A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (27.01.2022)

2022/01/27
Popularitate 1000

Foto: CrowdSrike

Analiză a malware-ului utilizat împotriva organizațiilor ucrainene

Cercetătorii de la Netskope au publicat o analiză a malware-ului WhisperGate, descoperit la mijlocul lunii ianuarie 2022. Mai multe incidente de securitate cibernetică din Ucraina, precum cel care a implicat un defacement al mai multor site-uri guvernamentale, par conectate cu WhisperGate.

Conform studiului, WhisperGate este „camuflat” ca ransomware, însă are un caracter mult mai distructiv, fiind capabil de ștergerea fișierelor și coruperea disk-urilor pentru a bloca sistemul de operare din a se încărca. Grupul de atacatori ce operează WhsiperGate este numit DEV-0586 și, momentan, nu au fost descoperite asocieri cu alte grupuri APT.  

Avertizare din partea QNAP cu privire la DeadBolt

QNAP a publicat o avertizare referitoare la DeadBolt, un ransomware care vizează dispozitivele NAS expuse la internet fără vreun tip de protecție. DeadBolt criptează datele utilizatorilor, cerând o răscumpărare în Bitcoin.

QNAP îndeamnă utilizatorii NAS să actualizeze QTS la cea mai nouă versiune disponibilă și să aplice o serie de instrucțiuni de securitate, detaliate în cadrul avertizării: verificarea dacă NAS este conectat la internet și determinarea port-urile expuse; dezactivarea funcției Port Forwarding a router-ului; deazctivarea funcției UPnP.

Vulnerabilitate Local Privilege Escalation a polkit pkexec 

Cercetătorii de la Qualys au identificat o vulnerabilitate memory corruption a polkit pkexec, un program SUID-root instalat by-default pe toate distribuțiile majore ale Linux (ex. Ubuntu, Debian, Fedora, CentOS etc.).

Deși „ascunsă la vedere”, vulnerabilitatea, cunoscută ca PwnKit sau CVE-2021-4034, a rămas nedetectată peste 12 ani, afectând toate versiunile pkexec, începând cu prima, lansată în mai 2009.

Exploatarea nu poate fi realizată remote, dar vulnerabilitatea permite unui utilizator fără privilegii să capete cu ușurință privilegii root pe host-ul vulnerabil.

Analiză a unei campanii „watering-hole” ce vizează indivizi pro-democrație din Hong Kong

În urma unui blogpost al Google Threat Analysis Group, cercetătorii de la ESET au realizat o investigație a unei campanii cu atacuri „watering-hole” ce implică exploit-uri pentru browser-ul Safari pentru macOS. Pentru distribuirea atacurilor au fost utilizate site-uri care atrag în mod special vizitatori din Hong Kong, activi politic și cu opinii pro-democrație.

Conform cercetătorilor, membrii grupului din spatele campaniei au „puternice capabilități tehnice”. Aceștia au utilizat un nou tip de malware pentru macOS, numit DazzleSpy, un backdoor ce oferă atacatorilor multiple funcții pentru a controla un dispozitiv compromis și pentru a exfiltra fișiere de pe acesta.

Un nou malware packer utilizat pentru evitarea analizei și detecției

Un nou malware packer, numit DTPacker, a fost observat distribuind multipli remote access trojans (RATs) și information stealers, precum Agent Tesla, Ave Maria, AsyncRAT sau FormBook, cu rolul de a obține informații și de a facilita alte atacuri. Vectorii de infecție inițială sunt email-urile de phising care conțin documente sau atașamente executabile care, odată deschise, lansează packer-ul care este urmat de alte tipuri de malware.

Conform unei analize a Proofpoint, mawlare-ul utilizează multiple tehnici pentru evitarea soluțiilor de antivirus, sandboxing și analiză. DTPacker este asociat cu zeci de campanii și mai multe grupuri de atacatori, inclusiv APT și criminali cibernetici.

Exploatarea Log4Shell continuă: peste 30.000 de scanări raportate în luna ianuarie (Kaspersky)

Descoperit în decembrie 2021, Log4Shell a devenit rapid popular ca fiind vulnerabilitatea anului. Deși Apache Foundation a lansat un patch pentru acesta la scurt timp după descoperirea sa, vulnerabilitatea continuă să reprezinte o amenințare imensă pentru indivizi și organizații. În primele trei săptămâni din ianuarie, Kaspersky anunță cp produsele sale au blocat 30.562 de încercări de a ataca utilizatorii, folosind exploit-uri care vizează vulnerabilitatea Log4Shell.

„Cu siguranță vedem că au existat mult mai puține scanări și tentative de atacuri folosind Log4Shell decât au fost în primele săptămâni, când a fost descoperit inițial. Totuși, încercările de a exploata această vulnerabilitate vor rămâne de actualitate. După cum arată telemetria noastră, infractorii cibernetici își continuă activitățile de scanare în masă și încearcă sî folosească codul exploatabil. Această vulnerabilitate este exploatată atât de actori avansați de amenințări, care vizează organizații specifice, cât și de oportuniști care caută pur și simplu orice sisteme vulnerabile pentru lansarea atacurilor. Îndemnăm pe toți cei care nu au făcut încă acest lucru, să foloseasca patch-ul și o soluție de securitate puternică pentru a se mentine protejați”, spune Evgeny Lopatin, expert in securitate la Kaspersky.

Antifake, proiectul Amprenta Digitală: Anatomia unui atac cibernetic avansat bazat pe inteligență artificială

Atacurile cibernetice avansate se află la intersecția noilor tehnologii cu tacticile, tehnicile și metodele tradiționale. Un studiu realizat de Darktrace demonstrează modul în care inteligența artificială (IA) modifică fiecare etapă din derularea unui atac cibernetic avansat, în sensul în care algoritmii preiau din eforturile atacatorilor, amplifică acțiunile, rafinează tehnicile și garantează îndeplinirea rapidă a misiunii, fără posibilitatea de detectare.

Accesează articolul complet apăsând pe titlul știrii și vei vedea un infografic explicativ excelent pe această temă.

Incident de securitate cibernetică la Ministerul Afacerilor Externe din Canada

La 19 ianuarie 2022, departamentul pentru relații externe și consulare al Guvernului Canadian, Global Affairs Canada, a fost ținta unui atac cibernetic. În urma atacului, au fost implementate măsuri pentru ameliorarea situației, iar în prezent serviciile critice sunt accesibile, însă anumite servicii online nu sunt disponibile. Conform Guvernului Candian, nu există indicii conform cărora alte departamente guvernamentale au fost afectate de atac.

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC 


Vizualizat de 1679 ori