jeudi 13 avril 2023
D’après Kaspersky, un éditeur russe de cybersécurité, les cybercriminels du groupe Nokoyawa ont ciblé les vulnérabilités d’un service de journalisation de Microsoft.
In Feb 2023, Kaspersky proactive detection technologies discovered exploits similar to CLFS.
Further research revealed a zero-day vuln in Windows (incl W11) used by a sophisticated #ransomware group.
Further details on #Nokoyawa attacks 👉 https://t.co/XhWffKDIsg by @oct0xor pic.twitter.com/7YDTBvZlQv
— Eugene Kaspersky (@e_kaspersky) April 12, 2023
Microsoft a récemment comblé une faille de sécurité utilisée par un groupe de rançongiciel. Sa dernière série de mises à jour de sécurité, connue sous le nom de “Patch Tuesday” et publiée mensuellement, comprenait 97 correctifs, dont sept critiques, et les autres étant classés comme des failles importantes.
Kaspersky, un éditeur russe de cybersécurité, a observé en détail l’exploitation d’une des vulnérabilités corrigées, qui se trouvait dans le service de journalisation à usage général Common Log File System (CLFS), et a signalé cette activité malveillante à Microsoft. Selon Kaspersky, des cybercriminels ont tenté d’utiliser cette faille pour déployer le rançongiciel Nokoyawa lors d’une attaque en février 2023.
…/…
C’est grâce aux modules de détection comportementale et de protection contre les exploits que nos solutions ont pu détecter les tentatives d’exploitation d’une vulnérabilité jusqu’alors inconnue dans le système Common Log File System (CLFS), qui est le sous-système de connexion des systèmes d’exploitation Windows. Après avoir minutieusement étudié l’exploit, les membres de notre équipe Global Research & Analysis Team (GReAT) ont contacté Microsoft et ont partagé leurs découvertes. Les développeurs ont nommé cette vulnérabilité CVE-2023-28252 et l’ont corrigée le 4 avril 2023 avec la mise à jour Patch Tuesday du mois d’avril
…/…
Contrairement à la plupart des vulnérabilités zero-day, CVE-2023-28252 n’est pas utilisée dans le cadre d’attaques APT. Dans ce cas, le téléchargement de la charge virale finale sur l’ordinateur de la victime est une nouvelle variante du rançongiciel Nokoyawa. Après avoir examiné l’exploit, nos experts en ont conclu que les cybercriminels à l’origine du programme étaient aussi ceux qui avaient créé plusieurs exploits similaires dans le passé afin d’exploiter les vulnérabilités du système CLFS. Les attaques qui les déploient utilisent aussi d’autres outils, dont Cobalt Strike Beacon et la porte dérobée modulaire Pipemagic.
…/…
Zero-day in Microsoft Windows used in Nokoyawa ransomware attacks
Nokoyawa ransomware attacks with Windows zero-day, we detect the CVE-2023-28252 exploit and related malware with the verdicts:
Evolution of JSWorm ransomware
Visits: 8
D’après Kaspersky, un éditeur russe de cybersécurité, les cybercriminels du groupe Nokoyawa ont ciblé les vulnérabilités d’un service de journalisation de Microsoft.
In Feb 2023, Kaspersky proactive detection technologies discovered exploits similar to CLFS.
Further research revealed a zero-day vuln in Windows (incl W11) used by a sophisticated #ransomware group.
Further details on #Nokoyawa attacks 👉 https://t.co/XhWffKDIsg by @oct0xor pic.twitter.com/7YDTBvZlQv
— Eugene Kaspersky (@e_kaspersky) April 12, 2023
Microsoft a récemment comblé une faille de sécurité utilisée par un groupe de rançongiciel. Sa dernière série de mises à jour de sécurité, connue sous le nom de “Patch Tuesday” et publiée mensuellement, comprenait 97 correctifs, dont sept critiques, et les autres étant classés comme des failles importantes.
Kaspersky, un éditeur russe de cybersécurité, a observé en détail l’exploitation d’une des vulnérabilités corrigées, qui se trouvait dans le service de journalisation à usage général Common Log File System (CLFS), et a signalé cette activité malveillante à Microsoft. Selon Kaspersky, des cybercriminels ont tenté d’utiliser cette faille pour déployer le rançongiciel Nokoyawa lors d’une attaque en février 2023.
…/…
C’est grâce aux modules de détection comportementale et de protection contre les exploits que nos solutions ont pu détecter les tentatives d’exploitation d’une vulnérabilité jusqu’alors inconnue dans le système Common Log File System (CLFS), qui est le sous-système de connexion des systèmes d’exploitation Windows. Après avoir minutieusement étudié l’exploit, les membres de notre équipe Global Research & Analysis Team (GReAT) ont contacté Microsoft et ont partagé leurs découvertes. Les développeurs ont nommé cette vulnérabilité CVE-2023-28252 et l’ont corrigée le 4 avril 2023 avec la mise à jour Patch Tuesday du mois d’avril
…/…
Contrairement à la plupart des vulnérabilités zero-day, CVE-2023-28252 n’est pas utilisée dans le cadre d’attaques APT. Dans ce cas, le téléchargement de la charge virale finale sur l’ordinateur de la victime est une nouvelle variante du rançongiciel Nokoyawa. Après avoir examiné l’exploit, nos experts en ont conclu que les cybercriminels à l’origine du programme étaient aussi ceux qui avaient créé plusieurs exploits similaires dans le passé afin d’exploiter les vulnérabilités du système CLFS. Les attaques qui les déploient utilisent aussi d’autres outils, dont Cobalt Strike Beacon et la porte dérobée modulaire Pipemagic.
…/…
Zero-day in Microsoft Windows used in Nokoyawa ransomware attacks
Nokoyawa ransomware attacks with Windows zero-day, we detect the CVE-2023-28252 exploit and related malware with the verdicts:
Evolution of JSWorm ransomware
Visits: 8
D’après Kaspersky, un éditeur russe de cybersécurité, les cybercriminels du groupe Nokoyawa ont ciblé les vulnérabilités d’un service de journalisation de Microsoft.
In Feb 2023, Kaspersky proactive detection technologies discovered exploits similar to CLFS.
Further research revealed a zero-day vuln in Windows (incl W11) used by a sophisticated #ransomware group.
Further details on #Nokoyawa attacks 👉 https://t.co/XhWffKDIsg by @oct0xor pic.twitter.com/7YDTBvZlQv
— Eugene Kaspersky (@e_kaspersky) April 12, 2023
Microsoft a récemment comblé une faille de sécurité utilisée par un groupe de rançongiciel. Sa dernière série de mises à jour de sécurité, connue sous le nom de “Patch Tuesday” et publiée mensuellement, comprenait 97 correctifs, dont sept critiques, et les autres étant classés comme des failles importantes.
Kaspersky, un éditeur russe de cybersécurité, a observé en détail l’exploitation d’une des vulnérabilités corrigées, qui se trouvait dans le service de journalisation à usage général Common Log File System (CLFS), et a signalé cette activité malveillante à Microsoft. Selon Kaspersky, des cybercriminels ont tenté d’utiliser cette faille pour déployer le rançongiciel Nokoyawa lors d’une attaque en février 2023.
…/…
C’est grâce aux modules de détection comportementale et de protection contre les exploits que nos solutions ont pu détecter les tentatives d’exploitation d’une vulnérabilité jusqu’alors inconnue dans le système Common Log File System (CLFS), qui est le sous-système de connexion des systèmes d’exploitation Windows. Après avoir minutieusement étudié l’exploit, les membres de notre équipe Global Research & Analysis Team (GReAT) ont contacté Microsoft et ont partagé leurs découvertes. Les développeurs ont nommé cette vulnérabilité CVE-2023-28252 et l’ont corrigée le 4 avril 2023 avec la mise à jour Patch Tuesday du mois d’avril
…/…
Contrairement à la plupart des vulnérabilités zero-day, CVE-2023-28252 n’est pas utilisée dans le cadre d’attaques APT. Dans ce cas, le téléchargement de la charge virale finale sur l’ordinateur de la victime est une nouvelle variante du rançongiciel Nokoyawa. Après avoir examiné l’exploit, nos experts en ont conclu que les cybercriminels à l’origine du programme étaient aussi ceux qui avaient créé plusieurs exploits similaires dans le passé afin d’exploiter les vulnérabilités du système CLFS. Les attaques qui les déploient utilisent aussi d’autres outils, dont Cobalt Strike Beacon et la porte dérobée modulaire Pipemagic.
…/…
Zero-day in Microsoft Windows used in Nokoyawa ransomware attacks
Nokoyawa ransomware attacks with Windows zero-day, we detect the CVE-2023-28252 exploit and related malware with the verdicts:
Evolution of JSWorm ransomware
Visits: 8