Cette semaine, Lee Archinal, le contributeur du programme Threat Bounty a publié une règle Sigma communautaire pour détecter un autre logiciel voleur d’informations. La règle « Immortal Stealer (Comportement Sysmon) » est disponible en téléchargement sur le Threat Detection Marketplace après inscription : https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1 Immortal Infostealer est apparu il y a un peu plus d’un an sur […]
JSOutProx RAT
L’année dernière, l’Inde a été nommée le pays le plus attaqué par les cyberattaques. Les infrastructures critiques dans les industries pétrolières et gazières, ainsi que dans les secteurs de la défense, de la banque et de la fabrication sont répertoriées parmi les cibles les plus courantes. En avril 2020, les établissements gouvernementaux et un certain […]
RCE dans Pulse Connect Secure (CVE-2020-8218)
Aujourd’hui, nous souhaitons vous alerter sur une vulnérabilité récemment découverte qui permet l’exécution de code à distance dans l’application Pulse Connect Secure version <9.1R8. Comme mentionné dans la recherche, le CVE-2020-8218 permet à un fraudeur d’exécuter du code arbitraire à distance sur le VPN Pulse Connector dans sa version avant-dernière disponible. Vulnérabilité CVE-2020-8218 dans Pulse […]
Nouvelles Techniques de QakBot
Le cheval de Troie bancaire QBot, également connu sous le nom de Qakbot ou Pinkslipbot, est connu des chercheurs en cybersécurité depuis 2008 et continue de tromper les entreprises avec des campagnes émergentes démontrant ses capacités furtives élaborées. Une autre campagne de phishing livrant le document malveillant a attiré l’attention des chercheurs. La dernière attaque […]
Attaques Récentes du Lazarus APT
Le groupe APT Lazarus est l’une des rares unités de cyber-espionnage parrainées par l’État qui gère également des cybercrimes à motivation financière et c’est l’acteur de menace le plus rentable dans le domaine des cryptomonnaies, ayant réussi à voler environ 2 milliards de dollars. Rien qu’en 2017, le groupe a volé plus d’un demi-milliard de […]
Transparent Tribe APT
Transparent Tribe (alias PROJECTM et MYTHIC LEOPARD) est une unité de cyber-espionnage liée au gouvernement pakistanais et active depuis au moins 2013. Le groupe a été très actif ces quatre dernières années, ciblant principalement le personnel militaire et gouvernemental indien, mais au cours de l’année dernière, ils ont attaqué de plus en plus de cibles […]
BLINDINGCAN RAT
Fin de la semaine dernière, Ariel Millahuel a publié une règle de chasse aux menaces communautaire pour détecter le Cheval de Troie d’Accès à Distance BLINDINGCAN utilisé par les hackers sponsorisés par l’État nord-coréen : https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 La règle est basée sur un rapport d’analyse de logiciels malveillants récemment publié par des experts du CISA. Les […]
Règles de Chasse aux Menaces : PurpleWave Infostealer
Un autre Infostealer avec des fonctions de porte dérobée a été découvert fin juillet. Les auteurs de malware le présentent sur les forums de cybercriminalité russes et vendent diverses modifications de l’utilitaire à un prix abordable. Le nouvel Infostealer est écrit en C++ et a été surnommé PurpleWave par ses auteurs. Le malware peut effectuer […]
Contenu de détection : Malware Drovorub
La semaine dernière, le FBI et la NSA ont publié une alerte de sécurité conjointe contenant des détails sur le malware Drovorub, un nouvel outil entre les mains de l’APT28. Il s’agit d’un malware Linux qui est utilisé pour déployer des portes dérobées dans les réseaux compromis. Le malware est un système à plusieurs composants […]
Règles de chasse aux menaces : Connexion C2 possible via DoH
Cela fait un an depuis que le premier malware a timidement exploité DNS-over-HTTPS (DoH) pour récupérer les IPs pour l’infrastructure de commande-et-contrôle. Les chercheurs en sécurité avaient déjà averti que cela pourrait être un problème sérieux et ont commencé à chercher une solution qui aiderait à détecter un tel trafic malveillant. De plus en plus […]