SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-05-01 23:25:26	Les logiciels malveillants ciblent les routeurs pour voler les mots de passe des demandes Web Malware Targets Routers To Steal Passwords From Web Requests (lien direct)	Les chercheurs ont récemment suivi un nouveau malware, "Sweetfish", qui cible les équipements de mise en réseau, en particulier les petits routeurs de bureau / bureau à domicile (SOHO), pour voler le matériel d'authentification trouvé dans les demandes Web qui transitent le routeur de la locale adjacenteréseau régional (LAN). Lumen Technologies & # 8217;Black Lotus Labs, qui a examiné les logiciels malveillants, a déclaré que la seiche crée un tunnel proxy ou VPN via un routeur compromis pour exfiltrer les données en contournant l'analyse basée sur la connexion anormale, puis utilise des informations d'identification volées pour accéder aux ressources ciblées. Le malware a également la capacité d'effectuer un détournement HTTP et DNS pour les connexions aux adresses IP privées, qui sont normalement associées aux communications dans un réseau interne. Les chercheurs déclarent que la plate-forme de logiciels malveillants de secteur offre une approche zéro clique pour capturer les données des utilisateurs et des appareils derrière le bord du réseau ciblé. «Toutes les données envoyées sur les équipements réseau infiltrés par ce malware sont potentiellement exposés.Ce qui rend cette famille de logiciels malveillants si insidie-the-cuttlefish-malware / "data-wpel-link =" external "rel =" nofollow nopenner noreferrer "> avertir dans un article de blog . «La seiche est en attente, reniflant passivement les paquets, n'agissant que lorsqu'il est déclenché par un ensemble de règles prédéfini.Le renifleur de paquets utilisé par la seiche a été conçu pour acquérir du matériel d'authentification, en mettant l'accent sur les services publics basés sur le cloud. »	Malware Threat Cloud Technical	APT 32	★★★★
	2024-04-25 22:17:00	Le groupe de Lazarus de la Corée du Nord déploie un nouveau rat Kaolin via de faux leurres d'emploi North Korea\\'s Lazarus Group Deploys New Kaolin RAT via Fake Job Lures (lien direct)	L'acteur des menaces en Corée du Nord & NBSP; connu sous le nom de Lazarus & NBSP; Group a utilisé ses leurres de travail fabriqués à l'épreuve pour livrer un nouveau troyen à distance appelé & NBSP; Kaolin Rat. Le malware pourrait: "En dehors de la fonctionnalité de rat standard, & nbsp; modifier le dernier horodatage d'écriture d'un fichier sélectionné et charger tout serveur de DLL reçu du serveur [Command and Control]" The North Korea-linked threat actor known as Lazarus Group employed its time-tested fabricated job lures to deliver a new remote access trojan called Kaolin RAT. The malware could, "aside from standard RAT functionality, change the last write timestamp of a selected file and load any received DLL binary from [command-and-control] server," Avast security researcher Luigino	Malware Threat	APT 38	★★
	2024-04-24 16:27:13	La Corée du Nord, le triumvirat apte espionné de l'industrie sud-coréenne de la défense pendant des années North Korea APT Triumvirate Spied on South Korean Defense Industry For Years (lien direct)	Lazarus, Kimsuky et Andariel ont tous pris l'action, volant des données "importantes" aux entreprises responsables de la défense de leurs voisins du Sud (d'eux). Lazarus, Kimsuky, and Andariel all got in on the action, stealing "important" data from firms responsible for defending their southern neighbors (from them).		APT 38	★★
	2024-04-18 07:46:32	Analyse du rat nautique utilisé dans les attaques contre les systèmes Linux Analysis of Pupy RAT Used in Attacks Against Linux Systems (lien direct)	Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat .... Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT....	Malware Threat	APT 35	★★
	2024-04-16 06:00:54	De l'ingénierie sociale aux abus DMARC: Ta427 \\'s Art of Information Gathering From Social Engineering to DMARC Abuse: TA427\\'s Art of Information Gathering (lien direct)	Key takeaways  TA427 regularly engages in benign conversation starter campaigns to establish contact with targets for long-term exchanges of information on topics of strategic importance to the North Korean regime. In addition to using specially crafted lure content, TA427 heavily leverages think tank and non-governmental organization-related personas to legitimize its emails and increase the chances that targets will engage with the threat actor. To craftily pose as its chosen personas, TA427 uses a few tactics including DMARC abuse in concert with free email addresses, typosquatting, and private email account spoofing. TA427 has also incorporated web beacons for initial reconnaissance of its targets, establishing basic information like that the email account is active. Overview  Proofpoint researchers track numerous state-sponsored and state-aligned threat actors. TA427 (also known as Emerald Sleet, APT43, THALLIUM or Kimsuky), a Democratic People\'s Republic of Korea (DPRK or North Korea) aligned group working in support of the Reconnaissance General Bureau, is particularly prolific in email phishing campaigns targeting experts for insight into US and the Republic of Korea (ROK or South Korea) foreign policy. Since 2023, TA427 has directly solicited foreign policy experts for their opinions on nuclear disarmament, US-ROK policies, and sanction topics via benign conversation starting emails. In recent months, Proofpoint researchers have observed (Figure 1) a steady, and at times increasing, stream of this activity. While our researchers have consistently observed TA427 rely on social engineering tactics and regularly rotating its email infrastructure, in December 2023 the threat actor began to abuse lax Domain-based Message Authentication, Reporting and Conformance (DMARC) policies to spoof various personas and, in February 2024, began incorporating web beacons for target profiling. It is this initial engagement, and the tactics successfully leveraged by TA427, which this blog is focused on. Figure 1. Volume of TA427 phishing campaigns observed between January 2023 and March 2024. Social engineering TA427 is a savvy social engineering expert whose campaigns are likely in support of North Korea\'s strategic intelligence collection efforts on US and ROK foreign policy initiatives. Based on the targets identified and the information sought, it is believed that TA427\'s goal is to augment North Korean intelligence and inform its foreign policy negotiation tactics (example Figure 2). TA427 is known to engage its targets for extended periods of time through a series of benign conversations to build a rapport with targets that can occur over weeks to months. They do so by constantly rotating which aliases are used to engage with the targets on similar subject matter. Figure 2. Example of TA427 campaign focused on US policy during an election year. Using timely, relevant lure content (as seen in Figure 3) customized for each victim, and often spoofing individuals in the DPRK research space with whom the victim is familiar to encourage engagement, targets are often requested to share their thoughts on these topics via email or a formal research paper or article. Malware or credential harvesting are never directly sent to the targets without an exchange of multiple messages, and based on Proofpoint visibility, rarely utilized by the threat actor. It is possible that TA427 can fulfill its intelligence requirements by directly asking targets for their opinions or analysis rather than from an infection. Additionally, insight gained from the correspondence is likely used to improve targeting of the victim organization and establish rapport for later questions and engagement. Figure 3. Timeline of real-world events based on international press reporting, side-by-side with Proofpoint observed subject lures. Lure content often includes invitations to attend events about North Korean policies regarding international affairs, questions regarding topics such as how deterr	Malware Tool Threat Conference	APT 37 APT 43	★★
	2024-04-01 08:18:43	1er avril & # 8211;Rapport de renseignement sur les menaces 1st April – Threat Intelligence Report (lien direct)	> Pour les dernières découvertes de cyber-recherche pour la semaine du 1er avril, veuillez télécharger notre bulletin Threat_Intelligence.Les meilleures attaques et violations que les gouvernements américains et britanniques ont annoncé un acte d'accusation criminel et des sanctions contre l'APT31, un groupe de pirates chinois, pour leur rôle dans les attaques prétendument contre des entreprises aux États-Unis, ainsi que [& # 8230;] >For the latest discoveries in cyber research for the week of 1st April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES The US and UK governments have announced a criminal indictment and sanctions against APT31, a group of Chinese hackers, for their role in allegedly conducting attacks against companies in the US, as well […]	Threat	APT 31	★★
	2024-03-28 22:20:00	La Finlande blâme le groupe de piratage chinois Apt31 pour la cyberattaque du Parlement Finland Blames Chinese Hacking Group APT31 for Parliament Cyber Attack (lien direct)	La police de Finlande (alias Poliisi) a officiellement accusé un acteur chinois de l'État-nation suivi comme APT31 pour avoir orchestré une cyberattaque ciblant le Parlement du pays en 2020. L'intrusion, selon les autorités, se serait produite entre l'automne 2020 et le début de 2021. L'agence a décrit la sonde criminelle en cours comme à la fois exigeante et longue, impliquant une analyse approfondie de A " The Police of Finland (aka Poliisi) has formally accused a Chinese nation-state actor tracked as APT31 for orchestrating a cyber attack targeting the country\'s Parliament in 2020. The intrusion, per the authorities, is said to have occurred between fall 2020 and early 2021. The agency described the ongoing criminal probe as both demanding and time-consuming, involving extensive analysis of a "	Legislation	APT 31	★★★
	2024-03-26 17:23:54	La Finlande confirme les pirates pirates de l'APT31 derrière la violation du Parlement en 2021 Finland confirms APT31 hackers behind 2021 parliament breach (lien direct)	La police finlandaise a confirmé mardi que le groupe de piratage de l'APT31 lié au ministère chinois de la sécurité de l'État (MSS) était à l'origine d'une violation du Parlement du pays divulgué en mars 2021. [...] The Finnish Police confirmed on Tuesday that the APT31 hacking group linked to the Chinese Ministry of State Security (MSS) was behind a breach of the country\'s parliament disclosed in March 2021. [...]	Legislation	APT 31	★★★
	2024-03-26 14:57:51	Les gouvernements américains et britanniques s'opposent à l'APT31, groupe de piratage affilié à l'État US and UK Governments Take Stand Against APT31, State-Affiliated Hacking Group (lien direct)	> lundi, l'administration Biden a annoncé un acte d'accusation criminel et des sanctions contre un groupe de pirates chinois pour leur rôle dans la conduite prétendument des hacks contre les entreprises aux États-Unis, ainsi que des représentants du gouvernement.Le gouvernement américain a inculpé sept pirates, du groupe connu sous le nom d'APT31;Dans une décision connexe, le gouvernement britannique a annoncé des sanctions contre une entreprise de front, ainsi que deux personnes en lien avec une violation à la Commission électorale du Royaume-Uni.Le gouvernement américain a noté que le groupe avait passé environ 14 ans à cibler les entreprises américaines et étrangères et les responsables politiques.«Aujourd'hui, les gouvernements du Royaume-Uni et des États-Unis [& # 8230;] >On Monday, the Biden administration announced a criminal indictment and sanctions against a group of Chinese hackers for their role in allegedly conducting hacks against companies in the US, as well as government officials. The US government charged seven hackers, from the group known as APT31; in a related move, the British government announced sanctions on a front company, as well as two individuals in connection with a breach at the UK\'s Electoral Commission. The US government noted that the group spent about 14 years targeting US and foreign businesses and political officials. “Today both the UK and US governments […]		APT 31	★★★
	2024-03-25 21:20:40	Des pirates chinois parrainés par l'État chargés, des sanctions perçues par nous Chinese State-Sponsored Hackers Charged, Sanctions Levied by US (lien direct)	Les États-Unis et le Royaume-Uni facturent à sept ressortissants chinois pour avoir fonctionné dans le cadre du groupe de menaces APT31. The US and the UK charge seven Chinese nationals for operating as part of threat group APT31.	Threat	APT 31	★★★
	2024-03-25 18:50:17	Le Trésor américain gifle les sanctions contre les pirates APT31 liés à la Chine US Treasury Slaps Sanctions on China-Linked APT31 Hackers (lien direct)	> Le Département du Trésor américain sanctionne une paire de pirates chinois liés à des «cyber-opérations malveillantes ciblant les secteurs des infrastructures critiques». >The US Treasury Department sanctions a pair of Chinese hackers linked to “malicious cyber operations targeting US critical infrastructure sectors.”		APT 31	★★
	2024-03-25 17:50:21	Les sanctions américaines ont allégué des pirates d'État chinois pour des attaques contre les infrastructures critiques US sanctions alleged Chinese state hackers for attacks on critical infrastructure (lien direct)	Les États-Unis ont sanctionné une société basée à Wuhan qui serait un front pour le ministère d'État de la Sécurité de la Chine lundi à la suite de dizaines d'attaques contre des infrastructures critiques. & NBSP;Les départements de la justice et du trésor ont accusé Wuhan Xiaoruizhi Science and Technology Company d'être une couverture pour APT31 - un groupe de piratage basé en Chine connu pour son ciblage précédemment The U.S. sanctioned a Wuhan-based company believed to be a front for China\'s Ministry of State Security on Monday following dozens of attacks on critical infrastructure. The Justice and Treasury Departments accused Wuhan Xiaoruizhi Science and Technology Company of being a cover for APT31 - a notorious China-based hacking group known for previously targeting		APT 31	★★
	2024-03-25 15:50:00	Le Royaume-Uni blâme la Chine pour 2021 Hack ciblant des millions d'électeurs \\ 'Data UK Blames China for 2021 Hack Targeting Millions of Voters\\' Data (lien direct)	Le NCSC du Royaume-Uni évalue que l'APT31 soutenu par la Chine était «presque» responsable du piratage des comptes de messagerie des parlementaires britanniques The UK\'s NCSC assesses that China-backed APT31 was “almost certainly” responsible for hacking the email accounts of UK parliamentarians	Hack	APT 31	★★
	2024-03-19 14:01:20	Lazarus Group : Hack de HTX et Heco (lien direct)	En novembre 2023, une attaque coordonnée a visé la plateforme d'échange HTX et le pont cross-chain Heco, entraînant le vol de 112,5 millions de dollars en cryptomonnaies. Le groupe de hackers nord-coréen Lazarus Group derrière l'attaque ?...	Hack	APT 38	★★★
	2024-03-15 18:33:59	Les pirates de groupe de Lazarus semblent retourner à la tornade en espèces pour le blanchiment d'argent Lazarus Group hackers appear to return to Tornado Cash for money laundering (lien direct)	Le groupe de piratage de Lazarus de la Corée du Nord aurait repris un ancien service afin de laver 23 millions de dollars volés lors d'une attaque en novembre. & NBSP;Les enquêteurs de la société de recherche Blockchain, Elliptic, ont déclaré vendredi qu'au dernier jour où ils avaient & nbsp;vu les fonds - une partie des 112,5 millions de dollars volés au HTX North Korea\'s Lazarus hacking group allegedly has turned back to an old service in order to launder $23 million stolen during an attack in November. Investigators at blockchain research company Elliptic said on Friday that in the last day they had seen the funds - part of the $112.5 million stolen from the HTX		APT 38	★★★
	2024-03-14 14:20:00	Bien qu'il se sente préparé pour les attaques basées sur l'image, la plupart des organisations ont été compromises par eux Despite Feeling Prepared for Image-Based Attacks, Most Organizations Have Been Compromised by Them (lien direct)			APT 3	★★★
	2024-03-06 08:56:56	Microsoft Windows Security Update Advisory (CVE-2024-21338) (lien direct)	aperçu du 13 février 2024, Microsoft a annoncé une élévation du noyau Windows des privilèges Vulnérabilité CVE-2012-21338correctif.La vulnérabilité se produit à certains ioctl de & # 8220; appid.sys & # 8221;Connu sous le nom de pilote AppLocker, l'une des fonctionnalités Windows.L'acteur de menace peut lire et écrire sur une mémoire de noyau aléatoire en exploitant la vulnérabilité, et peut soit désactiver les produits de sécurité ou gagner le privilège du système.Avast a rapporté que le groupe de menaces Lazarus a récemment utilisé la vulnérabilité CVE-2024-21338 à désactiver les produits de sécurité.Ainsi, les utilisateurs de Windows OS sont ... Overview On February 13th, 2024, Microsoft announced a Windows Kernel Elevation of Privilege Vulnerability CVE-2024-21338 patch. The vulnerability occurs at certain IOCTL of “appid.sys” known as AppLocker‘s driver, one of the Windows feature. The threat actor can read and write on a random kernel memory by exploiting the vulnerability, and can either disable security products or gain system privilege. AVAST reported that the Lazarus threat group has recently used CVE-2024-21338 vulnerability to disable security products. Thus, Windows OS users are...	Vulnerability Threat	APT 38	★★
	2024-03-01 00:17:13	Microsoft Zero Day utilisé par Lazarus dans Rootkit Attack Microsoft Zero Day Used by Lazarus in Rootkit Attack (lien direct)	Les acteurs de l'État nord-coréen Lazarus Group ont utilisé une journée Zero Applocker Windows, ainsi qu'un nouveau Rootkit amélioré, dans une cyberattaque récente, rapportent les chercheurs. North Korean state actors Lazarus Group used a Windows AppLocker zero day, along with a new and improved rootkit, in a recent cyberattack, researchers report.	Threat	APT 38	★★★
	2024-02-29 16:49:00	Les pirates de Lazarus ont exploité la faille du noyau Windows comme zéro-jour lors d'attaques récentes Lazarus Hackers Exploited Windows Kernel Flaw as Zero-Day in Recent Attacks (lien direct)	Les célèbres acteurs du groupe Lazare ont exploité un défaut d'escalade de privilèges récemment corrigé dans le noyau Windows comme un jour zéro pour obtenir l'accès au niveau du noyau et désactiver les logiciels de sécurité sur les hôtes compromis. La vulnérabilité en question est & NBSP; CVE-2024-21338 & NBSP; (Score CVSS: 7.8), qui peut permettre à un attaquant d'obtenir des privilèges système.Il a été résolu par Microsoft plus tôt ce mois-ci dans le cadre The notorious Lazarus Group actors exploited a recently patched privilege escalation flaw in the Windows Kernel as a zero-day to obtain kernel-level access and disable security software on compromised hosts. The vulnerability in question is CVE-2024-21338 (CVSS score: 7.8), which can permit an attacker to gain SYSTEM privileges. It was resolved by Microsoft earlier this month as part	Vulnerability Threat	APT 38	★★★
	2024-02-29 13:47:00	Lazarus exploite les fautes de frappe pour faufiler les logiciels malveillants PYPI dans les systèmes de développement Lazarus Exploits Typos to Sneak PyPI Malware into Dev Systems (lien direct)	Le groupe de piratage nord-coréen nord-coréen Lazarus a téléchargé quatre packages dans le référentiel d'index de package Python (PYPI) dans le but d'infecter les systèmes de développeurs par des logiciels malveillants. Les packages, maintenant supprimés, sont & nbsp; pycryptoenv, & nbsp; pycryptoconf, & nbsp; quasarlib et & nbsp; swapmempool.Ils ont été téléchargés collectivement 3 269 fois, PycryptoConf représentant le plus The notorious North Korean state-backed hacking group Lazarus uploaded four packages to the Python Package Index (PyPI) repository with the goal of infecting developer systems with malware. The packages, now taken down, are pycryptoenv, pycryptoconf, quasarlib, and swapmempool. They have been collectively downloaded 3,269 times, with pycryptoconf accounting for the most	Malware	APT 38	★★★★
	2024-02-29 10:28:36	Windows Zero-Day exploité par des pirates nord-coréens dans Rootkit Attack Windows Zero-Day Exploited by North Korean Hackers in Rootkit Attack (lien direct)	> Le groupe nord-coréen Lazarus a exploité le conducteur Applocker Zero-Day CVE-2024-21338 pour l'escalade des privilèges dans les attaques impliquant Fudmodule Rootkit. >North Korean group Lazarus exploited AppLocker driver zero-day CVE-2024-21338 for privilege escalation in attacks involving FudModule rootkit.	Vulnerability Threat	APT 38	★★★
	2024-02-28 10:04:50	Le Japon met en garde contre les packages PYPI malveillants créés par des pirates nord-coréens Japan warns of malicious PyPi packages created by North Korean hackers (lien direct)	L'équipe de réponse aux incidents de sécurité informatique du Japon (JPCERT / CC) avertit que le célèbre groupe de piratage nord-coréen Lazarus a téléchargé quatre packages PYPI malveillants pour infecter les développeurs par malware.[...] Japan\'s Computer Security Incident Response Team (JPCERT/CC) is warning that the notorious North Korean hacking group Lazarus has uploaded four malicious PyPI packages to infect developers with malware. [...]	Malware	APT 38	★★
	2024-02-22 14:09:46	Étapes de chaton charmantes soutenues par l'Iran Iran-Backed Charming Kitten Stages Fake Webinar Platform to Ensnare Targets (lien direct)	Le dernier stratagème de l'APT également connu sous le nom de charmant Cypress cible des experts politiques au Moyen-Orient, en Europe et aux États-Unis. The latest ploy by the APT also known as Charming Cypress targets policy experts in the Middle East, Europe, and the US.		APT 35	★★
	2024-02-19 10:09:00	Les pirates iraniens ciblent les experts de la politique du Moyen-Orient avec une nouvelle porte dérobée de base Iranian Hackers Target Middle East Policy Experts with New BASICSTAR Backdoor (lien direct)	L'acteur de menace d'origine iranienne connue sous le nom de Charming Kitten a été lié à un nouvel ensemble d'attaques destinées aux experts en politique du Moyen-Orient avec une nouvelle porte dérobée appelée & nbsp; Basicstar & nbsp; en créant un faux portail de webinaire. Le chaton charmant, également appelé Apt35, CharmingCypress, Mint Sandstorm, TA453 et Yellow Garuda, a une histoire d'orchestrer un large éventail de campagnes d'ingénierie sociale qui lancent un The Iranian-origin threat actor known as Charming Kitten has been linked to a new set of attacks aimed at Middle East policy experts with a new backdoor called BASICSTAR by creating a fake webinar portal. Charming Kitten, also called APT35, CharmingCypress, Mint Sandstorm, TA453, and Yellow Garuda, has a history of orchestrating a wide range of social engineering campaigns that cast a	Threat	APT 35	★★
	2024-02-13 14:47:15	CharmingCypress: innovation de persistance CharmingCypress: Innovating Persistence (lien direct)	> Grâce à ses offres de services de sécurité gérées, la volexité identifie régulièrement des campagnes de phisseur de lance ciblant ses clients.Un acteur de menace persistant, dont la volexité des campagnes observe fréquemment, est l'acteur de menace d'origine iranienne CharmingCypress (alias Charming Kitten, Apt42, TA453).La volexité évalue que CharmingCypress est chargé de collecter des renseignements politiques contre les cibles étrangères, en particulier en se concentrant sur les groupes de réflexion, les ONG et les journalistes.Dans leurs campagnes de phishing, CharmingCypress utilise souvent des tactiques inhabituelles d'ingénierie sociale, comme engager des cibles dans des conversations prolongées par e-mail avant d'envoyer des liens vers un contenu malveillant.Dans une campagne de lance de lance particulièrement notable observée par volexité, CharmingCypress est allé jusqu'à créer une plate-forme de webinaire entièrement fausse à utiliser dans le cadre de l'attrait.CharmingCypress contrôlé un accès à cette plate-forme, nécessitant des cibles pour installer des applications VPN chargées de logiciels malveillants avant d'accorder l'accès.Remarque: Un contenu dans ce blog a récemment été discuté dans le rapport de Microsoft \\, de nouveaux TTP observés dans la campagne de Sandstorm de Mint ciblant des individus de haut niveau dans les universités et [& # 8230;] >Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress (aka Charming Kitten, APT42, TA453). Volexity assesses that CharmingCypress is tasked with collecting political intelligence against foreign targets, particularly focusing on think tanks, NGOs, and journalists. In their phishing campaigns, CharmingCypress often employs unusual social-engineering tactics, such as engaging targets in prolonged conversations over email before sending links to malicious content. In a particularly notable spear-phishing campaign observed by Volexity, CharmingCypress went so far as to craft an entirely fake webinar platform to use as part of the lure. CharmingCypress controlled access to this platform, requiring targets to install malware-laden VPN applications prior to granting access. Note: Some content in this blog was recently discussed in Microsoft\'s report, New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and […]	Threat	APT 35 APT 42	★★★
	2024-01-24 14:00:00	Les médias d'information, les experts des affaires étrangères sont des cibles de la dernière campagne du groupe nord-coréen \\ News media, foreign affairs experts are targets of North Korean group\\'s latest campaign (lien direct)	Les pirates d'État nord-coréens visent des organisations de médias et des universitaires de haut niveau dans une nouvelle campagne d'espionnage, selon un nouveau Rapport publié cette semaine.L'objectif de ces attaques, attribué par des chercheurs de Sentinelabs à un groupe de pirates connu sous le nom de Scarcruft ou APT37, est de «recueillir des renseignements stratégiques» qui peuvent «contribuer à la prise de décision de la Corée du Nord \\ North Korean state hackers are targeting media organizations and high-profile academics in a new espionage campaign, according to a new report released this week. The goal of these attacks, attributed by researchers at SentinelLabs to a hacker group known as ScarCruft or APT37, is to “gather strategic intelligence” that can “contribute to North Korea\'s decision-making		APT 37	★★★
	2024-01-23 00:40:00	Le groupe Lazarus utilise la technique de chargement latéral DLL (2) Lazarus Group Uses the DLL Side-Loading Technique (2) (lien direct)	à travers le groupe & # 8220; Lazarus utilise la technique de chargement latéral DLL & # 8221;[1] Article de blog, Ahnlab Security Intelligence Center (ASEC) a précédemment couvert comment le groupe Lazare a utilisé la technique d'attaque de chargement de chargement DLL en utilisant des applications légitimes au stade d'accès initial pour atteindre la prochaine étape de leur processus d'attaque.Ce billet de blog couvrira les variantes de DLL ajoutées et leur routine de vérification pour les cibles.Le groupe Lazare est un groupe approprié qui cible les entreprises sud-coréennes, les institutions, les groupes de réflexion et autres.Sur ... Through the “Lazarus Group Uses the DLL Side-Loading Technique” [1] blog post, AhnLab SEcurity intelligence Center(ASEC) has previously covered how the Lazarus group used the DLL side-loading attack technique using legitimate applications in the initial access stage to achieve the next stage of their attack process. This blog post will cover the added DLL variants and their verification routine for the targets. The Lazarus group is an APT group that targets South Korean companies, institutions, think tanks, and others. On...		APT 38	★★
	2024-01-22 20:30:00	Les attaquants de Scarcruft de la Corée du Nord se préparent à cibler les pros de la cybersécurité North Korea\\'s ScarCruft Attackers Gear Up to Target Cybersecurity Pros (lien direct)	Sur la base de nouvelles routines d'infection par l'APT, elle cherche à récolter des renseignements sur les menaces afin d'améliorer la sécurité opérationnelle et la furtivité. Based on fresh infection routines the APT is testing, it\'s looking to harvest threat intelligence in order to improve operational security and stealth.	Threat	APT 37	★★★
	2024-01-22 14:45:41	Un aperçu des futures campagnes de Scarcruft - les attaquants rassemblent des renseignements stratégiques et cibler les professionnels de la cybersécurité A glimpse into future ScarCruft campaigns - Attackers gather strategic intelligence and target cybersecurity professionals (lien direct)	Un aperçu des futures campagnes de Scarcruft - les attaquants rassemblent des renseignements stratégiques et ciblent les professionnels de la cybersécurité.En collaboration avec NK News, Sentinellabs a suivi des campagnes ciblant des experts dans les affaires nord-coréennes du secteur universitaire de la Corée du Sud et une organisation de presse axée sur la Corée du Nord.Sentinellabs a observé le ciblage persistant des mêmes individus sur une période de deux mois. - mise à jour malveillant A glimpse into future ScarCruft campaigns - Attackers gather strategic intelligence and target cybersecurity professionals. In collaboration with NK News, SentinelLabs has been tracking campaigns targeting experts in North Korean affairs from South Korea\'s academic sector and a news organisation focused on North Korea. SentinelLabs has observed persistent targeting of the same individuals over a span of two months. - Malware Update		APT 37	★★★
	2024-01-22 13:55:47	ScarCruft \| Attackers Gather Strategic Intelligence and Target Cybersecurity Professionals (lien direct)	Une nouvelle activité Scarcruft suggère que l'adversaire prévoit de cibler les professionnels de la cybersécurité et les entreprises. New ScarCruft activity suggests the adversary is planning to target cybersecurity professionals and businesses.		APT 37	★★★
	2023-12-22 16:45:00	Iran \\ 'S \\' Peach Sandstorm \\ 'Les cyberattaques ciblent le réseau de défense mondiale Iran\\'s \\'Peach Sandstorm\\' Cyberattackers Target Global Defense Network (lien direct)	La porte dérobée Falsefont permet aux opérateurs d'accéder à distance à un système infecté et de lancer des fichiers supplémentaires. The FalseFont backdoor allows operators to remotely access an infected system and launch additional files.		APT 33	★★★
	2023-12-22 11:04:00	Microsoft met en garde contre le nouveau \\ 'falsefont \\' Backdoor ciblant le secteur de la défense Microsoft Warns of New \\'FalseFont\\' Backdoor Targeting the Defense Sector (lien direct)	Les organisations du secteur de la base industrielle de la défense (DIB) sont dans la réticule d'un acteur de menace iranien dans le cadre d'une campagne conçue pour livrer une porte dérobée inédite appelée Falsefont. Les résultats proviennent de Microsoft, qui suit l'activité sous son surnom et NBSP sur le thème des conditions météorologiques; Peach Sandstorm & NBSP; (anciennement Holmium), qui est également connu sous le nom d'APT33, ElfiN et Kitten raffiné. " Organizations in the Defense Industrial Base (DIB) sector are in the crosshairs of an Iranian threat actor as part of a campaign designed to deliver a never-before-seen backdoor called FalseFont. The findings come from Microsoft, which is tracking the activity under its weather-themed moniker Peach Sandstorm (formerly Holmium), which is also known as APT33, Elfin, and Refined Kitten. "	Threat Industrial	APT33 APT 33	★★★
	2023-12-21 20:46:58	La porte de la pêche de l'Iran \\ Déploie de la porte dérobée Falsefont dans le secteur de la défense Iran\\'s Peach Sandstorm Deploy FalseFont Backdoor in Defense Sector (lien direct)	par waqas PEACH SANDSTORM, également reconnu comme l'Holmium, s'est récemment concentré sur les cibles de la base industrielle de la défense mondiale (DIB). Ceci est un article de HackRead.com Lire le post original: L'Iran & # 8217; s Peach Sandstorm Deploy Deploy Falsefont Backdoor dans le secteur de la défense By Waqas Peach Sandstorm, also recognized as HOLMIUM, has recently focused on global Defense Industrial Base (DIB) targets. This is a post from HackRead.com Read the original post: Iran’s Peach Sandstorm Deploy FalseFont Backdoor in Defense Sector	Industrial	APT 33	★★
	2023-12-21 15:28:06	Microsoft: les pirates ciblent les entreprises de défense avec de nouveaux logiciels malveillants Falsefont Microsoft: Hackers target defense firms with new FalseFont malware (lien direct)	Microsoft affirme que le groupe de cyber-espionnage iranien de l'APT33 utilise des logiciels malveillants de porte dérobée de Falsefont récemment découverts pour attaquer les entrepreneurs de défense dans le monde entier.[...] Microsoft says the APT33 Iranian cyber-espionage group is using recently discovered FalseFont backdoor malware to attack defense contractors worldwide. [...]	Malware	APT33 APT 33	★★★
	2023-12-14 18:00:00	Le groupe de pétrole parrainé par l'État iranien déploie 3 nouveaux téléchargeurs de logiciels malveillants Iranian State-Sponsored OilRig Group Deploys 3 New Malware Downloaders (lien direct)	L'acteur de menace parrainé par l'État iranien connu sous le nom de & nbsp; Oilrig & nbsp; a déployé trois logiciels malveillants de téléchargeur différents tout au long de 2022 pour maintenir un accès persistant aux organisations de victimes situées en Israël. Les trois nouveaux téléchargeurs ont été nommés Odagent, OilCheck et Oilbooster par la Slovak Cybersecurity Company ESET.Les attaques ont également impliqué l'utilisation d'une version mise à jour d'un téléchargeur de pétrole connu The Iranian state-sponsored threat actor known as OilRig deployed three different downloader malware throughout 2022 to maintain persistent access to victim organizations located in Israel. The three new downloaders have been named ODAgent, OilCheck, and OilBooster by Slovak cybersecurity company ESET. The attacks also involved the use of an updated version of a known OilRig downloader	Malware Threat	APT 34	★★
	2023-12-14 16:30:00	Les pirates liés à l'Iran développent de nouveaux téléchargeurs de logiciels malveillants pour infecter les victimes en Israël Iran-linked hackers develop new malware downloaders to infect victims in Israel (lien direct)	Un groupe de cyber-espionnage lié au gouvernement iranien a développé plusieurs nouveaux téléchargeurs de logiciels malveillants au cours des deux dernières années et les a récemment utilisés pour cibler des organisations en Israël.Des chercheurs de la société Slovaquie ESET attribué Les téléchargeurs nouvellement découverts au groupe iranien de menace persistant avancé Oilrig, également connu sous le nom d'APT34.Selon les rapports précédents A cyber-espionage group linked to the Iranian government developed several new malware downloaders over the past two years and has recently been using them to target organizations in Israel. Researchers at the Slovakia-based company ESET attributed the newly discovered downloaders to the Iranian advanced persistent threat group OilRig, also known as APT34. Previous reports said	Malware Threat	APT 34	★★
	2023-12-14 10:30:00	Les attaques persistantes de Oilrig \\ à l'aide de téléchargeurs alimentés par le service cloud OilRig\\'s persistent attacks using cloud service-powered downloaders (lien direct)	Les chercheurs de l'ESET documentent une série de nouveaux téléchargeurs de pétrole, tous s'appuyant sur des fournisseurs de services cloud légitimes pour les communications C& C ESET researchers document a series of new OilRig downloaders, all relying on legitimate cloud service providers for C&C communications	Cloud	APT 34	★★
	2023-12-13 19:34:57	Opération forgeron: Lazarus cible les organisations du monde Operation Blacksmith: Lazarus Targets Organizations Worldwide Using Novel Telegram-Based Malware Written in DLang (lien direct)	#### Description Cisco Talos a découvert une nouvelle campagne menée par le groupe Lazare, appelé "Operation Blacksmith", qui emploie au moins trois nouvelles familles de logiciels malveillants basés sur Dlang, dont deux sont des chevaux de Troie (rats), où l'un d'eux utilise des robots télégrammes etcanaux comme moyen de communications de commandement et de contrôle (C2). Les rats sont nommés "ninerat" et "dlrat", et le téléchargeur s'appelle "Bottomloader".La campagne consiste en un ciblage opportuniste continu des entreprises à l'échelle mondiale qui hébergent et exposent publiquement leur infrastructure vulnérable à l'exploitation de la vulnérabilité des jours tels que CVE-2021-44228 (log4j).Lazare a ciblé les sociétés de fabrication, d'agriculture et de sécurité physique.Le malware est écrit dans DLANG, indiquant un changement définitif dans les TTP des groupes APT qui relèvent du parapluie de Lazare, l'adoption accrue de logiciels malveillants étant rédigée à l'aide de cadres non traditionnels tels que le framework QT, y compris MagicRat et Quiterat. #### URL de référence (s) 1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ #### Date de publication 11 décembre 2023 #### Auteurs) Jungsoo an #### Description Cisco Talos has discovered a new campaign conducted by the Lazarus Group, called "Operation Blacksmith," which employs at least three new DLang-based malware families, two of which are remote access trojans (RATs), where one of these uses Telegram bots and channels as a medium of command and control (C2) communications. The RATs are named "NineRAT" and "DLRAT," and the downloader is called "BottomLoader." The campaign consists of continued opportunistic targeting of enterprises globally that publicly host and expose their vulnerable infrastructure to n-day vulnerability exploitation such as CVE-2021-44228 (Log4j). Lazarus has targeted manufacturing, agricultural, and physical security companies. The malware is written in DLang, indicating a definitive shift in TTPs from APT groups falling under the Lazarus umbrella with the increased adoption of malware being authored using non-traditional frameworks such as the Qt framework, including MagicRAT and QuiteRAT. #### Reference URL(s) 1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ #### Publication Date December 11, 2023 #### Author(s) Jungsoo An	Malware Vulnerability	APT 38	★★★
	2023-12-13 10:21:31	La plate-forme de protection de Phosphore CPS a déclaré que les directives d'atténuation de la CISA pour les principaux risques de confession Phosphorus CPS Protection Platform said to match CISA mitigation guidance for top misconfiguration risk (lien direct)	> Le phosphore a appelé les organisations avec des systèmes cyber-physiques (CPS) pour résoudre les problèmes de mauvaise configuration clés qui les rendent vulnérables ... >Phosphorus has called upon organizations with cyber-physical systems (CPS) to address key misconfiguration issues that leave them vulnerable...		APT 35	★★★
	2023-12-13 06:05:28	Le rapport de réflexion sur les étiquettes NSO, Lazarus, comme \\ 'cyber-mercenaires \\' Think tank report labels NSO, Lazarus, as \\'cyber mercenaries\\' (lien direct)	Bien sûr, ils font des crimes.Mais les gouvernements de déni plausible adorent qu'ils méritent une étiquette différente gangs de cybercriminalité comme le célèbre groupe de Lazare et les vendeurs de logiciels espions comme le NSO d'Israel \\ devraient être considérés comme des cyber-mercenaires & # 8211;et devenir le sujet d'une réponse internationale concertée & # 8211;Selon un rapport du lundi de la Fondation de recherche sur l'observateur de réflexion basée à Delhi (ORF).… Sure, they do crimes. But the plausible deniability governments adore means they deserve a different label Cybercrime gangs like the notorious Lazarus group and spyware vendors like Israel\'s NSO should be considered cyber mercenaries – and become the subject of a concerted international response – according to a Monday report from Delhi-based think tank Observer Research Foundation (ORF).…		APT 38	★★
	2023-12-12 10:21:10	Log4j : deux ans après, la menace persiste (lien direct)	Voilà deux ans, on découvrait une faille critique dans Log4j. Des malwares en tirent encore parti. Illustration avec trois d'entre eux, liés à l'APT Lazarus.		APT 38	★★★
	2023-12-12 09:32:48	Cisco révèle l'opération forger Cisco reveals Operation Blacksmith as Lazarus targets organizations with new Telegram-based malware in DLang (lien direct)	Cisco Talos a découvert une nouvelle campagne menée par le groupe Lazare qu'il a nommé le forgeron de l'opération, \\ 'employant ... Cisco Talos discovered a new campaign conducted by the Lazarus Group that it has codenamed \'Operation Blacksmith,\' employing...	Malware	APT 38	★★★
	2023-12-11 20:30:00	Pirates nord-coréens utilisant la vulnérabilité log4j dans la campagne mondiale North Korean hackers using Log4J vulnerability in global campaign (lien direct)	Les pirates connectés à Groupe de Lazarus de la Corée du Nord ont exploité le Vulnérabilité LOG4J Dans une campagne d'attaques ciblant les entreprises dans les secteurs de la fabrication, de l'agriculture et de la sécurité physique.Connu sous le nom de «Faire du forgeron de l'opération», la campagne a vu les pirates de Lazarus utiliser au moins trois nouvelles familles de logiciels malveillants, selon des chercheurs de Cisco Talos qui ont nommé l'un des Hackers connected to North Korea\'s Lazarus Group have been exploiting the Log4j vulnerability in a campaign of attacks targeting companies in the manufacturing, agriculture and physical security sectors. Known as “Operation Blacksmith,” the campaign saw Lazarus hackers use at least three new malware families, according to researchers at Cisco Talos who named one of the	Malware Vulnerability	APT 38	★★
	2023-12-11 18:30:00	Groupe Lazarus utilisant des exploits log4j pour déployer des chevaux de Troie à distance Lazarus Group Using Log4j Exploits to Deploy Remote Access Trojans (lien direct)	L'acteur de menace notoire en Corée du Nord connu sous le nom de & NBSP; Lazarus Group & NBSP; a été attribué à une nouvelle campagne mondiale qui implique l'exploitation opportuniste des défauts de sécurité dans Log4J pour déployer des trojans d'accès à distance non documenté (rats) sur des hôtes compromis. Cisco Talos suit l'activité sous le nom de l'opération Blacksmith, notant l'utilisation de trois dlang The notorious North Korea-linked threat actor known as the Lazarus Group has been attributed to a new global campaign that involves the opportunistic exploitation of security flaws in Log4j to deploy previously undocumented remote access trojans (RATs) on compromised hosts. Cisco Talos is tracking the activity under the name Operation Blacksmith, noting the use of three DLang-based	Threat	APT 38	★★★
	2023-12-11 18:08:15	Langues de mémoire de mémoire si chaudes en ce moment, accepte le groupe Lazarus alors qu'il frappe les logiciels malveillants dlang Memory-safe languages so hot right now, agrees Lazarus Group as it slings DLang malware (lien direct)	Le dernier cyber-groupe offensif pour passer à la programmation atypique pour les charges utiles La recherche sur les attaques de Lazarus Group \\ à l'aide de Log4Shell a révélé de nouvelles souches de logiciels malveillants écrits dans un langage de programmation atypique.…	Malware	APT 38	★★
	2023-12-11 17:00:00	Le groupe Lazarus cible le défaut log4shell via des bots télégrammes Lazarus Group Targets Log4Shell Flaw Via Telegram Bots (lien direct)	Cisco Talos a déclaré que le forgeron de l'opération a mis à profit la faille dans les serveurs VMware Horizon à la face publique Cisco Talos said Operation Blacksmith leveraged the flaw in publicly facing VMWare Horizon servers		APT 38	★★
	2023-12-11 16:25:32	Les pirates de Lazarus déposent de nouveaux logiciels malveillants de rat en utilisant un bug Log4J de 2 ans Lazarus hackers drop new RAT malware using 2-year-old Log4j bug (lien direct)	Le célèbre groupe de piratage nord-coréen connu sous le nom de Lazarus continue d'exploiter le CVE-2021-44228, alias "Log4Shell", cette fois pour déployer trois familles de logiciels malveillants invisibles écrites à Dlang.[...] The notorious North Korean hacking group known as Lazarus continues to exploit CVE-2021-44228, aka "Log4Shell," this time to deploy three previously unseen malware families written in DLang. [...]	Malware Threat	APT 38	★★
	2023-12-11 16:15:00	Le groupe Lazarus est toujours à la main Log4Shell, en utilisant des rats écrits en \\ 'd \\' Lazarus Group Is Still Juicing Log4Shell, Using RATs Written in \\'D\\' (lien direct)	La tristement célèbre vulnérabilité peut être de l'ancien côté à ce stade, mais Primo apt Lazarus de la Corée du Nord crée de nouveaux logiciels malveillants uniques autour de lui à un clip remarquable. The infamous vulnerability may be on the older side at this point, but North Korea\'s primo APT Lazarus is creating new, unique malware around it at a remarkable clip.	Malware Vulnerability	APT 38	★★
	2023-12-06 21:30:00	Les pirates nord-coréens ont volé les données du système anti-aérien de l'entreprise sud-coréenne North Korean hackers stole anti-aircraft system data from South Korean firm (lien direct)	La police métropolitaine de Séoul a accusé mardi un groupe de piratage nord-coréen de cibler des sociétés sud-coréennes liées à l'industrie de la défense et de voler des informations sensibles sur les systèmes d'armes anti-aériens.Dans un communiqué de presse, faire connaître l'enquête sur le groupe de piratage d'Andariel - qui a des liens vers le célèbre groupe de Lazare - la police a déclaré qu'ils The Seoul Metropolitan Police on Tuesday accused a North Korean hacking group of targeting South Korean companies connected to the defense industry and stealing sensitive information about anti-aircraft weapon systems. In a press release publicizing the investigation into the Andariel hacking group - which has links to the notorious Lazarus Group - police said they		APT 38	★★★
	2023-11-30 17:35:00	Feds saisit \\ 'Sinbad \\' Mélangeur cryptographique utilisé par la Corée du Nord \\'s Lazarus Feds Seize \\'Sinbad\\' Crypto Mixer Used by North Korea\\'s Lazarus (lien direct)	L'acteur de menace prolifique a blanchi des centaines de millions de dollars en monnaie virtuelle volée par le biais du service. The prolific threat actor has laundered hundreds of millions of dollars in stolen virtual currency through the service.	Threat	APT 38 APT 38	★★

Last update at: 2024-05-04 09:07:55
See our sources.

To see everything: Our RSS (filtrered)