What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-23 10:00:00 | L'impact de l'UNECE R155 sur la cybersécurité automobile The Impact of UNECE R155 on Automotive Cybersecurity (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In an era where technology and transportation converge, the fusion of vehicles with IoT technologies heralds a new dawn of mobility. This leap forward promises enhanced connectivity and autonomous capabilities, yet casts a shadow of cyber vulnerabilities that could jeopardize not just the integrity of the vehicles but the safety of their passengers. Recognizing the urgency of this issue, the UNECE stepped forward with the R155 regulation, a vanguard initiative to fortify the digital fortresses of our vehicles against potential cyber onslaughts. The Genesis of UNECE R155: Forging the Shields of Cybersecurity The essence of the UNECE R155 regulation unfolds as a carefully crafted framework designed to preemptively address the burgeoning threat landscape in the automotive sector. Rooted in the principle of proactive defense, R155 isn\'t just about compliance; it represents a paradigm shift in how vehicle cybersecurity is perceived and integrated. At its core, the regulation mandates the establishment of a Cybersecurity Management System (CSMS), compelling manufacturers to weave a tapestry of cyber resilience that spans the entire lifecycle of a vehicle. The ambition of R155 is pretty clear at this point: to transform the automotive industry\'s approach to cybersecurity from reactive patchwork to a strategic, foundational pillar. This involves not only the adoption of \'security by design\' principles but also a commitment to continual vigilance and adaptation in the face of evolving cyber threats. The regulation, thus, sets the stage for a future where vehicles are not merely transport mechanisms but fortified nodes within an expansive network of connected mobility. The Journey to CSMS Certification The path to CSMS certification under R155 is a clear yet challenging journey that demands attention to detail and a commitment to security from vehicle manufacturers. This process starts with a considerable risk assessment, where manufacturers must identify any potential cybersecurity risks within their vehicles. This step is crucial for understanding where vulnerabilities might exist and how they can be addressed to ensure vehicles are secure. Following this, the principle of \'security by design\' becomes central to the certification process. This means that from the very beginning of designing a vehicle, cybersecurity needs to be a key consideration. It\'s about making sure that security measures are built into the vehicle from the start, rather than being added on later. This approach challenges manufacturers to think about cybersecurity as an integral part of the vehicle, just like its engine or wheels. Achieving certification is a team effort that involves not only the manufacturers but also suppliers and regulatory bodies. It\'s about working together to make sure that every part of the vehicle, from its software to its hardware, meets the high security standards set out by R155. Addressing R155 Implementation Challenges As manufacturers and suppliers are gearing up to align with the R155 regulation, however, they encounter a set of practical challenges that test their adaptability and foresight. One of the most sign | Vulnerability Threat | ★★★ | |
 |
2024-04-23 09:53:00 | La Russie \\'s APT28 exploite Windows Print Spooler Flaw to déploier \\ 'gooseegg \\' malware Russia\\'s APT28 Exploited Windows Print Spooler Flaw to Deploy \\'GooseEgg\\' Malware (lien direct) |
L'acteur de menace nationale lié à la Russie a suivi comme & nbsp; apt28 & nbsp; a armé un défaut de sécurité dans le composant de spouleur d'impression Microsoft Windows pour fournir un logiciel malveillant personnalisé auparavant inconnu appelé Gooseegg.
L'outil post-compromise, & nbsp; qui est & nbsp;
The Russia-linked nation-state threat actor tracked as APT28 weaponized a security flaw in the Microsoft Windows Print Spooler component to deliver a previously unknown custom malware called GooseEgg. The post-compromise tool, which is said to have been used since at least June 2020 and possibly as early as April 2019, leveraged a now-patched flaw that allowed for |
Malware Tool Threat | APT 28 | ★★★ |
 |
2024-04-23 01:15:11 | Old Windows Print Spooler Bug est la dernière cible du gang d'ours sophistiqué de la Russie Old Windows print spooler bug is latest target of Russia\\'s Fancy Bear gang (lien direct) |
Les copains de Poutine \\ utilisent \\ 'gooseegg \' malware pour lancer des attaques que vous pouvez vaincre avec des correctifs ou une suppression Les espions russes exploitent une vulnérabilité de spooler d'impression Windows vieille et utilisent unUn outil personnalisé appelé GooseEgg pour élever les privilèges et voler des informations d'identification sur des réseaux compromis, selon Microsoft Threat Intelligence.…
Putin\'s pals use \'GooseEgg\' malware to launch attacks you can defeat with patches or deletion Russian spies are exploiting a years-old Windows print spooler vulnerability and using a custom tool called GooseEgg to elevate privileges and steal credentials across compromised networks, according to Microsoft Threat Intelligence.… |
Malware Tool Vulnerability Threat | APT 28 | ★★★ |
 |
2024-04-22 21:15:51 | Toddycat apt vole des données sur \\ 'échelle industrielle \\' ToddyCat APT Is Stealing Data on \\'Industrial Scale\\' (lien direct) |
L'acteur de menace déploie plusieurs connexions dans des environnements de victimes pour maintenir la persistance et voler des données.
The threat actor is deploying multiple connections into victim environments to maintain persistence and steal data. |
Threat | ★★★ | |
|
2024-04-22 20:41:00 | Le groupe de pirates russes Toddycat utilise des outils avancés pour le vol de données à l'échelle industrielle Russian Hacker Group ToddyCat Uses Advanced Tools for Industrial-Scale Data Theft (lien direct) |
L'acteur de menace & nbsp; connu sous le nom de & nbsp; toddycat & nbsp; a & nbsp; a été observé & nbsp; en utilisant un large éventail d'outils pour conserver l'accès à des environnements compromis et voler des données précieuses.
La société russe de cybersécurité Kaspersky a caractérisé l'adversaire comme s'appuyant sur divers programmes pour récolter des données sur une "échelle industrielle" des organisations gouvernementales principalement, certaines d'entre elles liées à la défense, située dans
The threat actor known as ToddyCat has been observed using a wide range of tools to retain access to compromised environments and steal valuable data. Russian cybersecurity firm Kaspersky characterized the adversary as relying on various programs to harvest data on an "industrial scale" from primarily governmental organizations, some of them defense related, located in |
Tool Threat Industrial | ★★★ | |
|
2024-04-22 19:11:27 | Mitre att & cked: le nom le plus fiable d'Infosec \\ tombe aux bogues ivanti MITRE ATT&CKED: InfoSec\\'s Most Trusted Name Falls to Ivanti Bugs (lien direct) |
L'ironie est perdue pour quelques-uns, car un acteur de menace chinois a utilisé huit techniques de mitre pour violer l'agent lui-même - notamment en exploitant les bogues d'Ivanti sur lesquels les attaquants grouillaient depuis des mois.
The irony is lost on few, as a Chinese threat actor used eight MITRE techniques to breach MITRE itself - including exploiting the Ivanti bugs that attackers have been swarming on for months. |
Threat | ★★★ | |
 |
2024-04-22 17:03:13 | 5 meilleures pratiques pour sécuriser les ressources AWS 5 Best Practices to Secure AWS Resources (lien direct) |
Les organisations se tournent de plus en plus vers le cloud computing pour l'agilité, la résilience et l'évolutivité.Amazon Web Services (AWS) est à l'avant-garde de cette transformation numérique, offrant une plate-forme robuste, flexible et rentable qui aide les entreprises à stimuler la croissance et l'innovation.Cependant, à mesure que les organisations migrent vers le nuage, elles sont confrontées à un paysage de menaces complexe et croissant de [& # 8230;]
Organizations are increasingly turning to cloud computing for IT agility, resilience and scalability. Amazon Web Services (AWS) stands at the forefront of this digital transformation, offering a robust, flexible and cost-effective platform that helps businesses drive growth and innovation. However, as organizations migrate to the cloud, they face a complex and growing threat landscape of […] |
Threat Cloud | ★★★ | |
|
2024-04-22 16:35:00 | Miter Corporation violé par des pirates d'État-nation exploitant Ivanti Flaws MITRE Corporation Breached by Nation-State Hackers Exploiting Ivanti Flaws (lien direct) |
La Miter Corporation a révélé que c'était la cible d'une cyberattaque nationale qui a exploité deux défauts zéro jour dans les appareils sécurisés à Ivanti Connect à partir de janvier 2024.
L'intrusion a conduit au compromis de son environnement d'expérimentation, de recherche et de virtualisation en réseau (nerf), un réseau de recherche et de prototypage non classifié.
L'adversaire inconnu "a réalisé une reconnaissance
The MITRE Corporation revealed that it was the target of a nation-state cyber attack that exploited two zero-day flaws in Ivanti Connect Secure appliances starting in January 2024. The intrusion led to the compromise of its Networked Experimentation, Research, and Virtualization Environment (NERVE), an unclassified research and prototyping network. The unknown adversary "performed reconnaissance |
Vulnerability Threat | ★★★ | |
|
2024-04-22 15:52:00 | Ransomware Double-DIP: Repictimisation en cyber norme Ransomware Double-Dip: Re-Victimization in Cyber Extortion (lien direct) |
Entre les croisements - les acteurs de la menace jouent-ils sales ou désespérés?
Dans notre ensemble de données de plus de 11 000 organisations de victimes qui ont connu une attaque de cyberintimidation / ransomware, nous avons remarqué que certaines victimes se réapparaissent.Par conséquent, la question se pose de la raison pour laquelle nous observons une revictimisation et s'il s'agit ou non d'une deuxième attaque réelle, un crossover affilié (ce qui signifie qu'un affilié est allé à
Between crossovers - Do threat actors play dirty or desperate? In our dataset of over 11,000 victim organizations that have experienced a Cyber Extortion / Ransomware attack, we noticed that some victims re-occur. Consequently, the question arises why we observe a re-victimization and whether or not this is an actual second attack, an affiliate crossover (meaning an affiliate has gone to |
Ransomware Threat | ★★★ | |
 |
2024-04-22 15:30:00 | Fraudsters Exploit Telegram\\'s Popularity For Toncoin Scam (lien direct) | Le programme a été découvert par Kaspersky et est opérationnel depuis novembre 2023
The scheme was uncovered by Kaspersky and has been operational since November 2023 |
Threat | ★★ | |
 |
2024-04-22 15:26:34 | Utilisation d'URL GitHub légitime pour les logiciels malveillants Using Legitimate GitHub URLs for Malware (lien direct) |
Intéressant d'ingénierie sociale attaquez le vecteur d'attaque:
McAfee a publié un rapport sur un newLUA Malware Loader Distribué via ce qui semblait être un référentiel Microsoft Github légitime pour le gestionnaire de bibliothèque & # 8220; C ++ pour Windows, Linux et MacOS, & # 8221;connu sous le nom de vcpkg .
L'attaquant exploite une propriété de GitHub: les commentaires à un dépôt particulier peuvent contenir des fichiers, et ces fichiers seront associés au projet dans l'URL.
Cela signifie que quelqu'un peut télécharger des logiciels malveillants et & # 8220; joint & # 8221;à un projet légitime et fiable.
Comme l'URL du fichier contient le nom du référentiel dans lequel le commentaire a été créé, et comme presque toutes les sociétés de logiciels utilisent Github, ce défaut peut permettre aux acteurs de menace de développer des leurres extraordinairement astucieux et dignes de confiance..
Interesting social-engineering attack vector: McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg. The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL. What this means is that someone can upload malware and “attach” it to a legitimate and trusted project. As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures... |
Malware Threat | ★★ | |
 |
2024-04-22 15:04:06 | Faits saillants hebdomadaires, 22 avril 2024 Weekly OSINT Highlights, 22 April 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting focused on attack activity by APT groups and the infamous FIN7 (tracked by Microsoft as Sangria Tempest). These articles showcase the evolution of threat actor tactics, from FIN7\'s precise spear-phishing campaign targeting a US-based automotive manufacturer with the Anunak backdoor to TA427\'s (Emerald Sleet) strategic information gathering efforts aligned with North Korea\'s interests. ## Description 1. **[Spear-Phishing Campaign by FIN7 (Sangria Tempest) Targeting US-Based Automotive Manufacturer](https://sip.security.microsoft.com/intel-explorer/articles/e14e343c):** BlackBerry analysts detect a spear-phishing campaign by FIN7, tracked by Microsoft as Sangria Tempest, targeting a US-based automotive manufacturer with the Anunak backdoor. The attackers focus on IT department employees with elevated privileges, deploying living off the land binaries (lolbas) and multi-stage processes to mask malicious activity, illustrating a shift towards precise targeting in high-value sectors. 2. **[Information Gathering Tactics of TA427 (Emerald Sleet)](https://sip.security.microsoft.com/intel-explorer/articles/5d36b082):** Proofpoint details the information gathering tactics of TA427, a North Korea-aligned threat actor engaged in benign conversation starter campaigns targeting US and South Korea foreign policy initiatives. TA427 heavily relies on social engineering tactics and web beacons for reconnaissance, impersonating individuals from various verticals to gather strategic intelligence, demonstrating persistence and adaptability in adjusting tactics and infrastructure. 3. **[Analysis of Russia\'s Notorious APT44 (Seashell Blizzard)](https://sip.security.microsoft.com/intel-explorer/articles/24c2a760):** Sponsored by Russian military intelligence, APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. Tracked by Microsoft as Seashell Blizzard, APT44 is actively engaged in espionage, attack, and influence operations to serve Russian national interests. APT44 presents a persistent, high-severity threat to governments and critical infrastructure globally, with a history of aggressive cyber attacks undermining democratic processes and presenting a significant proliferation risk for new cyber attack concepts and methods. 4. **[Zero-Day Exploitation of Palo Alto Networks PAN-OS by UTA0218](https://sip.security.microsoft.com/intel-explorer/articles/958d183b):** Volexity discovers zero-day exploitation of a vulnerability in Palo Alto Networks PAN-OS by threat actor UTA0218, resulting in unauthenticated remote code execution. UTA0218 exploits firewall devices to deploy malicious payloads, facilitating lateral movement within victim organizations, demonstrating highly capable threat actor tradecraft and a clear playbook to further their objectives. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Vulnerability Profile: [CVE-2024-3400](https://sip.security.microsoft.com/intel-profiles/CVE-2024-3400) - Actor Profile: [Sangria Tempest](https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) - Actor Profile: [Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) - Actor Profile: [Emerald Sleet](https://sip.security.microsoft.com/intel-profiles/f1e214422d | Vulnerability Threat | ★★★ | |
|
2024-04-22 14:52:00 | Les chercheurs découvrent des défauts de fenêtres accordant des hackers de type rootkit pouvoirs Researchers Uncover Windows Flaws Granting Hackers Rootkit-Like Powers (lien direct) |
De nouvelles recherches ont révélé que le processus de conversion du chemin DOS-NT pourrait être exploité par les acteurs de la menace pour atteindre des capacités de type Kootkit pour cacher et se faire passer pour les fichiers, les répertoires et les processus.
"Lorsqu'un utilisateur exécute une fonction qui a un argument de chemin dans Windows, le chemin DOS auquel le fichier ou le dossier existe est converti en un chemin NT", a déclaré le chercheur de sécurité ou Yair & nbsp;
New research has found that the DOS-to-NT path conversion process could be exploited by threat actors to achieve rootkit-like capabilities to conceal and impersonate files, directories, and processes. "When a user executes a function that has a path argument in Windows, the DOS path at which the file or folder exists is converted to an NT path," SafeBreach security researcher Or Yair said& |
Threat | ★★★ | |
|
2024-04-22 13:30:00 | Vulnérabilité de confusion de dépendance trouvée dans le projet Apache Dependency Confusion Vulnerability Found in Apache Project (lien direct) |
Cela se produit lorsqu'un package privé récupère un public similaire, conduisant à l'exploit en raison de erreurs de configuration dans les gestionnaires de packages
This occurs when a private package fetches a similar public one, leading to exploit due to misconfigurations in package managers |
Vulnerability Threat | ★★ | |
 |
2024-04-22 12:50:21 | 22 avril & # 8211;Rapport de renseignement sur les menaces 22nd April – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes en cyberLes meilleures attaques et violations Mitre Corporation ont révélé un événement de sécurité qui s'est produit en janvier 2024. L'attaque, liée au groupe chinois de l'APP, UNC5221, a impliqué l'exploitation de deux vulnérabilités zéro jour dans les produits VPN Ivanti.L'attaquant [& # 8230;]
>For the latest discoveries in cyber research for the week of 22nd April, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES MITRE Corporation disclosed a security event that occurred in January 2024. The attack, which is linked to Chinese APT group UNC5221, involved exploitation of two zero-day vulnerabilities in Ivanti VPN products. The attacker […] |
Vulnerability Threat | ★★ | |
 |
2024-04-22 11:05:44 | Gitlab affecté par une faille CDN de style Github permettant l'hébergement de logiciels malveillants GitLab affected by GitHub-style CDN flaw allowing malware hosting (lien direct) |
BleepingComputer a récemment rapporté comment une faille GitHub, ou peut-être une décision de conception, est abusée par les acteurs de la menace pour distribuer des logiciels malveillants en utilisant les URL associés aux référentiels Microsoft, ce qui rend les fichiers dignes de confiance.Il s'avère que Gitlab est également affecté par ce problème et pourrait être maltraité de la même manière.[...]
BleepingComputer recently reported how a GitHub flaw, or possibly a design decision, is being abused by threat actors to distribute malware using URLs associated with Microsoft repositories, making the files appear trustworthy. It turns out, GitLab is also affected by this issue and could be abused in a similar fashion. [...] |
Malware Threat | ★★★ | |
 |
2024-04-22 10:55:30 | Le rapport sur les menaces USB de Honeywell 2024 révèle une augmentation significative de la fréquence des logiciels malveillants, mettant en évidence les préoccupations croissantes Honeywell\\'s 2024 USB Threat Report reveals significant rise in malware frequency, highlighting growing concerns (lien direct) |
Un nouveau rapport de l'équipe de Honeywell \'s GARD (Global Analysis, Research and Defence) a révélé que la fréquence globale des logiciels malveillants se poursuit ...
A new report from Honeywell\'s GARD (Global Analysis, Research, and Defense) team disclosed that overall malware frequency continues... |
Data Breach Malware Threat Industrial | ★★★ | |
|
2024-04-21 15:25:08 | Microsoft est une menace à la sécurité nationale, explique l'ancien directeur de la cyber-politique de la maison blanc Microsoft is a national security threat, says ex-White House cyber policy director (lien direct) |
Avec peu de concurrence au niveau du gouvernement, le géant de Windows n'a aucune incitation à rendre ses systèmes plus sûrs Interview Microsoft a un niveau de contrôle choquant sur le gouvernement fédéral américain& # 8211;À tel point que l'ancien directeur de la cyber-politique de la Maison Blanche, AJ Grotto, pense qu'il est juste d'appeler les récentes défaillances de la sécurité de Redmond \\ un problème de sécurité nationale.…
With little competition at the goverment level, Windows giant has no incentive to make its systems safer Interview Microsoft has a shocking level of control over IT within the US federal government – so much so that former senior White House cyber policy director AJ Grotto thinks it\'s fair to call Redmond\'s recent security failures a national security issue. … |
Threat | ★★★★ | |
|
2024-04-20 10:48:00 | Mise à jour critique: une défaut zéro-jour Crushftp exploité dans des attaques ciblées Critical Update: CrushFTP Zero-Day Flaw Exploited in Targeted Attacks (lien direct) |
Les utilisateurs du logiciel de transfert de fichiers d'entreprise CRrsUfTP sont & nbsp; être & nbsp; exhorté & nbsp; à mettre à jour vers la dernière version & nbsp; après la découverte de & nbsp; un défaut de sécurité qui a été soumis à l'exploitation ciblée dans la nature.
"Les versions Crushftp V11 inférieures à 11.1 ont une vulnérabilité où les utilisateurs peuvent échapper à leurs VFS et télécharger des fichiers système", Crushftp & nbsp; Said & NBSP; dans un avis publié vendredi.
Users of the CrushFTP enterprise file transfer software are being urged to update to the latest version following the discovery of a security flaw that has come under targeted exploitation in the wild. "CrushFTP v11 versions below 11.1 have a vulnerability where users can escape their VFS and download system files," CrushFTP said in an advisory released Friday. |
Vulnerability Threat | ★★★ | |
|
2024-04-20 10:14:28 | Les commentaires GitHub ont été maltraités pour pousser les logiciels malveillants via les URL de Microsoft Repo GitHub comments abused to push malware via Microsoft repo URLs (lien direct) |
Une faille GitHub, ou peut-être une décision de conception, est abusée par les acteurs de la menace pour distribuer des logiciels malveillants à l'aide d'URL associés à un référentiel Microsoft, ce qui rend les fichiers dignes de confiance.[...]
A GitHub flaw, or possibly a design decision, is being abused by threat actors to distribute malware using URLs associated with a Microsoft repository, making the files appear trustworthy. [...] |
Malware Threat | ★★★ | |
 |
2024-04-19 20:15:33 | FBI: Akira Ransomware Group a fait 42 millions de dollars sur plus de 250 orgs FBI: Akira Ransomware Group Made $42 Million From 250+ Orgs (lien direct) |
The Akira ransomware group has breached the networks of over 250 organizations and claimed approximately $42 million (USD) in ransomware proceeds, according to a recent joint cybersecurity advisory issued by the United States Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Europol\'s European Cybercrime Centre (EC3), and the Netherlands\' National Cyber Security Centre (NCSC-NL). According to FBI investigations, Akira ransomware has targeted a wide range of businesses and critical infrastructure entities across North America, Europe, and Australia since March 2023. While the ransomware initially targeted Windows systems, the FBI recently found Akira\'s Linux variant targeting VMware ESXi virtual machines that are used widely across many large businesses and organizations. ? #StopRansomare: Review our ? #cybersecurity advisory, outlining known #AkiraRansomware #TTPs & #IOCs, developed with @FBI, @EC3Europol, & @NCSC_NL to reduce the exploitation of businesses and critical infrastructure. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) April 18, 2024 “Early versions of the Akira ransomware variant were written in C++ and encrypted files with a .akira extension; however, beginning in August 2023, some Akira attacks began deploying Megazord, using Rust-based code which encrypts files with a .powerranges extension. Akira threat actors have continued to use both Megazord and Akira, including Akira_v2 (identified by trusted third party investigations) interchangeably,” the joint cybersecurity advisory reads. The FBI and cybersecurity researchers have observed Akira threat actors obtaining initial access to organizations through a virtual private network (VPN) service without multifactor authentication (MFA) configured, mostly using known Cisco vulnerabilities CVE-2020-3259 and CVE-2023-20269. Additional methods of initial access include the use of external-facing services such as Remote Desktop Protocol (RDP), spear phishing attacks, and credential abuse. Once initial access is obtained, Akira threat actors attempt to exploit the functions of domain controllers by creating new domain accounts to establish persis | Ransomware Vulnerability Threat Studies | ★★★ | |
|
2024-04-19 19:54:12 | Le directeur du FBI, Wray, émet un avertissement désastreux sur la menace de cybersécurité de la Chine FBI Director Wray Issues Dire Warning on China\\'s Cybersecurity Threat (lien direct) |
Les acteurs chinois sont prêts et prêts à faire des dommages "dévastateurs" aux principaux services d'infrastructure américaine si nécessaire, a-t-il déclaré.
Chinese actors are ready and poised to do "devastating" damage to key US infrastructure services if needed, he said. |
Threat | ★★★ | |
 |
2024-04-19 19:17:22 | Mitre a été violée par des vulnérabilités Ivanti Zero-Day MITRE was breached through Ivanti zero-day vulnerabilities (lien direct) |
Les acteurs chinois sont prêts et prêts à faire des dommages "dévastateurs" aux principaux services d'infrastructure américaine si nécessaire, a-t-il déclaré.
Chinese actors are ready and poised to do "devastating" damage to key US infrastructure services if needed, he said. |
Vulnerability Threat | ★★★ | |
|
2024-04-19 19:14:00 | BlackTech cible les secteurs de la technologie, de la recherche et du gouvernement nouvel outil de Deuterbear \\ ' BlackTech Targets Tech, Research, and Gov Sectors New \\'Deuterbear\\' Tool (lien direct) |
Les secteurs de la technologie, de la recherche et du gouvernement dans la région Asie-Pacifique & NBSP; ont été ciblés par un acteur de menace appelé & NBSP; BlackTech & Nbsp; dans le cadre d'une récente vague de cyberattaquant.
Les intrusions ouvrent la voie à une version mise à jour de & nbsp; porte dérobée modulaire doublée & nbsp; waterbear ainsi que son successeur amélioré & nbsp; appelé & nbsp; Deuterbear.
"WaterBear est connu pour sa complexité, car
Technology, research, and government sectors in the Asia-Pacific region have been targeted by a threat actor called BlackTech as part of a recent cyber attack wave. The intrusions pave the way for an updated version of modular backdoor dubbed Waterbear as well as its enhanced successor referred to as Deuterbear. "Waterbear is known for its complexity, as it |
Tool Threat | ★★★ | |
 |
2024-04-19 17:05:09 | Le directeur du FBI met en garde contre les préparatifs de la Chine pour les attaques d'infrastructure perturbatrices FBI director warns of China\\'s preparations for disruptive infrastructure attacks (lien direct) |
> Wray a indiqué que le FBI considère la Chine comme une menace plus imminente pour les infrastructures américaines alors que des groupes de piratage comme Volt Typhoon Position Resources pour une perturbation avant une confrontation potentielle avec les États-Unis au-dessus de Taïwan dès 2027.
>Wray indicated the FBI sees China as a more imminent threat to U.S. infrastructure as hacking groups like Volt Typhoon position resources for disruption ahead of a potential confrontation with the U.S. over Taiwan as early as 2027. |
Threat | Guam | ★★★ |
|
2024-04-19 16:31:00 | Akira Ransomware Gang éteint 42 millions de dollars;Cible désormais les serveurs Linux Akira Ransomware Gang Extorts $42 Million; Now Targets Linux Servers (lien direct) |
Les acteurs de la menace derrière le groupe Akira Ransomware ont extorqué environ 42 millions de dollars en produit illicite après avoir enfreint les réseaux de plus de 250 victimes au 1er janvier 2024.
"Depuis mars 2023, Akira Ransomware a eu un impact
Threat actors behind the Akira ransomware group have extorted approximately $42 million in illicit proceeds after breaching the networks of more than 250 victims as of January 1, 2024. "Since March 2023, Akira ransomware has impacted a wide range of businesses and critical infrastructure entities in North America, Europe, and Australia," cybersecurity agencies from the Netherlands and the U.S., |
Ransomware Threat | ★★ | |
 |
2024-04-19 16:09:32 | Liste de contrôle 372: une violation de Roku et un exploit douteux Checklist 372: A Roku Breach and a Doubtful Exploit (lien direct) |
> Rejoignez-nous alors que nous nous plongeons dans les derniers titres technologiques: Roku \\ est confronté à une autre violation de données, faisant pression pour le 2FA obligatoire, tandis que l'avertissement de Trust Wallet \\ sur un iMessage exploite étincelle le scepticisme.Branchez-vous pour le scoop intérieur sur ces sagas de cybersécurité!
>Join us as we delve into the latest tech headlines: Roku\'s facing another data breach, pushing for mandatory 2FA, while Trust Wallet\'s warning on an iMessage exploit sparks skepticism. Tune in for the inside scoop on these cybersecurity sagas! |
Data Breach Threat | ★★ | |
 |
2024-04-19 16:08:26 | Mateusz Jurczyk – L\'expert en sécurité qui a exploré la base de registre Windows pour y trouver des failles (lien direct) | Mateusz Jurczyk, chercheur en sécurité de Google Project Zero, a passé près de 2 ans à auditer en profondeur la base de registre Windows. Il a découvert de nombreuses vulnérabilités pouvant mener à des élévations de privilèges. Son travail met en lumière la complexité de cette partie ancienne mais cruciale de Windows. | Tool Threat Technical | ★★★ | |
 |
2024-04-19 14:07:49 | IT and Cybersecurity Jobs in the Age of Emerging AI Technologies (lien direct) | > Par waqas
Peur AI Take Your IT ou Cybersecurity Job?Ne le faites pas!Découvrez comment l'IA crée de nouvelles opportunités dans la gestion du réseau, la détection des menaces & # 038;plus.
Ceci est un article de HackRead.com Lire le post original: emplois informatique et cybersécurité à l'ère des technologies d'IA émergentes
>By Waqas Fear AI taking your IT or cybersecurity job? Don\'t! Learn how AI creates new opportunities in network management, threat detection & more. This is a post from HackRead.com Read the original post: IT and Cybersecurity Jobs in the Age of Emerging AI Technologies |
Threat | ★★★ | |
|
2024-04-19 14:07:49 | Emplois informatique et cybersécurité à l'ère des technologies d'IA émergentes IT and Cybersecurity Jobs in the Age of Emerging AI Technologies (lien direct) |
> Par waqas
Peur AI Take Your IT ou Cybersecurity Job?Ne le faites pas!Découvrez comment l'IA crée de nouvelles opportunités dans la gestion du réseau, la détection des menaces & # 038;plus.
Ceci est un article de HackRead.com Lire la publication originale: emplois informatiques et cybersécurité à l'ère des technologies d'IA émergentes
>By Waqas Fear AI taking your IT or cybersecurity job? Don\'t! Learn how AI creates new opportunities in network management, threat detection & more. This is a post from HackRead.com Read the original post: IT and Cybersecurity Jobs in the Age of Emerging AI Technologies |
Threat | ★★★ | |
|
2024-04-19 14:03:31 | L'agence des Nations Unies enquête sur l'attaque des ransomwares, le vol de données United Nations agency investigates ransomware attack, data theft (lien direct) |
Le programme des Nations Unies pour le développement (PNUD) étudie une cyberattaque après que les acteurs de la menace ont enfreint ses systèmes informatiques pour voler des données sur les ressources humaines.[...]
The United Nations Development Programme (UNDP) is investigating a cyberattack after threat actors breached its IT systems to steal human resources data. [...] |
Ransomware Threat | ★★★ | |
|
2024-04-19 13:00:00 | Dispose alarmante dans les offres d'emploi de cybersécurité aux États-Unis Alarming Decline in Cybersecurity Job Postings in the US (lien direct) |
Cette baisse représente une menace directe pour les infrastructures nationales de cybersécurité américaines, ont déclaré les représentants de Cybersn dans leur rapport
This drop represents a direct threat to US national cybersecurity infrastructure, said CyberSN representatives in their report |
Threat | ★★★ | |
|
2024-04-18 20:37:30 | Threat Group FIN7 Targets the U.S. Automotive Industry (lien direct) | #### Géolocations ciblées
- États-Unis
## Instantané
À la fin de 2023, les analystes de BlackBerry ont détecté une campagne de phisces de lance lancée par FIN7, suivie par Microsoft sous le nom de Sangria Tempest, ciblant un constructeur automobile basé aux États-Unis.
## Description
Les attaquants se sont concentrés sur les employés du service informatique possédant des privilèges administratifs élevés, les attirant avec une offre d'un outil de numérisation IP gratuit, qui a dissimulé la porte dérobée Anunak.Cet incident démontre un changement dans les efforts de Fin7 \\, du ciblage généralisé au ciblage plus précis de secteurs de grande valeur tels que le transport et la défense.
En cliquant sur des URL intégrées, les victimes ont été dirigées vers des sites Web malveillants, faisant partie d'un schéma de typosquat, qui a facilité le téléchargement et l'exécution de la porte dérobée Anunak sur leurs systèmes.Le déploiement de la vie des binaires terrestres, des scripts et des bibliothèques (lolbas) a masqué l'activité malveillante, en aidant à l'attaquants \\ 'de pied initial.En outre, le flux d'exécution des logiciels malveillants a impliqué des processus complexes en plusieurs étapes, y compris le décryptage et l'exécution des charges utiles, telles que Anunak, et l'établissement de la persistance via OpenSSH.
Au cours de la phase de livraison de cette campagne, le site Web de faux leurre, «Advanced-ip-scanner \ [. \] Com», redirigé vers «Myipscanner \ [. \] Com».Les analystes de BlackBerry ont trouvé plusieurs domaines enregistrés dans les minutes suivant l'original sur le même fournisseur, illustrant que cette campagne n'est probablement pas limitée à cette attaque, mais fait plutôt partie d'une campagne plus large de FIN7.
## Les références
[https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industrycibles-states unités-automotive-industrie)
#### Targeted Geolocations - United States ## Snapshot In late 2023, BlackBerry analysts detected a spear-phishing campaign launched by FIN7, tracked by Microsoft as Sangria Tempest, targeting a US-based automotive manufacturer. ## Description The attackers concentrated on employees within the IT department possessing elevated administrative privileges, luring them with an offer of a free IP scanning tool, which concealed the Anunak backdoor. This incident is demonstrative of a shift in FIN7\'s efforts from widespread targeting to more precise targeting of high-value sectors such as transportation and defense. Upon clicking on embedded URLs, victims were directed to malicious websites, part of a typosquatting scheme, which facilitated the download and execution of the Anunak backdoor onto their systems. The deployment of living off the land binaries, scripts, and libraries (lolbas) masked the malicious activity, aiding in the attackers\' initial foothold. Furthermore, the malware execution flow involved intricate multi-stage processes, including the decryption and execution of payloads, such as Anunak, and the establishment of persistence through OpenSSH. During the delivery phase of this campaign, the fake lure website, “advanced-ip-sccanner\[.\]com,” redirected to “myipscanner\[.\]com.” Blackberry analysts found multiple domains registered within minutes of the original on the same provider, illustrating that this campaign is likely not limited to this attack, but is instead part of a wider campaign by FIN7. ## References [https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry](https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry) |
Malware Tool Threat | ★★ | |
|
2024-04-18 20:25:50 | Les contrôleurs de réseau ICS ouverts à l'exploit à distance, aucun correctif disponible ICS Network Controllers Open to Remote Exploit, No Patches Available (lien direct) |
CISA advisory warns of critical ICS device flaws, but a lack of available fixes leaves network administrators on defense to prevent exploits.
CISA advisory warns of critical ICS device flaws, but a lack of available fixes leaves network administrators on defense to prevent exploits. |
Threat Industrial | ★★★ | |
|
2024-04-18 20:23:46 | GPT-4 peut exploiter la plupart des vulnes simplement en lisant les avis de menace GPT-4 Can Exploit Most Vulns Just by Reading Threat Advisories (lien direct) |
La technologie d'IA existante peut permettre aux pirates d'automatiser les exploits pour les vulnérabilités publiques en minutes à plat.Très bientôt, le correctif diligent ne sera plus facultatif.
Existing AI technology can allow hackers to automate exploits for public vulnerabilities in minutes flat. Very soon, diligent patching will no longer be optional. |
Vulnerability Threat Patching | ★★ | |
|
2024-04-18 16:01:00 | Comment effectuer une analyse statique avancée dans un sable de logiciels malveillants How to Conduct Advanced Static Analysis in a Malware Sandbox (lien direct) |
Les bacs à sable sont synonymes d'analyse dynamique de logiciels malveillants.Ils aident à exécuter des fichiers malveillants dans un environnement virtuel sûr et à observer leur comportement.Cependant, ils offrent également beaucoup de valeur en termes d'analyse statique.Voir ces cinq scénarios où un bac à sable peut s'avérer être un outil utile dans vos enquêtes.
Détecter les menaces dans les PDF
Les fichiers PDF sont fréquemment exploités par les acteurs de la menace
Sandboxes are synonymous with dynamic malware analysis. They help to execute malicious files in a safe virtual environment and observe their behavior. However, they also offer plenty of value in terms of static analysis. See these five scenarios where a sandbox can prove to be a useful tool in your investigations. Detecting Threats in PDFs PDF files are frequently exploited by threat actors to |
Malware Tool Threat | ★★★ | |
 |
2024-04-18 13:55:12 | Cybersécurité : HarfangLab et Filigran connectent EDR et CTI (lien direct) | Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l'EDR de HarfangLab pour accélérer la détection des menaces et les réponses aux incidents. | Threat | ★ | |
|
2024-04-18 13:50:52 | Break Security Burnout: combiner le leadership avec les neurosciences Break Security Burnout: Combining Leadership With Neuroscience (lien direct) |
Les leaders de l'industrie visent à résoudre la menace à la fois à la santé mentale des travailleurs et à la sécurité des organisations ayant des solutions qui reconnaissent les énormes pressions auxquelles sont confrontés les professionnels de la cybersécurité.
Industry leaders aim to solve the threat to both the mental health of workers and security of organizations with solutions that recognize the enormous pressures facing cybersecurity professionals. |
Threat | ★★ | |
|
2024-04-18 11:24:00 | Les pirates exploitent Openmetadata Flaws to Mine Crypto sur Kubernetes Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes (lien direct) |
Les acteurs de la menace exploitent activement les vulnérabilités critiques à Openmetadata pour obtenir un accès non autorisé aux charges de travail de Kubernetes et les exploiter pour l'activité minière des crypto-monnaies.
C'est selon l'équipe Microsoft Threat Intelligence, qui & nbsp; a dit & nbsp; les défauts sont armées depuis le début d'avril 2024.
OpenMetadata est un & nbsp; plateforme open source & nbsp; qui fonctionne comme un
Threat actors are actively exploiting critical vulnerabilities in OpenMetadata to gain unauthorized access to Kubernetes workloads and leverage them for cryptocurrency mining activity. That\'s according to the Microsoft Threat Intelligence team, which said the flaws have been weaponized since the start of April 2024. OpenMetadata is an open-source platform that operates as a |
Vulnerability Threat | ★★ | |
|
2024-04-18 10:18:00 | Les publicités Google malveurs poussant un faux logiciel de scanner IP avec une porte dérobée cachée Malicious Google Ads Pushing Fake IP Scanner Software with Hidden Backdoor (lien direct) |
Une nouvelle campagne Google Malvertising tire parti d'un groupe de domaines imitant un logiciel de scanner IP légitime pour offrir une porte dérobée préalablement inconnue doublée & nbsp; Madmxshell.
"L'acteur de menace a enregistré plusieurs domaines de sosie multiple en utilisant une technique de typosquat et des publicités Google à effet de levier pour pousser ces domaines en haut des résultats du moteur de recherche ciblant les mots clés de recherche spécifiques,
A new Google malvertising campaign is leveraging a cluster of domains mimicking a legitimate IP scanner software to deliver a previously unknown backdoor dubbed MadMxShell. "The threat actor registered multiple look-alike domains using a typosquatting technique and leveraged Google Ads to push these domains to the top of search engine results targeting specific search keywords, thereby |
Threat | ★★★ | |
 |
2024-04-18 09:53:59 | The Windows Registry Adventure # 1: Résultats d'introduction et de recherche The Windows Registry Adventure #1: Introduction and research results (lien direct) |
Posted by Mateusz Jurczyk, Google Project Zero In the 20-month period between May 2022 and December 2023, I thoroughly audited the Windows Registry in search of local privilege escalation bugs. It all started unexpectedly: I was in the process of developing a coverage-based Windows kernel fuzzer based on the Bochs x86 emulator (one of my favorite tools for security research: see Bochspwn, Bochspwn Reloaded, and my earlier font fuzzing infrastructure), and needed some binary formats to test it on. My first pick were PE files: they are very popular in the Windows environment, which makes it easy to create an initial corpus of input samples, and a basic fuzzing harness is equally easy to develop with just a single GetFileVersionInfoSizeW API call. The test was successful: even though I had previously fuzzed PE files in 2019, the new element of code coverage guidance allowed me to discover a completely new bug: issue #2281. For my next target, I chose the Windows registry. That\'s because arbitrary registry hives can be loaded from disk without any special privileges via the RegLoadAppKey API (since Windows Vista). The hives use a binary format and are fully parsed in the kernel, making them a noteworthy local attack surface. Furthermore, I was also somewhat familiar with basic harnessing of the registry, having fuzzed it in 2016 together with James Forshaw. Once again, the code coverage support proved useful, leading to the discovery of issue #2299. But when I started to perform a root cause analysis of the bug, I realized that: The hive binary format is not very well suited for trivial bitflipping-style fuzzing, because it is structurally simple, and random mutations are much more likely to render (parts of) the hive unusable than to trigger any interesting memory safety violations.On the other hand, the registry has many properties that make it an attractive attack | Tool Vulnerability Threat Studies | ★★★★ | |
|
2024-04-18 08:47:56 | La lutte contre les menaces internes est l\'affaire de tous (lien direct) | Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent commencer par infléchir leur culture interne afin de mieux sensibiliser et responsabiliser leurs équipes. | Threat | ★★ | |
 |
2024-04-18 08:35:54 | Cisco dévoile Hypershield (lien direct) | Avec Hypershield, Cisco réinvente la sécurité des data centers et du cloud à l'ère de l'IA Cisco Hypershield offre les capacités de sécurité et de connectivité hyperscale pour les entreprises Résumé de l'annonce : Cisco soutient et sécurise la révolution de l'IA dans les centres de données et dans les services clouds, afin de sécuriser toutes les applications et tous les terminaux, quelle que soit la manière dont ils sont distribués ou connectés. Dans un environnement toujours plus interconnecté, le délai entre la détection d'une vulnérabilité et son exploitation est de plus en plus court. Ainsi, la défense contre le paysage de menaces de plus en plus sophistiqué et complexe dans les centres de données dépasse l'échelle humaine. Cisco Hypershield permet aux clients de mettre en place la sécurité où ils en ont besoin – au niveau du réseau, dans leurs centres de données, dans leurs instances dans le cloud et dans les environnements industriels. Grâce à la sécurité alimentée par l'IA, les clients peuvent segmenter leurs réseaux de manière autonome, et bénéficient également d'une protection quasi en temps-réel contre les exploits évitant des patchs correctifs, et aussi de mises à jour logicielles autonomes, ne nécessitant aucune interruption de services. - Produits | Threat Cloud | ★★★ | |
|
2024-04-18 07:46:32 | Analyse du rat nautique utilisé dans les attaques contre les systèmes Linux Analysis of Pupy RAT Used in Attacks Against Linux Systems (lien direct) |
Pupy est une souche malveillante de rat qui offre un soutien à la plate-forme croisée.Parce qu'il s'agit d'un programme open-source publié sur GitHub, il est continuellement utilisé par divers acteurs de menace, y compris des groupes APT.Par exemple, il est connu pour avoir été utilisé par APT35 (qui aurait des liens avec l'Iran) [1] et a également été utilisé dans l'opération Earth Berberoka [2] qui ciblait les sites de jeux en ligne.Récemment, une souche de logiciels malveillante nommée Disy Dog a été découverte, qui est une version mise à jour de Pupy Rat ....
Pupy is a RAT malware strain that offers cross-platform support. Because it is an open-source program published on GitHub, it is continuously being used by various threat actors including APT groups. For example, it is known to have been used by APT35 (said to have ties to Iran) [1] and was also used in Operation Earth Berberoka [2] which targeted online gambling websites. Recently, a malware strain named Decoy Dog was discovered, which is an updated version of Pupy RAT.... |
Malware Threat | APT 35 | ★★ |
 |
2024-04-18 06:00:36 | FAQ à partir de l'état du rapport Phish 2024, partie 2: comportements et attitudes des utilisateurs envers la sécurité FAQs from the 2024 State of the Phish Report, Part 2: User Behaviors and Attitudes Toward Security (lien direct) |
Welcome to the second installment of our two-part blog series where we answer the most frequently asked questions about the 2024 State of the Phish Report. In our previous article, we answered questions related to the threat landscape findings. Here, we answer questions related to user behaviors and attitudes, as well as how to grow your security awareness program. One of the most interesting findings that came out of the 2024 State of the Phish report was the fact that 71% of users admitted to engaging in a risky action and 96% of those users understood the risk. This suggests that people are not acting out of ignorance. Despite knowing that their actions could compromise themselves or their organization, people chose to proceed anyway. This information is crucial for the growth of any security awareness program. It enables organizations to tailor their efforts. By observing and analyzing how users interact with security policies, organizations can identify knowledge gaps and areas of resistance. When you engage users in this manner, you not only educate them but also transform them into active participants in protecting your organization. 96% of users who took a risky action knew that it was risky. (Source: 2024 State of the Phish from Proofpoint.) Our findings inspired hundreds of questions from audiences across the world. What follows are some of the questions that repeatedly came up. Frequently asked questions What are some ways to get users to care about security and get engaged? Two-way communication is key. Take a moment to explain to your employees why you\'re running a behavior change program, what the expectations are and what projected outcomes you foresee. Make it personal. Let people know that cybersecurity isn\'t just a work skill but a portable skill they can take home to help themselves and their families be safer in life. Keep your employees up to speed on what\'s happening in the current threat landscape. For example: What types of threats does your business see? Which departments are under attack? How does the security team handle these incidents? What can people do to defend against emerging threats that target them? Research for the 2024 State of the Phish report found that 87% of end users are more motivated to prioritize security when they see increased engagement from leadership or the security team. In short: You need to open up the lines of communication, listen to your employees and incorporate their feedback, and establish a security champion network to help facilitate communication more effectively. Any ideas on why the click rate for phishing simulations went up for many industries this year? There may be a few possible reasons. For starters, there has been an increase in the number of phishing tests sent. Our customers sent out a total of 183 million simulated phishing tests over a 12-month period, up from 135 million in the previous 12-month period. This 36% increase suggests that our customers may have either tested their users more frequently or tested more users in general. Also, some users might be new to these tests, resulting in a higher click rate. Regardless, if you are conducting a phishing campaign throughout the year, the click rates of phishing tests are expected to go up and down because you want to challenge your employees with new attack tactics they have not seen. Otherwise, the perception would be, “Oh, this is the face of a phish,” if you keep phishing your users with the same test. At Proofpoint, we use machine learning-driven leveled phishing to provide a more reliable way to accurately assess user vulnerability. This unique feature allows security teams to examine the predictability of a phishing template and obtain more consistent outcomes while improving users\' resilience against human-activated threats. People need to understand how attackers exploit human vulnerability. Phishing tests should reflect reality and be informed by real-world threats. They are designed to help people spot and re | Tool Vulnerability Threat | ★★ | |
|
2024-04-17 21:47:14 | From Social Engineering to DMARC Abuse: TA427\'s Art of Information Gathering (lien direct) | #### Géolocations ciblées
- États-Unis
- Corée
#### Industries ciblées
- Organisation non gouvernementale
- Think Tank - Multidiscipline
## Instantané
ProofPoint a publié un article détaillant les tactiques de collecte d'informations que TA427, suivies par Microsoft comme Emerald Sleet, mène.
## Description
TA427, un acteur de menace aligné avec la Corée du Nord, est connu pour utiliser des tactiques d'ingénierie sociale sophistiquées et des balises Web pour la reconnaissance.TA427 s'engage dans des campagnes de démarrage de conversation bénigne pour recueillir des renseignements stratégiques liés aux initiatives de politique étrangère des États-Unis et de la Corée du Sud.L'acteur de menace s'appuie fortement sur des tactiques d'ingénierie sociale, notamment l'authentification des messages basée sur le domaine, les reportages et la conformité (DMARC), la typosquat et l'usurpation des comptes de messagerie privé, pour usurper l'identité des individus de diverses verticales tels que les groupes de réflexion, les ONG et le gouvernement.De plus, TA427 utilise des balises Web pour la reconnaissance initiale afin de valider les comptes de messagerie actifs et de collecter des informations fondamentales sur les environnements réseau des destinataires.
TA427 est un acteur de menace persistant et adaptable car ils sont rapidement en mesure de développer de nouvelles infrastructures et personnages.En outre, TA427 est identifié comme l'un des acteurs de menace les plus actifs alignés par l'État actuellement suivis par Proofpoint.L'acteur de menace utilise des balises Web, de suivi des balises et des bogues Web pour la reconnaissance initiale afin de recueillir des informations sur les environnements réseau des destinataires.TA427 a fait l'identité d'identité des principaux experts en matière nord-coréenne dans le monde universitaire, le journalisme et les recherches indépendantes pour cibler d'autres experts et prendre pied dans leurs organisations respectives pour la collecte de renseignement stratégique à long terme.Les activités de l'acteur de menace sont axées sur l'obtention d'informations et d'influence plutôt que sur les gains financiers, ne démontrant aucune indication de ralentissement ou de perte de son agilité dans l'ajustement des tactiques et des infrastructures.
## Les références
[https://www.poolinpoint.com/us/blog/thereat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gatheringmenace-insight / social-ingénierie-dmarc-abuse-ta427s-art-information-gattering)
#### Targeted Geolocations - United States - Korea #### Targeted Industries - Non-Government Organization - Think Tank - Multi-discipline ## Snapshot Proofpoint published an article detailing the information gathering tactics that TA427, tracked by Microsoft as Emerald Sleet, conducts. ## Description TA427, a threat actor aligned with North Korea, is known for using sophisticated social engineering tactics and web beacons for reconnaissance. TA427 engages in benign conversation starter campaigns to gather strategic intelligence related to US and South Korea foreign policy initiatives. The threat actor heavily relies on social engineering tactics, including Domain-based Message Authentication, Reporting and Conformance (DMARC) abuse, typosquatting, and private email account spoofing, to impersonate individuals from various verticals such as think tanks, NGOs, and government. Additionally, TA427 uses web beacons for initial reconnaissance to validate active email accounts and gather fundamental information about the recipients\' network environments. TA427 is a persistent and adaptable threat actor as they are quickly able to stand up new infrastructure and personas. Furthermore, TA427 is identified as one of the most active state-aligned threat actors currently tracked by Proofpoint. The threat actor uses web beacons, tracking beaco |
Threat | ★★ | |
|
2024-04-17 20:31:47 | Débout APT44: Russie \\ est le cyber-sabotage de la Russie Unearthing APT44: Russia\\'s Notorious Cyber Sabotage Unit Sandworm (lien direct) |
#### Géolocations ciblées
- Ukraine
## Instantané
Parrainé par le renseignement militaire russe, l'APT44 est un acteur de menace dynamique et mature opérationnel qui est activement engagé dans le spectre complet des opérations d'espionnage, d'attaque et d'influence.
** Microsoft suit cet apt en tant que blizzard de coquille.[En savoir plus à leur sujet ici.] (Https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) **
## Description
APT44 est un acteur de menace dynamique et mature opérationnel qui est activement engagé dans le spectre complet des opérations d'espionnage, d'attaque et d'influence.Le groupe a perfectionné chacune de ces capacités et a cherché à les intégrer dans un livre de jeu unifié au fil du temps.APT44 a poursuivi de manière agressive un effort à plusieurs volets pour aider les militaires russes à obtenir un avantage en temps de guerre et est responsable de presque toutes les opérations perturbatrices et destructrices contre l'Ukraine au cours de la dernière décennie.Le groupe présente une menace persistante et de forte gravité pour les gouvernements et les opérateurs d'infrastructures critiques dans le monde entier où les intérêts nationaux russes se croisent.L'APT44 est considéré par le Kremlin comme un instrument flexible de pouvoir capable de desservir les intérêts et les ambitions nationaux de la Russie, y compris les efforts visant à saper les processus démocratiques à l'échelle mondiale.Le soutien du groupe des objectifs politiques du Kremlin a abouti à certaines des cyberattaques les plus importantes et les plus consécutives de l'histoire.En raison de son histoire de l'utilisation agressive des capacités d'attaque du réseau dans des contextes politiques et militaires, l'APT44 présente un risque de prolifération significatif de nouveaux concepts et méthodes de cyberattaques.L'APT44 continuera certainement à présenter l'une des cyber-menaces de gravité la plus large et la plus élevée dans le monde.
## Recommandations
[Pour plus de CIO, visitez leur collection Virustotal ici.] (Https://www.virustotal.com/gui/collection/0bd93a520cae1fd917441e6e54ff263c88069ac5a7f8b9e55ef99cd961b6a1c7/iocs)
## Les références
https://cloud.google.com/blog/topics/thereat-intelligence/apt44-unearthing-sandworm
https://services.google.com/fh/files/misc/apt44-unithing-sandworm.pdf
https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb
#### Targeted Geolocations - Ukraine ## Snapshot Sponsored by Russian military intelligence, APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. **Microsoft tracks this APT as Seashell Blizzard. [Read more about them here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb)** ## Description APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. The group has honed each of these capabilities and sought to integrate them into a unified playbook over time. APT44 has aggressively pursued a multi-pronged effort to help the Russian military gain a wartime advantage and is responsible for nearly all of the disruptive and destructive operations against Ukraine over the past decade. The group presents a persistent, high severity threat to governments and critical infrastructure operators globally where Russian national interests intersect. APT44 is seen by the Kremlin as a flexible instrument of power capable of servicing Russia\'s wide-ranging national interests and ambitions, including efforts to undermine democratic processes globally. The group\'s support of the Kremlin\'s political objectives has resulted in some of the largest and mo |
Threat Cloud | ★★ | |
|
2024-04-17 19:02:00 | Russian APT déploie de nouveaux \\ 'Kapeka \\' Backdoor dans les attaques d'Europe de l'Est Russian APT Deploys New \\'Kapeka\\' Backdoor in Eastern European Attacks (lien direct) |
Une porte dérobée "flexible" sans documentation, sans documentation, appelée & nbsp; kapeka & nbsp; a été "sporadiquement" observée dans les cyberattaques ciblant l'Europe de l'Est, notamment l'Estonie et l'Ukraine, depuis au moins au milieu de 2022.
Les résultats proviennent de la société de cybersécurité finlandaise avec Sésence, qui a attribué le groupe de logiciels malveillants au groupe avancé de menace persistante avancée (APT) suivi comme & nbsp; Sandworm & nbsp; (AKA APT44 ou
A previously undocumented "flexible" backdoor called Kapeka has been "sporadically" observed in cyber attacks targeting Eastern Europe, including Estonia and Ukraine, since at least mid-2022. The findings come from Finnish cybersecurity firm WithSecure, which attributed the malware to the Russia-linked advanced persistent threat (APT) group tracked as Sandworm (aka APT44 or |
Malware Threat | ★★★ | |
|
2024-04-17 18:00:31 | Réduire le désabonnement d'incitation avec une composition de modèle explosive Reducing Prompting Churn with Exploding Template Composition (lien direct) |
Engineering Insights is an ongoing blog series that gives a behind-the-scenes look into the technical challenges, lessons and advances that help our customers protect people and defend data every day. Each post is a firsthand account by one of our engineers about the process that led up to a Proofpoint innovation. In the nascent world of large language models (LLMs), prompt engineering has emerged as a critical discipline. However, as LLM applications expand, it is becoming a more complex challenge to manage and maintain a library of related prompts. At Proofpoint, we developed Exploding Prompts to manage the complexity through exploding template composition. We first created the prompts to generate soft labels for our data across a multitude of models and labeling concerns. But Exploding Prompts has also enabled use cases for LLMs that were previously locked away because managing the prompt lifecycle is so complex. Recently, we\'ve seen exciting progress in the field of automated prompt generation and black-box prompt optimization through DSPy. Black-box optimization requires hand-labeled data to generate prompts automatically-a luxury that\'s not always an option. You can use Exploding Prompts to generate labels for unlabeled data, as well as for any prompt-tuning application without a clear (or tractable) objective for optimization. In the future, Exploding Prompts could be used with DSPy to achieve a human-in-the-loop feedback cycle. We are also thrilled to announce that Exploding Prompts is now an open-source release. We encourage you to explore the code and consider how you might help make it even better. The challenge: managing complexity in prompt engineering Prompt engineering is not just about crafting queries that guide intelligent systems to generate the desired outputs; it\'s about doing it at scale. As developers push the boundaries of what is possible with LLMs, the need to manage a vast array of prompts efficiently becomes more pressing. Traditional methods often need manual adjustments and updates across numerous templates, which is a process that\'s both time-consuming and error-prone. To understand this problem, just consider the following scenario. You need to label a large quantity of data. You have multiple labels that can apply to each piece of data. And each label requires its own prompt template. You timebox your work and find a prompt template that achieves desirable results for your first label. Happily, most of the template is reusable. So, for the next label, you copy-paste the template and change the portion of the prompt that is specific to the label itself. You continue doing this until you figure out the section of the template that has persisted through each version of your labels can be improved. Now you now face the task of iterating through potentially dozens of templates to make a minor update to each of the files. Once you finish, your artificial intelligence (AI) provider releases a new model that outperforms your current model. But there\'s a catch. The new model requires another small update to each of your templates. To your chagrin, the task of managing the lifecycle of your templates soon takes up most of your time. The solution: exploding prompts from automated dependency graphs Prompt templating is a popular way to manage complexity. Exploding Prompts builds on prompt templating by introducing an “explode” operation. This allows a few single-purpose templates to explode into a multitude of prompts. This is accomplished by building dependency graphs automatically from the directory structure and the content of prompt template files. At its core, Exploding Prompts embodies the “write it once” philosophy. It ensures that every change made in a template correlates with a single update in one file. This enhances efficiency and consistency, as updates automatically propagate across all relevant generated prompts. This separation ensures that updates can be made with speed and efficiency so you can focus on innovation rather th | Malware Tool Threat Studies Cloud Technical | ★★★ | |
 |
2024-04-17 17:00:47 | La menace évolutive des ransomwares - un appel à l'action pour la cybersécurité The Evolving Threat of Ransomware - A Call to Action for Cybersecurity (lien direct) |
> Témoignage devant le sous-comité des services financiers de la Chambre sur la sécurité nationale, la finance illicite et les institutions financières internationales sur les ransomwares.
>Testifying before the House Financial Services Subcommittee on National Security, Illicit Finance and International Financial Institutions on ransomware. |
Ransomware Threat | ★★ |
To see everything:
Our RSS (filtrered)
