What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-06-07 20:11:00 | Le groupe de piratage nord-coréen Lazarus lié à 35 millions de dollars de crypto-monnaie North Korean hacking group Lazarus linked to $35 million cryptocurrency heist (lien direct) |
Les pirates nord-coréens nords du groupe de Lazare pourraient potentiellement être responsables du braquage de crypto-monnaie de 35 millions de dollars de la plate-forme de portefeuille décentralisée Atomic Wallet, selon les analystes.Utilisateurs de portefeuilles atomiques \\ 'portefeuilles ont été compromis Plus tôt la semaine dernière.Selon la société \\ de la société, déclaration , moins de 1% de ses clients actifs mensuels ont été affectés par le hack.
The notorious North Korean hackers of Lazarus Group could potentially be responsible for the $35 million cryptocurrency heist from the decentralized wallet platform Atomic Wallet, according to analysts. Atomic Wallet users\' wallets were compromised earlier last week. According to the company\'s statement, less than 1% of its monthly active customers were affected by the hack. |
APT 38 | ★★★ | |
|
2023-06-06 14:44:00 | Les hackers nord-coréens pardoient des sociétés de capital-risque au Japon, au Vietnam et aux États-Unis North Korean hackers spoof venture capital firms in Japan, Vietnam and US (lien direct) |
Les pirates basés en Corée du Nord usurpent des institutions financières et des sociétés de capital-risque aux États-Unis, au Vietnam et au Japon, selon de nouvelles recherches.Le groupe insikt de l'avenir enregistré a lié la campagne à |
APT 38 | ★★ | |
 |
2023-06-05 16:17:19 | Kimuky, le code malveillant made un Corée du Nord (lien direct) | Les États-Unis et la Corée du Sud avertissent sur les méthodes d'espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium. | APT 37 APT 43 | ★★ | |
 |
2023-06-02 16:00:00 | Les agences américaines et coréennes émettent un avertissement sur les cyberattaques nord-coréennes US and Korean Agencies Issue Warning on North Korean Cyber-Attacks (lien direct) |
L'avis identifie plusieurs acteurs: Kimsuky, Thallium, APT43, Velvet Chollima et Black Banshee
The advisory identifies several actors: Kimsuky, Thallium, APT43, Velvet Chollima and Black Banshee |
APT 37 APT 43 APT 43 | ★★★ | |
 |
2023-06-01 12:28:00 | Les pirates de Scarcruft N. coréen exploitent les fichiers LNK pour diffuser Rokrat N. Korean ScarCruft Hackers Exploit LNK Files to Spread RokRAT (lien direct) |
Les chercheurs en cybersécurité ont offert un examen plus approfondi de l'accès à distance Rokrat qui a été employé par l'acteur nord-coréen parrainé par l'État connu sous le nom de Scarcruft.
"Rokrat est un cheval de Troie (rat) à accès à distance sophistiqué qui a été observé comme un composant critique au sein de la chaîne d'attaque, permettant aux acteurs de la menace d'obtenir un accès non autorisé, des informations sensibles exfiltrées et potentiellement
Cybersecurity researchers have offered a closer look at the RokRAT remote access trojan that\'s employed by the North Korean state-sponsored actor known as ScarCruft. "RokRAT is a sophisticated remote access trojan (RAT) that has been observed as a critical component within the attack chain, enabling the threat actors to gain unauthorized access, exfiltrate sensitive information, and potentially |
Threat | APT 37 | ★★ |
 |
2023-05-31 17:19:00 | Anomali Cyber Watch: Shadow Force cible les serveurs coréens, Volt Typhoon abuse des outils intégrés, Cosmicenergy Tests Electric Distribution Perturbation Anomali Cyber Watch: Shadow Force Targets Korean Servers, Volt Typhoon Abuses Built-in Tools, CosmicEnergy Tests Electric Distribution Disruption (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de la cyber-montre anomali discutent des sujets suivants: Chine, chargement de DLL, vivant de la terre, technologie opérationnelle, ransomware, et Russie .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
shadowVictiticoor et Coinmin de Force Group \\
(Publié: 27 mai 2023)
Force Shadow est une menace qui cible les organisations sud-coréennes depuis 2013. Il cible principalement les serveurs Windows.Les chercheurs d'AHNLAB ont analysé l'activité du groupe en 2020-2022.Les activités de force fantôme sont relativement faciles à détecter car les acteurs ont tendance à réutiliser les mêmes noms de fichiers pour leurs logiciels malveillants.Dans le même temps, le groupe a évolué: après mars, ses fichiers dépassent souvent 10 Mo en raison de l'emballage binaire.Les acteurs ont également commencé à introduire divers mineurs de crypto-monnaie et une nouvelle porte dérobée surnommée Viticdoor.
Commentaire de l'analyste: Les organisations doivent garder leurs serveurs à jour et correctement configurés avec la sécurité à l'esprit.Une utilisation et une surchauffe du processeur inhabituellement élevées peuvent être un signe du détournement de ressources malveillantes pour l'exploitation de la crypto-monnaie.Les indicateurs basés sur le réseau et l'hôte associés à la force fantôme sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1588.003 - obtenir des capacités:Certificats de signature de code | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1027.002 - fichiers ou informations obscurcies: emballage logiciel | [mitre att & amp; ck] t1569.002: exécution du service | [mitre att & amp; ck] T1059.003 - Commande et script Interpréteur: Windows Command Shell | [mitre att & amp; ck] T1547.001 - Exécution de botter ou de connexion automatique: Registre Run Keys / Startup Folder | [mitre att & amp; ck] t1546.008 - Événement Exécution déclenchée: caractéristiques de l'accessibilité | [mitre att & amp; ck] t1543.003 - créer ou modifier le processus système: service Windows | [mitre att & amp; ck] t1554 - compromis le logiciel client binaire | [mitreAtt & amp; ck] t1078.001 - Comptes valides: comptes par défaut | [mitre att & amp; ck] t1140 - désobfuscate / décode ou infor |
Ransomware Malware Tool Vulnerability Threat | APT 38 Guam CosmicEnergy | ★★ |
 |
2023-05-25 21:18:00 | Groupe Lazarus frappant des serveurs Web vulnérables IIS IIS Lazarus Group Striking Vulnerable Windows IIS Web Servers (lien direct) |
Le tristement célèbre groupe nord-coréen APT utilise Log4Shell, l'attaque de la chaîne d'approvisionnement 3CX et d'autres vecteurs connus pour briser les serveurs Web Microsoft.
The infamous North Korean APT group is using Log4Shell, the 3CX supply chain attack, and other known vectors to breach Microsoft Web servers. |
APT 38 | ★★ | |
 |
2023-05-25 16:17:54 | Les chefs de cybersécurité naviguent sur les risques d'IA et les récompenses potentielles Cybersecurity Chiefs Navigate AI Risks and Potential Rewards (lien direct) |
Le tristement célèbre groupe nord-coréen APT utilise Log4Shell, l'attaque de la chaîne d'approvisionnement 3CX et d'autres vecteurs connus pour briser les serveurs Web Microsoft.
The infamous North Korean APT group is using Log4Shell, the 3CX supply chain attack, and other known vectors to breach Microsoft Web servers. |
APT 30 | ★★★ | |
 |
2023-05-24 15:17:19 | NOUVEAUX RETOURS DE MALWOREAUX POWEREXCHANGE Microsoft Exchange Serveurs New PowerExchange malware backdoors Microsoft Exchange servers (lien direct) |
Un nouveau logiciel malveillant basé sur PowerShell surnommé PowereXchange a été utilisé dans les attaques liées aux pirates d'État iraniens de l'APT34 aux serveurs Microsoft Exchange sur site.[...]
A new PowerShell-based malware dubbed PowerExchange was used in attacks linked to APT34 Iranian state hackers to backdoor on-premise Microsoft Exchange servers. [...] |
Malware | APT 34 | ★★ |
|
2023-05-24 15:00:00 | Groupe Lazare ciblant les serveurs Web Microsoft pour lancer des logiciels malveillants d'espionnage Lazarus Group Targeting Microsoft Web Servers to Launch Espionage Malware (lien direct) |
Les chercheurs détaillent la technique de chargement latéral DLL utilisé pour déployer des logiciels malveillants qui facilitent le vol d'identification et le mouvement latéral
Researchers detail the DLL side-loading technique used to deploy malware that facilitates credential theft and lateral movement |
Malware | APT 38 | ★★ |
|
2023-05-24 13:00:00 | Le groupe coréen Lazarus cible les serveurs Microsoft IIS pour déployer des logiciels malveillants d'espionnage N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware (lien direct) |
Le tristement célèbre acteur du groupe Lazarus a ciblé les versions vulnérables des serveurs Microsoft Internet Information Services (IIS) comme voie de violation initiale pour déployer des logiciels malveillants sur des systèmes ciblés.
Les résultats proviennent du Ahnlab Security Emergency Response Center (ASEC), qui a détaillé la poursuite de la menace persistante avancée (APT) Abus continu des techniques de chargement secondaire DLL pour déployer des logiciels malveillants.
"Le
The infamous Lazarus Group actor has been targeting vulnerable versions of Microsoft Internet Information Services (IIS) servers as an initial breach route to deploy malware on targeted systems. The findings come from the AhnLab Security Emergency response Center (ASEC), which detailed the advanced persistent threat\'s (APT) continued abuse of DLL side-loading techniques to deploy malware. "The |
Malware | APT 38 | ★★ |
 |
2023-05-23 01:00:00 | Groupe Lazare ciblant les serveurs Web Windows IIS Lazarus Group Targeting Windows IIS Web Servers (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a récemment confirmé le groupe Lazarus, un groupe connu pour recevoir un soutienÀ l'échelle nationale, effectuant des attaques contre les serveurs Web Windows IIS.Habituellement, lorsque les acteurs de la menace effectuent une analyse et trouvent un serveur Web avec une version vulnérable, ils utilisent la vulnérabilité adaptée à la version pour installer un shell Web ou exécuter des commandes malveillantes.Le journal AHNLAB Smart Defense (ASD) affiché ci-dessous dans la figure 1 montre que les systèmes Windows Server sont ...
AhnLab Security Emergency response Center (ASEC) has recently confirmed the Lazarus group, a group known to receive support on a national scale, carrying out attacks against Windows IIS web servers. Ordinarily, when threat actors perform a scan and find a web server with a vulnerable version, they use the vulnerability suitable for the version to install a web shell or execute malicious commands. The AhnLab Smart Defense (ASD) log displayed below in Figure 1 shows that Windows server systems are... |
Vulnerability Threat | APT 38 | ★★ |
 |
2023-05-10 11:00:50 | Capita regardant une facture de & livre; 20m sur les frais de nettoyage de la violation Capita looking at a bill of £20M over breach clean-up costs (lien direct) |
L'analyste dit que les dépenses \\ 'pas une petite baisse de l'océan \', mais les dommages de réputation pourraient être \\ 'beaucoup plus grand \' La Capita du géant de l'externalisation de la Grande-Bretagne a averti les investisseurs queLa facture de nettoyage pour son récent effraction numérique coûtera jusqu'à & livre; 20 millions (25,24 millions de dollars).…
Analyst says expense \'no small drop in ocean\' but reputational damage could be \'far greater\' Britain\'s leaky outsourcing behemoth Capita is warning investors that the clean-up bill for its recent digital break-in will cost up to £20 million ($25.24 million).… |
APT 32 | ★★ | |
|
2023-05-09 20:02:00 | Anomali Cyber Watch: l'environnement virtuel personnalisé cache Fluorshe Anomali Cyber Watch: Custom Virtual Environment Hides FluHorse, BabyShark Evolved into ReconShark, Fleckpe-Infected Apps Add Expensive Subscriptions (lien direct) |
The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, Defense evasion, Infostealers, North Korea, Spearphishing, and Typosquatting. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity. 
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
Deconstructing Amadey’s Latest Multi-Stage Attack and Malware Distribution
(published: May 5, 2023)
McAfee researchers have detected a multi-stage attack that starts with a trojanized wextract.exe, Windows executable used to extract files from a cabinet (CAB) file. It was used to deliver the AgentTesla, Amadey botnet, LockBit ransomware, Redline Stealer, and other malicious binaries. To avoid detection, the attackers use obfuscation and disable Windows Defender through the registry thus stopping users from turning it back on through the Defender settings.
Analyst Comment: Threat actors are always adapting to the security environment to remain effective. New techniques can still be spotted with behavioral analysis defenses and social engineering training. Users should report suspicious files with double extensions such as .EXE.MUI. Indicators associated with this campaign are available in the Anomali platform and users are advised to block these on their infrastructure.
MITRE ATT&CK: [MITRE ATT&CK] T1562.001: Disable or Modify Tools | [MITRE ATT&CK] T1555 - Credentials From Password Stores | [MITRE ATT&CK] T1486: Data Encrypted for Impact | [MITRE ATT&CK] T1027 - Obfuscated Files Or Information
Tags: malware:Amadey, malware-type:Botnet, malware:RedLine, malware:AgentTesla, malware-type:Infostealer, malware:LockBit, malware-type:Ransomware, abused:Wextract.exe, file-type:CAB, file-type:EXE, file-type:MUI, target-program:Windows Defender, target-system:Windows
Eastern Asian Android Assault – FluHorse
(published: May 4, 2023)
Active since May 2022, a newly-detected Android stealer dubbed FluHorse spreads mimicking popular apps or as a fake dating application. According to Check Point researchers, FluHorse was targeting East Asia (Taiwan and Vietnam) while remaining undetected for months. This stealthiness is achieved by sticking to minimal functions while also relying on a custom virtual machine that comes with the Flutter user interface software development kit. FluHorse is being distributed via emails that prompt the recipient to install the app and once installed, it asks for the user’s credit card or banking data. If a second factor authentication is needed to commit banking fraud, FluHorse tells the user to wait for 10-15 minutes while intercepting codes by installing a listener for all incoming SMS messages.
Analyst Comment: FluHorse\'s ability to remain undetected for months makes it a dangerous threat. Users should avoid installing applications following download links received via email or other messaging. Verify the app authenticity on the official com |
Malware Tool Threat | APT 37 APT 43 | ★★★ |
|
2023-05-09 14:23:00 | Microsoft met en garde contre les attaques parrainées par l'État exploitant la vulnérabilité critique de papier Microsoft Warns of State-Sponsored Attacks Exploiting Critical PaperCut Vulnerability (lien direct) |
Les groupes iraniens de l'État-nation ont maintenant rejoint les acteurs motivés financièrement dans l'exploitation active d'un défaut critique dans le logiciel de gestion de Papercut Print, a déclaré Microsoft.
L'équipe de renseignement sur les menaces du géant de la technologie a déclaré qu'elle avait observé à la fois Mango Sandstorm (Mercury) et Mint Sandstorm (phosphore) armorant le CVE-2023-27350 dans leurs opérations pour obtenir un accès initial.
"Cette activité montre la menthe
Iranian nation-state groups have now joined financially motivated actors in actively exploiting a critical flaw in PaperCut print management software, Microsoft said. The tech giant\'s threat intelligence team said it observed both Mango Sandstorm (Mercury) and Mint Sandstorm (Phosphorus) weaponizing CVE-2023-27350 in their operations to achieve initial access. "This activity shows Mint |
Vulnerability Threat | APT 35 | ★★ |
|
2023-05-07 23:30:00 | AHNLAB EDR suit et répond contre le fichier de liaison (* .lnk) Distribution de Rokrat AhnLab EDR Tracks and Responds against Link File (*.lnk) Distributing RokRAT (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a partagé des informations concernant le groupe de menaces Redeyes (également connu sous le nom d'APT37, Scarcruft), qui a distribué CHM malware déguisé en e-mail de sécurité d'une société financière coréenne le mois dernier.Le fichier LNK contient une commande PowerShell et effectue un comportement malveillant sans la connaissance de l'individu qui utilise le fichier PDF normal en créant et en exécutant des fichiers de script ainsi que des fichiers normaux dans le chemin d'accès temporaire.Si un fichier LNK malveillant est injecté dans un ...
AhnLab Security Emergency response Center (ASEC) has shared information regarding the RedEyes threat group (also known as APT37, ScarCruft), who distributed CHM Malware Disguised as Security Email from a Korean Financial Company last month. The LNK file contains a PowerShell command and performs malicious behavior without the knowledge of the individual who uses the normal pdf file by creating and executing script files along with normal files in the temp path. If a malicious LNK file is injected into a... |
Malware Threat | APT 37 | ★★ |
 |
2023-05-05 12:00:43 | Faire l'authentification plus rapidement que jamais: Passkeys vs mots de passe Making authentication faster than ever: passkeys vs. passwords (lien direct) |
Silvia Convento, Senior UX Researcher and Court Jacinic, Senior UX Content DesignerIn recognition of World Password Day 2023, Google announced its next step toward a passwordless future: passkeys. Passkeys are a new, passwordless authentication method that offer a convenient authentication experience for sites and apps, using just a fingerprint, face scan or other screen lock. They are designed to enhance online security for users. Because they are based on the public key cryptographic protocols that underpin security keys, they are resistant to phishing and other online attacks, making them more secure than SMS, app based one-time passwords and other forms of multi-factor authentication (MFA). And since passkeys are standardized, a single implementation enables a passwordless experience across browsers and operating systems. Passkeys can be used in two different ways: on the same device or from a different device. For example, if you need to sign in to a website on an Android device and you have a passkey stored on that same device, then using it only involves unlocking the phone. On the other hand, if you need to sign in to that website on the Chrome browser on your computer, you simply scan a QR code to connect the phone and computer to use the passkey.The technology behind the former (“same device passkey”) is not new: it was originally developed within the FIDO Alliance and first implemented by Google in August 2019 in select flows. Google and other FIDO members have been working together on enhancing the underlying technology of passkeys over the last few years to improve their usability and convenience. This technology behind passkeys allows users to log in to their account using any form of device-based user verification, such as biometrics or a PIN code. A credential is only registered once on a user\'s personal device, and then the device proves possession of the registered credential to the remote server by asking the user to use their device\'s screen lock. The user\'s biometric, or other screen lock data, is never sent to Google\'s servers - it stays securely stored on the device, and only cryptographic proof that the user has correctly provided it is sent to Google. Passkeys are also created and stored on your devices and are not sent to websites or apps. If you create a passkey on one device the Google Password Manager can make it available on your other devices that are signed into the same system account.Learn more on how passkey works under the hoo | APT 38 APT 15 APT 10 Guam | ★★ | |
|
2023-05-02 16:47:00 | L'APT nord-coréen se déplace dans le blocage des macro avec un changement LNK North Korean APT Gets Around Macro-Blocking With LNK Switch-Up (lien direct) |
APT37 fait partie d'une liste croissante d'acteurs de menace qui sont passés aux fichiers de raccourci Windows après que Microsoft a bloqué les macros l'année dernière.
APT37 is among a growing list of threat actors that have switched to Windows shortcut files after Microsoft blocked macros last year. |
Threat | APT 37 | ★★ |
|
2023-05-02 12:24:00 | Scarcruft de la Corée du Nord déploie des logiciels malveillants Rokrat via des chaînes d'infection des fichiers LNK North Korea\\'s ScarCruft Deploys RokRAT Malware via LNK File Infection Chains (lien direct) |
L'acteur de menace nord-coréenne connue sous le nom de Scarcruft a commencé à expérimenter avec des fichiers LNK surdimensionnés comme voie de livraison pour les logiciels malveillants de Rokrat dès juillet 2022, le même mois, Microsoft a commencé à bloquer les macros entre les documents de bureau par défaut.
"Rokrat n'a pas changé de manière significative au fil des ans, mais ses méthodes de déploiement ont évolué, utilisant désormais des archives contenant des fichiers LNK qui initient
The North Korean threat actor known as ScarCruft began experimenting with oversized LNK files as a delivery route for RokRAT malware as early as July 2022, the same month Microsoft began blocking macros across Office documents by default. "RokRAT has not changed significantly over the years, but its deployment methods have evolved, now utilizing archives containing LNK files that initiate |
Malware Threat | APT 37 | ★★ |
|
2023-05-01 23:16:00 | Anomali Cyber Watch: APT37 adopte les fichiers LNK, Charming Kitten utilise le bordereau d'implant Bellaciao, le cryptage de remappage d'octet unique Vipersoftx InfostEaler Anomali Cyber Watch: APT37 Adopts LNK Files, Charming Kitten Uses BellaCiao Implant-Dropper, ViperSoftX Infostealer Unique Byte Remapping Encryption (lien direct) |
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, Remapping, Cloud C2s, Infostalers, Iran, Corée du Nord, Rats, et vulnérabilités .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
Réaction en chaîne: Rokrat & rsquo; s.Lien manquant
(Publié: 1er mai 2023)
Depuis 2022, le groupe parrainé par le Nord-Korea APT37 (Group123, Ricochet Chollima) a principalement changé ses méthodes de livraison de Maldocs pour cacher des charges utiles à l'intérieur des fichiers LNK surdimensionnés.Vérifier les chercheurs a identifié plusieurs chaînes d'infection utilisées par le groupe de juillet 2022 à avril 2023. Celles-ci ont été utilisées pour livrer l'un des outils personnalisés de l'APT37 (Goldbackdoor et Rokrat), ou le malware de marchandises Amadey.Tous les leurres étudiés semblent cibler des personnes coréennes avec des sujets liés à la Corée du Sud.
Commentaire de l'analyste: Le passage aux chaînes d'infection basées sur LNK permet à APT37 de l'interaction utilisateur moins requise car la chaîne peut être déclenchée par un simple double clic.Le groupe continue l'utilisation de Rokrat bien triés qui reste un outil furtif avec ses couches supplémentaires de cryptage, le cloud C2 et l'exécution en mémoire.Les indicateurs associés à cette campagne sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquerleur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1059.001: Powershell | [mitre att & amp; ck] t1055 - injection de processus | [mitre att & amp; ck] t1027 - fichiers ou informations obscurcis | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1204.002 - Exécution des utilisateurs: fichier malveillant | [mitre att & amp; ck] t1059.005 - commande et script interprète: visuel basique | [mitre att & amp; ck] t1140 - désobfuscate / décode ou informations | [mitre att & amp; ck] T1218.011 - Exécution par proxy binaire signée: Rundll32
Tags: malware: Rokrat, mitre-software-id: s0240, malware-Type: Rat, acteur: Groupe123, mitre-groupe: APT37, acteur: Ricochet Chollima, Country source: Corée du Nord, Country source: KP, Cible-Country: Corée du Sud, Cible-Country: KR, Type de fichier: Zip, déposer-Type: Doc, Fichier-Type: ISO, Fichier-Type: LNK, File-Type: Bat, File-Type: EXE, Fichier-Type: VBS, malware: Amadey,MALWARE: Goldbackdoor, Type de logiciels malveillants: porte dérobée, abusée: Pcloud, abusé: Cloud Yandex, abusé: OneDrive, abusé: & # 8203; & # 8203; Processeur de mots Hangul, abusé: themida, système cible: Windows
|
Ransomware Malware Tool Vulnerability Threat Prediction Cloud | APT 37 APT 37 APT 35 | ★★ |
 |
2023-05-01 11:32:18 | Réaction en chaîne: le lien manquant de Rokrat \\ Chain Reaction: ROKRAT\\'s Missing Link (lien direct) |
> Introduction des principales conclusions des nombreux rapports sur APT37 Au cours des derniers mois, à l'annonce de Mandiant \\ sur & # 160; APT43, beaucoup d'attention est actuellement axée sur les acteurs des menaces nord-coréennes & # 8211;Et pour raison.La Corée du Nord a une longue histoire d'attaque de son voisin du sud, en particulier par la cyber-guerre qui se poursuit aujourd'hui.Dans ce [& # 8230;]
>Key findings Introduction From the many reports on APT37 in recent months, to Mandiant\'s announcement on APT43, a lot of attention is currently focused on North Korean threat actors – and with good reason. North Korea has a long history of attacking its southern neighbor, especially by means of cyber warfare which continues today. In this […] |
Threat | APT 37 APT 43 | ★★ |
|
2023-04-30 16:51:00 | Iran apt utilisant \\ 'Bellaciao \\' malware contre les cibles aux États-Unis, en Europe et en Asie Iran APT using \\'BellaCiao\\' malware against targets in US, Europe and Asia (lien direct) |
Un groupe de piratage parrainé par l'État iranien a été accusé d'avoir déployé une nouvelle souche de logiciels malveillants nommé Bellaciao contre plusieurs victimes aux États-Unis, en Europe, en Inde, en Turquie et dans d'autres pays.Des chercheurs de la société de cybersécurité Bitdefender [attribuée] (https://www.bitdefender.com/blog/businessinsights/unpacking-bellaciaooo-a-closer-look-at-irans-latest-malware/) le maline à APT35 / APT42 & #8211;également connu sous le nom de Mint Sandstorm ou Charming Kitten & # 8211;un groupe de menaces persistantes avancé qui
An Iranian state-sponsored hacking group has been accused of deploying a new strain of malware named BellaCiao against several victims in the U.S., Europe, India, Turkey and other countries. Researchers from cybersecurity firm Bitdefender [attributed](https://www.bitdefender.com/blog/businessinsights/unpacking-bellaciao-a-closer-look-at-irans-latest-malware/) the malware to APT35/APT42 – also known as Mint Sandstorm or Charming Kitten – an advanced persistent threat group that |
Malware Threat | APT 35 APT 42 | ★★★ |
|
2023-04-28 20:18:35 | \\ 'Bellaciao \\' présente comment les groupes de menaces d'Iran \\ modernisent leur malware \\'BellaCiao\\' Showcases How Iran\\'s Threat Groups Are Modernizing Their Malware (lien direct) |
Le compte-gouttes est utilisé dans une charmante campagne pour chaton qui a frappé des organisations dans plusieurs pays.
The dropper is being used in a Charming Kitten APT campaign that has hit organizations in multiple countries. |
Malware Threat | APT 35 | ★★ |
 |
2023-04-28 01:30:56 | (Déjà vu) Chaton charmant utilisant de nouveaux logiciels malveillants dans des attaques multi-pays Charming Kitten Using New Malware in Multi-Country Attacks (lien direct) |
Charming Kitten, le tristement célèbre groupe iranien de l'État-nation, vise activement les victimes à travers l'Europe, les États-Unis, l'Inde et le Moyen-Orient avec un nouveau logiciel malveillant surnommé Bellaciao.Le malware est le dernier de leur vaste trousse à outils personnalisée.Bellaciao a été découverte par Bitdefender, qui décrivent le malware comme a & # 8220; compte-gouttes personnalisé & # 8221;C'est capable de fournir des charges utiles de logiciels malveillants sur [& # 8230;]
Charming Kitten, the infamous Iranian nation-state group, is actively targeting victims across Europe, U.S., India and Middle East with a new malware dubbed BellaCiao. The malware is the latest in their expansive custom tool kit. BellaCiao was discovered by Bitdefender, who describe the malware as a “personalised dropper” that’s capable of delivering malware payloads onto […] |
Malware Tool | APT 35 APT 35 | ★★ |
|
2023-04-27 19:57:00 | Les noms d'acteurs de menace prolifèrent, ajoutant de la confusion Threat Actor Names Proliferate, Adding Confusion (lien direct) |
Au revoir, phosphore!Bonjour, Mint Sandstorm.Microsoft adopte des surnoms de deux mots pour les groupes de menaces, mais avons-nous vraiment besoin de plus?
Goodbye, PHOSPHORUS! Hello, Mint Sandstorm. Microsoft adopts two-word monikers for threat groups, but do we really need more? |
Threat | APT 35 | ★★ |
|
2023-04-27 19:50:44 | Lazare, Scarcruft nord-coréen Apts Shift Tactics, prospère Lazarus, Scarcruft North Korean APTs Shift Tactics, Thrive (lien direct) |
Alors que les acteurs de la menace du monde entier grandissent et évoluent, les aptes de la RPDC se distinguent par leur propagation et leur variété de cibles.
As threat actors around the world grow and evolve, APTs from the DPRK stand out for their spread and variety of targets. |
Threat | APT 38 APT 37 | ★★ |
 |
2023-04-27 10:17:55 | Chichette charmante cible l'infrastructure critique aux États-Unis et ailleurs avec des logiciels malveillants de Bellaciao Charming Kitten targets critical infrastructure in US and elsewhere with BellaCiao malware (lien direct) |
Le groupe de piratage parrainé par l'État iranien Charming Kitten a été nommé groupe responsable d'une nouvelle vague d'attaques ciblant les infrastructures critiques aux États-Unis et ailleurs.Le groupe (qui est également connu des chercheurs en sécurité par une grande variété d'autres noms, dont Mint Sandstorm, le phosphore, le journal et l'APT35) fonctionne depuis au moins 2011, se faisant un nom en ciblant des militants et des journalistes au Moyen-Orient, ainsi que des organisations aux États-Unis, au Royaume-Uni, en Israël et ailleurs.Plus tôt ce mois-ci, Microsoft a annoncé que le groupe, qui ...
Iranian state-sponsored hacking group Charming Kitten has been named as the group responsible for a new wave of attacks targeting critical infrastructure in the United States and elsewhere. The group (who are also known to security researchers by a wide variety of other names including Mint Sandstorm, Phosphorous, Newscaster, and APT35) has been operating since at least 2011, making a name for itself by targeting activists and journalists in the Middle East, as well as organisations in the United States, UK, Israel, and elsewhere. Earlier this month, Microsoft announced that the group, which... |
Malware | APT 35 APT 35 | ★★ |
|
2023-04-26 18:46:00 | Charmant Kitten \\'s New Bellaciao Malware découvert dans les attaques multi-pays Charming Kitten\\'s New BellaCiao Malware Discovered in Multi-Country Attacks (lien direct) |
Le prolifique groupe iranien de l'État-nation connu sous le nom de Charming Kitten a ciblé plusieurs victimes aux États-Unis, en Europe, au Moyen-Orient et en Inde avec un nouveau logiciel malveillant surnommé Bellaciao, ajoutant à sa liste en constante expansion d'outils personnalisés.
Découvert par Bitdefender Labs, Bellaciao est un "compte-gouttes personnalisé" qui est capable de fournir d'autres charges utiles de logiciels malveillants sur une machine victime en fonction des commandes reçues
The prolific Iranian nation-state group known as Charming Kitten targeted multiple victims in the U.S., Europe, the Middle East and India with a novel malware dubbed BellaCiao, adding to its ever-expanding list of custom tools. Discovered by Bitdefender Labs, BellaCiao is a "personalized dropper" that\'s capable of delivering other malware payloads onto a victim machine based on commands received |
Malware | APT 35 APT 35 | ★★★ |
|
2023-04-25 23:30:00 | ROKRAT Malware distribué via des fichiers LNK (* .lnk): redeyes (Scarcruft) RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft) (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a confirmé que le groupe de menaces Redeyes (également connu sous le nom d'APT37, Scarcruft), qui a distribué CHM malware déguisé en e-mail de sécurité d'une société financière coréenne le mois dernier, a également récemment distribué les logiciels malveillants Rokrat via des fichiers LNK.Rokrat est un logiciel malveillant capable de collecter des informations d'identification des utilisateurs et de télécharger des logiciels malveillants supplémentaires.Le malware était autrefois distribué via des fichiers HWP et Word.Les fichiers LNK qui ont été découverts cette fois contiennent des commandes PowerShell qui peuvent effectuer des malveillants ...
AhnLab Security Emergency response Center (ASEC) confirmed that the RedEyes threat group (also known as APT37, ScarCruft), which distributed CHM Malware Disguised as Security Email from a Korean Financial Company last month, has also recently distributed the RokRAT malware through LNK files. RokRAT is malware that is capable of collecting user credentials and downloading additional malware. The malware was once distributed through HWP and Word files. The LNK files that were discovered this time contain PowerShell commands that can perform malicious... |
Malware Threat | APT 37 | ★★★ |
|
2023-04-25 18:34:00 | Les pirates iraniens lancent des attaques sophistiquées ciblant Israël avec une porte dérobée impuissante Iranian Hackers Launch Sophisticated Attacks Targeting Israel with Powerless Backdoor (lien direct) |
Un acteur iranien de la menace nationale a été lié à une nouvelle vague d'attaques de phishing ciblant Israël qui a conçu pour déployer une version mise à jour d'une porte dérobée appelée impuissante.
La société de cybersécurité Check Point suit le cluster d'activités sous sa manche de créature mythique Manticore éduquée, qui présente des "chevauchements forts" avec une équipe de piratage connue sous le nom d'APT35, Charming Kitten, Cobalt
An Iranian nation-state threat actor has been linked to a new wave of phishing attacks targeting Israel that\'s designed to deploy an updated version of a backdoor called PowerLess. Cybersecurity firm Check Point is tracking the activity cluster under its mythical creature handle Educated Manticore, which exhibits "strong overlaps" with a hacking crew known as APT35, Charming Kitten, Cobalt |
Threat | APT 35 | ★★★ |
|
2023-04-25 18:22:00 | Anomali Cyber Watch: Deux attaques de la chaîne d'approvisionnement enchaînées, leurre de communication DNS furtive de chien, Evilextractor exfiltrates sur le serveur FTP Anomali Cyber Watch: Two Supply-Chain Attacks Chained Together, Decoy Dog Stealthy DNS Communication, EvilExtractor Exfiltrates to FTP Server (lien direct) |
The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, Cryptomining, Infostealers, Malvertising, North Korea, Phishing, Ransomware, and Supply-chain attacks. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity. 
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
First-Ever Attack Leveraging Kubernetes RBAC to Backdoor Clusters
(published: April 21, 2023)
A new Monero cryptocurrency-mining campaign is the first recorded case of gaining persistence via Kubernetes (K8s) Role-Based Access Control (RBAC), according to Aquasec researchers. The recorded honeypot attack started with exploiting a misconfigured API server. The attackers preceded by gathering information about the cluster, checking if their cluster was already deployed, and deleting some existing deployments. They used RBAC to gain persistence by creating a new ClusterRole and a new ClusterRole binding. The attackers then created a DaemonSet to use a single API request to target all nodes for deployment. The deployed malicious image from the public registry Docker Hub was named to impersonate a legitimate account and a popular legitimate image. It has been pulled 14,399 times and 60 exposed K8s clusters have been found with signs of exploitation by this campaign.
Analyst Comment: Your company should have protocols in place to ensure that all cluster management and cloud storage systems are properly configured and patched. K8s buckets are too often misconfigured and threat actors realize there is potential for malicious activity. A defense-in-depth (layering of security mechanisms, redundancy, fail-safe defense processes) approach is a good mitigation step to help prevent actors from highly-active threat groups.
MITRE ATT&CK: [MITRE ATT&CK] T1190 - Exploit Public-Facing Application | [MITRE ATT&CK] T1496 - Resource Hijacking | [MITRE ATT&CK] T1036 - Masquerading | [MITRE ATT&CK] T1489 - Service Stop
Tags: Monero, malware-type:Cryptominer, detection:PUA.Linux.XMRMiner, file-type:ELF, abused:Docker Hub, technique:RBAC Buster, technique:Create ClusterRoleBinding, technique:Deploy DaemonSet, target-system:Linux, target:K8s, target:Kubernetes RBAC
3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible
(published: April 20, 2023)
Investigation of the previously-reported 3CX supply chain compromise (March 2023) allowed Mandiant researchers to detect it was a result of prior software supply chain attack using a trojanized installer for X_TRADER, a software package provided by Trading Technologies. The attack involved the publicly-available tool SigFlip decrypting RC4 stream-cipher and starting publicly-available DaveShell shellcode for reflective loading. It led to installation of the custom, modular VeiledSignal backdoor. VeiledSignal additional modules inject the C2 module in a browser process instance, create a Windows named pipe and |
Ransomware Spam Malware Tool Threat Cloud | Uber APT 38 ChatGPT APT 43 | ★★ |
|
2023-04-25 16:57:00 | Sous-groupe Lazarus ciblant les appareils Apple avec un nouveau malware macOS de RustBucket Lazarus Subgroup Targeting Apple Devices with New RustBucket macOS Malware (lien direct) |
Un acteur de menace nord-coréen motivé financièrement est soupçonné d'être derrière une nouvelle souche malveillante de pomme de macos appelée Rustbucket.
"[RustBucket] communique avec les serveurs de commande et de contrôle (C2) pour télécharger et exécuter divers PAyloads, "les chercheurs de Jamf Threat Labs Ferdous Saljooki et Jaron Bradley ont déclaré enUn rapport technique publié la semaine dernière.
La société de gestion d'appareils Apple l'a attribuée
A financially-motivated North Korean threat actor is suspected to be behind a new Apple macOS malware strain called RustBucket. "[RustBucket] communicates with command and control (C2) servers to download and execute various payloads," Jamf Threat Labs researchers Ferdous Saljooki and Jaron Bradley said in a technical report published last week. The Apple device management company attributed it |
Malware Threat | APT 38 | ★★★ |
 |
2023-04-25 13:03:37 | (Déjà vu) Check Point Research uncovers rare techniques used by Iranian-affiliated threat actor, targeting Israeli entities (lien direct) | La recherche sur les points de contrôle révèle des techniques rares utilisées par l'acteur de menace affilié à l'Iranian, ciblant les entités israéliennes
La recherche sur les points de contrôle révèle de nouvelles résultats liés au groupe Phosphore APT, un groupe iranien APT opérant au Moyen-Orient et en Amérique du Nord.La RCR a surnommé ce cluster d'activités éduqué Manticore
Manticore éduqué a considérablement amélioré sa boîte à outils en incorporant de nouvelles techniques, en adoptant les tendances d'attaque actuelles et en utilisant des images ISO et d'autres fichiers d'archives pour initier des chaînes d'infection. La recherche met en lumière les leurres de l'attaque, qui a utilisé des langues hébraïques et arabes, suggérant que les cibles étaient des entités en Israël.
-
mise à jour malveillant
Check Point Research uncovers rare techniques used by Iranian-affiliated threat actor, targeting Israeli entities Check Point Research reveals new findings related to Phosphorus APT group, an Iranian APT group operating in the Middle East and North America. CPR dubbed this activity cluster Educated Manticore Educated Manticore has substantially enhanced its toolkit by incorporating new techniques, embracing current attack trends, and employing ISO images and other archive files to initiate infection chains. The research puts a spotlight on the lures of the attack, which used Hebrew and Arabic languages, suggesting targets were entities in Israel. - Malware Update |
Threat | APT 35 | ★★★ |
|
2023-04-25 10:05:41 | Recherche de point de contrôle révèle les techniques rares utilisées par l'acteur de menace affilié à l'Iran, ciblant les entités israéliennes Check Point Research uncovers rare techniques used by Iranian-affiliated threat actor, targeting Israeli entities (lien direct) |
> Faits saillants: la recherche sur le point de contrôle révèle de nouvelles résultats liés à Manticore éduqué, un groupe hacktiviste lié à Phosphore, un acteur de menace affilié à l'Irano opérant au Moyen-Orient et en Amérique du Nord.L'éduqué Manticore a considérablement amélioré sa boîte à outils en incorporant des techniques rarement vues, en adoptant les tendances d'attaque actuelles et en utilisant des images ISO et d'autres fichiers d'archives pour initier des chaînes d'infection.La recherche met en lumière les leurres de l'attaque, qui a utilisé des langues hébreu et arabe, suggérant que des cibles étaient des entités en Israël.Les principales conclusions hacktivisme, piratage à des fins politiques ou sociales, sont en augmentation et ses agents sont de plus en plus sophistiqués.Comme [& # 8230;]
>Highlights: Check Point Research reveals new findings related to Educated Manticore, a hacktivist group related to Phosphorus, an Iranian-affiliated threat actor operating in the Middle East and North America. Educated Manticore has substantially enhanced its toolkit by incorporating seldom-seen techniques, embracing current attack trends, and employing ISO images and other archive files to initiate infection chains. The research puts a spotlight on the lures of the attack, which used Hebrew and Arabic languages, suggesting targets were entities in Israel. Main findings Hacktivism, hacking for political or social purposes, is on the rise and its agents are becoming more sophisticated. As […] |
Threat | APT 35 | ★★ |
|
2023-04-25 10:04:57 | Manticore éduqué & # 8211;L'acteur de menace alignée par l'Iran ciblant Israël via un arsenal amélioré d'outils Educated Manticore – Iran Aligned Threat Actor Targeting Israel via Improved Arsenal of Tools (lien direct) |
> Résultats clés: Introduction Dans ce rapport, la recherche sur le point de contrôle révèle les nouvelles résultats d'un cluster d'activités étroitement liées au phosphore.La recherche présente une nouvelle chaîne d'infection améliorée conduisant au déploiement d'une nouvelle version de Powerless.Cet implant était & # 160; attribué & # 160; au phosphore dans le passé, un groupe de menaces affilié à l'Iran opérant au Moyen-Orient [& # 8230;]
>Key Findings: Introduction In this report, Check Point research reveals new findings of an activity cluster closely related to Phosphorus. The research presents a new and improved infection chain leading to the deployment of a new version of PowerLess. This implant was attributed to Phosphorus in the past, an Iran-affiliated threat group operating in the Middle East […] |
Threat | APT 35 | ★★ |
|
2023-04-24 15:38:54 | ESET Research découvre une campagne menée par le groupe APT Lazarus ciblant des utilisateurs de Linux (lien direct) | Les chercheurs d'ESET ont découvert une nouvelle campagne " Operation DreamJob " menée par le groupe Lazarus ciblant des utilisateurs de Linux. " Operation DreamJob " est le nom d'une série de campagnes qui utilisent des techniques d'ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d'emploi comme appât. ESET a reconstitué la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d'emploi chez HSBC en guise de leurre jusqu'au malware final contenant la porte dérobée. Les similitudes observées dans cette porte dérobée Linux la relient avec grande certitude à l'attaque contre la chaîne d'approvisionnement de 3CX. L'entreprise a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via la chaîne d'approvisionnement de 3CX. L'attaque a été planifiée longtemps à l'avance, depuis le mois de décembre 2022. - Malwares | Malware | APT 38 | ★★ |
 |
2023-04-24 13:11:29 | Les pirates nord-coréens ciblent les utilisateurs de Mac avec de nouveaux logiciels malveillants \\ 'Rustbucket \\' North Korean Hackers Target Mac Users With New \\'RustBucket\\' Malware (lien direct) |
Le groupe de piratage lié à la Corée du Nord, Bluenoroff / Lazarus, a été vu en utilisant le malware de Rustbucket MacOS lors des attaques récentes.
North Korea-linked hacking group BlueNoroff/Lazarus was seen using the RustBucket macOS malware in recent attacks. |
Malware | APT 38 | ★★ |
|
2023-04-24 07:00:00 | Ein unbeabsichtigtes Leck bei Cyberkriminellen: Die Angriffsvektoren von APT37 (lien direct) | Même les cybercriminels stockent les données de GitHub et oubliez vos données sans L & ouml;L'équipe Zscaler ThreatLabz a pu examiner de plus près les outils, techniques et processus (TTPS) de l'APT37 (également connu sous le nom de Scarcruft ou Temp.
-
rapports spéciaux
/ /
apt 37 ,
affiche
Selbst Cyberkriminelle speichern Daten bei GitHub und vergessen ihre Daten lückenlos zu löschen. Das Zscaler ThreatLabz-Team konnte die Tools, Techniken und Prozesse (TTPs) von APT37 (auch bekannt als ScarCruft oder Temp.Reaper), einem aus Nordkorea stammenden Bedrohungsakteur von Advanced Persistent Threats, genauer unter die Lupe nehmen. - Sonderberichte / APT 37, affiche |
APT 37 | ★★ | |
|
2023-04-22 12:16:00 | Lazarus X_Trader Hack a un impact sur les infrastructures critiques au-delà Lazarus X_TRADER Hack Impacts Critical Infrastructure Beyond 3CX Breach (lien direct) |
Lazare, le prolifique groupe de piratage nord-coréen derrière l'attaque de la chaîne d'approvisionnement en cascade ciblant 3CX, a également violé deux organisations d'infrastructures critiques dans le secteur de l'énergie et de l'énergie et deux autres entreprises impliquées dans le négociation financière en utilisant l'application X_Trader Trojanisée.
Les nouvelles conclusions, qui viennent gracieuseté de l'équipe Hunter Hunter de Symantec \\, confirment les soupçons antérieurs que le
Lazarus, the prolific North Korean hacking group behind the cascading supply chain attack targeting 3CX, also breached two critical infrastructure organizations in the power and energy sector and two other businesses involved in financial trading using the trojanized X_TRADER application. The new findings, which come courtesy of Symantec\'s Threat Hunter Team, confirm earlier suspicions that the |
Hack Threat | APT 38 | ★★ |
|
2023-04-20 17:26:00 | Le groupe Lazarus ajoute des logiciels malveillants Linux à Arsenal dans l'opération Dream Job Lazarus Group Adds Linux Malware to Arsenal in Operation Dream Job (lien direct) |
Le célèbre acteur parrainé par l'État aligné par la Corée du Nord connue sous le nom de groupe Lazare a été attribué à une nouvelle campagne destinée aux utilisateurs de Linux.
Les attaques font partie d'une activité persistante et de longue date suivie sous le nom de l'opération Dream Job, a déclaré Eset dans un nouveau rapport publié aujourd'hui.
Les résultats sont cruciaux, notamment parce qu'il marque le premier exemple publié publiquement de la
The notorious North Korea-aligned state-sponsored actor known as the Lazarus Group has been attributed to a new campaign aimed at Linux users. The attacks are part of a persistent and long-running activity tracked under the name Operation Dream Job, ESET said in a new report published today. The findings are crucial, not least because it marks the first publicly documented example of the |
Malware | APT 38 | ★★★ |
 |
2023-04-20 15:30:34 | Intelligence Insights: avril 2023 Intelligence Insights: April 2023 (lien direct) |
La chaîne d'approvisionnement 3CX a compromis Labyrinth Chollima à la première place de ce mois-ci de l'édition de Intelligence Insights de ce mois-ci
The 3CX supply chain compromise vaulted Labyrinth Chollima to the top spot in this month\'s edition of Intelligence Insights |
APT 38 | ★★★ | |
|
2023-04-20 11:43:51 | Les pirates de Lazarus poussent désormais les logiciels malveillants Linux via de fausses offres d'emploi Lazarus hackers now push Linux malware via fake job offers (lien direct) |
Une nouvelle campagne Lazare considérée comme faisant partie de "Operation DreamJob" a été découverte pour cibler les utilisateurs de Linux avec des logiciels malveillants pour la première fois.[...]
A new Lazarus campaign considered part of "Operation DreamJob" has been discovered targeting Linux users with malware for the first time. [...] |
Malware | APT 38 | ★★ |
 |
2023-04-20 09:30:34 | Linux Malware renforce les liens entre Lazarus et l'attaque de la chaîne d'approvisionnement 3CX Linux malware strengthens links between Lazarus and the 3CX supply‑chain attack (lien direct) |
Les similitudes avec les logiciels malveillants Linux nouvellement découverts utilisés dans l'opération Dreamjob corroborent la théorie selon laquelle le tristement célèbre groupe aligné par la Corée du Nord est derrière l'attaque de la chaîne d'approvisionnement 3CX
Similarities with newly discovered Linux malware used in Operation DreamJob corroborate the theory that the infamous North Korea-aligned group is behind the 3CX supply-chain attack |
Malware | APT 38 | ★★ |
|
2023-04-19 16:58:00 | Les pirates pakistanais utilisent le poseidon de logiciels malveillants Linux pour cibler les agences gouvernementales indiennes Pakistani Hackers Use Linux Malware Poseidon to Target Indian Government Agencies (lien direct) |
L'acteur avancé de menace persistante (APT) basée au Pakistan connu sous le nom de Tribe Transparent a utilisé un outil d'authentification à deux facteurs (2FA) utilisé par les agences gouvernementales indiennes comme ruse pour livrer une nouvelle porte dérobée Linux appelée Poséidon.
"Poséidon est un logiciel malveillant en charge utile de deuxième étape associé à la tribu transparente", a déclaré le chercheur en sécurité UptyCS Tejaswini Sandapolla dans un rapport technique publié cette semaine.
The Pakistan-based advanced persistent threat (APT) actor known as Transparent Tribe used a two-factor authentication (2FA) tool used by Indian government agencies as a ruse to deliver a new Linux backdoor called Poseidon. "Poseidon is a second-stage payload malware associated with Transparent Tribe," Uptycs security researcher Tejaswini Sandapolla said in a technical report published this week. |
Malware Tool Threat | APT 36 | ★★ |
|
2023-04-17 11:12:52 | Sentinélone examine la tribu transparente (APT36): le groupe de cyberspionage du Pakistan élargit les attaques contre le secteur de l'éducation indienne SentinelOne untersucht Transparent Tribe (APT36): Cyberspionage-Gruppe aus Pakistan weitet Angriffe auf indischen Bildungssektor aus (lien direct) |
Sentinelabs, le département de recherche de Sentineone, a examiné un groupe B & OUML; Documents du bureau Staight qui diffusent "Crimson Rat", un logiciel malveillant utilisé par le groupe APT36.APT36, également appelé "Transparent Tribe", a son siège social Mutma & Szlig au Pakistan et est actif au moins depuis 2013.Le groupe est très persistant dans leur approche; CKig
-
malware
/ /
affiche
SentinelLabs, die Forschungsabteilung von SentinelOne, hat eine kürzlich bekannt gewordene Gruppe bösartiger Office-Dokumente untersucht, die „Crimson RAT“ verbreiten, eine von der APT36-Gruppe verwendete Malware. APT36, auch genannt „Transparent Tribe“, hat seinen Sitz mutmaßlich in Pakistan und ist mindestens seit 2013 aktiv. Die Gruppe ist in ihrem Vorgehen sehr hartnäckig - Malware / affiche |
APT 36 APT 36 | ★★ | |
 |
2023-04-14 21:14:26 | Vendredi Blogging Squid: Colossal Squid Friday Squid Blogging: Colossal Squid (lien direct) |
intéressant Article Sur le calmar colossal, qui est plus grand que le calmar géant.
L'article répond à une question vexante:
Alors pourquoi entendons-nous toujours parler du calmar géant et non du calmar colossal?
Eh bien, une partie de celui-ci a à voir avec le fait que le calmar géant a été découvert et étudié bien avant le calmar colossal.
Les scientifiques étudient le calmar géant depuis les années 1800, tandis que le calmar colossal n'a même pas découvert jusqu'en 1925.
Et sa première découverte n'était que la tête et les bras trouvés dans l'estomac de spermatozoïde. .
Ce n'était pas jusqu'en 1981 que le premier animal entier a été trouvé par un chalutier près de la côte de l'Antarctique ...
Interesting article on the colossal squid, which is larger than the giant squid. The article answers a vexing question: So why do we always hear about the giant squid and not the colossal squid? Well, part of it has to do with the fact that the giant squid was discovered and studied long before the colossal squid. Scientists have been studying giant squid since the 1800s, while the colossal squid wasn’t even discovered until 1925. And its first discovery was just the head and arms found in a sperm whale’s stomach. It wasn’t until 1981 that the first whole animal was found by a trawler near the coast of Antarctica... |
APT 32 | ★★ | |
|
2023-04-13 16:00:00 | Les pirates alignés par le Pakistan perturbent le secteur de l'éducation indienne Pakistan-Aligned Hackers Disrupt Indian Education Sector (lien direct) |
APT36 Institutions ciblées avec des documents de bureau malveillants distribuant un rat cramoisi
APT36 targeted institutions with malicious Office documents distributing Crimson RAT |
APT 36 | ★★ | |
|
2023-04-13 15:49:00 | Pirates de tribu transparente basées au Pakistan ciblant les établissements d'enseignement indiens Pakistan-based Transparent Tribe Hackers Targeting Indian Educational Institutions (lien direct) |
L'acteur Transparent Tribe Threat a été lié à un ensemble de documents de Microsoft Office armées dans des attaques ciblant le secteur de l'éducation indienne en utilisant une pièce de malware continuellement entretenue appelée Crimson Rat.
Alors que le groupe de menaces suspecté du Pakistan est connu pour cibler les entités militaires et gouvernementales du pays, les activités se sont depuis développées pour inclure l'éducation
The Transparent Tribe threat actor has been linked to a set of weaponized Microsoft Office documents in attacks targeting the Indian education sector using a continuously maintained piece of malware called Crimson RAT. While the suspected Pakistan-based threat group is known to target military and government entities in the country, the activities have since expanded to include the education |
Malware Threat | APT 36 | ★★ |
|
2023-04-13 14:37:00 | Le groupe de pirates de Lazarus évolue des tactiques, des outils et des cibles dans la campagne DeathNote Lazarus Hacker Group Evolves Tactics, Tools, and Targets in DeathNote Campaign (lien direct) |
L'acteur de menace nord-coréen connue sous le nom de groupe Lazare a été observé pour déplacer son objectif et évoluer rapidement ses outils et tactiques dans le cadre d'une activité de longue durée appelée DeathNote.
Alors que l'adversaire de l'État-nation est connu pour ses attaques persistantes contre le secteur des crypto-monnaies, il a également ciblé les secteurs automobile, académique et de défense en Europe de l'Est et dans d'autres parties du monde
The North Korean threat actor known as the Lazarus Group has been observed shifting its focus and rapidly evolving its tools and tactics as part of a long-running activity called DeathNote. While the nation-state adversary is known for its persistent attacks on the cryptocurrency sector, it has also targeted automotive, academic, and defense sectors in Eastern Europe and other parts of the world |
Threat | APT 38 | ★★ |
 |
2023-04-13 09:55:44 | Tribu transparente (APT36) |L'acteur de menace aligné par le Pakistan élargit l'intérêt dans le secteur de l'éducation indienne Transparent Tribe (APT36) | Pakistan-Aligned Threat Actor Expands Interest in Indian Education Sector (lien direct) |
Sentinellabs a suivi un groupe de documents malveillants qui mettent en scène les logiciels malveillants Crimson Rat distribués par APT36 (Tribe transparente).
SentinelLabs has been tracking a cluster of malicious documents that stage the Crimson RAT malware distributed by APT36 (Transparent Tribe). |
Malware Threat | APT 36 APT 36 | ★★★ |
To see everything:
Our RSS (filtrered)
