Știrile săptămânii din cybersecurity (14.12.2023)
Apple remediază două vulnerabilități de tip zero day
Apple a lansat de urgență actualizări de securitate pentru remedierea a două vulnerabilități de tip zero day exploatate pe dispozitivele iPhone mai vechi, respectiv Apple Watch și Apple TV.
Vulnerabilitățile sunt identificate prin CVE-2023-42916 și CVE-2023-42917, rezidă în motorul de browser WebKit utilizat de browser-ul web Safari și pot permite atacatorilor să obțină acces la date sensibile și să execute cod arbitrar folosind pagini web malițioase, concepute pentru a exploata erorile de depășire a limitelor și de corupție a memoriei pe dispozitivele vulnerabile.
Cele două vulnerabilități au fost abordate în iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 și watchOS 10.2, în iPhone 8, în toate modelele de iPad Pro, în versiunea iPad Air a 3-a generație și ulterioarele, în versiunea iPad a 5-a generație, iPad mini, a 5-a generație și ulterioarele, în toate modelele Apple TV HD și Apple TV 4K, precum și în dispozitivele Apple Watch Series4 și versiuni ulterioare.
Compania Toyota a suferit un atac cibernetic ce a expus informațiile clienților
Toyota Financial Services (TFS), o subsidiară a companiei Toyota Motor Corporation, a început să-și notifice clienții cu privire la expunerea datelor personale și financiare sensibile ale acestora într-un atac cibernetic desfășurat în noiembrie 2023.
Incidentul s-a petrecut în anumite sisteme din Europa și Africa și a fost revendicat de atacatorii Medusa care au cerut o răscumpărare de 8 milioane de dolari pentru ștergerea datelor furate.
Probabil Toyota nu a negociat cu hackerii o plată a răscumpărării pentru că, în prezent, toate datele exfiltrate în atac au fost publicate pe portalul de extorcare al grupării de criminalitate cibernetică.
La începutul lunii decembrie 2023, Toyota Kreditbank GmbH din Germania a fost identificată drept una dintre diviziile afectate, iar datele furate includ numele complet al clienților, adresa de rezidență, informațiile contractuale și numărul internațional de cont bancar (IBAN).
Toyota asigură că va actualiza cu promptitudine notificările către clienți în cazul în care investigația internă dezvăluie o expunere suplimentară a datelor.
APT28 vizează 13 națiuni în cadrul unei campanii de spionaj cibernetic în curs de desfășurare
Cercetătorii IBM X-Force au observat o campanie de spionaj cibernetic îndreptată împotriva unor entități din cel puțin 13 state naționale, orchestrată de atacatorul rus cunoscut sub numele de APT28, BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit, Sofacy sau TA422.
În cadrul campaniei, APT28 folosește momeli legate de conflictul Israel-Hamas pentru a facilita livrarea unui backdoor numit HeadLace, iar țintele atacatorilor includ organizații din Ungaria, Turcia, Australia, Belgia, Ucraina, Germania, Azerbaidjian, Arabia Saudită, Kazahstan, Italia, Letonia și România.
Momelile utilizate sunt documente asociate cu Banca Israelului, Națiunile Unite, Serviciul de Cercetare al Congresului SUA, Parlamentul European, un think tank ucrainean și o Comisie interguvernamentală Azerbaidjan-Belarus, unele atacuri folosind arhive RAR care exploatează vulnerabilitatea WinRAR identificată prin CVE-2023-38831.
IBM X-Force a publicat analiza campaniei, raportul cercetătorilor oferind recomandări de atenuare a amenințării și prezentând indicatorii de compromitere.
La nivel internațional, doar 7% dintre victimele fraudelor din mediul online reușesc să își recupereze banii pierduți, potrivit unui raport realizat de Global Anti Scam Alliance (GASA). Aproximativ 60% dintre respondenții acestui raport au declarat că aceste atacuri le-au provocat un impact emoțional foarte puternic.
Tentativele de fraudă cresc exponențial, de până la două sau trei ori, în preajma sărbătorilor de iarnă, când utilizatorii fac mai multe cumpărături online. În același timp, atacatorii cibernetici au început să folosească tot mai mult tehnologia deep fake, pentru a induce în eroare potențialele victime și pentru a oferi un grad sporit de încredere informației prezentate.
În acest context, ING Bank România și Directoratul Național de Securitate Cibernetică (DNSC) au lansat săptămâna trecută un avertisment pentru toți utilizatorii de carduri pentru a fi vigilenți atunci când fac cumpărături online, văd oferte promoționale pe rețelele sociale sau rezervă o vacanță.
Noul program malware MrAron Stealer vizează utilizatorii germani într-o nouă campanie de phishing
O nouă campanie de phishing care furnizează un malware de furt de informații numit MrAnon Stealer a fost dezvăluită de Fortinet FortiGuard Labs care a declarat că există dovezi conform cărora Germania ar fi principala țintă a atacatorilor.
Potrivit analizei tehnice, MrAnon Stealer este un malware de furt de informații bazat pe Python, comprimat cu cx-Freeze pentru a evita detectarea, care este capabil să fure acreditările victimei, informațiile de sistem, sesiunile de browser și extensiile de criptomonede.
Atacatorul pretinde că este o companie care caută să rezerve camere de hotel și trimite e-mailuri de phishing ce conțin un document PDF care, la deschidere, activează infecția solicitând destinatarului să descarce o versiune Adobe Flash actualizată.
MrAnon Stealer este un malware oferit de autorii săi pentru 500 USD pe lună sau 750 USD timp de două luni, alături de un criptolocker închiriat cu 250 USD lunar și un loader ascuns închiriat la același preț de 250 USD lunar.
Microsoft remediază 34 de vulnerabilități de securitate
Marți, 12 decembrie 2023, Microsoft a lansat actualizarile lunare de securitate Patch Tuesday, ocazie cu care a remediat 34 de vulnerabilități de securitate, una dintre acestea fiind de tip zero day, dezvăluită în luna august în procesoarele AMD și rămasă necorectată până acum.
Vulnerabilitatea remediată acum în procesoarelor AMD este identificată prin CVE-2023-20588, la momentul dezvăluirii Microsoft publicând un buletin de securitate cu recomandări privind măsurile de atenuare.
Actualizările de marți abordează 10 vulnerabilități de escaladare a privilegiilor, 8 vulnerabilități de execuție a codului, 6 vulnerabilități ce permit dezvăluirea informațiilor, 5 vulnerabilități care pot facilita atacuri de tip DoS și 5 vulnerabilități de falsificare.
Dintre cele opt vulnerabilități de execuție a codului de la distanță (RCE), Microsoft a evaluat trei ca fiind critice, în total patru fiind evaluate în acest fel, dinre care una în Power Platform (Spoofing), două în Internet Connection Sharing (RCE) și una în Windows MSHTML Platform (RCE).
Aproximativ 130.000 de persoane au fost afectate de un atac ransomware suferit de compania Americold
Compania de depozitare frigorifică Americold, cu sediul în Atlanta, SUA, a adresat un raport autorităților de reglementare din Maine prin care a confirmat că a avut loc un incident cibernetic în sistemele sale IT.
Deși compania nu a numit în mod explicit natura atacului, se pare că a fost vorba despre un atac cibernetic de tip ransomware care s-a desfășurat pe 26 aprilie 2023, hackerii accesând informațiile personale ale actualilor și foștilor angajați Americold, precum și ale persoanelor aflate în întreținerea acestora.
Compania a raportat inițial incidentul Comisiei pentru Valori Mobiliare și Burse, pe 26 aprilie, a demarat o anchetă ce s-a finalizat pe 8 noiembrie 2023 și a declarat că incidentul de securitate ”a implicat implementarea de malware pe anumite sisteme”.
În urma anchetei, s-a constatat că informațiile accesate de hackeri includ nume, adrese, numere de asigurări sociale, numere de permis de conducere, numere de pașapoarte, informații despre contul financiar, precum și informații medicale și informații privind asigurările de sănătate legate de angajare, incidentul afectând aproape 130.000 de persoane.
Acesta este al doilea atac cibernetic suferit de Americold după un alt incident din noiembrie 2020.
Hackerii exploatează vulnerabilitatea critică Apache Struts folosind un exploit PoC public
O vulnerabilitate critică remediată pe 7 decembrie 2023 în Apache Struts, identificată prin CVE-2023- 50164, este exploatată de hackeri în atacuri ce se bazează pe codul de exploatare PoC disponibil public, potrivit cercetătorilor platformei de scanare Shadowserver care au observat un număr mic de adrese IP implicate în încercările de exploatare.
Apache Struts este un cadru de aplicații web open source utilizat pe scară largă în diverse industrii, atât în sectorul privat, cât și în cel public, inclusiv în organizațiile guvernamentale, iar vulnerabilitatea în discuție poate permite unui atacator să încarce fișiere malițioase și să realizeze execuția codului de la distanță pe serverul țintă.
Un atacator ce exploatează CVE-2023-50164 ar putea modifica fișiere sensibile, poate fura date, poate întrerupe serviciile critice sau se poate deplasa lateral în rețea.
Vulnerabilitatea RCE afectează versiunile Struts 2.0.0 până la 2.3.37, Struts 2.5.0 până la 2.5.32 și Struts 6.0.0 până la 6.3.0, Apache abordând-o în versiunile 6.3.0.2 și 2.5.33.
Pe 10 decembrie 2023, un cercetător de securitate a publicat un articol tehnic referitor la CVE-2023- 50164, explicând modul în care un atacator ar putea contamina parametrii de încărcare a fișierelor în atacuri.
Hackerii ruși vizează, din septembrie 2023, serverele TeamCity
CISA avertizează cu privire la exploatarea vulnerabilității identificată prin CVE-2023-42793 în serverele TeamCity de către gruparea de criminalitate cibernetică APT29 afiliată Serviciului de Informații Externe al Rusiei (SVR) în atacuri cibernetice desfășurate pe scară largă începând cu septembrie 2023.
”SVR-ul a fost observat folosind accesul inițial obținut prin exploatarea vulnerabilității TeamCity pentru a escalada privilegiile, a se deplasa lateral, a implementa backdoors suplimentare și a face alte acțiuni pentru a asigura accesul persistent și pe termen lung la mediile de rețea compromise”, se arată în avizul CISA.
Atacatorii APT29 sunt cunoscuți pentru că au încălcat mai multe agenții federale din SUA în urma atacului SolarWinds orchestrat în urmă cu trei ani, au vizat, de asemenea, conturile Microsoft 365 ale mai multor entități din țările NATO, ca parte a eforturilor lor de a accesa informații legate de politica externă și au fost legați de o serie de campanii de phishing destinate guvernelor, ambasadelor și oficialilor de rang înalt din Europa.
Cercetătorii de la firma elvețiană de securitate Sonar, care au descoperit și raportat vulnerabilitatea, au publicat și detalii tehnice la o săptămână după ce JetBrains a lansat versiunea TeamCity 2023.05.4, pe 21 septembrie, pentru a aborda problema critică.
La începutul lunii octombrie, mai multe grupări de ransomware exploatau deja vulnerabilitatea pentru a încălca rețelele corporative, potrivit companiilor de informații despre amenințări GreyNoise și PRODAFT.
Microsoft a raportat, de asemenea, exploatarea vulnerabilității CVE-2023-42793 de către atacatorii nord coreeni Lazarus și Andariel.
Microsoft avertizează că hackerii exploatează OAuth
Echipa Microsoft Threat Intelligence avertizează cu privire la folosirea, de către grupările de criminalitate cibernetică, a aplicațiilor Oath ca instrument de automatizare pentru a implementa mașini virtuale (VM) cu scopul minării de criptomonede și pentru a lansa atacuri de tip phishing.
”Actorii de amenințări compromit conturile de utilizator pentru a crea, modifica și acorda privilegii înalte aplicațiilor OAuth pe care le pot folosi greșit pentru a ascunde activitățile malițioase”, a spus echipa Microsoft Threat Intelligence într-o analiză publicată marți, 12 decembrie 2023.
OAuth este un cadru de autorizare și delegare care oferă aplicațiilor posibilitatea de a accesa în siguranță informații de pe alte site-uri web fără a preda parole, iar în atacurile detaliate de Microsoft hackerii au fost observați lansând atacuri de tip phishing împotriva conturilor slab securizate, cu permisiuni de a crea sau modifica aplicații OAuth.
Pentru a atenua riscurile asociate cu astfel de atacuri, se recomandă ca organizațiile să impună autentificarea cu mai mulți factori (MFA), să activeze politicile de acces condiționat și să auditeze în mod obișnuit aplicațiile și permisiunile consimțite.
Un atac cibernetic major afectează Kyivstar
Kyivstar, cel mai mare operator de telecomunicații din Ucraina, care deservește aproape 25 de milioane de abonați de telefonie mobilă și peste 1 milion de clienți de internet, a devenit victima unui atac cibernetic care a perturbat accesul clienților la serviciile mobile și de internet din toate regiunile țării.
Compania a spus că atacul a fost ”rezultatul” războiului cu Rusia și că a notificat forțele de ordine și serviciile speciale ale statului, dar încă nu a furnizat detalii despre natura incidentului și nu există dovezi că datele personale ale abonaților au fost compromise în atac.
După stabilizarea rețelei, toți abonații și clienții corporativi care, ca urmare a unui atac cibernetic, nu au putut folosi serviciile companiei, vor primi cu siguranță despăgubiri”, a spus Kyivstar într-o actualizare publicată pe Facebook.
De asemenea, Kyivstar își îndeamnă clienții să fie atenți la potențialele escrocherii ce urmăresc să păcălească utilizatorii pentru a împărtăși datele personale.
Echipa ScamAdviser a lansat recent un articol-avertizare despre pericolul deepfake. Site-ul ScamAdviser.com, un instrument util pentru verificarea securității site-urilor gratis online, care îi ajută pe consumatori să se decidă înainte de a cumpăra online, prin acordarea site-urilor un punctaj de încredere.
Tehnologia deepfake este din ce în ce mai întâlnită de specialiștii Directoratului în promovarea tentativelor de fraudă online, în special cele care se propagă prin intermediul postărilor sponsorizate pe social media (Meta, Google etc).
Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity stiri deepfake
Vizualizat de 3447 ori
