A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (06.07.2023)

2023/07/06
Popularitate 1000

Foto: Justin Morgan (Unsplash)

Hackerii exploatează o vulnerabilitate zero-day din plugin-ul WordPress Ultimate Member

Atacatorii exploatează o vulnerabilitate a plugin-ului Ultimate Member, care facilitează înscrierile și construirea de comunități pe site-urile WordPress. Ultimate Member are peste 200,000 de instalări active.

Vulnerabilitatea de securitate, identificată prin CVE-2023-3460, are un scor CVSS v3.1 de 9,8 și afectează toate versiunile plugin-ului, inclusiv pe cea mai recentă, v2.6.6. Atacurile care exploatează această vulnerabilitate au fost descoperite de specialiștii în securitatea site-urilor Web de la Wordfence, care avertizează că atacatorii folosesc formularele de înregistrare ale pluginului pentru a seta metavalori arbitrare ale utilizatorilor pe conturile lor.

Unul dintre dezvoltatorii Ultimate Member a declarat că se lucrează la remedierea erorii, începând cu versiunea 2.6.3 și că versiunile 2.6.4, 2.6.5 și 2.6.6 „închid parțial această vulnerabilitate.”

Raportul Wordfence detaliază indicatorii de compromitere și menționează că eliminarea plugin-ului este singura acțiune prudentă până când furnizorul său abordează vulnerabilitatea în discuție.

DNSC la Digi24: Tentative de fraudă cu investiții false, care vizează potențiale victime din România, promovate prin anunțuri sponsorizate pe Facebook

Mihai Rotariu, purtătorul de cuvânt al Directoratului, a expplicat la Digi24 cum funcționează schema atacatorilor, care sunt pericolele și cum ne putem proteja.

330,000 de firewall-uri FortiGate sunt încă vulnerabile la CVE-2023-27997

Compania de securitate cibernetică Bishop Fox a publicat un raport care dezvăluie că 330,000 de firewall-uri FortiGate sunt încă neactualizate și vulnerabile la CVE-2023-27997, o eroare ce afectează dispozitivele FortiOS și FortiProxy SSL-VPN și care ar putea permite unui atacator aflat la distanță să execute cod sau comenzi arbitrare prin solicitări special concepute.

Vulnerabilitatea a fost remediată de Fortinet în iunie 2023, în versiunile 6.0.17, 6.2.15, 6.4.13, 7.0.12 și 7.2.5, compania recunoscând că eroarea ar putea fi „exploatată într-un număr limitat de cazuri,” în atacuri ce vizează sectoarele guvernamentale, de producție și de infrastructură critică.

Analiza cercetătorilor Bishop Fox dezvăluie și că că multe dintre dispozitivele Fortinet accesibile public nu au primit o actualizare în ultimii opt ani, acestea rulând FortiOS versiunile 5 și 6.

Hackerii chinezi vizează Europa în campania SmugX

Check Point Research a descoperit o campanie țintită, orchestrată de un atacator chinez care vizează entități guvernamentale din Europa și care folosește HTML Smuggling, o tehnică prin care atacatorii ascund payload-uri malițioase în documentele HTML, pentru a livra troianul de acces la distanță PlugX.

Campania, denumită SmugX, este în desfășurare cel puțin din decembrie 2022, iar identitatea atacatorului, deși încă neclară pentru cercetători, ar putea fi Mustang Panda, conform indiciilor existente în prezent.

„Temele de momeală sunt concentrate în mare măsură pe politicile interne și externe europene și au fost folosite pentru a viza mai ales ministerele guvernamentale din Europa de Est.”, se arată în raportul Check Point.

Programul malware PlugX a fost utilizat de mai mulți atacatori chinezi începând cu anul 2008, funcționează ca un instrument de acces la distanță (RAT) și folosește o structură modulară care îi permite să găzduiască diverse plugin-uri cu funcționalități distincte ce le permit atacatorilor să desfășoare o serie de activități malițioase în sistemele compromise, inclusiv furtul de fișiere, capturi de ecran, înregistrarea tastelor și executarea comenzilor.

Continuă procesul de recrutare de specialiști cyber la DNSC

Directoratul Național de Securitate Cibernetică (DNSC) organizează trei concursuri pentru angajarea a 21 noi colegi, ca personal contractual, pe o perioadă nedeterminată, 8 ore/zi, 40 de ore/săptămână. Primul dintre acestea a intrat deja ]n faza de selecție a dosarelor. Iată la ce concursuri vă mai puteți încă înscrie:

[CONCURS -02] – Dată limită depunere dosare: 06.07.2023

Direcția Generală Operațiuni Tehnice - Direcția Infrastructură Tehnică

  • 5 posturi de Expert dezvoltare, implementare și administrare infrastructuri securitate cibernetică 1 - grad Superior, studii superioare, poziție de execuție - fișele de post: #876, #877, #878, #879, #880.

Dosarul de înscriere poate fi depus în format electronic, la adresa de email [email protected]

*******

[CONCURS -03] – Dată limită depunere dosare: 10.07.2023

Direcția Generală Operațiuni Tehnice - Direcția Infrastructură Tehnică

  • 5 posturi de Expert dezvoltare, implementare și administrare infrastructuri securitate cibernetică 1 - grad Principal, studii superioare, poziție de execuție - fișele de post: #871, #872, #873, #874, #875

Dosarul de înscriere poate fi depus în format electronic, la adresa de email [email protected]

Dan Cîmpean, Directorul DNSC, la 'România în mișcare' cu Lavinia Șandru

Meduza Stealer vizează 19 manageri de parole și 76 de portofele criptografice

Cercetătorii în securitate cibernetică au descoperit un nou program malware, Meduza Stealer, dezvoltat în mod activ de către autorul său pentru a evita detectarea și având „un obiectiv singular: furtul complet de date”, conform unui nou raport publicat de Uptycs.

Acest malware a fost conceput special pentru a viza utilizatorii Windows și are capabilități care îi permit extragerea unei game largi de date legate de browser, de la datele de conectare până la înregistrarea istoricului de navigare, colectarea datelor din 19 aplicații de gestionare a parolelor, din 76 de portofele criptografice și din 95 de browsere web.

Cercetătorii au publicat în raport o regulă YARA pentru detectarea acestui malware și indicatorii de compromitere aferenți intruziunii.

Operatorii BlackCat distribuie ransomware deghizat în WinSCP

Gruparea de criminalitate cibernetică BlackCat desfășoară o campanie de malvertising pentru a lansa un backdoor ce conține Cobalt Strike Beacon, prin intermediul paginilor web clona ale organizațiilor legitime, conform unui raport al cercetătorilor Trend Micro.

În lanțul de atac detaliat de Trend Micro distribuția de malware a implicat o pagină web a aplicației WinSCP, iar atacatorii au furat privilegii de administrator de nivel superior, au folosit aceste privilegii pentru a desfășura activități neautorizate, au încercat să stabilească persistența și accesul backdoor la mediu prin intermediul instrumentelor precum AnyDesk și au încercat să fure parole și să acceseze servere de rezervă.

Trend Micro a publicat și o listă completă a indicatorilor de compromitere.

Un atacator mexican vizează băncile globale cu programe malware Android

Cercetătorii SentinelOne au observat o campanie malware pentru dispozitivele Android orchestrată de un atacator mexican denumit Neo_Net care a vizat, din iunie 2021 până în aprilie 2023, clienții unor bănci din întreaga lume, cu accent pe băncile din Spania și Chile, 30 din 50 de instituții financiare vizate având sediul în aceste două țări.

„În ciuda utilizării unor instrumente relativ nesofisticate, atacatorii au obținut o rată de succes ridicată prin adaptarea infrastructurii lor la țintele lor specifice. Campania a avut ca rezultat furtul a peste 350,000 EUR din conturile bancare ale victimelor, împreună cu compromiterea unei cantități semnificative de informații de identificare personală, inclusiv numere de telefon, numere naționale de identitate și numele a mii de victime.”, se arată în raportul SentinelOne.

Neo_Net, un criminal cibernetic experimentat, s-a implicat în vânzările de panouri de phishing, de date compromise ale victimelor către terți și într-o ofertă de smishing-as-a-service numită Ankarex, care este concepută pentru a viza mai multe țări din întreaga lume.

În campania observată de cercetători paginile de phishing au fost concepute astfel încât să semene cu cele ale aplicațiilor bancare autentice și au fost configurate folosind panourile Neo_Net, PRIV8, și au fost implementate mai multe măsuri de apărare, inclusiv blocarea solicitărilor de la agenții utilizatori non-mobili și ascunderea paginilor de roboți și scanere de rețea.

Datele a 1.1 milioane de pacienți NHS, compromise într-un recent atac cibernetic

Informațiile personale ale aproximativ 1.1 milioane de pacienți ai Serviciului Național de Sănătate (NHS) din Regatul Unit se numără printre datele compromise într-un recent atac cibernetic desfășurat asupra Universității din Manchester din Regatul Unit, incident care a afectat și studenți și absolvenți ai unității de învățământ.

Datele compromise includ înregistrări ale pacienților cu traumatisme majore din și ale persoanelor tratate după atacuri teroriste, pe care universitatea le-a colectat în scopuri de cercetare, iar informațiile studenților și absolvenților afectați de atac includ nume, persoane de contact, adrese și date demografice.

Universitatea a indicat că, până în prezent, nu există dovezi care să sugereze că detaliile bancare sau de plată au fost compromise în incident. „Cu toate acestea, ar trebui să contactați banca pentru sfaturi dacă sunteți îngrijorat”, recomandă oficialii studenților și absolvenților.

Avast lansează un decriptor pentru ransomware-ul Akira

Compania de securitate cibernetică Avast a lansat un decriptor gratuit pentru ransomware-ul Akira. Akira a apărut în martie 2023 și a vizat organizații dintr-o gamă largă de sectoare. Începând cu iunie 2023, atacatorii au început să implementeze o variantă Linux a criptolocker-ului pentru a viza mașinile virtuale VMware ESXi.

Versiunile Windows și Linux ale ransomware-ului Akira sunt foarte asemănătoare în ceea ce privește modul în care criptează dispozitivele. Cu toate acestea, versiunea Linux folosește biblioteca Crypto++ în loc de Windows CryptoAPI.

Decriptorul oferă opțiunea de a face copii de rezervă ale fișierelor criptate înainte de a încerca să le decripteze, ceea ce este recomandat, deoarece datele pot fi corupte ireversibil dacă ceva nu funcționează optim în procesul de decriptare.

Avast recomandă utilizarea versiunii pe 64 de biți a decriptorului, deoarece spargerea parolei necesită multă memorie de sistem și, deși victimele pot folosi versiunea Windows pentru a decripta inclusiv fișierele compromise în Linux, compania a anunțat că lucrează și la un decriptor pentru Linux.

Postat în: stiri cybersecurity awareness DNSC

Vizualizat de 11307 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții