Data theft as a service allows a hacker to rob or steal a person data / information for hardly $10.

Arid Viper disguising mobile spyware as updates for non-malicious Android applications

Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected…

View On WordPress

Attackers are pummeling networks around the world with millions of login attempts

Source: https://arstechnica.com/security/2024/04/cisco-warns-of-large-scale-credential-compromise-attack-thats-likely-to-get-bigger/

More info: https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/

Repo: https://github.com/Cisco-Talos/IOCs/blob/main/2024/04/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials.txt

Cisco Talosが11日、Windowsの署名ポリシーを回避してマルウェアをインストールする手法について報告をしている。この手法では、オープンソースのソフトウェアを使用してカーネルモードドライバの署名を偽造、期限切れの証明書で署名された悪意のあるドライバをインストールすることでマルウェアを実行する（Cisco Talos���PC Watch）。 Microsoftは、Windows Vista 64bit以降のOSでカーネルモードドライバのデジタル署名を必須とする署名ポリシーを導入している。しかし、古いドライバとの互換性を保つために、2015年7月29日以前に発行された証明書で署名されたドライバは例外として許可していた。この攻撃手法では、2015年7月29日以前に発行または失効した、取り消されていない証明書を利用して悪意のあるドライバをインストールすることが可能となっている。 悪意のあるドライバがインストールされると、攻撃者はシステムにカーネルレベルでアクセスできるため、重大な脅威が生じる。Cisco Talosは、この攻撃手法で使用される証明書のブロックを推奨しており、Microsoftも同チームの報告を受けて、該当の証明書をブロックしたとしている。

ドライバの署名を偽造してマルウェアをインストールさせる攻撃手法 | スラド セキュリティ

OfflRouter Malware Evades Detection in Ukraine for Almost a Decade

The Hacker News : Select Ukrainian government networks have remained infected with a malware called OfflRouter since 2015. Cisco Talos said its findings are based on an analysis of over 100 confidential documents that were infected with the VBA macro virus and uploaded to the VirusTotal malware scanning platform. "The documents contained VBA code to drop and run an executable with the name 'ctrlpanel.exe,'" http://dlvr.it/T5hCJ8 Posted by : Mohit Kumar ( Hacker )

Хакеры пытались пробраться в миллионы аккаунтов по всему миру

Группа безопасности Talos компании Cisco бьет тревогу в связи с масштабной кампанией по «вбросу» учетных данных. Злоумышленники бомбардируют сети по всему миру попытками входа в систему, пытаясь взломать SSH и веб-приложения.

Подробнее на https://7ooo.ru/group/2024/04/17/311-hakery-pytalis-probratsya-vmilliony-akkauntov-povsemu-miru-grss-299953371.html

Diese Bedrohungen haben 2023 geprägt

2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die schon seit einem Jahrzehnt ihr Unwesen treiben, erfanden sich neu, um relevant zu bleiben. Die Threat-Intelligence-Experten von Cisco Talos haben die zentralen Entwicklungen aus 2023 analysiert und in einem lesenswerten Jahresrückblick zusammengefasst. Das Standardwerk für das Cybercrime-Jahr 2023 beleuchtet die wichtigsten Trends, die die Bedrohungslandschaft im letzten Jahr geprägt haben. Angriffsvektor Ransomware Die größte Gefahr für Unternehmen ging auch im Jahr 2023 von Ransomware aus. Schon im zweiten Jahr in Folge nahm LockBit in diesem Bereich eine unrühmliche Spitzenposition ein. Und wie gehabt konzentrierten sich die Angreifer auf Einrichtungen, die nur begrenzte Mittel für die Cybersicherheit zur Verfügung haben oder nur geringe Ausfallzeiten tolerieren – vor allem im Gesundheitswesen. 2023 war jedoch nicht alles wie gehabt: Akteure wie Clop setzten auf Zero-Day-Exploits. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht. Neu war auch, dass Ransomware-Akteure zu reiner Erpressung übergingen und sich den Verschlüsselung-Part sparten. „Leider beschränkten sich im Jahr 2023 Angriffe mit 0-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit 0-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“ Angreifer passen ihre Strategien an Die Telemetriedaten von Cisco Talos zeigen, dass für die Verbreitung von Ransomware weiterhin Commodity-Loader bekannter Familien wie Qakbot und IcedID Verwendung fanden. Allerdings streiften diese Loader alle Überbleibsel ihrer Vergangenheit als Bankentrojaner ab und präsentieren sich nun als elegante Tools, um Nutzdaten zu übermitteln. Die Entwickler und Betreiber konnten sich an verbesserte Verteidigungsmaßnahmen anpassen und haben neue Wege gefunden, um die häufigeren Sicherheitsupdates zu umgehen. Die Geschwindigkeit, mit der Ransomware-Gruppen sich von Ermittlungserfolgen erholen konnten, war ebenfalls überraschend. So war die Zerschlagung des Quakbot-Netzes im August 2023 nur kurzfristig wirksam. Die Analyse von Talos deutet darauf hin, dass die Strafverfolgungsmaßnahmen möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control-Server (C2) beeinträchtigt haben. Netzwerkgeräte und alte Schwachstellen im Visier Ein neuer und regionsübergreifender Trend ist die Zunahme von Angriffen auf Netzwerkgeräte durch APTs und Ransomware-Akteure. Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten. Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Talos-Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt. Der Einsatz von Social Engineering für Operationen wie Phishing und Business Email Compromise (BEC) war 2023 ebenfalls ungebrochen. Als Resultat der standardmäßigen Deaktivierung von Makros durch Microsoft im Jahr 2022 nutzen Angreifer jedoch zunehmend andere Dateitypen, um ihre Malware zu verstecken. So stellten PDFs, die in diesem Jahr am häufigsten blockierte Dateierweiterung dar. APT-Aktivitäten zeigen geopolitische Instabilität Einen breiten Raum nimmt im Cisco Talos Report 2023 die Analyse von APT-Gruppen aus China, Russland und dem Nahem Osten ein. Dabei spiegeln die Telemetriedaten deutlich einen Anstieg von verdächtigem Datenverkehr parallel zu geopolitischen Ereignissen wider. Die zunehmend angespannten Beziehungen des Westens gegenüber Staaten aus dem asiatisch-pazifischen Raum führte bei APT-Gruppen aus China zu einer verstärkten Bereitschaft, Schäden zu verursachen – vor allem im Bereich der kritischen Infrastruktur in Ländern wie Taiwan. Bei den russischen APTs zielten Gamaredon und Turla erwartungsgemäß auf die Ukraine ab. Interessanterweise zeigten die russischen Aktivitäten jedoch nicht die ganze Bandbreite ihrer zerstörerischen Cyberfähigkeiten. Gamaredon zielte vor allem auf Einrichtungen in Nordamerika und Europa ab, wobei die Zahl der Opfer in Westeuropa überproportional hoch war. Der vom iranischen Staat gesponserte APT-Akteur MuddyWater blieb auch 2023 ein wesentlicher Bedrohungsakteur aus dem Nahen Osten. Gegenmaßnahmen der Industrie haben jedoch die Fähigkeit der Gruppe beeinflusst, ihre Standard-Tools zu nutzen, darunter die Syncro-Plattform für Fernverwaltung und -überwachung (RMM). Die Ereignisse Anfang Oktober 2023 zwischen der Hamas und Israel trugen dazu bei, dass mehrere politisch motivierte Hacktivistengruppen unkoordinierte und meist wenig ausgefeilte Angriffe gegen beide Seiten starteten. Eine ähnliche Entwicklung konnte schon zu Beginn des Russland-Ukraine-Kriegs beobachtet werden. Cisco Talos geht davon aus, dass sich das komplizierte und dynamische geopolitische Umfeld im Nahen Osten auch auf den Cyberbereich auswirken wird. Weitere Erkenntnisse aus dem Talos Report: Die Verwendung gültiger Konten war eine der am häufigsten beobachteten MITRE ATT&CK-Techniken, was unterstreicht, dass die Angreifer in verschiedenen Phasen ihrer Angriffe auf kompromittierte Anmeldedaten zurückgreifen. Neue Ransomware-Varianten nutzten durchgesickerten Quellcode anderer RaaS-Gruppen. Das ermöglichte auch weniger erfahrenen Akteuren den Einstieg in die Ransomware-Erpressung. Der verdächtige Netzwerkverkehr zeigte einen starken Anstieg von Aktivitäten, der mit großen geopolitischen Ereignissen und globalen Cyberangriffen zusammenfiel – beispielsweise den großangelegten DDoS-Angriff auf Microsoft Outlook.   Passende Artikel zum Thema   Lesen Sie den ganzen Artikel

Kostenloser Entschlüsseler für Black Basta und Babuks Tortilla-Ransomware-Opfer veröffentlicht

Ein Decryptor für die Tortilla-Variante der Babuk-Ransomware wurde von Cisco Talos veröffentlicht. Dadurch können Opfer, die von der Malware angegriffen wurden, wieder Zugriff auf ihre Dateien erhalten. Die Bedrohungsdaten, die das Cybersicherheitsunternehmen mit den niederländischen Strafverfolgungsbehörden geteilt hat, ermöglichten es, den Bedrohungsakteur hinter den Operationen festzunehmen.…

View On WordPress

Hackers have been using a Windows tool to drop Cryptocurrency-mining malware since November 2021, according to an analysis from Cisco's Talos Intelligence. The attacker exploits Windows Advanced Installer — an application that helps developers package other Software installers, such as Adobe Illustrator — to execute malicious scripts on infected machines. According to a Sept. 7 blog post, the Software installers affected by the attack are mainly used for 3D modeling and graphic design. Additionally, most of the Software installers used in the malware campaign are written in French. The findings suggest that the "victims are likely across business verticals, including architecture, engineering, construction, manufacturing, and entertainment in French language-dominant countries," explains the analysis. The attacks predominantly affect users in France and Switzerland, with a few infections in other countries, including the United States, Canada, Algeria, Sweden, Germany, Tunisia, Madagascar, Singapore and Vietnam, the post notes based on DNS request data sent to the attacker’s command and control (C2) host. The illicit crypto mining campaign identified by Talos involves the deployment of malicious PowerShell and Windows batch scripts to execute commands and establish a backdoor in the victim's machine. PowerShell, specifically, is well-known for running in the memory of the system instead of the hard drive, making it harder to identify an attack. Example of a Software installer packaged with malicious scripts using Advanced Installer. Source: Talos Intelligence.Once the backdoor is installed, the attacker executes additional Threats, such as the Ethereum crypto-mining program PhoenixMiner, and lolMiner, a multi-coin mining threat."These malicious scripts are executed using Advanced Installer’s Custom Action feature, which allows users to predefine custom installation tasks. The final payloads are PhoenixMiner and lolMiner, publicly available miners relying on computers’ GPU capabilities"The use of crypto mining malware is known as cryptojacking, and involves installing a crypto mining code on a device without the user's knowledge or permission in order to illegally mine cryptocurrencies. Signs that mining malware may be running in a machine include overheating and poorly performing devices.Using malware families to hijack devices to mine or steal cryptocurrencies isn't a new practice. Former smartphone giant BlackBerry recently identified malware scripts actively targeting at least three sectors, including financial services, healthcare and government.

9 vulnerabilities found in VPN software, including 1 critical issue that could lead to remote code execution

Cisco Talos has disclosed 17 vulnerabilities over the past two weeks, including nine that exist in a popular VPN software.   Attackers could exploit these vulnerabilities in the SoftEther VPN solution for individual and enterprise users to force users to drop their connections or execute arbitrary code on the targeted machine.   Talos’ Vulnerability Research team also found a cross-site scripting…

View On WordPress

Is Nitro PDF Pro safe?

Security researchers with Cisco Talos identified three vulnerabilities in the PDF application, two of which could be exploited for remote code execution, both featuring a CVSS score of 8.8. Tracked as CVE-2020-6074, the first of these flaws was identified in the PDF parser of Nitro Pro.

#nitropdf #pdf #editor #review #software #windows

Cisco Warns of Global Surge in Brute-Force Attacks Targeting VPN and SSH Services

The Hacker News : Cisco is warning about a global surge in brute-force attacks targeting various devices, including Virtual Private Network (VPN) services, web application authentication interfaces, and SSH services, since at least March 18, 2024. "These attacks all appear to be originating from TOR exit nodes and a range of other anonymizing tunnels and proxies," Cisco Talos said. Successful attacks could http://dlvr.it/T5ct8n Posted by : Mohit Kumar ( Hacker )

Aumentano gli attacchi informatici alla sanità

Nel secondo trimestre del 2023, gli attacchi informatici sono aumentati in tutto il mondo rispetto al periodo gennaio-marzo. Il settore maggiormente preso di mira è quello della sanità. Lo affermano i dati pubblicati dal report periodico di Cisco Talos Incident Response (Talos Ir), organizzazione privata di intelligence che si occupa di cybersecurity. Sul primo gradino del podio degli attacchi…

View On WordPress

Cisco Talos Discusses Flaws in SOHO Routers Post-VPNFilter

http://i.securitythinkingcap.com/St8dlb