L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé une opération de trois ans lancée par Sandworm APT contre d’importants fournisseurs de services informatiques et d’hébergement web en France. Le rapport de l’ANSSI détaille que la campagne a débuté en 2017 et a entraîné une série de compromissions successives, y compris le compromis […]
Microsoft a corrigé une vulnérabilité d’élévation de privilèges vieille de 12 ans dans Windows Defender
En février 2021, Microsoft a corrigé un bug d’escalade de privilèges dans Microsoft Defender Antivirus (anciennement Windows Defender) qui pourrait permettre aux acteurs malveillants d’obtenir des droits d’administration sur l’hôte vulnérable et de désactiver les produits de sécurité préinstallés. Les experts de SentinelOne, qui ont révélé le problème, rapportent que la faille a été introduite […]
MuddyWater APT utilise ScreenConnect pour espionner les gouvernements du Moyen-Orient
Les experts en sécurité d’Anomali ont révélé une opération de cyber-espionnage ciblée visant les gouvernements des Émirats Arabes Unis (EAU) et du Koweït. La campagne malveillante a été lancée par un acteur soutenu par l’État iranien connu sous le nom de MuddyWater (Static Kitten, MERCURY, Seedworm). Selon les chercheurs, les adversaires ont utilisé l’outil logiciel […]
Vulnérabilité du serveur Oracle WebLogic (CVE-2021-2109) mène à une prise de contrôle totale du serveur
Un problème d’exécution de code à distance de haute gravité dans la Console Oracle Fusion Middleware permet une compromission complète du serveur Oracle WebLogic. New Vulnérabilité du serveur Oracle WebLogic La faille permet à un acteur authentifié avec des privilèges élevés de détourner le gestionnaire « JndiBinding » et de lancer une injection JNDI (Java Naming and […]
Nouvelle attaque de phishing Zoom exploite Constant Contact pour contourner les SEGs
L’année difficile de 2020 a vu de nombreuses entreprises accroître leur dépendance à Internet, passant à des effectifs travaillant à domicile. Cette tendance a entraîné une augmentation fulgurante de l’utilisation des applications de visioconférence. Les cybercriminels n’ont pas manqué l’occasion de tirer parti de leurs perspectives malveillantes. Depuis le printemps 2020, ils ont enregistré de […]
Quasar RAT : Détecter les Successeurs Malveillants
L’outil d’administration à distance Quasar (RAT) est un malware multi-fonctionnel et léger activement utilisé par les acteurs APT depuis 2014. Le code de Quasar est disponible publiquement en tant que projet open-source, ce qui rend le Trojan extrêmement populaire parmi les adversaires en raison de ses larges options de personnalisation. En conséquence, une variété d’échantillons […]
Détection pour Sysmon avec le Marché de Détection des Menaces
Chez SOC Prime, nous sommes captivés par la mission de tirer le maximum de valeur de chaque outil de sécurité et de permettre une protection efficace contre les menaces émergentes. En août 2020, le projet SIGMA a adopté le backend Sysmon de SOC Prime. Le backend génère des règles Sysmon à ajouter à une configuration […]
Débordement de Tampon Heap dans Sudo (CVE-2021-3156) Permet une Escalade de Privilèges sur le Système d’Exploitation Linux
Un problème de sécurité récemment dévoilé dans Sudo permet aux pirates non authentifiés d’escalader leurs privilèges au niveau root sur tout appareil Linux. La faille a été introduite en 2011 et est restée indétectée pendant près d’une décennie. Description de la vulnérabilité de Sudo sous Linux Sudo est un service standard pour les administrateurs système, […]
Les Hackers Nord-Coréens S’appuient sur les Réseaux Sociaux pour Cibler les Chercheurs en Sécurité
Des analystes de menaces de Google avertissent d’une campagne malveillante actuelle visant les chercheurs en vulnérabilités et les membres de l’équipe Rouge. Apparemment, un acteur soutenu par la nation nord-coréenne se cache derrière cette opération, utilisant des méthodes inédites d’ingénierie sociale pour approcher les praticiens individuels de la sécurité via de faux profils de réseaux […]
Le groupe APT Dark Halo est derrière le piratage de SolarWinds et la violation de Malwarebytes
Un nouveau groupe APT sophistiqué, surnommé Dark Halo (UNC2452, SolarStrom), a récemment émergé dans le domaine de la cybersécurité, faisant la une des journaux au cours des derniers mois. Les chercheurs pensent que cet acteur avancé pourrait être derrière l’historique piratage de SolarWinds ainsi que l’attaque contre le fournisseur de sécurité Malwarebytes. Qui est Dark […]