What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2025-03-13 17:15:00 | Volt Typhoon a accédé à US OT Network pendant près d'un an Volt Typhoon Accessed US OT Network for Nearly a Year (lien direct) |
L'intrusion à dix mois de Volt Typhoon \\ de Littleton Electric Light and Water Department expose les vulnérabilités dans le réseau électrique américain
Volt Typhoon\'s ten-month intrusion of Littleton Electric Light and Water Departments exposes vulnerabilities in the US electric grid |
Vulnerability Industrial | Guam | ★★★ |
 |
2025-03-12 14:00:00 | Ghost in the Router: China-Nexus Espionage Actor UNC3886 cible les routeurs de genévriers Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers (lien direct) |
Écrit par: Lukasz Lamparski, Punsaen Boonyakarn, Shawn Chew, Frank Tse, Jakub Jozwiak, MathewPotaczek, Logeswaran Nadarajan, Nick Harbour, Mustafa Nasser
Introduction In mid 2024, Mandiant discovered threat actors deployed custom backdoors on Juniper Networks\' Junos OS routers. Mandiant attributed these backdoors to the China-nexus espionage group, UNC3886. Mandiant uncovered several TINYSHELL-based backdoors operating on Juniper Networks\' Junos OS routers. The backdoors had varying custom capabilities, including active and passive backdoor functions, as well as an embedded script that disables logging mechanisms on the target device. Mandiant worked with Juniper Networks to investigate this activity and observed that the affected Juniper MX routers were running end-of-life hardware and software. Mandiant recommends that organizations upgrade their Juniper devices to the latest images released by Juniper Networks, which includes mitigations and updated signatures for the Juniper Malware Removal Tool (JMRT). Organizations should run the JMRT Quick Scan and Integrity Check after the upgrade. Mandiant has reported on similar custom malware ecosystems in 2022 and 2023 that UNC3886 deployed on virtualization technologies and network edge devices. This blog post showcases a development in UNC3886\'s tactics, techniques and procedures (TTPs), and their focus on malware and capabilities that enable them to operate on network and edge devices, which typically lack security monitoring and detection solutions, such as endpoint detection and response (EDR) agents. Mandiant previously reported on UNC3886\'s emphasis on techniques to gather and use legitimate credentials to move laterally within a network, undetected. These objectives remained consistent but were pursued with the introduction of a new tool in 2024. Observations in this blog post strengthen our assessment that the actor\'s focus is on maintaining long-term access to victim networks. UNC3886 continues to show a deep understanding of the underlying technology of the appliances being targeted. At the time of writing, Mandiant has not identified any technical overlaps between activities detailed in this blog post and those publicly reported by other parties as Volt Typhoon or Salt Typhoon. Attribution UNC3886 is a highly adept China-nexu |
Malware Tool Vulnerability Threat Patching Prediction Cloud Technical | Guam | ★★ |
 |
2024-11-04 12:25:16 | Faits saillants hebdomadaires d'osint, 4 novembre 2024 Weekly OSINT Highlights, 4 November 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ ont mis en évidence l'activité de menace parrainée par l'État et la menace cybercriminale, avec divers vecteurs d'attaque et cibles dans les secteurs.Des acteurs apt en Corée du Nord, en Chine et en Russie ont mené des campagnes ciblées de phishing, de réseau et de campagnes de logiciels malveillants.Les groupes nord-coréens et russes ont favorisé les tactiques de vol d'identification et de ransomwares ciblant les secteurs du gouvernement aux militaires, tandis que les acteurs chinois ont exploité les vulnérabilités de pare-feu pour obtenir un accès à long terme dans les secteurs à enjeux élevés.Pendant ce temps, les cybercriminels ont mis à profit l'ingénierie sociale, le Vishing et l'IoT et les vulnérabilités de plugin pour infiltrer les environnements cloud, les appareils IoT et les systèmes Android.L'accent mis sur l'exploitation des vulnérabilités de logiciels populaires et des plateformes Web souligne l'adaptabilité de ces acteurs de menace à mesure qu'ils étendent leur portée d'attaque, en particulier dans l'utilisation des stratégies de cloud, de virtualisation et de cryptomiminage dans une gamme d'industries. ## Description 1. [Jumpy Poisses Ransomware Collaboration] (https://sip.security.microsoft.com/intel-explorer/articles/393b61a9): l'unité 42 a rapporté la Corée du Nord \'s Jucky Pisse (Onyx Sleet) en partenariat avec Play Ransomware in \'s Jumpy Pisses (ONYX Sleet) en partenariat avec Play Ransomware dans Play Ransomware in Jumpy Pisses (ONYX Sleet)Une attaque à motivation financière ciblant les organisations non spécifiées.L'acteur de menace a utilisé des outils comme Sliver, Dtrack et Psexec pour gagner de la persistance et dégénérerPrivilèges, se terminant par le déploiement des ransomwares de jeu. 1. [Menaces chinoises ciblant les pare-feu] (https://sip.security.microsoft.com/intel-Explorateur / articles / 798C0FDB): Sophos X-OPS a identifié des groupes basés en Chine comme Volt Typhoon, APT31 et APT41 exploitant des pare-feu pour accéderPacifique.Ces groupes utilisent des techniques sophistiquées telles que les rootkits de vie et multiplateforme. 1. [Campagne de phishing sur la plate-forme Naver] (https://sip.security.microsoft.com/intel-explorer/articles/dfee0ab5): les acteurs liés au nord-coréen ont lancé une campagne de phishing ciblant la Corée du Sud \'s Naver, tentantPour voler des informations d'identification de connexion via plusieurs domaines de phishing.L'infrastructure, avec les modifications du certificat SSL et les capacités de suivi, s'aligne sur Kimsuky (Emerald Sleet), connu pour ses tactiques de vol d'identification. 1. [FAKECALL Vishing malware sur Android] (https://sip.security.microsoft.com/intel-explorer/articles/d94c18b0): les chercheurs de Zimperium ont identifié des techniques de vitesses de malware FAKECALT pour voler les utilisateurs de l'Android.Le malware intercepte les appels et imite le numéroteur d'Android \\, permettant aux attaquants de tromper les utilisateurs pour divulguer des informations sensibles. 1. [Facebook Business Phishing Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/82b49ffd): Cisco Talos a détecté une attaque de phishing ciblant les comptes commerciaux Facebook à Taiwan, en utilisant des avis juridiques comme leurre.Lummac2 et les logiciels malveillants de volée des informations de Rhadamanthys ont été intégrés dans des fichiers RAR, collectionner des informations d'identification du système et éluder la détection par l'obscurcissement et l'injection de processus. 1. [Vulnérabilité des caches litres de LiteSpeed] (https://sip.security.microsoft.com/intel-explorer/articles/a85b69db): le défaut du plugin de cache LiteSpeets (CVE-2024-50550) pourrait permettre une escalale de privilège à un niveau de privilège à plus de six millions pour plus de six millionssites.Les vulnérabilités exploitées ont permis aux attaquants de télécharger des plugins ma | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Medical Cloud Technical | APT 41 APT 28 APT 31 Guam | ★★★ |
|
2024-10-28 11:27:40 | Faits saillants hebdomadaires, 28 octobre 2024 Weekly OSINT Highlights, 28 October 2024 (lien direct) |
## Instantané La semaine dernière, les rapports de \\ sont mettant en évidence un éventail de types d'attaques dirigés par des acteurs sophistiqués parrainés par l'État et des menaces criminelles, avec des attaques notables ciblant les secteurs de la crypto-monnaie, du gouvernement et des infrastructures critiques.Les principaux vecteurs d'attaque incluent des campagnes de phishing, l'exploitation des vulnérabilités logicielles et des logiciels malveillants avancés et des outils tels que la grève de Cobalt, le ransomware et les botnets, tirant parti des CVE connus et des défauts d'exécution spéculatifs.Des groupes APT alignés par l'État, tels que les acteurs de la menace alignés par Lazare et la Russie, ont mené des attaques contre les plateformes de crypto-monnaie et les entités politiques, tandis que les opérations d'influence liées à la Russie ont utilisé du contenu généré par l'IA pour amplifier les récits de division avant les élections américaines de 2024.Pendant ce temps, les botnets et les modèles de ransomwares en tant que service comme Beast Raas ont démontré des progrès techniques dans la persistance, le chiffrement et les techniques d'exfiltration des données. ## Description 1. [Campagne Heptax] (https://sip.security.microsoft.com/intel-explorer/articles/CE9F9A25): la recherche Cyble a découvert la campagne Heptax ciblant les organisations de soins de santé par le biais de fichiers LNK malveillants distribués par e-mails de phishing.Les attaquants utilisent des scripts PowerShell pour réduire les paramètres de sécurité, permettant un accès à distance, une extraction de mot de passe et une surveillance du système pour une exfiltration de données prolongée. 2. [Wrnrat Malware] (https://sip.security.microsoft.com/intel-explorer/articles/118a2c8f): AhnLab a identifié WRNRAT malware distribué via de faux sites de jeu de jeu, destiné à la thèse de données motivés financièrement et au contrôle des systèmes infectés infectés.Une fois téléchargé, le malware capture les écrans utilisateur, envoie des informations système et met fin aux processus spécifiques tout en se déguisant en un processus Internet Explorer. 3. [Fortimanager Exploit] (https://sip.security.microsoft.com/intel-explorer/articles/2f35a4ca): Mandiant a rapporté UNC5820 \\ 's Exploitation of a fortimanager vulnérabilité zéro-jour (CVE-2024-47575)Pour exécuter du code et voler des données de configuration.L'attaque a ciblé les dispositifs FortiGate dans plusieurs industries, posant un risque de mouvement latéral grâce à des informations d'identification récoltées et à des informations sur les appareils. 4. [Black Basta \'s Social Engineering] (https://sip.security.microsoft.com/intel-explorer/articles/b231776f): Reliaquest documenté Black Basta Ransomware \\ est une ingénierie sociale avancée, y comprisSpam par e-mail de masse et imitations des équipes Microsoft, pour inciter les utilisateurs à installer des outils RMM ou à scanner les codes QR.Ces tactiques facilitent le déploiement des ransomwares via AnyDesk, soulignant la nécessité d'un e-mail et d'un compte vigilantsécurité. 5. [Ransomware embargo] (https://sip.security.microsoft.com/intel-explorer/articles/b7f0fd7b): eset identifiéEmbargo, un groupe Ransomware-as-a-Service ciblant les sociétés américaines, utilisant des outils basés sur la rouille comme Mdeployer et Ms4killer.En utilisant des tactiques à double extorsion, l'embargo personnalise des outils pour désactiver les systèmes de sécurité, chiffrer les fichiers et obtenir de la persistance via des redémarrages en mode sûr et des tâches planifiées. 6. [Lazarus Chrome Exploit Campaign] (https://sip.security.microsoft.com/intel-explorer/articles/e831e4ae): les chercheurs de Kaspersky ont identifié une campagne de Lazarus APT et Bluenoroff (Diamond Sheet and Saphire Sleet), Exploriting A A et Bluenoroff.Vulnérabilité zéro-jour dans Google Chrome pour cibler les amateurs de crypto-monnaie.L'attaque utilise un fau | Ransomware Spam Malware Tool Vulnerability Threat Prediction Medical Cloud Technical | APT 38 Guam | ★★ |
|
2024-10-08 18:38:34 | L'eau américaine ferme les services en ligne après la cyberattaque American Water shuts down online services after cyberattack (lien direct) |
#### Géolocations ciblées - États-Unis #### Industries ciblées - Systèmes d'eau et d'eaux usées ## Instantané American Water, la plus grande entreprise de services publics d'eau et d'eaux usées aux États-Unis, a connu une cyberattaque le 3 octobre 2024, qui a conduit à la fermeture de certains de ses systèmes.L'incident a été divulgué dans un dossier auprès de la Securities and Exchange Commission des États-Unis, où la société a révélé qu'elle avait engagé des experts tiers de la cybersécurité pour aider à l'évaluation du confinement et de l'impact. ## Description American Water a déclaré que les installations ou opérations d'eau et d'eaux usées n'ont pas été affectées négativement.La cyberattaque a nécessité la fermeture du portail client en ligne d'American Water \\, Mywater et une pause dans les services de facturation. ## Analyse Microsoft Les systèmes d'infrastructures critiques sont souvent vulnérables aux cyberattaques en raison de la technologie obsolète et des mesures de cybersécurité insuffisantes, ce qui en fait une cible privilégiée pour les acteurs de l'État-nation et les groupes de ransomwares.Les attaques contre les infrastructures d'eau peuvent perturber les services essentiels, manipuler les niveaux chimiques dans les installations de traitement de l'eau et conduire à une contamination généralisée ou à un déni de service. Cette cyberattaque sur l'eau américaine suit un autre [incident récent dans un centre de traitement de l'eau] (https://www.bleepingcomputer.com/news/security/kansas-water-plant-cyberattack-forces-switch-to-manual-operations/)à Arkansas City, Kansas, qui a entraîné un passage aux opérations manuelles.Le groupe hacktiviste russe récemment créé, Z-Pentest, a revendiqué la responsabilité de l'accès à l'Arkansas City, une usine de traitement de l'eau KS qui a été piratée le 23 septembre. Le groupe s'aligne sur la cyber-armée de Russie et NONAME057 (16) & # 8211; Deux organisations hacktiviste russes qui ont étéont été inculpés par [nous] (https://www.state.gov/sanctioning-members-of-the-cyber-army-of-russia-reborn/#:~:text=the%20United%20States%20is%20Dessignation% 20Two) et [européen] (https://www.interor.gob.es/opencms/en/detail-pages/artiCle / trois detainees-by-dines-informatics-con-fines-terroristes /) gouvernements pour comportement cyberattaques perturbatrices Agaiinfrastructure critique NST.En septembre, le gouvernement américain a publié un [avis conjoint] (https://www.cisa.gov/sites/default/files/2024-09/aa24-249a-russian-military-cyber-acteurs-target-us-and-Global-Critical-infrastructure.pdf) Avertissement que les groupes de menaces affiliés au service de renseignement militaire de la Russie visent les infrastructures critiques mondiales et les secteurs clés des ressources. [Microsoft a précédemment averti] (https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the the-Lerland-Techniques /) que Volt Typhoon, un groupe de cyber-espionnage parrainé par l'État chinois, a ciblé les infrastructures critiques américaines, notamment l'énergie, les télécommunications et les secteurs de l'eau, en utilisant des techniques furtives "vivant-terre" pour échapper à la détectionet rassembler l'intelligence.En avril, le [directeur du FBI a discuté] (https://www.reuters.com/technology/cybersecurity/fbi-says-chinese-hackers-preparing-attack-us-frastructure-2024-04-18/) Comment les Chinois-Les pirates soutenus ont la "capacité à faire des ravages physiquement sur notre infrastructure critique à un moment de son choix" En novembre 2023, les acteurs affiliés à l'IRGC iraniens, en vertu du Persona Cyber Av3ngers, ont acquis un accès non autorisé à la série Unitronics de fabrication israélienne ICS PLCS dans plusieurs entités américaines, principalement des systèmes d'eau et d'eaux usées, selon [un rapport du Bureau du directeur du directeur du d | Ransomware Vulnerability Threat Industrial | Guam | ★★★ |
 |
2024-08-29 15:17:42 | Volt Typhoon Hackers Exploit Vulnérabilité Zero-Day dans Versa Director Serveurs utilisés par MSPS, FAI Volt Typhoon Hackers Exploit Zero-Day Vulnerability in Versa Director Servers Used by MSPs, ISPs (lien direct) |
Il existe environ 163 appareils dans le monde qui sont toujours exposés à l'attaque via la vulnérabilité CVE-2024-39717.
There are approximately 163 devices worldwide that are still exposed to attack via the CVE-2024-39717 vulnerability. |
Vulnerability Threat | Guam | ★★★ |
 |
2024-08-28 15:08:42 | Les censés trouvent des centaines de serveurs exposés sous le nom de Volt Typhoon APT cible les FAI, les MSP Censys Finds Hundreds of Exposed Servers as Volt Typhoon APT Targets ISPs, MSPs (lien direct) |
> Au milieu de l'exploitation de Typhoon Zero-Day, Censys trouve des centaines de serveurs exposés présentant une surface d'attaque mûre pour les attaquants.
>Amidst Volt Typhoon zero-day exploitation, Censys finds hundreds of exposed servers presenting ripe attack surface for attackers. |
Vulnerability Threat | Guam | ★★★ |
 |
2024-08-27 19:30:00 | Le Typhoon de Volt chinois exploite Versa Directeur Flaw, cible les secteurs informatiques américains et mondiaux Chinese Volt Typhoon Exploits Versa Director Flaw, Targets U.S. and Global IT Sectors (lien direct) |
Le groupe de cyber-espionnage China-Nexus suivi sous le nom de Volt Typhoon a été attribué à une confiance modérée à l'exploitation zéro-jour d'une faille de sécurité de haute sévérité récemment divulguée ayant un impact sur le directeur de Versa.
Les attaques ont ciblé quatre victimes américaines et une victime non américaine dans le fournisseur de services Internet (ISP), le fournisseur de services gérés (MSP) et les secteurs des technologies de l'information (IT) dès tôt
The China-nexus cyber espionage group tracked as Volt Typhoon has been attributed with moderate confidence to the zero-day exploitation of a recently disclosed high-severity security flaw impacting Versa Director. The attacks targeted four U.S. victims and one non-U.S. victim in the Internet service provider (ISP), managed service provider (MSP) and information technology (IT) sectors as early |
Vulnerability Threat | Guam | ★★★ |
 |
2024-08-27 17:32:01 | Volt Typhoon de Chine \\ aurait cibler les fournisseurs Internet américains en utilisant Versa Zero-Day China\\'s Volt Typhoon reportedly targets US internet providers using Versa zero-day (lien direct) |
Pas de details / No more details | Vulnerability Threat | Guam | ★★★ |
 |
2024-08-27 14:26:41 | Nouvelles attaques de 0 jours liées à la Chine \\ 'S \\' Volt Typhoon \\ ' New 0-Day Attacks Linked to China\\'s \\'Volt Typhoon\\' (lien direct) |
Les pirates malveillants exploitent une vulnérabilité zéro-jour dans Versa Director, un produit logiciel utilisé par de nombreux fournisseurs de services Internet et informatique.Les chercheurs pensent que l'activité est liée à Volt Typhoon, un groupe de cyber-espionnage chinois s'est concentré sur l'infiltration de réseaux américains critiques et jetant les bases de la capacité de perturber les communications entre les États-Unis et l'Asie au cours de tout futur conflit armé avec la Chine.
Malicious hackers are exploiting a zero-day vulnerability in Versa Director, a software product used by many Internet and IT service providers. Researchers believe the activity is linked to Volt Typhoon, a Chinese cyber espionage group focused on infiltrating critical U.S. networks and laying the groundwork for the ability to disrupt communications between the United States and Asia during any future armed conflict with China. |
Vulnerability Threat | Guam | ★★★ |
 |
2024-08-27 14:00:00 | Volt Typhoon en Chine exploite 0-jour dans les serveurs de directeur SD-WAN de Versa \\ China\\'s Volt Typhoon Exploits 0-day in Versa\\'s SD-WAN Director Servers (lien direct) |
Jusqu'à présent, l'acteur de menace a compromis au moins cinq organisations en utilisant CVE-2024-39717;CISA a ajouté un bug à sa base de données de vulnérabilité exploitée connue.
So far, the threat actor has compromised at least five organizations using CVE-2024-39717; CISA has added bug to its Known Exploited Vulnerability database. |
Vulnerability Threat | Guam | ★★★ |
|
2024-08-27 10:47:04 | Versa corrige la vulnérabilité du réalisateur zéro exploité dans les attaques Versa fixes Director zero-day vulnerability exploited in attacks (lien direct) |
## Instantané Des chercheurs de Versa Networks ont identifié une vulnérabilité zéro-jour dans l'interface graphique du réalisateur de Versa, permettant aux acteurs de menace avec les privilèges de l'administrateur de télécharger des fichiers malveillants camouflés sous forme d'images PNG.Ce défaut, étiqueté comme [CVE-2024-39717] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2024-39717), a été exploité par un acteur avancé de menace persistante (APT) dansau moins une attaque. ## Description La vulnérabilité a été exacerbée par l'échec des clients touchés à mettre en œuvre des directives de durcissement du système et de pare-feu, laissant un port de gestion exposé sur Internet et offrant aux acteurs de la menace un accès initial.Versa Networks a depuis corrigé la vulnérabilité et a conseillé aux clients d'appliquer des mesures de durcissement et de mettre à niveau leurs installations Versa Director à la dernière version pour bloquer les attaques entrantes. Systèmes et versions affectées: Versa Directeur 21.2.3, 22.1.2, 22.1.3 L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) a également ajouté la journée zéro-jour à son catalogue connu sur les vulnérabilités exploitées (KEV), obligeant les agences fédérales à sécuriser les instances de directeur vulnérable de Versa sur leurs réseaux d'ici le 13 septembre. ### Analyse supplémentaire [Lumen Technologies] (HTTPS: //www.securityweek.com/chinese-apt-polt-yphoon-caught-expoiting-versa-networks-sd-wan-zero-day/) \\ 'reseaRChers a rapporté que le groupe chinois APT [Volt Typhoon] (https://sip.security.microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac8084790f1d6cfa08f Volez les informations d'identification et infiltrez les réseaux de clients en aval.Ils ont identifié des exploits datant au moins le 12 juin 2024 et avertissent que cette campagne Volt Typhoon a été fortement ciblée, affectant plusieurs victimes américaines dans le fournisseur de services Internet (FAI), le fournisseur de services gérés (MSP) et les secteurs informatiques. Volt Typhoon est connu pour cibler principalement les États-Unis et les secteurs de la fabrication, des services publics, des transports, de la construction, du gouvernement, du gouvernement, des technologies de l'information et de l'éducation.Le groupe se concentre sur l'espionnage, le vol de données et l'accès aux informations d'identification. Versa Director Serveurs, qui gèrent les configurations de réseau pour les clients utilisant le logiciel SD-WAN, sont largement utilisées par les FAI et les MSP, ce qui en fait une cible critique et attrayante pour les acteurs de la menace visant à étendre leur accès au sein de la gestion du réseau d'entreprise.L'accès non autorisé à ces serveurs pourrait avoir un impact significatif en aval, permettant potentiellement aux attaquants d'infiltrer plusieurs organisations \\ 'réseaux, de perturber les services et de compromettre les données sensibles dans une large clientèle. ## Recommandations Versa fournit les recommandations suivantes pour atténuer l'impact de cette menace: - Appliquer les meilleures pratiques de durcissement & # 8211;Les clients doivent s'assurer qu'ils ont suivi les meilleures pratiques recommandées pour le durcissement de la sécurité du directeur de Versa.Les clients peuvent accéder aux directives détaillées du durcissement du système et des règles de pare-feu ici: - Lignes directrices du pare-feu: exigences de pare-feu (depuis 2015): Ce document détaille les ports et protocoles nécessaires qui doivent être ouverts sur les interfaces appropriées. - Durcissement du système (depuis 2017): Ce document fournit des étapes complètes pour la mise en œuvre du processus de durcissement pour tous les composants de la solution Versa. - Mettre à niveau le directeur vers l'une des versions corrigées & # 8211;Versa recommande que le logiciel du réalisateur soit mis à niveau dès q | Vulnerability Threat | Guam | ★★★ |
 |
2024-08-27 10:00:00 | Les pirates de typhon de Volt chinois ont exploité Versa Zero-Day pour violer les FAI, MSPS Chinese Volt Typhoon hackers exploited Versa zero-day to breach ISPs, MSPs (lien direct) |
Le groupe de piratage chinois soutenu par l'État, Volt Typhoon, est derrière des attaques qui ont exploité une faille zéro-jour dans Versa Director pour télécharger une coque en ligne personnalisée pour voler des informations d'identification et violer les réseaux d'entreprise.[...]
The Chinese state-backed hacking group Volt Typhoon is behind attacks that exploited a zero-day flaw in Versa Director to upload a custom webshell to steal credentials and breach corporate networks. [...] |
Vulnerability Threat | Guam | ★★★ |
|
2024-04-05 13:39:39 | Même cibles, nouveaux manuels: les acteurs de la menace en Asie de l'Est utilisent des méthodes uniques Same targets, new playbooks: East Asia threat actors employ unique methods (lien direct) |
## Snapshot Microsoft has observed several notable cyber and influence trends from China and North Korea since June 2023 that demonstrate not only doubling down on familiar targets, but also attempts to use more sophisticated influence techniques to achieve their goals. Chinese cyber actors broadly selected three target areas over the last seven months. - One set of Chinese actors extensively targeted entities across the South Pacific Islands. - A second set of Chinese activity continued a streak of cyberattacks against regional adversaries in the South China Sea region. - Meanwhile, a third set of Chinese actors compromised the US defense industrial base. Chinese influence actors-rather than broadening the geographic scope of their targets-honed their techniques and experimented with new media. Chinese influence campaigns continued to refine AI-generated or AI-enhanced content. The influence actors behind these campaigns have shown a willingness to **both amplify AI-generated media that benefits their strategic narratives, as well as create their own video, memes, and audio content**. Such tactics have been used in campaigns stoking divisions within the United States and exacerbating rifts in the Asia-Pacific region-including Taiwan, Japan, and South Korea. These campaigns achieved varying levels of resonance with no singular formula producing consistent audience engagement. North Korean cyber actors made headlines for **increasing software supply chain attacks and cryptocurrency heists over the past year**. While strategic spear-phishing campaigns targeting researchers who study the Korean Peninsula remained a constant trend, North Korean threat actors appeared to make greater use of legitimate software to compromise even more victims. ## Activity Overview ### Chinese cyber operations target strategic partners and competitors #### Gingham Typhoon targets government, IT, and multinational entities across the South Pacific Islands **** *Figure 1: Observed events from Gingham Typhoon from June 2023 to January 2024 highlights their continued focus on South Pacific Island nations. However, much of this targeting has been ongoing, reflecting a yearslong focus on the region. Geographic locations and diameter of symbology are representational. * During the summer of 2023, Microsoft Threat Intelligence observed extensive activity from China-based espionage group Gingham Typhoon that targeted nearly every South Pacific Island country. Gingham Typhoon is the most active actor in this region, hitting international organizations, government entities, and the IT sector with complex phishing campaigns. Victims also included vocal critics of the Chinese government. Diplomatic allies of China who were victims of recent Gingham Typhoon activity include executive offices in government, trade-related departments, internet service providers, as well as a transportation entity. Heightened geopolitical and diplomatic competition in the region may be motivations for these offensive cyber activities. China pursues strategic partnerships with South Pacific Island nations to expand economic ties and broker diplomatic and security agreements. Chinese cyber espionage in this region also follows economic partners. For example, Chinese actors engaged in large-scale targeting of multinational organizations in Papua New Guinea, a longtime diplomatic partner that is benefiting from multiple Belt and Road Initiative (BRI) projects including the construction of a major highway which links a Papua New Guinea government building to the capital city\'s main road. (1) #### Chinese threat actors retain focus on South China Sea amid Western military exercises China-based threat actors continued to target entities related to China\'s economic and military interests in a | Malware Tool Vulnerability Threat Studies Industrial Prediction Technical | Guam | ★★★ |
|
2024-04-04 16:40:24 | Volt Typhoon et 4 autres groupes ciblant les secteurs de l'énergie et de la défense américains via des bogues Ivanti Volt Typhoon and 4 other groups targeting US energy and defense sectors through Ivanti bugs (lien direct) |
Plusieurs groupes de piratage basés en Chine, dont Volt Typhoon, visent un trio de vulnérabilités affectant son géant ivanti aux côtés de multiples opérations cybercriminales.L'Agence de sécurité de la cybersécurité et de l'infrastructure (CISA) et plusieurs des principales agences de cybersécurité du monde ont publié des avertissements sur les vulnérabilités - étiquetées CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893 - en raison deleur utilisation généralisée
Several China-based hacking groups, including Volt Typhoon, are targeting a trio of vulnerabilities affecting IT giant Ivanti alongside multiple cybercriminal operations. The Cybersecurity and Infrastructure Security Agency (CISA) and several of the world\'s leading cybersecurity agencies have released warnings about the vulnerabilities - labeled CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893 - due to their widespread use |
Vulnerability | Guam | ★★★ |
|
2024-04-04 14:00:00 | Cutting avant, partie 4: Ivanti Connect Secure VPN Post-Exploitation Mouvement latéral Études de cas Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies (lien direct) |
Written by: Matt Lin, Austin Larsen, John Wolfram, Ashley Pearson, Josh Murchie, Lukasz Lamparski, Joseph Pisano, Ryan Hall, Ron Craft, Shawn Chew, Billy Wong, Tyler McLellan
Since the initial disclosure of CVE-2023-46805 and CVE-2024-21887 on Jan. 10, 2024, Mandiant has conducted multiple incident response engagements across a range of industry verticals and geographic regions. Mandiant\'s previous blog post, Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts, details zero-day exploitation of CVE-2024-21893 and CVE-2024-21887 by a suspected China-nexus espionage actor that Mandiant tracks as UNC5325. This blog post, as well as our previous reports detailing Ivanti exploitation, help to underscore the different types of activity that Mandiant has observed on vulnerable Ivanti Connect Secure appliances that were unpatched or did not have the appropriate mitigation applied. Mandiant has observed different types of post-exploitation activity across our incident response engagements, including lateral movement supported by the deployment of open-source tooling and custom malware families. In addition, we\'ve seen these suspected China-nexus actors evolve their understanding of Ivanti Connect Secure by abusing appliance-specific functionality to achieve their objectives. As of April 3, 2024, a patch is readily available for every supported version of Ivanti Connect Secure affected by the vulnerabilities. We recommend that customers follow Ivanti\'s latest patching guidance and instructions to prevent further exploitation activity. In addition, Ivanti released a new enhanced external integrity checker tool (ICT) to detect potential attempts of malware persistence across factory resets and system upgrades and other tactics, techniques, and procedures (TTPs) observed in the wild. We also released a remediation and hardening guide |
Malware Tool Vulnerability Threat Studies Mobile Cloud | Guam | ★★★ |
 |
2024-01-25 11:00:00 | Le côté obscur de la cybersécurité 2023: évolution des logiciels malveillants et cyber-menaces The dark side of 2023 Cybersecurity: Malware evolution and Cyber threats (lien direct) |
In the ever-evolving cybersecurity landscape, 2023 witnessed a dramatic surge in the sophistication of cyber threats and malware. AT&T Cybersecurity Alien Labs reviewed the big events of 2023 and how malware morphed this year to try new ways to breach and wreak havoc. This year\'s events kept cybersecurity experts on their toes, from expanding malware variants to introducing new threat actors and attack techniques. Here are some of the most compelling developments, highlighting malware\'s evolving capabilities and the challenges defenders face. Highlights of the year: Emerging trends and notable incidents As the year unfolded, several trends and incidents left an indelible mark on the cybersecurity landscape: Exploiting OneNote for malicious payloads Cybercriminals leveraged Microsoft OneNote to deliver many malicious payloads to victims, including Redline, AgentTesla, Quasar RAT, and others. This previously underutilized Office program became a favored tool due to its low suspicion and widespread usage. SEO poisoning and Google Ads Malicious actors resorted to SEO poisoning tactics, deploying phishing links through Google Ads to deceive unsuspecting victims. These links led to cloned, benign web pages, avoiding Google\'s detection and remaining active for extended periods. Prominent malware families, including Raccoon Stealer and IcedID, capitalized on this strategy. Exploiting geopolitical events Cybercriminals exploited the geopolitical climate, particularly the Middle East conflict, as a lure for their attacks. This trend mirrored the previous year\'s Ukraine-related phishing campaigns and crypto scams. APTs: State-sponsored espionage continues to present challenges Advanced Persistent Threats (APTs) continued to pose a significant threat in 2023: Snake: CISA reported on the Snake APT, an advanced cyber-espionage tool associated with the Russian Federal Security Service (FSB). This malware had been in use for nearly two decades. Volt Typhoon: A campaign targeting critical infrastructure organizations in the United States was attributed to Volt Typhoon, a state-sponsored actor based in China. Their focus lay on espionage and information gathering. Storm-0558: This highly sophisticated intrusion campaign, orchestrated by the Storm-0558 APT from China, infiltrated the email accounts of approximately 25 organizations, including government agencies. Ransomware\'s relentless rise Ransomware remained a prevalent and lucrative threat throughout the year: Cuba and Snatch: Ransomware groups like Cuba and Snatch targeted critical infrastructure in the United States, causing concern for national security. ALPHV/BlackCat: Beyond SEO poisoning, this group compromised the computer systems of Caesar and MGM casinos. They also resorted to filing complaints with the US Securities and Exchange Commission (SEC) against their victims, applying additional pressure to pay ransoms. Exploiting new vulnerabilities: Cybercriminals wasted no time exploiting newly discovered vulnerabilities, such as CVE-2023-22518 in Atlassian\'s Confluence, CVE-2023-4966 (Citrix bleed), and others. These vulnerabilities became gateways for ransomware attacks. Evolving ransom | Ransomware Spam Malware Tool Vulnerability Threat Prediction | Guam | ★★★ |
 |
2024-01-11 15:24:12 | SecurityScoreCard Research: Volt Typhoon compromet 30% des appareils Cisco RV320 / 325 en 37 jours SecurityScorecard Threat Research: Volt Typhoon Compromises 30% of Cisco RV320/325 Devices in 37 Days (lien direct) |
Recherche de menace de sécurité de sécurité: Volt Typhoon compromet 30% des appareils Cisco RV320 / 325 en 37 jours
-
mise à jour malveillant
SecurityScorecard Threat Research: Volt Typhoon Compromises 30% of Cisco RV320/325 Devices in 37 Days - Malware Update |
Vulnerability Threat Studies | Guam | ★★★★ |
 |
2023-05-31 17:19:00 | Anomali Cyber Watch: Shadow Force cible les serveurs coréens, Volt Typhoon abuse des outils intégrés, Cosmicenergy Tests Electric Distribution Perturbation Anomali Cyber Watch: Shadow Force Targets Korean Servers, Volt Typhoon Abuses Built-in Tools, CosmicEnergy Tests Electric Distribution Disruption (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de la cyber-montre anomali discutent des sujets suivants: Chine, chargement de DLL, vivant de la terre, technologie opérationnelle, ransomware, et Russie .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
shadowVictiticoor et Coinmin de Force Group \\
(Publié: 27 mai 2023)
Force Shadow est une menace qui cible les organisations sud-coréennes depuis 2013. Il cible principalement les serveurs Windows.Les chercheurs d'AHNLAB ont analysé l'activité du groupe en 2020-2022.Les activités de force fantôme sont relativement faciles à détecter car les acteurs ont tendance à réutiliser les mêmes noms de fichiers pour leurs logiciels malveillants.Dans le même temps, le groupe a évolué: après mars, ses fichiers dépassent souvent 10 Mo en raison de l'emballage binaire.Les acteurs ont également commencé à introduire divers mineurs de crypto-monnaie et une nouvelle porte dérobée surnommée Viticdoor.
Commentaire de l'analyste: Les organisations doivent garder leurs serveurs à jour et correctement configurés avec la sécurité à l'esprit.Une utilisation et une surchauffe du processeur inhabituellement élevées peuvent être un signe du détournement de ressources malveillantes pour l'exploitation de la crypto-monnaie.Les indicateurs basés sur le réseau et l'hôte associés à la force fantôme sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1588.003 - obtenir des capacités:Certificats de signature de code | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1027.002 - fichiers ou informations obscurcies: emballage logiciel | [mitre att & amp; ck] t1569.002: exécution du service | [mitre att & amp; ck] T1059.003 - Commande et script Interpréteur: Windows Command Shell | [mitre att & amp; ck] T1547.001 - Exécution de botter ou de connexion automatique: Registre Run Keys / Startup Folder | [mitre att & amp; ck] t1546.008 - Événement Exécution déclenchée: caractéristiques de l'accessibilité | [mitre att & amp; ck] t1543.003 - créer ou modifier le processus système: service Windows | [mitre att & amp; ck] t1554 - compromis le logiciel client binaire | [mitreAtt & amp; ck] t1078.001 - Comptes valides: comptes par défaut | [mitre att & amp; ck] t1140 - désobfuscate / décode ou infor |
Ransomware Malware Tool Vulnerability Threat | APT 38 Guam CosmicEnergy | ★★ |
 |
2022-08-06 10:46:21 | CISO workshop slides (lien direct) | A glossy, nicely-constructed and detailed PowerPoint slide deck by Microsoft Security caught my beady this morning. The title 'CISO Workshop: Security Program and Strategy' with 'Your Name Here' suggests it might be a template for use in a workshop/course bringing CISOs up to speed on the governance, strategic and architectural aspects of information security, but in fact given the amount of technical detail, it appears to be aimed at informing IT/technology managers about IT or cybersecurity, specifically. Maybe it is intended for newly-appointed CISOs or more junior managers who aspire to be CISOs, helping them clamber up the pyramid (slide 87 of 142): | Malware Vulnerability Threat Patching Guideline Medical Cloud | Uber APT 38 APT 37 APT 28 APT 19 APT 15 APT 10 APT 34 Guam |
1
We have: 20 articles.
We have: 20 articles.
To see everything:
Our RSS (filtrered)
