question is when, not if, an organization will suffer a cyber incident. Even the most sophisticated security tools can’t withstand the biggest threat: human behavior. October is Cybersecurity Awareness Month, the time of year when we celebrate all things scary. So it seemed appropriate to ask cybersecurity professionals to […] |
Tool Threat | ★★ | |
 |
2024-10-09 12:43:55 | Netwrix a publié une nouvelle version de NetWrix Threat Manager Netwrix released a new version of Netwrix Threat Manager (lien direct) |
Le gestionnaire de menace NetWrix permet désormais aux clients de détecter et de répondre aux cybermenaces à la fois dans les locaux et dans le cloud avec une seule solution
NetWrix Threat Manager 3.0 a étendu ses capacités à l'ID Microsoft Entra en plus d'Active Directory.
-
Revues de produits
Netwrix Threat Manager Now Empowers Customers to Detect and Respond to Cyber Threats both On Premises and in the Cloud with a Single Solution Netwrix Threat Manager 3.0 extended its capabilities to Microsoft Entra ID in addition to Active Directory. - Product Reviews |
Threat Cloud | ★ | |
|
2024-10-09 12:32:23 | Netwrix annonce la version 3.0 de Netwrix Threat Manager (lien direct) | Netwrix Threat Manager permet aux clients de détecter et répondre aux cybermenaces sur site et dans le cloud grâce à une solution unique Les fonctionnalités de Netwrix Threat Manager 3.0 sont étendues à Microsoft Entra ID en complément d'Active Directory. - Produits | Threat Cloud | ★ | |
 |
2024-10-09 11:02:40 | Trinity Ransomware émergeant la menace pour les soins de santé américains, utilise des tactiques sophistiquées à double extorsion Trinity ransomware emerging threat to US healthcare, uses sophisticated double extortion tactics (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) au sein du département américain de la santé & # 38;Les services humains (HHS) ont averti ...
>The Health Sector Cybersecurity Coordination Center (HC3) within the U.S. Department of Health & Human Services (HHS) warned... |
Ransomware Threat Medical | ★★★ | |
 |
2024-10-09 10:18:42 | Les escrocs ont frappé les victimes d'ouragans de Floride avec de fausses réclamations FEMA, fichiers malveillants Scammers Hit Florida Hurricane Victims with Fake FEMA Claims, Malware Files (lien direct) |
Les cybercriminels exploitent les efforts de secours en cas de catastrophe pour cibler des individus et des organisations vulnérables en Floride, compromettant l'intégrité du relief & # 8230;
Cybercriminals exploit disaster relief efforts to target vulnerable individuals and organizations in Florida, compromising the integrity of relief… |
Malware Threat | ★★ | |
|
2024-10-09 09:52:00 | Microsoft détecte une utilisation croissante des services d'hébergement de fichiers dans les attaques de compromis par courrier électronique d'entreprise Microsoft Detects Growing Use of File Hosting Services in Business Email Compromise Attacks (lien direct) |
Microsoft met en garde contre les campagnes de cyberattaques qui abusent des services d'hébergement de fichiers légitimes tels que SharePoint, OneDrive et Dropbox qui sont largement utilisés dans les environnements d'entreprise comme tactique d'évasion de défense.
L'objectif final des campagnes est large et varié, permettant aux acteurs de menace de compromettre les identités et les appareils et de mener des attaques de compromis par courrier électronique (BEC), ce qui en résulte finalement
Microsoft is warning of cyber attack campaigns that abuse legitimate file hosting services such as SharePoint, OneDrive, and Dropbox that are widely used in enterprise environments as a defense evasion tactic. The end goal of the campaigns are broad and varied, allowing threat actors to compromise identities and devices and conduct business email compromise (BEC) attacks, which ultimately result |
Threat | ★★★ | |
|
2024-10-09 09:15:00 | Ivanti: Trois jours zéro CSA sont exploités lors d'attaques Ivanti: Three CSA Zero-Days Are Being Exploited in Attacks (lien direct) |
L'appliance des services cloud d'Ivanti \\ est ciblée par les acteurs de la menace exploitant trois bogues zéro jour
Ivanti\'s Cloud Services Appliance is being targeted by threat actors exploiting three zero-day bugs |
Vulnerability Threat Cloud | ★★★ | |
|
2024-10-09 08:30:00 | Microsoft corrige cinq jours zéro en octobre mardi Microsoft Fixes Five Zero-Days in October Patch Tuesday (lien direct) |
Le patch d'octobre \\ mardi a vu Microsoft Patch sur 100 cves, y compris cinq vulnérabilités zéro jour
October\'s Patch Tuesday saw Microsoft patch over 100 CVEs including five zero-day vulnerabilities |
Vulnerability Threat | ★★ | |
|
2024-10-08 22:08:00 | Alerte zéro-jour: trois vulnérabilités critiques Ivanti CSA exploitées activement Zero-Day Alert: Three Critical Ivanti CSA Vulnerabilities Actively Exploited (lien direct) |
Ivanti a averti que trois nouvelles vulnérabilités de sécurité ayant un impact sur son appareil de service cloud (CSA) ont fait l'exploitation active dans la nature.
Les défauts zéro-jours sont armées en conjonction avec un autre défaut de CSA que l'entreprise a corrigé le mois dernier, a déclaré le fournisseur de services logiciels basé à l'Utah.
L'exploitation réussie de ces vulnérabilités pourrait permettre une authentification
Ivanti has warned that three new security vulnerabilities impacting its Cloud Service Appliance (CSA) have come under active exploitation in the wild. The zero-day flaws are being weaponized in conjunction with another flaw in CSA that the company patched last month, the Utah-based software services provider said. Successful exploitation of these vulnerabilities could allow an authenticated |
Vulnerability Threat Cloud | ★★★ | |
|
2024-10-08 21:50:21 | (Déjà vu) Mistreriolnk: le constructeur open source derrière des chargeurs malveillants MisterioLNK: The Open-Source Builder Behind Malicious Loaders (lien direct) |
## Instantané Des chercheurs de CYBLE ont publié un rapport détaillant un nouveau constructeur de chargeur intitulé "Misteriolnk". ## Description Disponible sur GitHub, Misterriolnk utilise des moteurs de script Windows et des techniques d'obscurcissement pour télécharger et exécuter des charges utiles malveillantes tout en échappant à la détection.Il prend en charge plusieurs méthodes de chargeur, y compris HTA, BAT, CMD, VBS et LNK, et offre une obscurcissement pour plusieurs de ces formats. Bien qu'ils soient en version bêta, ses chargeurs sont déjà utilisés par les acteurs de la menace pour déployer des logiciels malveillants tels que Remcos Rat et BlankStealer.Misterriolnk permet également aux utilisateurs de personnaliser les icônes, ce qui rend les fichiers plus difficiles à détecter.Selon CYBLE, les tests initiaux montrent que les fichiers générés par Misteriolnk échappent largement à la détection par les fournisseurs de sécurité. ## Analyse Microsoft Les constructeurs de logiciels malveillants sont des outils logiciels utilisés par les cybercriminels pour créer des logiciels malveillants.Ces constructeurs permettent aux attaquants de créer des logiciels malveillants avec des configurations spécifiques, comme où les logiciels malveillants doivent être installés, quels systèmes d'exploitation cibler et comment échapper à la détection. Les constructeurs de logiciels malveillants sont souvent vendus sur la toile sombre ou dans les forums de cybercriminaux souterrains.Beaucoup fonctionnent sur un modèle de logiciel malveillant en tant que service (MAAS), permettant aux acteurs moins sophistiqués de distribuer des logiciels malveillants.Les constructeurs de logiciels malveillants récemment rapportés dans OSInt incluent [Chaos Ransomware Builder] (https://securelist.com/key-group-ransomware-samples-and-telegram-schemes/114025/), [Flame Stealer Builder] (https: // www.cyfirma.com / Research / Flame-Stealer /), [Risepro Builder] (https://blogs.blackberry.com/en/2024/06/thereat-analysis-Insight-repro-information-voleur), et [Phobos Ransomware Builder] (https://blog.talosintelligence.com/Understanding-the-phobos-affiliate-structure/). ##Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/Sécurité / Defender-Endpoint / Automated Investigations? View = O365 Worldwide? OCID = magicti_ta_learndoc) en entierMode automatisé pour permettre à Microsoft Defender le point de terminaison de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft D | Ransomware Malware Tool Threat | ★★ | |
 |
2024-10-08 21:48:57 | 5 CVES dans la mise à jour d'octobre de Microsoft \\ pour patcher immédiatement 5 CVEs in Microsoft\\'s October Update to Patch Immediately (lien direct) |
Les acteurs de la menace exploitent activement deux des vulnérabilités, tandis que trois autres sont connues publiquement et mûres pour attaquer.
Threat actors are actively exploiting two of the vulnerabilities, while three others are publicly known and ripe for attack. |
Vulnerability Threat | ★★★ | |
|
2024-10-08 21:00:37 | La campagne Google Ads Google cible le logiciel utilitaire Large scale Google Ads campaign targets utility software (lien direct) |
## Snapshot Researchers from Malwarebytes have identified a malvertising campaign impersonating utility software like Slack, Notion, Calendly, Odoo, and Basecamp, among others. The campaign targets both Windows and Mac users, with Windows payloads hosted on various GitHub accounts and Mac payloads originating from a domain via PHP scripts. ## Description The malicious ads are sophisticated, appearing as top search results with official branding and descriptions, but upon closer inspection, they are linked to unverified advertisers. These ads lead to a redirection chain that includes click trackers, cloaking, and decoy sites, ultimately tricking users into downloading malware. Windows users are likely targeted with [Rhadamanthys](https://security.microsoft.com/intel-explorer/articles/c9ea8588) infostealer, while Mac users face an infostealer branched from the AMOS family, which uploads stolen information to a remote server in Russia. Despite reports to Google and the banning of related advertisers, new malicious ads continue to surface, indicating the campaign\'s persistence and breadth. ## Microsoft Analysis Malvertising has made OSINT headlines in recent months with surging incident numbers and threat actors employing increasingly sophisticated techniques to distribute malware and compromise systems. Microsoft has been tracking trends across recent malvertising incidents and observations from across the security community. These trends include payload diversification, MSIX malware emergence, and improved cloacking and evasion. Read more about [recent OSINT trends in malvertising](https://security.microsoft.com/intel-explorer/articles/003295ff) and the broader trend of [financially motivated threat actors misusing App Installer](https://security.microsoft.com/intel-explorer/articles/74368091). Cybercriminal groups are likely behind the majority of malvertising activity, judging from a review of open-source reporting. In the underground economy, criminal forums and marketplaces facilitate the exchange of services and tools tailored for malvertising. This ecosystem renders such tactics accessible and cost-effective for a wide array of cybercriminals. Active threat actors in this domain include the actors Microsoft tracks as [Storm-0569](https://security.microsoft.com/threatanalytics3/6d557f37-0952-4a05-bdc5-d40d6742fbaf/analystreport) and [Storm-1113](https://security.microsoft.com/intel-profiles/4847b8382f24f3cd10d4cf3acdda5c59d5c48df64b042590436be6e92e1b232f). ## Recommendations Organizations can mitigate some risks from malvertising by enabling Network Protection and [potentially unwanted program (PUA) application](https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-block-potentially-unwanted-apps-microsoft-defender-antivirus?view=o365-worldwide). By using the principle of least privilege and building credential hygiene, administrators can limit the destructive impact of malvertising attacks, even if the threat actors gain initial access to a system. Microsoft recommends the following mitigations to reduce the impact of this threat. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that contain exploits and host malware. - Turn on [network protection](https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide&ocid=magicti_ta_learndoc) to block connections to malicious domains and IP addresses. - [Restrict privileged domain accounts and local accounts with administrator privileges](https://www.microsoft.com/en-us/security/blog/2022/10/26/how-to-prevent-lateral-movement-attacks-using-microsoft-365-defender/?ocid=magicti_ta_blog). Randomize Local Administrator passwords with a tool like | Ransomware Malware Tool Threat Prediction Cloud | ★★★ | |
|
2024-10-08 20:56:20 | CISA rapporte des défauts RCE dans les commutateurs Ivanti EPM et Optigo CISA Reports RCE Flaws in Ivanti EPM and Optigo Switches (lien direct) |
## Instantané Les avis récents de la CISA révèlent plusieurs exploitations dans les vulnérabilités critiques pour l'accès non autorisé et l'exécution du code distant (RCE) dans une infrastructure largement utilisée, pour inclure des vulnérabilités récemment signalées dans les produits de commutation d'agrégation Ivanti (EPM) et Optigo Networks \\ \ \ `` ONS-S8, les produits de commutation d'agrégation ONS-S8. ## Description [CISA] (https://www.cve.org/cverecord?id=CVE-2024-29824) a émis un avertissement qu'une vulnérabilité critique dans Ivanti EPM est activement exploitée.La vulnérabilité, [CVE-2024-29824] (https://security.microsoft.com/intel-explorer/cves/cve-2024-29824/), est un défaut d'injection SQL à ivanti \\ 's epm \'S serveur de base qui permet aux attaquants non authentifiés dans le même réseau d'exécuter du code arbitraire sur des systèmes qui n'ont pas été corrigés.Ivanti EPM est une solution complète de gestion des points finaux utilisées pour gérer les appareils sur diverses plateformes, travaillant avec plus de 7 000 organisations et fournissant des solutions de gestion informatique à plus de 40 000 entreprises dans le monde.Ivanti avait précédemment publié des mises à jour de sécurité pour aborder ce défaut dans [mai] (https://forums.ivanti.com/s/article/security-advisory-may-2024?Language=en_us), ainsi que cinq autres bogues d'exécution de code distant, Tous affectant Ivanti EPM 2022 SU5 et versions antérieures.La société affirme que seuls quelques clients ont été exploités par cette vulnérabilité.Au cours des derniers mois, Ivanti a été ciblé avec de multiples vulnérabilités exploitées dans des attaques répandues, y compris celles sur [VPN Appliances] (https://www.bleepingComputer.com/news/security/ivanti-warns-of-connect-secure-zero-Days-Exploitation-in-Attacks /) et [ICS, IPS et ZTA Gateways] (https://www.bleepingComputer.com/news/security/ivanti-warns-of-new-connect-secure-zero-ways-Exploité dans les attaques /).Le mois dernier, [Ivanti a rapporté] (https://www.bleepingcomputer.com/news/security/ivanti-warnsof-another-critical-csa-flaw-exploted-in-attacks/) que les acteurs menaçaient deux récemment deuxVulnérabilités de l'appliance des services cloud (CSA) fixe. De plus, [CISA] (https://www.cisa.gov/news-events/ics-advisories/icsa-24-275-01) a émis un avertissement sur deux vulnérabilités critiques dans les produits d'agrégation Optigo Networks ONS-S8 quisont largement utilisés dans les infrastructures critiques et les unités de fabrication.La première vulnérabilité, [CVE-2024-41925] (https://security.microsoft.com/intel-explorer/cves/cve-2024-41925/), est un problème d'inclusion de fichiers à distance PHP (RFI) qui permet le transfert de répertoire de répertoire PHP à distance (RFI) qui permet la transmission du répertoire, contournement d'authentification et exécution de code distant en raison d'une mauvaise validation des chemins de fichiers fournis par l'utilisateur.Le second, [CVE-2024-45367] (https://security.microsoft.com/intel-explorer/cves/cve-2024-45367/), provient de mécanismes d'authentification faibleL'accès à l'interface de gestion du périphérique et permet aux attaquants de modifier les configurations, d'accès aux données sensibles ou de pivoter vers d'autres points de réseau.Les deux vulnérabilités sont exploitables à distance avec une faible complexité et ont été considérées comme critiques avec un score CVSS V4 de 9,3.Ils affectent toutes les versions du passage d'agrégation Spectres ONS-S8 jusqu'à 1.3.7.Il n'y a actuellement aucun correctif disponible, et CISA n'a pas observé d'exploitation active de ces défauts au moment de ce rapport. ## Recommandations - Ivanti fournit des instructions détaillées sur la façon d'accéder et d'appliquer le correctif de sécurité et de remédiation supplémentaire pour CVE-2024-29824 [ici] (https://forums.ivanti.com/s/article/kb-security-advisory-epm-May-2024? Language = en_us). - CISA fournit des recommandat | Data Breach Tool Vulnerability Threat Cloud | ★★★ | |
|
2024-10-08 18:38:34 | L'eau américaine ferme les services en ligne après la cyberattaque American Water shuts down online services after cyberattack (lien direct) |
#### Géolocations ciblées - États-Unis #### Industries ciblées - Systèmes d'eau et d'eaux usées ## Instantané American Water, la plus grande entreprise de services publics d'eau et d'eaux usées aux États-Unis, a connu une cyberattaque le 3 octobre 2024, qui a conduit à la fermeture de certains de ses systèmes.L'incident a été divulgué dans un dossier auprès de la Securities and Exchange Commission des États-Unis, où la société a révélé qu'elle avait engagé des experts tiers de la cybersécurité pour aider à l'évaluation du confinement et de l'impact. ## Description American Water a déclaré que les installations ou opérations d'eau et d'eaux usées n'ont pas été affectées négativement.La cyberattaque a nécessité la fermeture du portail client en ligne d'American Water \\, Mywater et une pause dans les services de facturation. ## Analyse Microsoft Les systèmes d'infrastructures critiques sont souvent vulnérables aux cyberattaques en raison de la technologie obsolète et des mesures de cybersécurité insuffisantes, ce qui en fait une cible privilégiée pour les acteurs de l'État-nation et les groupes de ransomwares.Les attaques contre les infrastructures d'eau peuvent perturber les services essentiels, manipuler les niveaux chimiques dans les installations de traitement de l'eau et conduire à une contamination généralisée ou à un déni de service. Cette cyberattaque sur l'eau américaine suit un autre [incident récent dans un centre de traitement de l'eau] (https://www.bleepingcomputer.com/news/security/kansas-water-plant-cyberattack-forces-switch-to-manual-operations/)à Arkansas City, Kansas, qui a entraîné un passage aux opérations manuelles.Le groupe hacktiviste russe récemment créé, Z-Pentest, a revendiqué la responsabilité de l'accès à l'Arkansas City, une usine de traitement de l'eau KS qui a été piratée le 23 septembre. Le groupe s'aligne sur la cyber-armée de Russie et NONAME057 (16) & # 8211; Deux organisations hacktiviste russes qui ont étéont été inculpés par [nous] (https://www.state.gov/sanctioning-members-of-the-cyber-army-of-russia-reborn/#:~:text=the%20United%20States%20is%20Dessignation% 20Two) et [européen] (https://www.interor.gob.es/opencms/en/detail-pages/artiCle / trois detainees-by-dines-informatics-con-fines-terroristes /) gouvernements pour comportement cyberattaques perturbatrices Agaiinfrastructure critique NST.En septembre, le gouvernement américain a publié un [avis conjoint] (https://www.cisa.gov/sites/default/files/2024-09/aa24-249a-russian-military-cyber-acteurs-target-us-and-Global-Critical-infrastructure.pdf) Avertissement que les groupes de menaces affiliés au service de renseignement militaire de la Russie visent les infrastructures critiques mondiales et les secteurs clés des ressources. [Microsoft a précédemment averti] (https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the the-Lerland-Techniques /) que Volt Typhoon, un groupe de cyber-espionnage parrainé par l'État chinois, a ciblé les infrastructures critiques américaines, notamment l'énergie, les télécommunications et les secteurs de l'eau, en utilisant des techniques furtives "vivant-terre" pour échapper à la détectionet rassembler l'intelligence.En avril, le [directeur du FBI a discuté] (https://www.reuters.com/technology/cybersecurity/fbi-says-chinese-hackers-preparing-attack-us-frastructure-2024-04-18/) Comment les Chinois-Les pirates soutenus ont la "capacité à faire des ravages physiquement sur notre infrastructure critique à un moment de son choix" En novembre 2023, les acteurs affiliés à l'IRGC iraniens, en vertu du Persona Cyber Av3ngers, ont acquis un accès non autorisé à la série Unitronics de fabrication israélienne ICS PLCS dans plusieurs entités américaines, principalement des systèmes d'eau et d'eaux usées, selon [un rapport du Bureau du directeur du directeur du d | Ransomware Vulnerability Threat Industrial | Guam | ★★★ |
|
2024-10-08 16:28:00 | Nouvelle étude de cas: la page de paiement du jumeau maléfique New Case Study: The Evil Twin Checkout Page (lien direct) |
Votre magasin est-il à risque?Découvrez comment une solution de sécurité Web innovante a sauvé un détaillant en ligne mondial et ses clients sans méfiance d'une catastrophe «twin maléfique».Lisez la pleine étude de cas réelle ici.
La menace invisible dans les achats en ligne
Quand une page de paiement est-elle, pas une page de paiement?Quand c'est un «jumeau maléfique»!Les redirectes malveillants peuvent envoyer des acheteurs sans méfiance à ces apparence parfaite
Is your store at risk? Discover how an innovative web security solution saved one global online retailer and its unsuspecting customers from an “evil twin” disaster. Read the full real-life case study here. The Invisible Threat in Online Shopping When is a checkout page, not a checkout page? When it\'s an “evil twin”! Malicious redirects can send unsuspecting shoppers to these perfect-looking |
Threat Studies | ★★★ | |
 |
2024-10-08 16:14:30 | Alerte Vert Threat: Octobre 2024 Patch mardi Analyse VERT Threat Alert: October 2024 Patch Tuesday Analysis (lien direct) |
Aujourd'hui, les adresses d'alerte VERT de \\ sont des mises à jour de sécurité d'octobre 2024 de Microsoft.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1127 dès la fin de la couverture.IN-THE-the-wild et divulgué CVES CVE-2024-43573 Une vulnérabilité dans la plate-forme MSHTML Windows a vu des attaques d'exploitation actives contre une vulnérabilité d'usurpation.Sur la base de la CWE que Microsoft a sélectionnée pour cette vulnérabilité, le risque provient d'une attaque de script de site croisé (XSS).Microsoft a signalé cette vulnérabilité à la détection de l'exploitation.CVE-2024-43572 Une vulnérabilité dans le Microsoft ...
Today\'s VERT Alert addresses Microsoft\'s October 2024 Security Updates. VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1127 as soon as coverage is completed. In-The-Wild & Disclosed CVEs CVE-2024-43573 A vulnerability in the Windows MSHTML Platform has seen active exploitation attacks against a spoofing vulnerability. Based on the CWE that Microsoft selected for this vulnerability, the risk comes from a Cross-Site Scripting (XSS) attack. Microsoft has reported this vulnerability as Exploitation Detected. CVE-2024-43572 A vulnerability in the Microsoft... |
Vulnerability Threat | ★★★ | |
|
2024-10-08 15:38:16 | Lua malware ciblant les joueurs d'étudiants via de faux tricheurs de jeu Lua Malware Targeting Student Gamers via Fake Game Cheats (lien direct) |
Les laboratoires de menace Morphisec découvrent sophistiqué Lua malware ciblant les joueurs et les établissements d'enseignement.Apprenez comment ces attaques fonctionnent & # 8230;
Morphisec Threat Labs uncovers sophisticated Lua malware targeting student gamers and educational institutions. Learn how these attacks work… |
Malware Threat | ★★★ | |
|
2024-10-08 14:51:00 | Ambassades cibles GoldenJackal et systèmes à ponction à l'air à l'aide de plateaux de logiciels malveillants GoldenJackal Target Embassies and Air-Gapped Systems Using Malware Toolsets (lien direct) |
Un acteur de menace peu connu suivi comme Goldenjackal a été lié à une série de cyberattaques ciblant les ambassades et les organisations gouvernementales dans le but d'infiltrer des systèmes à air en utilisant deux outils sur mesure disparates.
Les victimes comprenaient une ambassade d'Asie du Sud au Bélarus et une organisation du gouvernement de l'Union européenne (UE), a déclaré la société de cybersécurité slovaque ESET.
"Le but ultime de
A little-known threat actor tracked as GoldenJackal has been linked to a series of cyber attacks targeting embassies and governmental organizations with an aim to infiltrate air-gapped systems using two disparate bespoke toolsets. Victims included a South Asian embassy in Belarus and a European Union government (E.U.) organization, Slovak cybersecurity company ESET said. "The ultimate goal of |
Malware Threat | GoldenJackal | ★★★ |
|
2024-10-08 13:00:19 | Sécuriser l'avenir des réseaux domestiques: Heights Telecom and Check Point \\'s Revolutionary Partnership Securing the Future of Home Networks: Heights Telecom and Check Point\\'s Revolutionary Partnership (lien direct) |
> à mesure que les maisons deviennent plus connectées, le rôle des passerelles à domicile & # 8211;Les appareils qui connectent les réseaux domestiques à Internet & # 8211;est devenu plus critique que jamais.Ces routeurs, autrefois considérés comme de simples conduits pour l'accès à Internet, sont désormais les gardiens des écosystèmes intelligents entiers, contrôlant tout, des caméras de sécurité aux appareils connectés.Cependant, cette commodité a un coût: les routeurs sont de plus en plus ciblés par les cybercriminels, ce qui rend la sécurité solide essentielle.En réponse à la menace croissante, Heights Telecom s'est associé à Check Point Software Technologies pour lancer les hauteurs Cyber Dome, une solution de sécurité de nouvelle génération qui intègre le point de contrôle quantum [& # 8230;]
>As homes become more connected, the role of home gateways – the devices that connect home networks to the internet – has become more critical than ever. These routers, once considered simple conduits for internet access, are now the gatekeepers of entire smart ecosystems, controlling everything from security cameras to connected appliances. However, this convenience comes at a cost: routers are increasingly targeted by cyber criminals, making robust security essential. In response to the growing threat, Heights Telecom has partnered with Check Point Software Technologies to launch the Heights Cyber Dome, a next-generation security solution that integrates Check Point Quantum […] |
Threat | ★★★ | |
|
2024-10-08 11:24:51 | L'acteur de menace de la tempête-1575 déploie de nouveaux panneaux de connexion pour les infrastructures de phishing Storm-1575 Threat Actor Deploys New Login Panels for Phishing Infrastructure (lien direct) |
Le groupe Storm-1575 est connu pour renommer fréquemment son infrastructure de phishing.Récemment, Any.Run analystes a identifié le déploiement de & # 8230;
The Storm-1575 group is known for frequently rebranding its phishing infrastructure. Recently, ANY.RUN analysts identified the deployment of… |
Threat | ★★★ | |
|
2024-10-08 10:30:34 | TripleComm adds Darkscope\'s cyber threat intelligence to its solutions roster (lien direct) | CYBER NEWS: Specialist reseller TripleComm adds Darkscope's cyber threat intelligence to its solutions roster - Product Reviews | Threat | ★★ | |
|
2024-10-08 10:21:52 | ExtraHop® automatise les flux de détection et de réponse avec CrowdStrike Falcon® Next-Gen SIEM (lien direct) | ExtraHop® automatise les flux de détection et de réponse pour ses clients avec CrowdStrike Falcon® Next-Gen SIEM La télémétrie réseau d'ExtraHop RevealX™ aide les analystes SOC à révéler et à stopper les menaces plus rapideme - Produits | Threat | ★★ | |
|
2024-10-08 10:05:16 | Les groupes de menaces ransomwares actifs ont augmenté de 30% en 2024 Active Ransomware Threat Groups Up 30% in 2024 (lien direct) |
Les groupes de menaces ransomwares actifs ont augmenté de 30% en 2024
Secureworks State of the Menace Rapport décrit la réponse des cybercriminels, car les opérations d'application de la loi ont réussi à perturber les opérations de ransomware
-
Mise à jour malware
Active Ransomware Threat Groups Up 30% in 2024 Secureworks annual State of The Threat Report outlines cybercriminals response as law enforcement operations successfully cause widespread disruption to ransomware operations - Malware Update |
Ransomware Threat Legislation | ★★★ | |
|
2024-10-08 05:14:51 | Awaken Likho is awake: new techniques of an APT group (lien direct) | #### Géolocations ciblées - Russie ## Instantané Des chercheurs de Kaspersky ont identifié une campagne par le groupe APT Awaken Likho, également connu sous le nom de Core Werewolf, ciblant les agences gouvernementales russes et les entreprises industrielles. ## Description La campagne, active de juin à au moins août 2024, a marqué un changement de tactique, le groupe utilisant désormais Meshagent, un agent de la plate-forme Meshcentral légitime, au lieu de leur module Ultravnc précédemment utilisé pour l'accès à distance du système.L'implant a été livré via une URL malveillante, probablement des e-mails de phishing, et a été emballé dans une archive auto-extraite à l'aide de UPX. La chaîne d'attaque comprenait un script AutOIT exécutant deux fichiers, NetworkDrivers \ [. \] EXE et NKKA9A82KJN8KJHA9 \ [. \] CMD, pour assurer la persistance.NetworkDrivers \ [. \] EXE est un maillant qui interagit avec le serveur C2, tandis que le script CMD NKKA9A82KJN8KJHA9 \ [. \] Fortement obscurci crée une tâche planifiée nommée MicrosoftepDatDateTaskMachinems, qui exécute EdgeBrowser.CMD et Deletes traces de l'attaque.Les attaquants ont également utilisé un fichier de configuration, NetworkDrivers \ [. \] MSH, pour que Meshagent établisse une connexion avec le serveur Meshcentral. Sur la base des tactiques, des techniques et des procédures (TTPS) utilisées, de la victiologie et de l'évolution de leurs méthodes, Kaspersky attribue ces attaques pour éveiller likho.Le groupe est actif depuis le début du conflit russo-ukrainien et continue d'évoluer ses méthodes, indiquant que leur malware est toujours en développement et que d'autres attaques sont probables. ## Analyse Microsoft Meshagent est un Source ouverte [outil de gestion à distance] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) qui a été exploité par divers acteurs de menace pour obtenir un accès non autorisé aux victimes \\ ''.Il peut collecter des informations système essentielles pour la gestion à distance et propose des fonctionnalités telles que la gestion de l'alimentation et du compte, le chat ou les fenêtres contextuelles de message, le transfert de fichiers et l'exécution des commandes.De plus, il prend en charge les capacités de bureau à distance basées sur le Web telles que RDP et VNC.Bien que les utilisateurs puissent utiliser cet outil de gestion légitime du système à distance, ces fonctionnalités sont également très attrayantes pour les acteurs malveillants.Par exemple, en mai, [Cisco Talos a rapporté] (https://security.microsoft.com/intel-explorer/articles/39e87f2a) sur une campagne de vol de données utilisant Meshagent avec Quaserrat pour compromettre des serveurs d'application vulnérables exposés à Internet.Et en mars, [Ahnlab Security Intelligence Center (ASEC) a rapporté] (https://asec.ahnlab.com/en/63192/) sur le groupe Andariel parrainé par l'État exploitant Meshagent pour cibler les solutions de gestion des actifs coréens. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Passez en revue notre profil technique sur [Abus de surveillance à distance et d'outils de gestion] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) pour bloquer et chasser des outils comme Meshagent. - Pilot et déploie [méthodes d'authentification résistantes à la phishing pour les utilisateurs.] (Https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et | Malware Tool Threat Industrial | APT 45 | ★★★ |
 |
2024-10-08 04:14:20 | Gorilla Botnet lance plus de 300 000 attaques DDOS Gorilla Botnet Launches Over 300,000 DDoS Attacks (lien direct) |
Un botnet nouvellement actif, surnommé «gorille botnet», a déclenché une vague de cube gargantuesqueSelon le NSFOCUS Global Menage Hunting System, en septembre dernier.Au cours d'une augmentation de l'activité du 4 au 27 septembre, Gorilla Botnet a publié plus de 300 000 commandes d'attaque de déni de service distribué (DDOS) - un niveau de densité d'attaque sans précédent.Les cibles du botnet \\ [...]
A newly active botnet, dubbed “Gorilla Botnet,” has unleashed a gargantuan wave of cyberattacks this past September, according to the NSFOCUS Global Threat Hunting System. During a surge in activity from September 4 to September 27, Gorilla Botnet issued more than 300,000 distributed denial-of-service (DDoS) attack commands-an unprecedented level of attack density. The botnet\'s targets [...] |
Threat | ★★ | |
|
2024-10-08 00:28:51 | Attention à l'écart (aérien): Goldenjackal Gooses Guard-Rudraws Mind the (air) gap: GoldenJackal gooses government guardrails (lien direct) |
#### Géolocations ciblées
- Europe occidentale
- Europe de l'Est
- Europe du Nord
- Europe du Sud
- Moyen-Orient
- Asie du Sud
#### Industries ciblées
- agences et services gouvernementaux
## Instantané
Les chercheurs de l'ESET ont découvert une série de cyberattaques par le groupe avancé de menace persistante (APT) Golden Jackal, contre une organisation gouvernementale européenne en utilisant des outils capables de cibler des systèmes.
## Description
Actif depuis au moins 2019, GoldenJackal est observé par [Kapersky] (https://securelist.com/goldenjackal-apt-group/109677/) ciblant le gouvernement et les entités diplomatiques au Moyen-Orient et en Asie du Sud avecCollection de logiciels malveillants .NET (JackalControl, Jackalworm, Jackalsteal, Jackalperinfo et JackalsCreenWatcher) conçu pour se propager entre les systèmes à l'aide de lecteurs amovibles et d'informations d'exfiltration.Le groupe a été attribué à une attaque de 2019 contre une ambassade d'Asie du Sud au Bélarus qui a exploité une méthode de livraison basée sur l'USB pour extraire des fichiers du réseau de victime.
Les chercheurs de l'ESET ont identifié des logiciels malveillants supplémentaires, faisant partie d'un ensemble d'outils hautement modulaire, utilisé par Goldenjackal pour cibler une organisation gouvernementale européenne.Parmi ces outils figurent Goldededealer, qui fournit des exécutables aux systèmes à air via les disques USB, Goldenhowl, une porte dérobée polyvalente avec plusieurs fonctions, et Goldenrobo, conçue pour la collecte de fichiers et l'exfiltration.
Les ensembles d'outils utilisés par GoldenJackal sont très adaptables, permettant aux attaquants de persister dans les réseaux, de collecter des données et de répandre des logiciels malveillants entre les systèmes.L'objectif principal semble être l'espionnage, ciblant les données confidentielles du gouvernement.Les chercheurs de l'ESET mettent l'accent sur la nature sophistiquée de l'approche de GoldenJackal \\, qui implique des outils personnalisés pour vioder les systèmes à poil, une tactique rare et à forte intensité de ressources observée que dans les acteurs de menace hautement capables.
## références
[Attention à l'écart (aérien): Goldenjackal Gooses Government Guar-Frails] (https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/).ESET (consulté en 2024-10-07)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
#### Targeted Geolocations - Western Europe - Eastern Europe - Northern Europe - Southern Europe - Middle East - South Asia #### Targeted Industries - Government Agencies & Services ## Snapshot ESET researchers have uncovered a series of cyberattacks by the advanced persistent threat (APT) group Golden Jackal, against a European government organization using tools capable of targeting air-gapped systems. ## Description Active since at least 2019, GoldenJackal has been observed by [Kapersky](https://securelist.com/goldenjackal-apt-group/109677/) targeting government and diplomatic entities in the Middle East and South Asia with custom tools, including a collection of .NET malware (JackalControl, JackalWorm, JackalSteal, JackalPerInfo, and JackalScreenWatcher) designed to spread across systems using removable drives and exfiltration information. The group was attributed to a 2019 attack on a South Asian embassy in Belarus which leveraged a USB-based delivery method to extract files from the victim network. ESET researchers have identified additional malware, part of a highly modular toolset, used by GoldenJackal to target a European governmental organization. Among these tools are GoldenDealer, which del |
Malware Tool Threat | GoldenJackal | ★★ |
|
2024-10-07 22:30:06 | Mamba 2FA: A new contender in the AiTM phishing ecosystem (lien direct) | ## Snapshot Sekoia\'s Threat Detection & Research team identified a phishing campaign using HTML attachments mimicking Microsoft 365 login pages. ## Description These phishing pages exploited multi-factor authentication (MFA) vulnerabilities using the Socket.IO JavaScript library to relay data between the victim and a backend server. Initially thought to be linked to the Tycoon 2FA phishing platform, the campaign was later found to involve a new adversary-in-the-middle (AiTM) phishing kit, dubbed Mamba 2FA. Mamba 2FA, sold as a phishing-as-a-service (PhaaS) platform, has phishing pages that mimic various Microsoft services such as OneDrive and SharePoint and can handle non-phishing-resistant MFA methods. The stolen credentials and session cookies are sent to attackers via Telegram bots. The kit is advertised on Telegram, offering a subscription-based service for $250 per month, with HTML attachments that redirect victims to phishing sites. Mamba 2FA\'s infrastructure includes link domains and relay servers that handle the phishing process, and recent updates have added proxy servers to conceal their IP addresses in authentication logs. ## Microsoft Analysis Phishing-as-a-service platforms provide ready-to-use phishing emails, website templates, how-to documentation, phishing infrastructure (domains and IP addresses), and user support systems to customers, lowering the barrier to entry for less skilled phishing actors. A number of these platforms exist, including [Caffeine](https://security.microsoft.com/intel-profiles/4a85d9b4cd803aa13e976b263a674a2bd03671c6b1d310da79487132e980f618) (attributed to [Storm-0867](https://security.microsoft.com/intel-profiles/033d5e720628fbe2394585389a0bc79813b6225d2da64ee44076e61ddee88429)), Darcula, [EvilProxy](https://security.microsoft.com/intel-profiles/3094d3c65962cc6f0be61b97eb894802018cea4848ce476e4be57b0185836b93) (attributed to [Storm-0835](https://security.microsoft.com/intel-profiles/a7f5b733948726f6ca9e3f9e7872be507c278eb10fa6c34a24211f56277f881c)), [Greatness](https://security.microsoft.com/intel-profiles/de50bddb8eca770f242396b5c34f242d0294ae551263616a5a48d5ba3b28df74) (attributed to [Storm-1295](https://security.microsoft.com/intel-profiles/c699872bac3863d28d00e2b9e4a17ab0a425f2e080af3529f31ead32456de32c)), and Tycoon. Some PhaaS platforms also provide advanced features such as the ability to launch [adversary-in-the-middle](https://security.microsoft.com/threatanalytics3/edd01a8c-283d-42f6-bdd4-0b7b4dbd369b/overview) (AiTM) attacks, allowing the attacker to hijack a user\'s sign-in session and skip the authentication process, even if multifactor authentication (MFA) is enabled. To learn more about AiTM phishing kits, read [DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit](https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit/). ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Invest in advanced anti-phishing solutions that monitor incoming emails and visited websites. [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo) merges incident and alert management across email, devices, and identities, centralizing investigations for email-based threats. Organizations can also leverage web browsers that automatically [identify and block](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen) malicious websites, including those used in this phishing campaign. - [Require multifactor authentication (MFA).](https://learn.microsoft.com/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication)While AiTM phishing attempts to circumvent MFA, implementation of MFA remains an essential pillar in identity security and is highly effective at stopping a variety o | Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-10-07 19:59:01 | Salt Typhoon APT subvertit l'écoute électronique des forces de l'ordre: rapport Salt Typhoon APT Subverts Law Enforcement Wiretapping: Report (lien direct) |
La menace de cyberattaque parrainée par l'État chinois a réussi à infiltrer les liens de réseau "intercepte légale" que la police utilise dans des enquêtes criminelles.
The Chinese state-sponsored cyberattack threat managed to infiltrate the "lawful intercept" network connections that police use in criminal investigations. |
Threat Legislation | ★★ | |
 |
2024-10-07 19:44:07 | Ransomware Trinity récemment repéré suscite l'avertissement fédéral à l'industrie des soins de santé Recently spotted Trinity ransomware spurs federal warning to healthcare industry (lien direct) |
Trinity Ransomware, qui présente des similitudes avec des souches précédemment tachetées connues sous le nom de 2023lock et Vénus, semble être une menace immédiate pour les entités de santé, selon le bureau du ministère de la Santé et des Services sociaux \\ 'Cyber Coordination Office.
Trinity ransomware, which bears similarities to previously spotted strains known as 2023Lock and Venus, appears to be an immediate threat to healthcare entities, according to the Department of Health and Human Services\' cyber coordination office. |
Ransomware Threat Medical | ★★ | |
|
2024-10-07 19:22:45 | CUCKOO SPEAR PARTIE 2: acteur de menace Arsenal CUCKOO SPEAR Part 2: Threat Actor Arsenal (lien direct) |
## Snapshot Cybereason Security Services Team uncovered sophisticated capabilities of the Cuckoo Spear tools, NOOPLDR and NOOPDOOR. ## Description NOOPLDR variants, including NOOPLDR-DLL and NOOPLDR-C#, establish persistence by registering as services and injecting shellcode into system processes. NOOPLDR-DLL uses code obfuscation, dynamic custom syscalls, and modified legitimate DLLs to evade detection, while NOOPLDR-C# employs heavy obfuscation, time stomping, and executes C# code from XML files using msbuild.exe. Both loaders retrieve and decrypt shellcode from the registry or a .dat file, using AES encryption with keys derived from the machine\'s unique identifiers. NOOPDOOR malware, associated with NOOPLDR, has client and server components designed for stealth and persistence. The client-side features API hashing, anti-debugging, a domain generation algorithm (DGA), and a custom TCP protocol for data exfiltration. The server-side is capable of modifying firewall rules and executing commands for network pivoting. The campaign has ties to the well-known APT10 group, showing clear links between multiple incidents while revealing new tools and strategies employed by the attackers. Cuckoo Spear mainly targeted Japanese companies in the manufacturing, political, and industrial sectors, with cyber espionage as its primary goal. ## Microsoft Analysis Researchers at Cybereason assess the threat actor to be APT10. Microsoft tracks APT10 as [Purple Typhoon](https://security.microsoft.com/intel-profiles/e2ce50467bf60953a8838cf5d054caf7f89a0a7611f65e89a67e0142211a1745) Purple Typhoon (POTASSIUM), the activity group also known as APT 10, Stone Panda, Cloud Hopper, Red Apollo, or menuPass, has been reported to be responsible for global intrusion campaigns from 2006. These campaigns aimed to steal intellectual property and confidential business information from defense contractors and government agencies in the United States. The group was also observed launching attacks against a diverse set of other verticals, including communications, energy, space aviation. Notably, the group targeted managed service providers (MSPs) with presence in Brazil, Canada, Finland, France, Germany, India, Japan, Sweden, Switzerland, United Arab Emirates, and the United Kingdom. Compromising MSPs provided Purple Typhoon a launchpad for infiltrating organizations whose IT infrastructures and/or end-user systems are managed by these MSPs. Known to initially compromise targets via spear-phishing emails that deliver malicious payloads in the form of remote access trojans (RATs), the group steals administrator credentials to move laterally across target systems, maintain persistence, and exfiltrate high-value information. The malicious payloads typically utilized by Purple Typhoon include three main RATs called REDLEAVES, UPPERCUT and CHCHES. On December 17, 2018, the US government indicted two members of Purple Typhoon. On January 2, 2019, the Federal Bureau of Investigation shared indicators of compromise (IOCs) to aid in customer protection. Using these IOCs, which the security community further corroborated, along with Microsoft\'s own IOCs and telemetry, we have put in place enhanced detection mechanisms that can help guard against possible attacks coming from this group. ## Recommendations Apply these mitigations to reduce the impact of this threat. - Apply security updates to vulnerable VPN solutions. - Require multi-factor authentication (MFA) for local device access, RDP access, and remote connections through VPN. Use password-less solutions like [Microsoft Authenticator](https://www.microsoft.com/en-us/account/authenticator/). For further guidance, read about: - [Set up multi-factor authentication for Office 365](https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide) - [Use two-step verification with consumer accounts](https://support.microsoft.com/en-us/help/ | Malware Tool Threat Industrial Cloud | APT 10 | ★★★ |
|
2024-10-07 18:55:28 | Separating the bee from the panda: CeranaKeeper making a beeline for Thailand (lien direct) | #### Géolocations ciblées - Thaïlande #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESet ont découvert un nouvel acteur de menace aligné par la Chine, CeraNakeeper, qui vise des institutions gouvernementales en Thaïlande depuis 2023. ## Description Initialement, certains de ses outils ont été attribués à Mustang Panda, suivi par Microsoft sous le nom de Twill Typhoon, un autre apt aligné par la Chine.Cependant, les méthodes et les outils uniques de CeraNakeeper \\ ont conduit ESET à le classer comme une entité distincte.Ceranakeeper est connu pour sa créativité et sa capacité à échapper à la détection, en utilisant des services tels que Dropbox, OneDrive et GitHub pour exfiltrer les données à partir de systèmes compromis. Une technique notable utilisée par CeraNakeeper implique la demande d'attraction de GitHub \\ et publier des fonctionnalités de commentaire pour créer un shell inversé furtif, leur permettant d'exécuter des commandes sur des machines compromises.Le groupe déploie également les composants Toneins, Toneshell et Publis, qui sont les notes ESET unique à CeraNakeeper, pour extraire des informations sensibles à partir de réseaux ciblés. Les opérations du groupe \\ ont principalement eu un impact sur les institutions gouvernementales à travers l'Asie, en mettant l'accent sur l'exfiltration des données.Ils adaptent leurs ensembles d'outils, en utilisant des composants de logiciels malveillants sur mesure pour cibler les systèmes de grande valeur et échapper à la détection.Alors que certaines des techniques de CeraRanakeeper \\ se chevauchent avec Mustang Panda, les différences dans leurs tactiques, leur infrastructure et leurs opérations mettent en évidence la nécessité de les suivre en tant que groupes distincts.Cependant, les deux peuvent partager des outils ou collaborer par le biais de fournisseurs tiers.ESET prévoit que les opérations de Ceranakeeper \\ continueront d'évoluer alors qu'elles poursuivent des données sensibles dans la région. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/Sécurité / Defender-Endpoint / Automated Investigations? View = O365 Worldwide? OCID = magicti_ta_learndoc) en entierMode automatisé pour permettre à Microsoft Defender le point de terminaison de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/de | Ransomware Malware Tool Threat | ★★★ | |
|
2024-10-07 18:19:57 | Cloudflare blocks largest recorded DDoS attack peaking at 3.8Tbps (lien direct) | ## Instantané Des chercheurs de Cloudflare ont rapporté qu'ils ont atténué la plus grande attaque publiquement divulguée par le déni de service distribué (DDOS), qui a culminé à 3,8 térabits par seconde (TBPS) et les services financiers ciblés, Internet et les organisations de télécommunications dans le monde.De plus, Akamai a mis en évidence les vulnérabilités dans les serveurs de système d'impression UNIX commun (CUPS), qui pourraient devenir de nouveaux vecteurs pour les attaques DDOS, avec plus de 58 000 systèmes éventuellement exposés. ## Description CloudFlare a rapporté avoir bloqué un barrage d'un mois de plus de 100 attaques DDOS hyper volumétriques, y compris l'événement de pointe de 3,8 tbps d'une durée de 65 secondes, qui a inondé l'infrastructure de réseau avec des données à l'aide d'un réseau de dispositifs compromis tels que les routeurs domestiques Asus, Mikrotik Systems, DVRS et serveurs Web.Les acteurs de la menace ont livré ces attaques via le protocole de datagramme utilisateur (UDP) sur des ports fixes, générant plus de deux milliards de paquets par seconde, ciblant principalement le réseau et les couches de transport.Pendant ce temps, les recherches d'Akamai \\ ont révélé qu'un [CVE-2024-47176] (https://security.microsoft.com/intel-explorer/cves/cve-2024-47176/) la vulnérabilité à Cups-Browsed pourrait permettre de permettre pourDDOS attaque l'amplification avec jusqu'à un facteur d'amplification 600x.Cette vulnérabilité peut être déclenchée en envoyant un seul paquet UDP pour inciter le serveur CUPS dans le traitement de la cible comme une imprimante, ce qui entraîne des demandes IPP / HTTP plus grandes qui consomment des ressources de bande passante et CPU sur le serveur Cups et la cible. Une enquête plus approfondie a montré qu'environ 58 000 des 198 000 serveurs de tasses exposés étaient vulnérables à une telle amplification DDOS, et de nombreuses versions de tasses plus anciennes datant de 2007 étaient particulièrement sensibles.Certains serveurs vulnérables présentaient un comportement de "boucle infinie", envoyant à plusieurs reprises des demandes même après avoir reçu une seule sonde ou en réponse aux erreurs HTTP / 404, amplifiant considérablement l'attaque.Akamai a averti que les attaquants pouvaient tirer parti de cette vulnérabilité pour prendre le contrôle de ces serveurs de tasses exposées en quelques secondes, en les utilisant pour lancer des attaques DDOS à grande échelle ou former des botnets via la chaîne d'exécution du code distant (RCE).En plus de CVE-2024-47176, d'autres vulnérabilités ont été identifiées: [CVE-2024-47076] (https://security.microsoft.com/intel-explorer/cves/cve-2024-47076/) dans libcupsfilters, [CVE-2024-47175] (https://security.microsoft.com/intel-explorer/cves/cve-2024-47175/) dans libppd et [cve-2024-47177] (https://security.microsoft.com/ Intel-Explorer / CVE / CVE-2024-47177 /) dans les filtres à tasses. ## Recommandations ** Conseils de protection DDOS ** - Évitez d'avoir un seul backend de machine virtuelle afin qu'il soit moins susceptible d'être dépassé.[Protection Azure DDOS] (Https: //learn.microsoft.com/azure/ddos-protection/ddos-protection-overview? ocid = magicti_ta_learndoc) Coverses à l'échelleT coûts engagés pour toutes les ressources lors d'une attaque, alors configurez l'automate pour absorber l'éclatement initial du trafic d'attaque pendant que l'atténuation entre en jeu. - Utilisez [Azure Web Application Firewall] (https://learn.microsoft.com/azure/web-application-firewall/overview?ocid=magicti_ta_learndoc) pour protéger les applications Web.Lorsque vous utilisez Azure WAF: 1. Utilisez l'ensemble de règles gérées de protection des bots pour des protections supplémentaires.Voir l'article sur [Configuration de la protection des bots] (https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/bot-protection).2. Créez des règles personnalisées pour bloquer le trafic à partir des adresses IP et des gam | Vulnerability Threat | ★★★ | |
|
2024-10-07 18:12:37 | ADT révèle la deuxième violation en 2 mois, piraté via des informations d'identification volées ADT discloses second breach in 2 months, hacked via stolen credentials (lien direct) |
La société de sécurité à domicile et des petites entreprises a révélé qu'elle a subi une violation après que les acteurs de la menace ont eu accès à ses systèmes en utilisant des informations d'identification volées et des données de compte d'employé exfiltrées.[...]
Home and small business security company ADT disclosed it suffered a breach after threat actors gained access to its systems using stolen credentials and exfiltrated employee account data. [...] |
Threat | ★★★ | |
|
2024-10-07 16:54:11 | Faits saillants hebdomadaires OSINT, 7 octobre 2024 Weekly OSINT Highlights, 7 October 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting highlights diverse and sophisticated attack tactics, primarily focusing on nation-state actors, cybercriminal groups, and advanced malware campaigns. Common attack vectors include spear-phishing, exploiting vulnerabilities (such as CVEs in Linux servers and AI infrastructure), and malware delivered through fileless methods. The malware ranges from Joker\'s subscription fraud (targeting mobile devices) to more complex backdoors like WarmCookie, which allows system profiling and further malware deployment. North Korean APT groups (APT37 and Stonefly) remain active, targeting Southeast Asia and United States companies, while Iranian actors focus on political campaigns. Financially motivated attacks are also prominent, with ransomware groups like Meow and attackers using MedusaLocker deploying advanced techniques for exfiltration and encryption. Cloud environments and AI infrastructure, including generative models like AWS Bedrock, have emerged as critical targets, exposing new vulnerabilities for resource hijacking and illicit services. ## Description 1. [Golden Chickens\' More_Eggs](https://sip.security.microsoft.com/intel-explorer/articles/4cb94d70): Trend Micro discovered the use of the more\_eggs backdoor in spear-phishing attacks, targeting various industries. Recent campaigns involved advanced social engineering, and while attribution remains unclear, there are possible ties to FIN6 (Storm-0538). 2. [Linux Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/68e49ad7): Elastic Security Labs uncovered a Linux malware campaign using KAIJI for DDoS attacks and RUDEDEVIL for cryptocurrency mining. The attackers exploited Apache2 vulnerabilities and used Telegram bots for communication and persistence. 3. [Rhadamanthys Malware Updates](https://sip.security.microsoft.com/intel-explorer/articles/c9ea8588): Recorded Future reported on the evolving Rhadamanthys information-stealing malware, now incorporating AI-driven OCR for cryptocurrency theft. It targets systems in North and South America, leveraging encryption and advanced defense evasion techniques. 4. [NVIDIA Container Toolkit Vulnerability](https://sip.security.microsoft.com/intel-explorer/articles/a35e980e): Wiz Research discovered a critical vulnerability (CVE-2024-0132) in the NVIDIA Container Toolkit, exposing cloud and AI environments to container escape attacks. This flaw could lead to unauthorized control over host systems and data exfiltration. 5. [K4Spreader and PwnRig Campaign](https://sip.security.microsoft.com/intel-explorer/articles/416b07c0): Sekoia TDR linked a campaign exploiting WebLogic vulnerabilities to the 8220 Gang, deploying the K4Spreader malware and PwnRig cryptominer. The attackers primarily target cloud environments for Monero mining, exploiting both Linux and Windows systems. 6. [Nitrogen Malware Incident](https://sip.security.microsoft.com/intel-explorer/articles/d0473059): The DFIR Report analyzed an attack using Nitrogen malware delivered through a malicious Advanced IP Scanner installer. The threat actor used Sliver and Cobalt Strike beacons, eventually deploying BlackCat ransomware across the victim\'s network. 7. [Gorilla Botnet\'s DDoS Attacks](https://sip.security.microsoft.com/intel-explorer/articles/0bcef023): NSFOCUS identified the Gorilla Botnet, a Mirai variant, launching over 300,000 DDoS attacks. Its primary targets were U.S., Chinese, and global sectors, including government and telecom, using advanced encryption techniques for stealth. 8. [Iranian IRGC Cyber Activity](https://sip.security.microsoft.com/intel-explorer/articles/42850d7b): The FBI and UK\'s NCSC warned about Iranian IRGC-affiliated actors targeting individuals related to Middle Eastern affairs. Using social engineering, they focused on stealing credentials and influencing U.S. political campaigns. 9. [Critical Infrastructure Reconnaissance](https://sip.security.microsoft.com/intel-explorer/articles/d491ff08): Dragos detected a campaign targeting North Ame | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 37 APT 45 | ★★ |
|
2024-10-07 16:25:23 | ALERTE NOUVELLES: L'analyse hybride ajoute des analyses de domaine en temps réel de l'IP criminel, stimule la détection des logiciels malveillants News alert: Hybrid Analysis adds Criminal IP\\'s real-time domain scans, boosts malware detection (lien direct) |
> Torrance, Californie, 7 octobre 2024, CyberNewswire & # 8212; IP criminel , un moteur de recherche de renom Cyber Threat Intelligence (CTI) développé par ai spera , s'est associé à analyse hybride , une plate-forme qui fournit une analyse de logiciels malveillante avancée et une intelligence de menace, à& # 8230; (Plus…)
Le message ALERTE NOUVELLES: L'analyse hybride ajoute les analyses de domaine en temps réel de l'IP criminel, stimule la détection des logiciels malveillants Apparu d'abord sur le dernier chien de garde .
>Torrance, Calif., Oct. 7, 2024, CyberNewswire — Criminal IP, a renowned Cyber Threat Intelligence (CTI) search engine developed by AI SPERA, has partnered with Hybrid Analysis, a platform that provides advanced malware analysis and threat intelligence, to … (more…) The post News alert: Hybrid Analysis adds Criminal IP\'s real-time domain scans, boosts malware detection first appeared on The Last Watchdog. |
Malware Threat | ★★ | |
|
2024-10-07 15:30:00 | Advanced Threat Group GoldenJackal exploite les systèmes à ponction aérienne Advanced Threat Group GoldenJackal Exploits Air-Gapped Systems (lien direct) |
Goldenjackal a ciblé les systèmes gouvernementaux à ponction aérienne de mai 2022 à mars 2024, ESET a trouvé
GoldenJackal targeted air-gapped government systems from May 2022 to March 2024, ESET found |
Threat | GoldenJackal | ★★ |
|
2024-10-07 14:46:00 | Récapitulatif de cybersécurité Thn: menaces et tendances supérieures (30 sept. - 6 octobre) THN Cybersecurity Recap: Top Threats and Trends (Sep 30 - Oct 6) (lien direct) |
Avez-vous déjà entendu parler d'une arnaque de "boucherie de porc"?Ou une attaque DDOS si grande qu'elle pourrait faire fondre votre cerveau?Cette semaine, le récapitulatif de la cybersécurité a tout cela & # 8211;Les confrontations gouvernementales, les logiciels malveillants sournois et même un soupçon de manigances de l'App Store.
Obtenez le scoop avant qu'il soit trop tard!
⚡ Menace de la semaine
Double Trouble: Evil Corp &Lockbit Fall: Un consortium d'organismes internationaux d'application de la loi a pris des mesures pour arrêter quatre
Ever heard of a "pig butchering" scam? Or a DDoS attack so big it could melt your brain? This week\'s cybersecurity recap has it all – government showdowns, sneaky malware, and even a dash of app store shenanigans. Get the scoop before it\'s too late! ⚡ Threat of the Week Double Trouble: Evil Corp & LockBit Fall: A consortium of international law enforcement agencies took steps to arrest four |
Malware Threat Legislation | ★★ | |
|
2024-10-07 14:25:00 | 7 octobre & # 8211;Rapport de renseignement sur les menaces 7th October– Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyber recherche pour la semaine du 7 octobre, veuillez télécharger notre bulletin de renseignement sur les menaces.Les principales attaques et violations des pirates chinoises parrainés par l'État, surnommé & # 8220; Salt Typhoon & # 8221;, des sociétés de télécommunications américaines infiltrées telles que Verizon, AT & # 38; T et Lumen Technologies.Les attaquants ont eu accès aux systèmes utilisés pour les écoutes téléphoniques par cour, potentiellement non détectées pendant des mois [& # 8230;]
>For the latest discoveries in cyber research for the week of 7th October, please download our Threat Intelligence Bulletin. TOP ATTACKS AND BREACHES Chinese state-sponsored hackers, dubbed “Salt Typhoon”, infiltrated US telecom companies such as Verizon, AT&T, and Lumen Technologies. The attackers gained access to systems used for court-authorized wiretaps, potentially remaining undetected for months […] |
Threat | ★★ | |
 |
2024-10-07 13:54:48 | Stratégies multi-clouds rendant DDI et DNS encombrants à gérer Multi-cloud Strategies Making DDI and DNS Cumbersome to Manage (lien direct) |
La solution universelle DDI d'OnfoBlox \\ pourrait aider à arrêter les cyber-menaces plus tôt.
Infoblox\'s Universal DDI solution could help stop cyber threat actors earlier. |
Threat | ★★ |
To see everything:
Our RSS (filtrered)
